Нормативный акт

Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных»

Полная сводка норм: цитаты пунктов, диапазоны штрафов для граждан, должностных лиц, ИП и юридических лиц, ссылки на санкционные нормы КоАП/УК и примеры нарушений на сайтах.

№ 1 п. 12 (категории риска)

Объекты контроля относятся к одной из категорий риска: чрезвычайно высокий, высокий, значительный, средний, умеренный, низкий — в зависимости от объёма обрабатываемых персональных данных, категорий субъектов и характера обработки. Соответствие категории риска обозначается буквами от А (минимальная) до Г (максимальная) и классом защиты от 1 (максимальный) до 4 (минимальный).

Сумма не предусмотрена настоящим постановлением; категория определяет периодичность плановых проверок и применяемые меры, штрафы налагаются по КоАП РФ ст. 13.11.

ПП РФ № 1046, п. 12; КоАП РФ ст. 13.11

Категория риска присваивается на основании сведений из уведомления оператора, поданного в порядке ст. 22 Федерального закона № 152-ФЗ «О персональных данных».

1Оператор, обрабатывающий специальные категории персональных данных (медицина, биометрия), не указал это в уведомлении — категория риска занижена.

2Оператор, осуществляющий трансграничную передачу персональных данных, отнесён к низкой категории риска из-за неактуальности данных в уведомлении.

№ 2 п. 13 (плановые проверки)

Плановые контрольные (надзорные) мероприятия проводятся в отношении объектов контроля с периодичностью: для категории чрезвычайно высокого риска — один раз в 2 года; высокого — один раз в 3 года; значительного — один раз в 4 года; среднего — один раз в 6 лет; умеренного — один раз в 8 лет. В отношении объектов низкой категории риска плановые мероприятия не проводятся.

По итогам проверки — штрафы по соответствующим частям ст. 13.11 КоАП РФ (для юридических лиц до 18 млн рублей за непринятие мер по защите персональных данных).

ПП РФ № 1046, п. 13; КоАП РФ ст. 13.11

Решение о проведении планового контрольного мероприятия принимается на основании ежегодного плана проведения плановых проверок, утверждаемого руководителем Роскомнадзора.

1Сайт коммерческой организации с обширной базой клиентских данных не подавал уведомление в Роскомнадзор — категория риска не определена, попадает под автоматическое отнесение к высокой при первичной проверке.

2Оператор, отнесённый к категории высокого риска, не предоставил доступ инспектору при плановой проверке — отдельный состав по КоАП РФ ст. 19.4.1.

№ 3 п. 16 (индикаторы риска для внеплановой проверки)

Индикаторами риска нарушения обязательных требований являются: размещение в средствах массовой информации, в том числе в сети «Интернет», сведений об утечке персональных данных; превышение установленного количества жалоб субъектов персональных данных; обнаружение в открытом доступе персональных данных, обрабатываемых конкретным оператором; неполучение Роскомнадзором уведомления об инциденте в течение установленного срока.

Внеплановая проверка инициируется без предварительного уведомления оператора; по результатам — штрафы по КоАП РФ ст. 13.11 (включая части 11–18 — оборотные штрафы 1–3 % выручки).

ПП РФ № 1046, п. 16; КоАП РФ ст. 13.11, ч. 11–18

Решение о проведении внепланового контрольного мероприятия принимается при выявлении индикатора риска.

1Журналист публикует расследование об утечке базы клиентов с сайта — индикатор риска срабатывает автоматически.

2Поисковая выдача показывает фрагменты персональных данных, проиндексированные с сайта оператора (например, открытые папки с резюме).

№ 4 п. 19 (профилактические мероприятия)

Профилактические мероприятия — информирование, обобщение правоприменительной практики, объявление предостережения, консультирование, профилактический визит — проводятся в отношении всех объектов контроля независимо от категории риска.

Самостоятельных санкций нет; невыполнение предписания, выданного по итогам профилактического визита, — КоАП РФ ст. 19.5, ч. 1 (юридическое лицо 100 000–200 000 ₽).

ПП РФ № 1046, п. 19; КоАП РФ ст. 19.5, ч. 1

Профилактический визит проводится инспектором в форме профилактической беседы по месту осуществления деятельности контролируемого лица.

1Оператор получил предостережение от Роскомнадзора об устранении нарушений в опубликованной политике обработки персональных данных, но не отреагировал в установленный срок.

2После профилактического визита оператор не внёс изменения в форму получения согласия — следующая проверка фиксирует составы по ст. 13.11.

№ 5 п. 28 (документарная проверка)

В рамках документарной проверки могут совершаться следующие контрольные (надзорные) действия: получение письменных объяснений; истребование документов; экспертиза. Оператор обязан направить запрошенные документы в течение 10 рабочих дней.

Непредставление документов в установленный срок — КоАП РФ ст. 19.7 (юридическое лицо 3 000–5 000 ₽), при повторном нарушении — ст. 19.7.10 (до 60 000 ₽).

ПП РФ № 1046, п. 28; КоАП РФ ст. 19.7

Документарная проверка проводится по месту нахождения Роскомнадзора путём изучения документов, имеющихся в распоряжении инспектора.

1Оператор не предоставил Роскомнадзору политику обработки персональных данных и приказ о назначении ответственного лица в рамках документарной проверки.

2На запрос инспектора о согласиях субъектов оператор предоставил неполный комплект документов.

Проверьте, какие из этих норм нарушает ваш сайт

Бесплатно за 60 секунд — автоматический аудит со ссылками на конкретные статьи.

Запустить аудит

← Все нормативные акты