Что такое риск-ориентированный подход в контроле персональных данных
Начиная с 2021 года контрольно-надзорная деятельность в России строится на принципах риск-ориентированного подхода, закрепленных в Федеральном законе от 31.07.2020 N 248-ФЗ о государственном контроле (надзоре) и муниципальном контроле в Российской Федерации. Суть подхода проста: государственные ресурсы направляются туда, где риск нарушений и их последствия наиболее высоки.
Применительно к надзору в сфере персональных данных это означает, что Роскомнадзор не проверяет всех операторов с одинаковой частотой. Организации распределяются по категориям риска, и периодичность плановых проверок напрямую зависит от присвоенной категории. Операторы с низким риском могут вообще не попадать в план плановых проверок — при этом внеплановые проверки остаются возможными для всех категорий.
Риск-ориентированный подход в сфере ПДн регулируется Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденным постановлением Правительства РФ от 16.03.2009 N 228 (в редакции последующих изменений).
Категории риска: от высокого до низкого
Система категоризации предусматривает пять уровней риска. Каждой категории соответствует определенная периодичность плановых проверок.
| Категория риска | Периодичность плановых проверок | Примеры операторов |
|---|---|---|
| Высокий риск | 1 раз в 2 года | Медицинские организации, операторы биометрии, банки с широкой базой клиентов |
| Значительный риск | 1 раз в 3 года | Страховые компании, HR-платформы, крупные интернет-магазины, телеком-операторы |
| Средний риск | 1 раз в 5 лет | Средние интернет-магазины, образовательные учреждения, агрегаторы вакансий |
| Умеренный риск | 1 раз в 6 лет | Малые предприятия с ограниченным набором ПДн, небольшие сервисные компании |
| Низкий риск | Плановые проверки не проводятся | Индивидуальные предприниматели, микропредприятия с минимальной обработкой ПДн |
Следует понимать, что присвоение категории риска — это не разовое решение. РКН вправе пересмотреть категорию как в сторону повышения (при выявлении нарушений или поступлении жалоб), так и в сторону понижения (при подтверждении надлежащей защиты данных).
Критерии отнесения к категориям риска
Решение об отнесении оператора к той или иной категории принимается на основании совокупности критериев. Рассмотрим их подробно.
Тип обрабатываемых персональных данных
Это наиболее весомый критерий. Чем чувствительнее данные, тем выше категория риска.
- Биометрические данные (слепки лица, отпечатки пальцев, голос) — автоматически высокий риск;
- Специальные категории ПДн: состояние здоровья, диагнозы, сведения о судимости, религиозные и политические убеждения — высокий риск;
- Финансовые данные: реквизиты карт, кредитная история, данные о доходах — значительный или высокий риск;
- Стандартные данные: ФИО, адрес, телефон, email — средний или умеренный риск в зависимости от объема.
Количество субъектов персональных данных
Масштаб обработки данных напрямую влияет на категорию риска. Оператор, обрабатывающий данные более 1 миллиона граждан, всегда будет отнесен к высокой или значительной категории. Для малого бизнеса с базой клиентов до нескольких тысяч человек риск ниже.
Трансграничная передача данных
Передача персональных данных российских граждан за рубеж — серьезный фактор повышения категории риска. С 2022 года в связи с поправками в ФЗ-152 требования к трансграничной передаче данных существенно ужесточились. Операторы, передающие данные в иностранные организации без надлежащего уведомления РКН, автоматически попадают в зону повышенного внимания.
Предыдущие нарушения
История взаимодействия с РКН имеет значение. Если оператор ранее получал предписания, привлекался к административной ответственности или имел зафиксированные утечки данных, его категория риска повышается. Факт неисполнения предписания является одним из ключевых факторов перевода в более высокую категорию.
Наличие уведомления в реестре РКН
Операторы, не направившие уведомление об обработке персональных данных в РКН (при наличии обязанности это сделать), имеют повышенный риск привлечения к проверке и административной ответственности по ч. 1 ст. 13.11 КоАП РФ.
Кто находится в зоне наибольшего риска
На основании публичных отчетов РКН и анализа контрольно-надзорной практики можно выделить отрасли и типы организаций, которые проверяются наиболее часто.
Медицинские организации
Клиники, больницы, медицинские лаборатории и телемедицинские платформы работают с данными о состоянии здоровья — это специальные категории ПДн, требующие письменного согласия и максимального уровня защиты. Нарушения в медицинской сфере имеют прямые последствия для прав граждан, поэтому РКН уделяет этому сектору повышенное внимание.
Банки и финансовые организации
Кредитные организации, МФО, платежные сервисы обрабатывают финансовые данные сотен тысяч и миллионов клиентов. Сочетание большого объема данных, финансовой чувствительности информации и регулярных жалоб граждан выводит банковский сектор в топ проверяемых отраслей.
Интернет-магазины и маркетплейсы
Крупные интернет-ретейлеры обрабатывают данные при регистрации, оформлении заказов, доставке, программах лояльности. Помимо этого, они активно используют данные для таргетированной рекламы, что порождает риски нарушения принципов целевой обработки.
HR-платформы и сервисы подбора персонала
Агрегаторы вакансий и кадровые агентства накапливают обширные базы резюме с подробными сведениями о соискателях. Нарушения при обработке этих данных фиксируются регулярно.
По данным публичных отчетов Роскомнадзора, в 2024 году наибольшее количество нарушений выявлено в сферах: розничная торговля и интернет-магазины, финансовые услуги, здравоохранение. Основные нарушения — отсутствие надлежащего согласия на обработку ПДн и нарушение требований локализации данных.
Как снизить категорию риска
Операторы персональных данных не являются пассивными участниками процесса категоризации. Существуют конкретные меры, позволяющие снизить присвоенную категорию риска или предотвратить ее повышение.
Правильное уведомление РКН и актуальные сведения
Своевременное направление уведомления об обработке ПДн и регулярное обновление сведений в реестре РКН демонстрирует добросовестность оператора. Актуальные данные в реестре снижают вероятность инициирования проверки по формальным основаниям.
Полный пакет документации
Наличие всех необходимых локальных актов (Политика конфиденциальности, Положение об обработке ПДн, инструкции для сотрудников, приказ о назначении ответственного) говорит о системном подходе к защите данных и снижает привлекательность организации как объекта проверки.
Проведение регулярного аудита
Документально оформленный внутренний или внешний аудит соответствия требованиям ФЗ-152 с планом устранения выявленных несоответствий является аргументом в пользу добросовестности оператора при взаимодействии с регулятором.
Минимизация данных
Сокращение объема обрабатываемых персональных данных до минимально необходимого (принцип минимизации из ст. 5 ФЗ-152), отказ от сбора данных, не связанных с целями деятельности, снижает как реальные риски, так и категорию.
Технические меры защиты
Внедрение технических и организационных мер, соответствующих уровню защищенности информационной системы персональных данных по приказу ФСТЭК N 21, подтверждает реальную защиту данных.
Статистика проверок 2024-2025
По данным публичных отчетов Роскомнадзора и официальных сообщений ведомства, в 2024-2025 годах активность надзора в сфере персональных данных существенно возросла. Это связано с принятием в 2022-2023 годах значительных поправок в ФЗ-152, ужесточивших ответственность за нарушения.
- Количество административных дел в сфере ПДн ежегодно увеличивается на 20-30% по сравнению с предыдущим периодом;
- Наиболее часто выявляемые нарушения — отсутствие или ненадлежащее оформление согласия на обработку ПДн (ч. 2 ст. 13.11 КоАП РФ);
- Штрафы за повторные нарушения, введенные поправками 2022 года, применяются все активнее;
- Проверки дистанционным способом (анализ сайтов) стали стандартной практикой и позволяют охватить значительно большее число операторов.
Тенденция очевидна: регуляторное давление усиливается, а значит, вопрос категории риска становится критически важным для планирования ресурсов на соответствие требованиям.
Узнайте свою категорию риска
Хотите знать, к какой категории риска относится ваша организация, и что нужно сделать для ее снижения? Специалисты 152fzpro.ru проведут экспресс-анализ вашей деятельности, определят категорию риска и разработают дорожную карту по снижению вероятности плановых и внеплановых проверок РКН.
Пошаговый план снижения категории риска
Если ваша организация уже отнесена к высокой или значительной категории риска, или вы хотите заблаговременно предотвратить повышение категории, следуйте следующему плану:
- Проведите внутренний аудит. Оцените текущее состояние документации, технических мер и процессов обработки ПДн. Зафиксируйте все несоответствия в реестре замечаний.
- Актуализируйте уведомление в реестре РКН. Проверьте, все ли цели обработки, категории данных и субъектов корректно отражены. Внесите изменения при необходимости.
- Разработайте или обновите локальные акты. Политика конфиденциальности, Положение об обработке ПДн, инструкции для сотрудников должны соответствовать актуальным требованиям ФЗ-152.
- Внедрите технические меры защиты. Приведите уровень защищенности информационных систем в соответствие с требованиями приказа ФСТЭК N 21 для вашей категории данных.
- Назначьте ответственного за ПДн. Оформите приказ о назначении ответственного лица согласно ст. 22.1 ФЗ-152 и организуйте его обучение.
- Задокументируйте принятые меры. Каждое мероприятие по защите данных должно быть зафиксировано документально: акты, протоколы, журналы.
- Запросите профилактический визит РКН. Оператор вправе обратиться в РКН с запросом о проведении профилактического визита. Это демонстрирует открытость и позволяет получить рекомендации регулятора без риска штрафов.
Особенности для отдельных категорий операторов
Законодательство устанавливает дифференцированные требования в зависимости от типа оператора и характера обрабатываемых данных. Это напрямую влияет на категорию риска и частоту проверок.
Операторы государственных информационных систем
Государственные органы и организации, эксплуатирующие государственные информационные системы (ГИС), обязаны выполнять дополнительные требования по защите персональных данных, установленные ФСТЭК. Аттестация ГИС является обязательным условием, а ее отсутствие — основанием для проверки. РКН взаимодействует с ФСТЭК при оценке защищенности государственных операторов.
Операторы коммерческой биометрии
С 2023 года действует ФЗ-572 о единой биометрической системе. Операторы, использующие биометрические данные для коммерческих целей (фотография при заселении в отель, система контроля доступа по лицу, биометрия в банках), обязаны соблюдать специальные требования. Такие операторы автоматически относятся к высшей категории риска.
Малый и средний бизнес
Субъекты МСП, как правило, обрабатывают стандартные категории персональных данных в относительно небольших объемах. Для них характерна категория умеренного или низкого риска, а плановые проверки проводятся значительно реже. Однако это не освобождает МСП от обязанности соблюдать базовые требования ФЗ-152 и от ответственности за нарушения по результатам внеплановых проверок.
Как проходит процедура категоризации оператора
Понимание процедуры присвоения категории риска помогает операторам более эффективно взаимодействовать с регулятором и оспаривать необоснованное повышение категории.
Инициирование категоризации
Категоризация оператора осуществляется Роскомнадзором на основе анализа сведений, содержащихся в реестре операторов персональных данных, результатов ранее проведенных проверок, поступивших жалоб и иных источников информации о деятельности оператора.
Уведомление оператора о присвоенной категории
Оператор вправе запросить информацию о присвоенной ему категории риска. При несогласии с присвоенной категорией оператор может направить в РКН мотивированное обращение с просьбой о пересмотре категории, приложив документы, подтверждающие надлежащее соблюдение требований ФЗ-152.
Пересмотр категории
Категория риска может быть пересмотрена как в плановом порядке (не реже одного раза в год), так и по обращению оператора или в связи с изменением обстоятельств, послуживших основанием для ее присвоения.
Связь категории риска с суммой возможных штрафов
Операторы высоких категорий риска проверяются чаще, а значит, вероятность выявления нарушений у них выше. При этом размер штрафов за нарушения в сфере ПДн не зависит напрямую от категории риска — он определяется видом и тяжестью нарушения. Тем не менее связь существует косвенно:
| Категория риска | Частота проверок | Вероятность штрафа в год | Рекомендуемые меры |
|---|---|---|---|
| Высокий | Раз в 2 года | Высокая | Полный аудит, DPO, технические меры уровня УЗ-3 и выше |
| Значительный | Раз в 3 года | Умеренная | Регулярный аудит, актуальная документация |
| Средний | Раз в 5 лет | Умеренно низкая | Базовый пакет документов, обучение персонала |
| Умеренный | Раз в 6 лет | Низкая | Базовый пакет документов |
| Низкий | Не проводятся | Минимальная | Минимальный комплект документов |
Практика 2024-2025: на что обращает внимание РКН
Анализ публичных материалов о результатах проверок Роскомнадзора в 2024-2025 годах позволяет выделить ключевые акценты надзорной деятельности.
Локализация данных
Требование о первичной записи персональных данных граждан РФ на российских серверах стало одним из приоритетных направлений надзора. РКН активно выявляет случаи передачи данных в иностранные облачные сервисы без соблюдения требований локализации. Штрафы за это нарушение составляют от 1 до 18 миллионов рублей.
Трансграничная передача данных
С введением обязательного уведомления о трансграничной передаче в 2023 году РКН активно проверяет соблюдение этого требования. Особое внимание уделяется использованию иностранных аналитических сервисов и CRM-систем.
Биометрические данные
Использование биометрии в коммерческих целях (системы распознавания лиц, биометрическая оплата) находится под пристальным вниманием РКН. Операторы, не имеющие надлежащего разрешения или нарушающие требования ФЗ-572, рискуют не только штрафами, но и уголовной ответственностью.
Вопросы и ответы о риск-ориентированном подходе
Как узнать свою текущую категорию риска?
Оператор персональных данных вправе направить официальный запрос в Роскомнадзор с просьбой сообщить присвоенную категорию риска. Запрос направляется через официальный портал РКН или заказным письмом. Ответ предоставляется в течение 30 рабочих дней.
Может ли оператор сам снизить свою категорию без проверки РКН?
Оператор не может самостоятельно изменить категорию риска — это исключительное право регулятора. Однако оператор может представить в РКН документальные доказательства своей добросовестности и принятых мер защиты, что является основанием для пересмотра категории в сторону понижения.
Влияет ли переход на КЛАДР или другой отечественный сервис на категорию риска?
Переход с иностранных сервисов на российские аналоги (хостинг, CRM, аналитика) положительно влияет на оценку рисков: устраняет нарушение требований локализации и снижает риски трансграничной передачи данных. Это реальный инструмент снижения категории риска при условии документального подтверждения перехода.
Что происходит, если оператор не согласен с присвоенной категорией?
Оператор вправе направить мотивированное возражение на решение о присвоении категории риска в вышестоящий орган РКН или обратиться в суд. К возражению необходимо приложить документы, подтверждающие принятые меры защиты, отсутствие нарушений и иные обстоятельства, опровергающие высокую категорию риска.
Итоговая таблица: факторы риска и их влияние
| Фактор | Влияние на категорию | Способ снижения риска |
|---|---|---|
| Биометрические данные | Повышает до высокого | Минимизация использования биометрии |
| Медицинские данные | Повышает до высокого | Усиленный режим защиты, письменное согласие |
| Более 1 млн субъектов | Повышает до высокого | Технические меры, аудит |
| Трансграничная передача | Повышает на 1-2 уровня | Уведомление РКН, российский хостинг |
| Предыдущие нарушения | Повышает до значительного | Исполнение предписаний, аудит |
| Актуальная документация | Снижает | Регулярное обновление |
| Добровольный аудит | Снижает | Независимый аудит с отчетом |
