Вопрос: В соответствии с Критериями отнесения объектов контроля к определенной категории риска (приложение к Положению о федеральном государственном контроле (надзоре) за обработкой персональных данных, утв. постановлением Правительства РФ от 29 июня 2021 г. N 1046), к группе вероятности "2" относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства РФ в области персональных данных, ответственность за которые предусмотрена частями 1, 2, 5, 6, 8 статьи 13.11 КоАП РФ, по фактам которых Роскомнадзором в течение последних 2 лет были выданы контролируемому лицу требование об устранении нарушений, предупреждение о недопущении нарушений.

При этом ни Федеральный закон от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в РФ", ни Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" не предусматривают таких мер реагирования на нарушение или признаки нарушения обязательных требований, как выдача лицу «требования об устранении нарушений», либо выдача «предупреждения о недопущении нарушений».

В связи с этим прошу пояснить, какие именно «требования об устранении нарушений», а также «предупреждения о недопущении нарушений» имеются в виду в тексте постановления Правительства РФ от 29 июня 2021 г. N 1046?

Ответ: Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее - Министерство) в ответ на письма Минэкономразвития России от 19.11.2021 N Д24и-36525 и от 29.11.2021 N Д24и-37547 сообщает следующее.

Согласно части 2 статьи 90 Федерального закона от 31.07.2020 N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (далее - Закон о контроле) в случае выявления при проведении контрольного (надзорного) мероприятия нарушений обязательных требований контролируемым лицом контрольный (надзорный) орган в пределах полномочий, предусмотренных законодательством Российской Федерации, обязан, в том числе:

1) выдать после оформления акта контрольного (надзорного) мероприятия контролируемому лицу предписание об устранении выявленных нарушений;

2) незамедлительно принять предусмотренные законодательством Российской Федерации меры по недопущению причинения вреда (ущерба) охраняемым законом ценностям или прекращению его причинения;

3) принять меры по осуществлению контроля за устранением выявленных нарушений обязательных требований, предупреждению нарушений обязательных требований, предотвращению возможного причинения вреда (ущерба) охраняемым законом ценностям, при неисполнении предписания в установленные сроки принять меры по обеспечению его исполнения.

В соответствии с постановлением Правительства Российской Федерации от 29.06.2021 N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" (далее - Постановление, Положение) одним из критериев отнесения к группе вероятности является деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена статьей 13.11 Кодекса Российской Федерации об административных правонарушениях по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений.

Пункт 56 Положения устанавливает, что к акту прилагаются протоколы контрольных (надзорных) действий, предписание об устранении выявленных нарушений, материальные носители персональных данных и иные связанные с результатами контрольных (надзорных) мероприятий оригиналы документов или их копии.

Таким образом, под требованиями об устранении нарушений следует понимать требования Роскомнадзора, направляемые контролируемому лицу, в случае если оператор не исполнил ранее выданное предписание об устранении нарушений, выявленных в ходе проверки.

Одновременно сообщаем, что мероприятия по контролю без взаимодействия с контролируемым лицом проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

В соответствии с пунктом 22 части 5 статьи 2 Закона о контроле положения Закона о контроле не применяются к организации и осуществлению государственного контроля и надзора за обработкой персональных данных, осуществляемые без взаимодействия с контролируемым лицом.

Согласно пункту 59 Положения к мероприятиям по контролю без взаимодействия с контролируемым лицом относятся:

а) наблюдение за соблюдением требований при размещении информации в сети "Интернет";

б) наблюдение за соблюдением требований посредством анализа информации о деятельности оператора, которая предоставляется им посредством использования федеральных государственных информационных систем в Роскомнадзор в соответствии с нормативными правовыми актами Российской Федерации или может быть получена в рамках межведомственного информационного взаимодействия.

Выявленные по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом сведения о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям направляются уполномоченному должностному лицу контролирующим органом (территориального органа) для принятия решений в соответствии со статьей 60 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".