Нарушения при обработке персональных данных, которые могут привести к проверке

Многие организации и ИП, в том числе работодатели, в силу закона признаются операторами персональных данных физических лиц – работников, клиентов, посетителей и др. – при их обработке. Поскольку не исключены нарушения, Минцифры утверждены с 2022 года индикаторы риска при обработке персональных данных.

Что считается обработкой персданных

В силу ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных – это любое действие, операция или их совокупность с использованием средств автоматизации или без них с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персданных.

Перечень индикаторов риска

Приказ Минцифры от 15.11.2021 № 1187 с 25 января 2022 года утвердил перечень индикаторов риска нарушения обязательных требований при федеральном госконтроле и надзоре за обработкой персональных данных.

Это своего рода маячки, «красные линии» которые говорят контролёрам о соответствии или отклонении от параметров объекта контроля. Сами по себе индикаторы – это не нарушения обязательных требований, но с высокой степенью вероятности они говорят о наличии таких нарушений и риске причинения вреда (ущерба) охраняемым законом ценностям.

Подробнее см. «Что такое индикаторы риска нарушения обязательных требований и их примеры».

К индикаторам риска при обработке персданных отнесено установление Минцифрой и/или ее территориальным органом в течение календарного года:

  • 10 и более фактов несоответствия сведений, предоставляемых контролируемым лицом по запросу Минцифры, и информации, поступившей к проверяющим от граждан – в части наличия в деятельности признаков неправомерной обработки их персональных данных;
  • 10 и более фактов предоставления неограниченному кругу лиц доступа к базам персональных данных и/или их распространения в Интернете, имеющих признаки принадлежности организации.

Последствия

Если имеет место хотя бы 1 индикатор, будет проведено внеплановое контрольное или надзорное мероприятие с взаимодействием проверяющих с компанией или ИП (ч. 1 ст. 57 Закона о контроле и надзоре № 248-ФЗ, Положение о федеральном госконтроле (надзоре) за обработкой персданных, утв. постановлением Правительства РФ от 29.06.2021 № 1046).