Проект Постановления Правительства Российской Федерации "Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации" (подготовлен Минкомсвязью России 08.05.2015)

Проект Постановления Правительства Российской Федерации "Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации"
(подготовлен Минкомсвязью России 08.05.2015 г.)

Досье на проект

В соответствии со статьёй 3 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", главой 5 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701), пунктом 5.1.1.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431; 2010, N 13, ст. 1502; N 26, ст. 3350; 2011, N 3, ст. 542; N 6, ст. 888; N 14, ст. 1935; N 21, ст. 2965; N 40, ст. 5548; N 44, ст. 6272; 2012, N 20, ст. 2540; N 39, ст. 5270) Правительство Российской Федерации постановляет:

Утвердить прилагаемое Положение о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

Председатель Правительства Российской Федерации

Д. Медведев

УТВЕРЖДЕНО

постановлением Правительства

Российской Федерации

от "___"___________ N _____

Положение
о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации

I. Общие положения

Настоящее Положение устанавливает порядок осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, за исключением деятельности по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее-государственный контроль и надзор).

1. Государственный контроль и надзор на территории Российской Федерации и находящихся под юрисдикцией Российской Федерации территориях осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций непосредственно и через ее территориальные органы.

2. Государственный контроль и надзор включает в себя деятельность Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, направленную на предупреждение, выявление и пресечение в пределах своей компетенции нарушений государственными органами, органами местного самоуправления, юридическими лицами и физическими лицами требований, установленных законодательством Российской Федерации, посредством организации и проведения проверок проверяемых лиц, принятия предусмотренных законодательством Российской Федерации мер по пресечению и (или) устранению последствий выявленных нарушений, проведения мероприятий систематического наблюдения за исполнением требований законодательства Российской Федерации, а также анализа и оценки состояния исполнения требований законодательства Российской Федерации при осуществлении проверяемыми лицами деятельности по обработке персональных данных на основании представленных ими документов и локальных актов.

3. Деятельность по осуществлению государственного контроля и надзора подразделяется на плановую и внеплановую и осуществляется посредством проведения плановых и внеплановых проверок, а также мероприятий систематического наблюдения.

4. Плановые и внеплановые проверки проводятся должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, должностными регламентами которых предусмотрены полномочия по осуществлению государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации (далее - должностные лица), в форме документарной или выездной проверки.

5. Плановые и внеплановые мероприятия систематического наблюдения проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушений законодательства Российской Федерации без взаимодействия с государственными органами, органами местного самоуправления, юридическими и физическими лицами, осуществляющими обработку персональных данных, и их уполномоченными представителями.

6. Плановые проверки, плановые мероприятия систематического наблюдения в области персональных данных в отношении государственных органов, органов местного самоуправления, юридических лиц и физических лиц, осуществляющих обработку персональных данных, проводятся в соответствии с планом деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и планами территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, размещаемыми на официальном сайте в сети Интернет.

7. Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, принятого:

7.1. в случае истечения срока исполнения государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом выданного Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом предписания об устранении выявленного нарушения;

7.2. по результатам рассмотрения обращений граждан, поступивших в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальные органы обращений граждан, при условии:

7.2.1. наличия материалов, подтверждающих факт нарушение их прав, определенных статьями 14-17 Федерального закона от 27 июля 2006 г. N152-ФЗ "О персональных данных" действиями (бездействием) государственного органа, органа местного самоуправления, юридического лица, физического лица при обработке их персональных данных, за исключением случаев, не порождающих юридические последствия для субъекта персональных данных, установленных статьей 16 Федерального закона от 27 июля 2006 г. N152-ФЗ "О персональных данных".

7.2.2. непредставления государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом, а равно представления неполной (недостоверной) информации по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа в сроки, установленные частью 4 статьи 20 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", направленного в рамках рассмотрения обращения гражданина в порядке, установленном Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

Обращения и заявления, не позволяющие установить лицо, обратившееся в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальные органы, а также обращения и заявления, не содержащие сведений о фактах, указанных в пункте 7.2 настоящего Положения, не могут служить основанием для принятия решения о проведении внеплановой проверки.

7.3. поступления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальные органы информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушения законодательства Российской Федерации, допущенных при обработке персональных данных.

7.4. в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.

7.5. в случае нарушения государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом требований законодательства Российской Федерации в области персональных данных, выявленного по итогам мероприятий систематического наблюдения в области персональных данных.

7.6. на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица.

7.7. в случае неисполнения требования Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об устранении выявленного нарушения требований в области персональных данных.

7.8. на основании представления (требования) органа прокуратуры о проведении внеплановой проверки.

8. Проведение внеплановых проверок по основаниям, предусмотренным пунктом 7 настоящего Положения, за исключением пункта 7.2, не требует согласования с органами прокуратуры.

9. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов при осуществлении государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации вправе:

9.1. запрашивать и получать на основании мотивированного запроса от государственного органа, органа местного самоуправления, юридического лица, физического лица информацию, документы и локальные акты, связанные с исполнением требований законодательства Российской Федерации в области персональных данных.

9.2. по предъявлению служебного удостоверения и копии приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа о проведении проверки посещать и проводить обследования используемых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом при осуществлении деятельности по обработке персональных данных зданий, помещений, сооружений, информационных систем персональных данных, оборудования, документов, а также проводить необходимые исследования за исключением объектов, где осуществляется обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, либо обрабатываемым в соответствии с законодательством Российской Федерации об архивном деле.

9.3. выдавать обязательные для выполнения предписания об устранении выявленных нарушений.

9.4. использовать технику и оборудование, принадлежащие Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальному органу.

9.5. получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки.

9.6. получать от государственного органа, органа местного самоуправления, юридического лица, физического лица документы, локальные акты и иные формы подтверждения принятия мер по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

9.7. в пределах своей компетенции проверять и оценивать достаточность принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

Для оценки и анализа вышеуказанных мер, принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом, могут привлекаться эксперты и (или) экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28 декабря 2013 г. N 412-ФЗ "Об аккредитации в национальной системе аккредитации".

9.8. выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона "О персональных данных".

9.9. выдавать обязательные для исполнения требования об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных.

9.10. составлять протоколы об административном правонарушении в порядке, установленном законодательством Российской Федерации.

9.11. обращаться в правоохранительные органы, органы прокуратуры за содействием в предотвращении или пресечении действий, препятствующих осуществлению должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, а также в установлении лиц, виновных в нарушении требований законодательства Российской Федерации, допущенных при обработке персональных данных.

9.12. в рамках международного сотрудничества с уполномоченными органами по защите прав субъектов персональных данных иностранных государств и иными уполномоченными органами иностранных государств оказывать правовую и организационную помощь по предотвращению, пресечению и прекращению незаконной деятельности по обработке персональных данных, а также направлять в адрес указанных органов соответствующие материалы по выявленным фактам осуществления лицами иностранного государства незаконной деятельности по обработке персональных данных для принятия мер реагирования.

10. Должностные лица обязаны:

10.1. своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований в области персональных данных.

10.2. проводить проверку на основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов о ее проведении в соответствии с ее назначением.

10.3. проводить проверку только во время исполнения служебных обязанностей при предъявлении служебных удостоверений, копии приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов о ее проведении.

10.4. не препятствовать руководителю или иному уполномоченному представителю государственного органа, органа местного самоуправления, юридического лица, физического лица присутствовать при проведении проверки и давать разъяснения по вопросам, относящимся к предмету проверки.

10.5. знакомить руководителя или иного уполномоченного представителя государственного органа, органа местного самоуправления, юридического лица, физического лица с результатами проверки.

10.6. учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов государственного органа, органа местного самоуправления, юридического лица, физического лица.

10.7. доказывать обоснованность своих действий при их обжаловании государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом в порядке, установленном законодательством Российской Федерации.

10.8. соблюдать установленные сроки проведения проверки.

11. Формы образцов документов и актов ненормативного характера, предусмотренных настоящим Положением, устанавливаются Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

II. Требования к планированию и периодичности государственного контроля и надзора

12. Основанием для включения плановой проверки в план деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в план деятельности территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций является осуществление государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом деятельности по обработке персональных данных.

13. Формирование плана плановых проверок осуществляется, в том числе, исходя из следующих критериев:

13.1. трехлетний период с момента окончания проведения последней плановой проверки.

13.2. информация от органов государственной власти, органов местного самоуправления и средств массовой информации о фактах, содержащих признаки нарушения законодательства Российской Федерации, допущенных при обработке персональных данных, а также выявленных по результатам мероприятий систематического наблюдения.

13.3. обработка персональных данных значительного числа субъектов персональных данных, а равно обработка биометрических и специальных категорий персональных данных.

13.4. непредставление информации, в том числе уведомительного характера, предоставление которой предусмотрено Федеральным законом "О персональных данных".

14. Периодичность проведения плановых проверок в отношении государственного органа, органа местного самоуправления, юридического лица составляет не чаще одного раза в два года, в отношении физического лица - не чаще одного раза в три года.

III. Требования к проведению проверки

15. Проверки проводятся должностными лицами на основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа.

16. В приказе о проведении проверки указываются:

16.1. Наименование органа федерального государственного контроля (надзора).

16.2. Фамилии, имена, отчества должностных лиц, проводящих проверку.

16.3. Наименование, ОГРН, ИНН государственного органа, органа местного самоуправления, юридического лица; фамилия, имя, отчество, ИНН физического лица.

16.4. Цели, задачи, предмет проверки и срок ее проведения.

16.5. Правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования законодательства Российской Федерации в области персональных данных.

16.6. Сроки проведения проверки.

16.7. Даты начала и окончания проведения проверки.

17. В случае привлечения к проведению проверки эксперта или экспертной организации в приказе о проведении проверки и акте проверки подлежат указанию фамилия, имя, отчество эксперта и (или) наименование экспертной организации, привлекаемых к проведению проверки.

18. При проведении проверки в отношении государственного органа, органа местного самоуправления, юридического лица, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, в приказе территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций дополнительно указывается перечень территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, участвующих в проверке в части проведения мероприятия по контролю в отношении структурного подразделения государственного органа, органа местного самоуправления, юридического лица, не являющегося филиалом, представительством.

19. О проведении плановой проверки и внеплановой документарной проверки государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа почтовым отправлением с уведомлением о вручении или иным доступным способом.

20. О проведении внеплановой выездной проверки государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

21. Проверка проводится должностными лицами, указанными в приказе о ее проведении.

22. При необходимости изменения состава должностных лиц, эксперта или экспертной организации, привлекаемых к проведению проверки, Федеральная служба по надзору в сфере связи, информационным технологиям и массовым коммуникациям или ее территориальный орган издает соответствующий приказ.

23. Уполномоченный представитель государственного органа, органа местного самоуправления, юридического лица, физического лица должен обеспечить необходимые условия для проведения проверки и обязан по требованию должностных лиц Федеральной службой по надзору в сфере связи, информационным технологиям и массовым коммуникациям или ее территориального органа, проводящих проверку, организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.

24. Должностными лицами в пределах своей компетенции проводится проверка:

24.1. деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям законодательства Российской Федерации в области персональных данных;

24.2. документов, локальных актов, а также принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1 Федерального закона "О персональных данных";

24.3. исполнения государственными и органами местного самоуправления обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, установленных Правительством Российской Федерации.

24.4. информационных систем персональных данных и содержащейся в них информации в части, касающейся обработки персональных данных субъектов персональных данных.

25. В случае осуществления государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом действий (бездействия), препятствующих (препятствующего) проведению проверки, составляется акт о воспрепятствовании проведению проверки.

26. Акт о воспрепятствовании проведению проверки подписывается должностными лицами Федеральной службой по надзору в сфере связи, информационным технологиям и массовым коммуникациям или ее территориального органа, уполномоченными на проведение проверки.

27. При воспрепятствовании государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом проведению проверки Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальный орган обращаются в правоохранительные органы, органы прокуратуры за содействием в предотвращении или пресечении действий, препятствующих осуществлению должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

28. В случае воспрепятствования проведению проверки, невозможности проведения проверки ввиду отсутствия по месту юридической регистрации (фактического местонахождения) государственного органа, органа местного самоуправления, юридического лица, физического лица или отсутствия уполномоченных представителей государственного органа, органа местного самоуправления, юридического лица, физического лица руководителем (заместителем руководителя) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа на основании докладной записки председателя комиссии, проводящей проверку, принимается решение о приостановлении проведения проверки. На время приостановления проведения проверки течение срока ее проведения прерывается.

29. Решение о возобновлении проведения проверки принимается после устранения причин приостановления проведения контрольного мероприятия.

30. Решение о приостановлении (возобновлении) проведения проверки оформляется приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, в котором указываются основания приостановления (возобновления) проверки. Копия решения о приостановлении (возобновлении) проведения проверки направляется в адрес государственного органа, органа местного самоуправления, юридического лица, физического лица.

31. Срок проведения выездной проверки не должен превышать двадцать рабочих дней.

Срок проведения документарной проверки не должен превышать шестьдесят рабочих дней.

32. В исключительных случаях, связанных с необходимостью проведения исследований содержания информационных систем персональных данных, на основании мотивированных предложений должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов, проводящих проверку, срок проведения каждой из проверок может быть продлен приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, но не более чем на двадцать рабочих дней.

33. Государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо информируется о продлении срока проведения проверки в течение трех рабочих дней после даты регистрации приказа путем его предъявления уполномоченному представителю, либо копия приказа направляется заказным почтовым отправлением с уведомлением о вручении.

34. При проведении выездных проверок в отношении государственных органов, органов местного самоуправления, юридических лиц, которые осуществляют свою деятельность на территории нескольких субъектов Российской Федерации, срок проведения каждой из проверок устанавливается отдельно по каждому филиалу, представительству, при этом общий срок проведения проверки не может превышать шестьдесят рабочих дней.

35. В случае наличия на территории субъекта Российской Федерации структурного подразделения, не являющегося филиалом, представительством, территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на подведомственной территории которого находится указанное структурное подразделение, проводит мероприятие по контролю в составе проверки, проводимой территориальным органом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в отношении государственного органа, органа местного самоуправления, юридического лица, зарегистрированного на территории соответствующего субъекта Российской Федерации.

Проведение документарной проверки

36. Документарные проверки осуществляются посредством анализа документов и информации, полученных от государственного органа, органа местного самоуправления, юридического лица, физического лица по письменным запросам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов (далее - запрос).

37. Запросы в адрес государственного органа, органа местного самоуправления, юридического лица, физического лица о получении информации по существу вопросов, указанных в обращении граждан и иных лиц, поступившем в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальный орган, направленные в соответствии со статьей 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", не являются документарной проверкой.

38. Предметом документарной проверки являются сведения, содержащиеся в документах государственного органа, органа местного самоуправления, юридического лица, физического лица, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов.

39. Кроме документов и информации, полученной в порядке запроса, дополнительно может использоваться информация о государственном органе, органе местного самоуправления, юридическом лице, физическом лице, имеющаяся в распоряжении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, а также информация и документы, полученные при необходимости в органах государственной власти Российской Федерации, органах государственной власти субъектов Российской Федерации, органах местного самоуправления, государственных внебюджетных фондах и иных организациях в соответствии со статьей 23 Федерального закона N 152-ФЗ.

40. Днем представления государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом запрашиваемых документов (копий документов) и информации Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальным органам считается:

для документов (копий документов) и информации, направленных заказным почтовым отправлением с уведомлением о вручении, - дата направления заказного почтового отправления с уведомлением о вручении;

для документов (копий документов) и информации, представленных непосредственно представителем государственного органа, органа местного самоуправления, юридического лица, физического лица, - дата, указанная в отметке Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов о принятии сведений и документов.

41. Документарная проверка проводится по месту нахождения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов.

42. Государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо обязаны представить Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальным органам документы (копии документов) и информацию, необходимые для проведения документарной проверки, в течение десяти рабочих дней со дня получения запроса.

Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя государственного органа, органа местного самоуправления, юридического лица, физического лица.

43. Не допускается требовать нотариального удостоверения копий документов, если иное не предусмотрено законодательством Российской Федерации.

44. В случае, если в ходе документарной проверки выявлены ошибки и (или) противоречия в представленных государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом документах либо несоответствие сведений, содержащихся в этих документах, сведениям, содержащимся в имеющихся у Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов документах и (или) полученным в ходе проведения государственного контроля (надзора), информация об этом направляется государственному органу, органу местного самоуправления, юридическому лицу, физическому лицу с требованием представить в течение десяти рабочих дней необходимые пояснения в письменной форме.

45. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, проводящие документарную проверку, обязаны рассмотреть представленные руководителем или иным уполномоченным представителем государственного органа, органа местного самоуправления, юридического лица, физического лица пояснения и документы, подтверждающие достоверность ранее представленных документов. В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальный орган установят признаки нарушения обязательных требований, установленных нормативными правовыми актами в области персональных данных, должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа вправе провести выездную проверку.

46. Решение о проведении выездной проверки также может быть принято в случаях, если государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо не представил запрашиваемые документы в установленные законодательством Российской Федерации сроки.

Проведение выездной проверки

47. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица и (или) по месту фактического осуществления им деятельности по обработке персональных данных. В случае, если у физического лица отсутствует возможность предоставить помещение для проведения выездной проверки, проверка проводится по месту нахождения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа.

Решение о проведении проверки по месту нахождения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа принимается руководителем или иным уполномоченным должностным лицом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа на основании информации, полученной от физического лица о невозможности предоставить помещение для проведения выездной проверки.

48. Предметом выездной проверки являются содержащиеся в документах государственного органа, органа местного самоуправления, юридического лица, физического лица сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных.

49. Выездная проверка начинается с предъявления служебного удостоверения должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа, обязательного ознакомления руководителя или иного уполномоченного представителя государственного органа, органа местного самоуправления, юридического лица, физического лица с приказом о назначении выездной проверки и с полномочиями должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа, проводящих проверку, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, со сроками и с условиями ее проведения.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее территориальный орган или должностное лицо вправе привлекать к проведению выездной проверки экспертов, экспертные организации, не состоящие в гражданско-правовых и трудовых отношениях с государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом, в отношении которых проводится проверка, и не являющиеся аффилированными лицами проверяемых лиц.

50. После ознакомления с приказом о проведении проверки уполномоченному представителю государственного органа, органа местного самоуправления, юридического лица, физического лица вручается требование о предоставлении документов и информации (далее - требование).

Требование подготавливается в двух экземплярах и подписывается председателем комиссии. Один экземпляр вручается уполномоченному представителю государственного органа, органа местного самоуправления, юридического лица, физического лица. На втором экземпляре требования уполномоченный представитель государственного органа, органа местного самоуправления, юридического лица, физического лица проставляет отметку о получении требования с подписью и с указанием фамилии, должности и даты получения.

51. Государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо обязан представить должностным лицам, уполномоченным на проведение проверки, документы (копии документов) и информацию, необходимые для проведения выездной проверки, в срок, указанный в требовании. Такой срок не может составлять менее 2 рабочих дней с даты вручения требования.

Должностные лица вправе в ходе проведения проверки выдавать дополнительные требования о предоставлении документов и информации, являющихся предметом проверки.

52. Представляемые документы (информация) представляются в виде копий, заверенных печатью (при ее наличии) и подписью уполномоченного представителя государственного органа, органа местного самоуправления, юридического лица, физического лица.

В случае, если на основании требования документы (копии документов) и информация не могут быть предоставлены в установленный срок либо отсутствуют, уполномоченный представитель государственного органа, органа местного самоуправления, юридического лица, физического лица должен до истечения такого срока предоставить должностным лицам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа, проводящим проверку, письменное мотивированное объяснение о причинах неисполнения требования.

53. При необходимости должностные лица, уполномоченные на проведение проверки, запрашивают и получают как устные, так и письменные пояснения от работников государственного органа, органа местного самоуправления, юридического лица, физического лица. Письменные объяснения представляются должностному лицу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа, проводящему проверку.

Оформление результатов проверки

54. По результатам проверки должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа, проводившими проверку, составляется акт проверки, который оформляется непосредственно после ее завершения.

55. В акте проверки указываются:

55.1. Дата, время и место составления акта проверки.

55.2. Наименование Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа.

55.3. Дата и номер приказа руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа.

55.4. Фамилии, имена, отчества должностных лиц, проводивших проверку.

55.5. Наименование государственного органа, органа местного самоуправления, юридического лица, фамилия, имя, отчество физического лица, иного уполномоченного представителя государственного органа, органа местного самоуправления, юридического лица, физического лица, присутствовавшего при проведении проверки.

55.6. Дата, время, продолжительность и место проведения проверки.

55.7. Сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области персональных данных, об их характере и о лицах, допустивших указанные нарушения.

55.8. Сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя, иного уполномоченного представителя государственного органа, органа местного самоуправления, юридического лица, физического лица, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у государственного органа, органа местного самоуправления, юридического лица, физического лица указанного журнала.

55.9. Подписи должностных лиц, проводивших проверку.

56. Акт должен содержать одно из следующих заключений:

56.1. Об отсутствии в деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица нарушений требований законодательства Российской Федерации в области персональных данных.

56.2. О выявленных в деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица нарушениях требований законодательства Российской Федерации в области персональных данных, с указанием конкретных статей и (или) пунктов нормативных правовых актов.

57. По результатам проведения проверки должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа составляется акт в двух экземплярах. Один экземпляр акта с копиями приложений вручается уполномоченному представителю государственного органа, органа местного самоуправления, юридического лица, физического лица под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа.

58. В случае отсутствия уполномоченного представителя государственного органа, органа местного самоуправления, юридического лица, физического лица, а также в случае отказа дать расписку об ознакомлении либо об отказе в ознакомлении с актом проверки, в акте делается соответствующая запись, подтверждаемая подписями должностных лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа, проводивших проверку. Данный акт с копиями приложений направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа.

59. Акт подписывают все должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа, проводившие проверку, после чего в него запрещается вносить изменения и дополнения.

К акту прилагаются протоколы, справки, объяснительные работников государственного органа, органа местного самоуправления, юридического лица, физического лица, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.

Принятие мер реагирования по результатам проведения проверки

60. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных, государственному органу, органу местного самоуправления, юридическому лицу, физическому лицу, вместе с актом, выдается предписание об устранении выявленных нарушений.

61. В предписании об устранении выявленных нарушений указываются:

61.1. Наименование органа федерального государственного контроля (надзора).

61.2. Дата выдачи предписания об устранении выявленных нарушений.

61.3. Номер предписания об устранении выявленных нарушений.

61.4. Наименование государственного органа, органа местного самоуправления, юридического лица, фамилия, имя, отчество физического лица.

61.5. Дата и номер акта проверки.

61.6. Описание нарушения с указанием нарушенных статей и (или) пунктов нормативных правовых актов.

61.7. Содержание предписания (конкретное мероприятие, которое должно быть выполнено государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом).

61.8. Основание выдачи предписания.

61.9. Срок устранения нарушения. Срок устранения определяется должностным лицом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа, проводившим проверку, но не превышающий шести месяцев с даты выдачи предписания об устранении выявленных нарушений.

61.10. Срок информирования органа федерального государственного контроля (надзора) об устранении выявленного нарушения.

61.11. Подписи должностных лиц, проводивших проверку.

62. В случае выявления в ходе или по результатам проверки признаков преступления, предусмотренного Уголовным Кодексом Российской Федерации, административного правонарушения, предусмотренного Кодексом Российской Федерации об административных правонарушениях, в том числе в части невыполнения в установленный срок ранее выданного предписания об устранении выявленного нарушения требований в области персональных данных, должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа составляют протокол об административном правонарушении в порядке, установленном законодательством Российской Федерации, или, в случаях, предусмотренных законодательством Российской Федерации, направляют материалы в компетентные органы государственной власти для принятия мер реагирования в соответствии с установленной компетенцией.

63. В случае выявления в ходе или по результатам проверки фактов обработки недостоверных или полученных незаконным путем персональных данных должностное лицо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа вправе требовать от государственного органа, органа местного самоуправления, юридического лица, физического лица принятия мер по блокированию или уничтожению указанных персональных данных.

64. Блокирование, уничтожение недостоверных персональных данных или полученных незаконным путем персональных данных осуществляется Оператором в порядке, установленном Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

65. По окончании проверки должностное лицо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа в журнале государственного органа, органа местного самоуправления, юридического лица, физического лица по учету проверок производит запись о проведенной проверке.

При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.

66. Государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо, которому было выдано предписание об устранении выявленных нарушений, должно исполнить его в установленный срок и представить в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальный орган информацию о результатах исполнения предписания с приложением копий документов, подтверждающих устранение указанных в предписании нарушений.

67. Если на основании представленной информации об исполнении предписания невозможно установить факт его исполнения, а также в случае непредставления указанной информации в установленный срок проводится внеплановая проверка.

68. В случае, если государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо не исполнил предписание в установленный срок, составляется протокол об административном правонарушении в порядке, установленном Кодексом Российской Федерации об административных правонарушениях. Информация о неисполнении предписания направляется в Генеральную прокуратуру Российской Федерации или прокуратуру субъекта Российской Федерации по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица для рассмотрения вопроса о принятии мер прокурорского реагирования.

69. В случае, если неисполнение предписания нарушает права и законные интересы субъекта (субъектов) персональных данных государственному органу, органу местного самоуправления, юридическому лицу, физическому лицу направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушения, ранее выявленного в ходе проведения проверки, указанного в предписании.

70. В случае, неисполнения государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом требования о приостановлении деятельности по обработке персональных данных составляется протокол об административном правонарушении в порядке, установленном Кодексом Российской Федерации об административных правонарушениях, в суд по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица подается исковое заявление о требованием признания осуществляемой деятельности по обработке персональных данных незаконной и принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер по их удалению. Информация о неисполнении требования направляется в Генеральную прокуратуру Российской Федерации или прокуратуру субъекта Российской Федерации по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица для рассмотрения вопроса о принятии мер прокурорского реагирования.

Проведение мероприятия систематического наблюдения

71. Мероприятия систематического наблюдения в области персональных данных проводятся на основании:

71.1. плана деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и плана территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций на текущий календарный год;

71.2. поручения Президента Российской Федерации, Правительства Российской Федерации, поручения Руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;

71.3. обращения государственного органа, органа местного самоуправления, юридического лица, физического лица, публикаций средств массовой информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушения требований законодательства Российской Федерации.

72. Мероприятия систематического наблюдения проводятся Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее территориальным органом либо организацией радиочастотной службы в порядке, установленном Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Предмет мероприятий систематического наблюдения в области персональных данных определяется Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

73. По итогам проведенного мероприятия систематического наблюдения должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее территориального органа или организации радиочастотной службы, проводившими мероприятие систематического наблюдения, составляется докладная записка.

74. В докладной записке по итогам проведения мероприятий систематического наблюдения указываются:

фамилии, имена, отчества и должности сотрудника (сотрудников) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее территориального органа или организации радиочастотной службы, проводивших мероприятие систематического наблюдения;

сведения о порядке и времени (дате) и месте проведения мероприятия систематического наблюдения в области персональных данных;

информация о наличии (или отсутствии) нарушений (признаков нарушений) законодательства Российской Федерации в области персональных данных;

предложения о мерах реагирования по выявленным фактам нарушений (признакам нарушений) законодательства Российской Федерации в области персональных данных (при наличии нарушений), а также сведения о результатах принятых мер реагирования по итогам ранее проведенного мероприятия систематического наблюдения.

75. При выявлении нарушений (признаков нарушения) законодательства Российской Федерации в области персональных данных в адрес государственного органа, органа местного самоуправления, юридического лица, физического лица направляется требование об устранении выявленного нарушения в срок, не превышающий десять календарных дней, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования.

76. В случае неисполнения государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом требования об устранении выявленного нарушения требований законодательства Российской Федерации в области персональных данных составляется протокол об административном правонарушении в порядке, установленном Кодексом Российской Федерации об административных правонарушениях. Информация о неисполнении требования с материалами подтверждающими факт нарушения требований законодательства Российской Федерации в области персональных данных, направляется в Генеральную прокуратуру Российской Федерации или прокуратуру субъекта Российской Федерации по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица для рассмотрения вопроса о принятии мер прокурорского реагирования.

77. В случае, если неисполнение требования об устранении выявленного нарушения требований законодательства Российской Федерации в области персональных данных нарушает права и законные интересы субъекта (субъектов) персональных данных в отношении государственного органа, органа местного самоуправления, юридического лица, физического лица, не выполнившего указанное требование, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом проводится внеплановая проверка в порядке, установленным настоящим Положением.

Анализ и оценка состояния исполнения требований законодательства Российской Федерации

78. Анализ и оценка состояния исполнения требований законодательства Российской Федерации при осуществлении государственными органами, органами местного самоуправления, юридическими и физическими лицами деятельности по обработке персональных данных осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом на основании представленных в инициативном порядке государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом документов, локальных актов и иной информации, подтверждающих выполнение требований законодательства Российской Федерации.

79. Деятельность Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа по анализу и оценке состояния исполнения требований законодательства Российской Федерации на основании представленных государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом документов, локальных актов и иной информации не является проверкой или мероприятием систематического наблюдения.

80. Порядок, условия проведения анализа и оценки состояния исполнения требований законодательства Российской Федерации, перечень документов, локальных актов, информации, необходимый для представления государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом устанавливается Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.

81. По итогам проведенного анализа и оценки состояния исполнения требований законодательства Российской Федерации Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом, проводившим анализ и оценку состояния исполнения требований законодательства Российской Федерации, в адрес государственного органа, органа местного самоуправления, юридического лица, физического лица направляется письмо с итоговой информацией с заключением о соответствии деятельности государственного органа, органа местного самоуправления, юридического лица, физического лица по обработке персональных данных законодательству Российской Федерации в области персональных данных либо в случае наличия фактов несоответствия представленных документов, локальных актов и информации законодательству Российской Федерации в области персональных данных, с требованием об устранении выявленных нарушений.

82. Требование об устранении выявленных нарушений подлежит исполнению в срок, не превышающий десять календарных дней с момента получения письма с требованием об устранении выявленных нарушений, с последующим информированием Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа об исполнении требования.

83. В случае неисполнения государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом требования об устранении выявленного нарушения требований законодательства Российской Федерации в области персональных данных составляется протокол об административном правонарушении в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.

IV. Требования к составлению и представлению отчетности

о результатах осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации

84. В целях раскрытия информации о результатах осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации за отчетный календарный год, обеспечения эффективности контрольной деятельности, а также анализа информации о результатах проведения контрольных мероприятий соответствующая информация отражается в ежегодном отчете о деятельности уполномоченного органа по защите прав субъектов персональных данных.

85. К результатам проведения контрольных мероприятий, подлежащим обязательному раскрытию, в том числе, относятся (если иное не установлено нормативными правовыми актами):

85.1. суммы возложенных штрафов в количественном и денежном выражении по видам нарушений.

85.2. количество требований и предписаний об устранении выявленных нарушений и их исполнение в количественном выражении.

85.3. количество поданных и (или) удовлетворенных жалоб (исков) на решения должностных лиц, а также на их действия (бездействие) в рамках осуществленной ими контрольной деятельности.

86. Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных подписывается руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и направляется Президенту Российской Федерации, в Правительство Российской Федерации, в Федеральное Собрание Российской Федерации и размещается на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

_______________

См. Сводный отчет, загруженный при публикации проекта