Год назад принцип федерального государственного контроля (надзора) за обработкой персональных данных кардинально изменился (вступило в силу Постановление Правительства РФ № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» (от 29.06.2021)). Теперь регулятор оценивает риски неправомерной обработки персональных данных и использует оценку для выявления тех операторов, к которым нужно прийти с проверкой.
- Введение
- Обновлённая методология отнесения оператора персональных данных ко группам риска
- Категория высокого риска
- Категория низкого риска
- Как часто проводятся проверки с учётом категории риска?
- Роль нового подхода в развитии комплаенса
- Приоритетные темы для российского регулятора в области персональных данных
- Каковы цели к 2026 году?
- Выводы
Введение
Год назад вступило в силу Постановление Правительства РФ № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» (от 29.06.2021), в соответствии с которым при осуществлении контроля (надзора) применяется система оценки и управления рисками. В прошлом Постановлении Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» такой подход закреплён не был. Ранее проводившийся контроль и надзор не знал понятия «риск». Теперь операторы ПДн, которые подвергаются профилактическим мероприятиям и проверкам, делятся на группы по категориям риска:
- высокий риск,
- значительный риск,
- средний риск,
- умеренный риск,
- низкий риск.
Важность применения нового рискориентированного подхода была отмечена на Петербургском международном экономическом форуме, состоявшемся 15–18 июня 2022 года.
Обновлённая методология отнесения оператора персональных данных ко группам риска
Чтобы рассчитать риски нарушений в области персональных данных и определить, какого оператора нужно проконтролировать, а какого нет, Правительство разработало специальную методологию. В ней учитываются (1) классификация групп тяжестей и (2) классификация групп вероятностей. Пересечение группы тяжести и группы вероятности формирует группу риска.
Категория высокого риска
В категорию высокого риска входят те операторы, которые, во-первых, попали в группу тяжести А, где оператор:
- обрабатывает биометрические и / или специальные данные;
- имеет базы данных за рубежом;
- передаёт данные в страны не являющиеся сторонами Конвенции СЕ о защите физических лиц при автоматизированной обработке ПДн;
- передаёт обезличенные данные третьим лицам.
Во-вторых, эта категория охватывает тех операторов, которые относятся к высшей 1-й группе вероятности. Туда включаются операторы, которые совершают повторные нарушения и которым ранее уже выдавались предписания об устранении таких нарушений.
В общем, в категорию высокого риска входят злостные нарушители законодательства о персональных данных или те, кто обрабатывает особо значимые персональные данные.
Категория низкого риска
К категории низкого риска относятся операторы:
- в информационных системах которых обрабатывается менее 1000 субъектов ПДн;
- не входящие в реестр операторов персональных данных;
- обрабатывающие данные из общедоступных источников;
- которые передают данные на территорию иностранных государств, являющихся сторонами Конвенции СЕ о защите физических лиц при автоматизированной обработке ПДн.
Как часто проводятся проверки с учётом категории риска?
К операторам, которые попадают в категорию высокого риска, инспекционный визит или выездная проверка приходит один раз в два года. К тем, кто относится к категории низкого риска, проверки вовсе не применяются.
Роль нового подхода в развитии комплаенса
Подход, обозначенный в 2021 году, в целом способствует расширению сферы комплаенс-консалтинга — деятельности направленной на приведение локальных нормативных актов компаний в области обработки персональных данных и бизнес-процессов в соответствие с действующим законодательством. Для минимизации риска проведения контрольных (надзорных) мероприятий в отношении себя каждый оператор прибегает к поддержке третьих лиц (лицензиатов в сфере защиты информации, в том числе персональных данных). Этот подход косвенно говорит о распространении концепции «умного регулирования» (smart regulation) и прозрачного регулирования.
Концепция «умного регулирования» заключается в делегировании обеспечения безопасности данных третьим лицам.
Прозрачное регулирование заключается в открытости логики принятия решений регулятора о проведении контрольных (надзорных) мероприятий.
Такое регулирование можно определить как «формирующуюся форму регулятивного плюрализма, включающую в себя гибкие, творческие и инновационные формы социального контроля, которые стремятся использовать не только правительство, но также предприятия и третьи стороны». Другими словами, разумное регулирование касается уменьшения практической роли регулирующих органов и делегирования коммерческим организациям части их задач — например, аудитов или процедур оценки эффективности обработки данных (последние проводятся по закону о персональных данных один раз в три года лицензиатом).
Приоритетные темы для российского регулятора в области персональных данных
Рискориентированный подход, выбранный Правительством, чётко обозначил самые приоритетные для российского регулятора темы в области персональных данных. И именно самые высокие риски, определённые Правительством, должны в первую очередь проверяться и ликвидироваться операторами — в том числе в локальных нормативных актах. Из первой группы риска требуют аудита и детального регулирования на уровне каждой компании-оператора процессы, которые связаны с:
- локализацией баз данных в Российской Федерации (особенно острым этот вопрос становится в связи с распространением использования облачных технологий и распределённых систем хранения данных),
- передачей данных в страны не являющиеся сторонами Конвенции СЕ о защите физических лиц при автоматизированной обработке ПДн (в данном случае обязательно брать согласие субъектов персональных данных на такую передачу),
- обработкой биометрических и / или специальных данных (обрабатываются при наличии согласия субъектов и с помощью сертифицированных средств защиты информации),
- передачей обезличенных данных третьим лицам (обезличенные ПДн — это те же персональные данные, но более уязвимые. Методики обезличивания данных пока отданы на разработку самим операторам персональных данных. Обезличивание данных — трудоёмкий и требующий высокого уровня технического контроля процесс).
Рискориентированная модель по Постановлению Правительства РФ № 1046 упрочняет «прагматичное» сотрудничество в целях успешного прохождения проверок, «подталкивая» операторов к саморегулированию. Последнее, впрочем, является не столько «чистым», сколько «принудительным», поскольку оно основано на юридически закреплённом сотрудничестве между регулирующими и регулируемыми субъектами.
Каковы цели к 2026 году?
16 декабря 2021 года Постановление Правительства РФ № 1046 было дополнено п. 62, который определил ключевые показатели государственного контроля (надзора) и его целевые значения. В их число входит доля контролируемых лиц (операторов), чья категория риска была повышена вне зависимости от изменения группы тяжести. План таков:
- в 2022 и 2023 годах доля должна повыситься не более чем на 5 %,
- в 2024-2025 годах — не более чем на 4 %,
- в 2026 году — не более чем на 3 %.
Можно полагать, что регулятор хочет идти по пути упрочнения «принудительного саморегулирования» и сокращения объёма проверяемых операторов — такой у него правовой прогноз.
Выводы
Рискориентированная модель проверок в сфере защиты персональных данных от 2021 года будет способствовать развитию направления комплаенса — особенно в контексте июльской юридической реформы 2022 года в сфере информационной безопасности и защиты персональных данных. Модель рискориентированного подхода может использоваться комплаенс-менеджерами, юристами, специалистами по ИБ с целью проведения самостоятельного расчёта вероятности проверок клиентов-операторов и снижения этой вероятности.