Критерии отнесения объектов контроля к определенной категории риска
1. С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований деятельность контролируемого лица, подлежащая федеральному государственному контролю (надзору), разделяется на группы тяжести "А", "Б", "В" и "Г" (далее - группы тяжести).
2. К группе тяжести "А" относятся следующие виды деятельности:
а) обработка специальной категории персональных данных и (или) биометрических персональных данных;
б) сбор персональных данных, в том числе в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), осуществляемый с использованием баз данных, находящихся за пределами Российской Федерации;
в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона "О персональных данных";
г) передача третьим лицам персональных данных, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных.
3. К группе тяжести "Б" относятся следующие виды деятельности:
а) обработка персональных данных в целях, отличных от заявленных целей обработки персональных данных на этапе их сбора;
б) обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами;
в) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные более чем 20000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
г) сбор персональных данных, в том числе в сети "Интернет", осуществляемый с использованием иностранных программ и сервисов.
4. К группе тяжести "В" относятся следующие виды деятельности:
а) обработка персональных данных близких родственников субъекта персональных данных;
б) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные от 1000 до 20000 субъектов персональных данных;
в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона "О персональных данных";
г) обезличивание персональных данных, обработка персональных данных, полученных в результате обезличивания, с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных, без передачи третьим лицам.
5. К группе тяжести "Г" относятся следующие виды деятельности:
а) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные менее чем 1000 субъектов персональных данных;
б) обработка персональных данных без предоставления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций информации уведомительного характера, предоставление которой предусмотрено Федеральным законом "О персональных данных";
в) обработка персональных данных, полученных из общедоступных источников персональных данных;
г) трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
6. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам тяжести, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.
7. С учетом оценки вероятности несоблюдения контролируемыми лицами обязательных требований деятельность, подлежащая государственному контролю (надзору), разделяется на группы вероятности "1", "2", "3", "4" (далее - группы вероятности).
8. К группе вероятности "1" относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.