Постановление Правительства РФ от 29.06.2021 N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" (вместе с "Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных")
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 29 июня 2021 г. N 1046
О ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ КОНТРОЛЕ (НАДЗОРЕ)
ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных.
2. Установить, что реализация полномочий, предусмотренных настоящим постановлением, осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в пределах установленной Правительством Российской Федерации предельной численности работников центрального аппарата и территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также бюджетных ассигнований, предусмотренных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций на руководство и управление в сфере установленных функций.
3. Признать утратившим силу постановление Правительства Российской Федерации от 13 февраля 2019 г. N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных" (Собрание законодательства Российской Федерации, 2019, N 7, ст. 673).
4. Настоящее постановление вступает в силу с 1 июля 2021 г.
Председатель Правительства
Российской Федерации
М.МИШУСТИН
Утверждено
постановлением Правительства
Российской Федерации
от 29 июня 2021 г. N 1046
ПОЛОЖЕНИЕ
О ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ КОНТРОЛЕ (НАДЗОРЕ)
ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. Общие положения
1. Настоящее Положение устанавливает порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных.
Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом "О персональных данных" и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации.
Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - контролирующий орган) и его территориальными органами.
3. Должностными лицами, уполномоченными на осуществление федерального государственного контроля (надзора) за обработкой персональных данных, являются:
а) руководитель контролирующего органа;
б) заместитель руководителя контролирующего органа;
в) руководитель территориального органа контролирующего органа;
г) заместитель руководителя территориального органа контролирующего органа;
д) должностные лица контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий;
е) должностные лица территориального органа контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий.
4. Должностными лицами, уполномоченными на принятие решений о проведении контрольных (надзорных) мероприятий, являются:
а) руководитель контролирующего органа;
б) заместитель руководителя контролирующего органа;
в) руководитель территориального органа контролирующего органа;
г) заместитель руководителя территориального органа контролирующего органа.
5. Должностные лица, осуществляющие федеральный государственный контроль (надзор) за обработкой персональных данных при проведении контрольного (надзорного) мероприятия в пределах своих полномочий и в объеме проводимых контрольных (надзорных) действий, пользуются правами, установленными частью 2 статьи 29 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
6. К отношениям, связанным с осуществлением федерального государственного контроля (надзора) за обработкой персональных данных, применяются положения Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", за исключением контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом.
Объекты контроля
7. Объектами контроля контролирующего органа (территориального органа) в рамках государственного контроля (надзора) за обработкой персональных данных являются:
а) деятельность и результаты деятельности операторов и третьих лиц, действующих по поручению оператора (далее - объекты контроля), по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации;
б) результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке персональных данных, указанных в части 1 статьи 18.1 Федерального закона "О персональных данных", и принятых оператором мер, указанных в части 1 статьи 18 Федерального закона "О персональных данных".
8. Контролирующим органом (территориальным органом) учет объектов контроля обеспечивается посредством ведения единой информационной системы контролирующего органа (далее информационная система), предусматривающей соответствующий функционал.
Учет объектов контроля осуществляется уполномоченными должностными лицами контролирующего органа (территориального органа) на основании вводимой в информационную систему информации:
содержащейся в уведомлении об обработке персональных данных объекта контроля, поступившем в контролирующий орган (территориальный орган) в соответствии со статьей 22 Федерального закона "О персональных данных";
полученной в рамках межведомственного взаимодействия в порядке и сроки, которые установлены законодательством Российской Федерации;
о результатах контрольных мероприятий в отношении контролируемых лиц, размещаемой в информационной системе по окончании контрольных мероприятий в сроки, установленные законодательством Российской Федерации;
полученной из общедоступных источников информации.
Дополнение, изменение информации, на основании которой в информационной системе осуществляется учет объектов контроля, обеспечиваются уполномоченными должностными лицами контролирующего органа (территориального органа) при поступлении в контролирующий орган (территориальный орган) актуализированных сведений.
II. Управление рисками причинения вреда (ущерба)
охраняемым законом ценностям при осуществлении
государственного контроля (надзора)
9. При осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками.
10. Контролирующий орган (территориальный орган) при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба) (далее - категории риска):
а) высокий риск;
б) значительный риск;
в) средний риск;
г) умеренный риск;
д) низкий риск.
Критерии отнесения объектов государственного
контроля (надзора) к категориям риска
11. Отнесение объектов государственного контроля к определенной категории риска осуществляется на основании критериев отнесения объектов государственного контроля к определенной категории риска, установленных согласно приложению.
Учет рисков причинения вреда (ущерба)
охраняемым законом ценностям при проведении контрольных
(надзорных) мероприятий
12. Плановые контрольные (надзорные) мероприятия в отношении объектов контроля в зависимости от присвоенной категории риска проводятся со следующей периодичностью:
в отношении объектов контроля, отнесенных к категории высокого риска, - инспекционный визит или выездная проверка с периодичностью один раз в 2 года;
в отношении объектов контроля, отнесенных к категории значительного риска, - инспекционный визит или выездная проверка с периодичностью один раз в 3 года;
в отношении объектов контроля, отнесенных к категории среднего риска, - инспекционный визит или документарная проверка или выездная проверка с периодичностью один раз в 4 года;
в отношении объектов контроля, отнесенных к категории умеренного риска, - документарная проверка или выездная проверка с периодичностью один раз в 6 лет.
В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.
III. Профилактика рисков причинения вреда (ущерба)
охраняемым законом ценностям
13. При осуществлении государственного контроля (надзора) за обработкой персональных данных могут проводиться следующие виды профилактических мероприятий:
а) информирование;
б) обобщение правоприменительной практики;
в) объявление предостережения;
г) консультирование;
д) профилактический визит.
Информирование
14. Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения соответствующих сведений на официальном сайте контролирующего органа в информационно-телекоммуникационной сети "Интернет" (далее - есть "Интернет), в средствах массовой информации, в личных кабинетах контролируемых лиц в информационной системе.
15. Контролирующий орган размещает и поддерживает в актуальном состоянии на своем официальном сайте в сети "Интернет" сведения, предусмотренные статьей 46 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
Обобщение правоприменительной практики
16. Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется один раз в год.
По итогам обобщения правоприменительной практики готовится доклад о правоприменительной практике.
17. Доклад о правоприменительной практике утверждается приказом (распоряжением) руководителя контролирующего органа не позднее 31 марта года, следующего за отчетным, и размещается на официальном сайте в сети "Интернет" не позднее 3 рабочих дней со дня его утверждения.
Объявление предостережения
18. В случае наличия у контролирующего органа и (или) его территориального органа сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям, контролирующий орган (территориальный орган) в соответствии со статьей 49 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" объявляет контролируемому лицу предостережение о недопустимости нарушения обязательных требований, предлагает ему принять меры по обеспечению соблюдения обязательных требований.
19. В предостережении о недопустимости нарушения обязательных требований в том числе указывается:
а) наименование юридического лица, адрес места нахождения или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, адрес места жительства;
б) обязательные требования, предусматривающие их нормативный правовой акт, информация о том, какие действия (бездействие) контролируемого лица могут привести или приводят к нарушению обязательных требований, а также предложение о принятии мер по обеспечению соблюдения данных требований.
20. Контролируемое лицо вправе в течение 10 рабочих дней со дня получения предостережения подать в контролирующий орган (территориальный орган) возражение в отношении указанного предостережения.
В возражении контролируемым лицом указываются:
наименование юридического лица, фамилия, имя, отчество (при наличии) индивидуального предпринимателя;
дата и номер предостережения, направленного в адрес контролируемого лица;
идентификационный номер налогоплательщика - юридического лица, индивидуального предпринимателя;
обоснование позиции в отношении указанных в предостережении действий (бездействия) юридического лица, индивидуального предпринимателя, которые приводят или могут привести к нарушению обязательных требований;
иные документы, подтверждающие обоснованность таких возражений, или их заверенные копии (при наличии).
21. Возражения направляются контролируемым лицом в бумажном виде почтовым отправлением в контролирующий орган (территориальный орган), либо в виде электронного документа, оформляемого в соответствии со статьей 21 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", на указанный в предостережении адрес электронной почты контролирующего (территориального органа), либо иными указанными в предостережении способами.
22. Возражение рассматривается в течение 20 рабочих дней со дня регистрации возражения.
23. По результатам рассмотрения возражения принимается одно из следующих решений:
а) удовлетворить возражение в форме отмены объявленного предостережения;
б) отказать в удовлетворении возражения.
24. Не позднее дня, следующего за днем принятия решения, указанного в пункте 22 настоящего Положения, контролируемому лицу, подавшему возражение, в письменной форме и по его желанию в электронной форме направляется мотивированный ответ о результатах рассмотрения возражения.
25. Повторное направление возражения по тем же основаниям не допускается. Поступившее в контролирующий орган (территориальный орган) возражение по тем же основаниям подлежит оставлению без рассмотрения, о чем контролируемое лицо уведомляется посредством направления соответствующего уведомления на адрес электронной почты или иным доступным способом.
Консультирование
26. Консультирование может осуществляться должностным лицом контролирующего органа (территориального органа) по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связи, на личном приеме.
27. Должностные лица контролирующего органа (территориального органа) предоставляют консультирование по следующим вопросам:
а) наличие и (или) содержание обязательных требований в сфере обработки персональных данных;
б) периодичность и порядок проведения контрольных (надзорных) мероприятий;
в) порядок выполнения обязательных требований в сфере обработки персональных данных;
г) выполнение предписания, выданного по итогам контрольного мероприятия.
28. Должностные лица контролирующего органа (территориального органа) предоставляют письменное консультирование по вопросу, предусмотренному подпунктом "г" пункта 27 настоящего Положения.
29. Консультирование по вопросам, предусмотренным подпунктами "а" - "в" пункта 27 настоящего Положения, при поступлении в контролирующий орган 50 и более однотипных обращений, направленных от различных контролируемых лиц и их представителей производится посредством размещения на официальном сайте контролирующего органа в сети "Интернет" письменного разъяснения, подписанного уполномоченным должностным лицом контролирующего органа.
Профилактический визит
30. Обязательные профилактические визиты проводятся контролирующим (территориальным органом) в соответствии со статьей 52 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" в отношении объектов контроля, отнесенных к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных.
О проведении обязательного профилактического визита контролируемое лицо должно быть уведомлено не позднее чем за 5 рабочих дней до даты его проведения.
Срок проведения обязательного профилактического визита не может превышать 5 рабочих дней.
Обязательный профилактический визит при его проведении по месту осуществления деятельности контролируемого лица начинается с предъявления должностными лицами контролирующего органа (территориального органа) служебного удостоверения, вручения руководителю контролируемого лица или иному уполномоченному представителю контролируемого лица письменного запроса о представлении документов и информации, необходимых для проведения обязательного профилактического визита.
В случае проведения обязательного профилактического визита в режиме видео-конференц-связи должностное лицо контролирующего органа (территориального органа) осуществляет указанные в настоящем пункте действия посредством использования электронных каналов связи.
31. Контролируемое лицо в соответствии с частью 6 статьи 52 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" имеет право отказаться от проведения обязательного профилактического визита, при этом оно должно уведомить об отказе контролирующего органа (территориальный орган) не позднее чем за 3 рабочих дня до даты его проведения.
32. Контролирующий орган (территориальный орган) обязан предложить проведение обязательного профилактического визита контролируемому лицу, приступающему к обработке персональных данных, не позднее чем в течение одного года с момента начала такой деятельности.
33. Срок проведения профилактического визита не может превышать 5 рабочих дней.
34. По итогам проведения обязательного профилактического визита составляются разъяснения рекомендательного характера по организации контролируемым лицом деятельности по обработке персональных данных.
35. В случае если при проведении обязательного профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда (ущерба) охраняемым законом ценностям или такой вред (ущерб) причинен, должностное лицо (лица) незамедлительно направляет информацию об этом уполномоченному должностному лицу контролирующего органа (территориального органа) для принятия решения о проведении контрольных (надзорных) мероприятий.
36. Контролирующий орган (территориальный орган) осуществляет учет профилактических визитов.
IV. Осуществление федерального государственного
контроля (надзора)
37. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется посредством проведения плановых и внеплановых контрольных (надзорных) мероприятий.
38. Плановые контрольные (надзорные) мероприятия, за исключением плановых контрольных (надзорных) мероприятий без взаимодействия, проводятся на основании плана проведения плановых контрольных (надзорных) мероприятий на очередной календарный год, согласованного с органами прокуратуры.
39. Организация проведения внеплановых контрольных (надзорных) мероприятий, осуществляется в соответствии с положениями статьи 66 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным пунктами 1, 3 - 6 части 1 и частью 3 статьи 57 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
40. В случае временной нетрудоспособности, нахождения в служебной командировке индивидуальный предприниматель, гражданин, являющиеся контролируемыми лицами, вправе представить в контрольный (надзорный) орган информацию о невозможности присутствия при проведении контрольного (надзорного) мероприятия.
По результатам рассмотрения представленной информации контролирующим органом (территориальным органом) принимается решение о переносе сроков проведения контрольного (надзорного) мероприятия на срок, необходимый для устранения обстоятельств, послуживших поводом для данного обращения индивидуального предпринимателя, гражданина в контролирующий орган (территориальный орган).
Порядок фотосъемки, аудио- и видеозаписи и иных способов
фиксации доказательств
41. Для фиксации должностным лицом контролирующего органа (территориального органа) доказательств нарушений обязательных требований может использоваться фотосъемка, аудио- и видеозапись, применяться персональные компьютеры, ноутбуки, съемные электронные носители информации, копировальные аппараты, сканеры, телефоны (в том числе сотовой связи), механические, программные и электронные средства измерения и фиксации, в том числе принадлежащие контролируемому лицу (далее - технические средства).
Решение об осуществлении фотосъемки, аудио- и видеозаписи для фиксации доказательств выявленных нарушений обязательных требований принимается должностным лицом контролирующего органа (территориального органа) самостоятельно при совершении следующих контрольных (надзорных) действий:
осмотр - фотосъемка, видеозапись;
опрос - аудиозапись;
получение письменных объяснений - фотосъемка, видеозапись;
истребование документов - фотосъемка, аудио- и видеозапись;
инструментальное обследование - фотосъемка, видеозапись;
экспертиза - фотосъемка, видеозапись.
При отсутствии возможности осуществления видеозаписи применяется аудиозапись проводимого контрольного (надзорного) действия.
Аудио- и (или) видеозапись осуществляется открыто, с уведомлением вслух в начале и конце записи о дате, месте, времени начала и окончания осуществления записи.
Решение об осуществлении фиксации доказательств выявленных нарушений обязательных требований с помощью технических средств при совершении контрольных (надзорных) действий принимается должностным лицом контрольного органа (территориального органа) самостоятельно при проведении экспертизы и инструментального обследования.
Зафиксированные с помощью фотосъемки, аудио- и (или) видеозаписи, технических средств доказательства выявленных нарушений обязательных требований оформляются в виде приложения к акту контрольного (надзорного) мероприятия, в котором делается отметка об осуществлении фотосъемки, аудио-, видеозаписи, использовании технических средств для фиксации доказательства выявленных нарушений обязательных требований.
Контрольные (надзорные) мероприятия
42. Федеральный государственный контроль (надзор) осуществляется посредством проведения следующих контрольных (надзорных) мероприятий:
а) инспекционный визит;
б) документарная проверка;
в) выездная проверка.
Инспекционный визит
43. Инспекционный визит проводится по месту нахождения (осуществления деятельности) объекта контроля (его филиалов, представительств, обособленных структурных подразделений).
44. В ходе инспекционного визита могут совершаться следующие контрольные (надзорные) действия:
а) осмотр;
б) опрос;
в) получение письменных объяснений;
г) истребование документов, которые в соответствии с обязательными требованиями должны находиться в месте нахождения (осуществления деятельности) контролируемого лица (его филиалов, представительств, обособленных структурных подразделений) либо объекта контроля.
45. Указанные в пункте 42 настоящего Положения контрольные (надзорные) мероприятия проводятся должностными лицами в порядке, предусмотренном Федеральным законом "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
Документарная проверка
46. В ходе документарной проверки могут совершаться следующие контрольные (надзорные) действия:
получение письменных объяснений;
истребование документов.
Срок проведения документарной проверки не может превышать 10 рабочих дней.
47. Документарная проверка проводится в порядке, предусмотренном статьей 72 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
48. В случае если достоверность сведений, содержащихся в документах, имеющихся в распоряжении контролирующего органа (территориального органа), вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение контролируемым лицом обязательных требований, контролирующий орган (территориальный орган) направляет в адрес контролируемого лица требование представить иные необходимые для рассмотрения в ходе документарной проверки документы. Контролируемое лицо обязано представить в контролирующий орган (территориальный орган) документы и информацию, необходимые для проведения документарной проверки, в срок, указанный в требовании об истребовании документов.
49. В целях недопущения нарушения сроков проведения документарной проверки контрольными датами контрольных (надзорных) действий, в том числе предоставления контролируемым лицом запрашиваемых документов, являются даты регистрации соответствующих документов в системе электронного документооборота контролирующего органа (территориального органа).
50. Направление контролируемому лицу запросов о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в контролирующий орган (территориальный орган), не является документарной проверкой.
Выездная проверка
51. В ходе выездной проверки могут совершаться следующие контрольные (надзорные) действия:
осмотр;
опрос;
получение письменных объяснений;
истребование документов;
инструментальное обследование;
экспертиза.
Срок проведения выездной проверки не может превышать 10 рабочих дней.
52. Выездная проверка проводится в порядке, предусмотренном статьей 73 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". О проведении выездной проверки контролируемое лицо уведомляется в порядке, предусмотренном статьей 21 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", посредством направления копии приказа о проведении выездной проверки не позднее чем за 24 часа до ее начала.
V. Результаты контрольного (надзорного) мероприятия
53. По окончании проведения контрольного (надзорного) мероприятия составляется акт контрольного (надзорного) мероприятия (далее - акт).
54. Оформление акта производится на месте проведения контрольного (надзорного) мероприятия в день окончания проведения такого мероприятия.
55. При наличии обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, значительным количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных, оформление и вручение акта производятся не позднее 5 рабочих дней со дня окончания контрольного (надзорного) мероприятия.
56. К акту прилагаются протоколы контрольных (надзорных) действий, предписание об устранении выявленных нарушений, материальные носители персональных данных и иные связанные с результатами контрольных (надзорных) мероприятий оригиналы документов или их копии.
VI. Обжалование решений контролирующего органа, действий
(бездействия) его должностных лиц
57. Правом на обжалование решений контролирующего органа (территориального органа) действий (бездействия) их должностных лиц обладает контролируемое лицо, в отношении которого приняты решения или совершены действия (бездействие), указанные в части 4 статьи 40 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
Жалоба на решение территориального органа контролирующего органа, действия (бездействие) его должностных лиц рассматривается руководителем (заместителем руководителя) данного территориального органа либо контролирующим органом.
Жалоба на действия (бездействие) руководителя (заместителя руководителя) территориального органа контролирующего органа рассматривается контролирующим органом.
В случае обжалования решений должностного лица контролирующего органа, действий (бездействия) должностных лиц центрального аппарата контролирующего органа жалоба рассматривается руководителем контролирующего органа.
Жалоба на решение, действия (бездействие) должностных лиц контролирующего органа (территориального органа) может быть подана в течение 30 календарных дней со дня, когда контролируемое лицо узнало или должно было узнать о нарушении своих прав.
Жалоба на предписание контролирующего органа (территориального органа) может быть подана в течение 10 рабочих дней с момента получения контролируемым лицом предписания.
В случае пропуска по уважительной причине срока подачи жалобы этот срок по ходатайству лица, подающего жалобу, может быть восстановлен контролирующим органом (территориальным органом).
Лицо, подавшее жалобу, до принятия решения по жалобе может ее отозвать. При этом повторное направление жалобы по тем же основаниям не допускается.
Жалоба может содержать ходатайство о приостановлении исполнения обжалуемого решения контролирующего органа (территориального органа).
Контролирующий орган (территориальный орган) не позднее 2 рабочих дней со дня регистрации жалобы принимает решение:
о приостановлении исполнения обжалуемого решения;
об отказе в приостановлении исполнения обжалуемого решения.
Информация об указанном решении направляется лицу, подавшему жалобу, в течение одного рабочего дня с момента принятия решения.
Жалоба должна содержать:
наименование контролирующего органа (территориального органа), фамилию, имя, отчество (при наличии) должностного лица, решение и (или) действие (бездействие) которых обжалуются;
фамилию, имя, отчество (при наличии), сведения о месте жительства (месте осуществления деятельности) гражданина, либо наименование организации-заявителя, сведения о месте нахождения организации-заявителя либо реквизиты доверенности и фамилию, имя, отчество (при наличии) лица, подающего жалобу по доверенности, желаемый способ осуществления взаимодействия на время рассмотрения жалобы и желаемый способ получения решения по ней;
сведения об обжалуемом решении и (или) действии (бездействии) должностного лица контролирующего органа (территориального органа), которые привели или могут привести к нарушению прав контролируемого лица, подавшего жалобу;
основания и доводы, на основании которых заявитель не согласен с решением и (или) действием (бездействием) должностного лица контролирующего органа (территориального органа). Лицом, подающим жалобу, могут быть представлены документы (при наличии), подтверждающие его доводы, либо их копии;
требования лица, подавшего жалобу;
учетный номер контрольного (надзорного) мероприятия в едином реестре контрольных (надзорных) мероприятий, в отношении которого подается жалоба.
Жалоба не должна содержать нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностных лиц контролирующего органа (территориального органа) либо членов их семей.
Подача жалобы может быть осуществлена полномочным представителем контролируемого лица в случае делегирования ему соответствующего права с помощью федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
К жалобе может быть приложена позиция Уполномоченного при Президенте Российской Федерации по защите прав предпринимателей, его общественного представителя, уполномоченного по защите прав предпринимателей в субъекте Российской Федерации, относящаяся к предмету жалобы. Ответ на позицию Уполномоченного при Президенте Российской Федерации по защите прав предпринимателей, его общественного представителя, уполномоченного по защите прав предпринимателей в субъекте Российской Федерации направляется уполномоченным органом лицу, подавшему жалобу, в течение одного рабочего дня с момента принятия решения по жалобе.
Контролирующий орган (территориальный орган) принимает решение об отказе в рассмотрении жалобы в течение 5 рабочих дней с момента получения жалобы, если:
жалоба подана после истечения сроков подачи жалобы, установленных частями 5 и 6 статьи 40 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", и не содержит ходатайства о восстановлении пропущенного срока на подачу жалобы;
в удовлетворении ходатайства о восстановлении пропущенного срока на подачу жалобы отказано;
до принятия решения по жалобе от контролируемого лица, ее подавшего, поступило заявление об отзыве жалобы;
имеется решение суда по вопросам, поставленным в жалобе;
ранее в уполномоченный на рассмотрение жалобы орган была подана другая жалоба от того же контролируемого лица по тем же основаниям;
жалоба содержит нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностных лиц контрольного (надзорного) органа, а также членов их семей;
ранее получен отказ в рассмотрении жалобы по тому же предмету, исключающий возможность повторного обращения данного контролируемого лица с жалобой, и не приводятся новые доводы или обстоятельства;
жалоба подана в ненадлежащий уполномоченный орган;
законодательством Российской Федерации предусмотрен только судебный порядок обжалования решений контрольного (надзорного) органа.
Контролирующий орган (территориальный орган) вправе запросить у лица, подавшего жалобу, дополнительную информацию и документы, относящиеся к предмету жалобы. Контролируемое лицо обязано представить указанные информацию и документы в течение 5 рабочих дней с момента направления запроса. Течение срока рассмотрения жалобы приостанавливается с момента направления запроса о представлении дополнительных документов и информации, относящихся к предмету жалобы, до момента получения их контролирующим органом (территориальным органом), но не более чем на 5 рабочих дней с момента направления запроса. Неполучение от контролируемого лица дополнительных документов и информации, относящихся к предмету жалобы, не является основанием для отказа в рассмотрении жалобы.
Не допускается запрашивать у контролируемого лица, подавшего жалобу, документы и информацию, которые находятся в распоряжении контролирующего органа (территориального органа).
Жалоба рассматривается контролирующим органом (территориальным органом) в течение 20 рабочих дней со дня ее регистрации.
Обязанность доказывания законности и обоснованности принятого решения и (или) совершенного действия (бездействия) возлагается на контролирующий орган (территориальный орган).
По итогам рассмотрения жалобы контролирующий орган (территориальный орган):
оставляет жалобу без удовлетворения; отменяет решение полностью или частично; отменяет решение полностью и принимает новое решение; признает действия (бездействие) должностных лиц контролирующего органа (территориального органа) незаконными.
Решение контролирующего органа (территориального органа), содержащее обоснование принятого решения, срок и порядок его исполнения, размещается не позднее рабочего дня со дня его принятия в личном кабинете контролируемого лица в федеральной государственной информационной системе "Единый портал государственных и муниципальных услуг (функций)".
VII. Организация и проведение мероприятий по контролю
без взаимодействия с контролируемым лицом
58. Мероприятия по контролю без взаимодействия с контролируемым лицом проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.
Мероприятия по контролю без взаимодействия с контролируемым лицом проводятся должностными лицами контролирующего органа (территориального органа) на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) контролирующего органа (территориального органа).
59. К мероприятиям по контролю без взаимодействия с контролируемым лицом относятся:
а) наблюдение за соблюдением требований при размещении информации в сети "Интернет";
б) наблюдение за соблюдением требований посредством анализа информации о деятельности контролируемого лица, которая представляется контролируемым лицом (в том числе посредством использования федеральных государственных информационных систем) в контролирующий орган (территориальный орган) в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или может быть получена (в том числе в рамках межведомственного информационного взаимодействия).
60. Задание на проведение мероприятия по контролю без взаимодействия с контролируемым лицом выдается в случае:
а) наличия поручения Президента Российской Федерации, поручения Правительства Российской Федерации, а также руководителя контролирующего органа;
б) обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в средствах массовой информации и размещения в сети "Интернет" информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушении требований.
61. По итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом должностными лицами составляется докладная записка на имя руководителя (уполномоченного заместителя руководителя) контролирующего органа (территориального органа).
При выявлении по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом нарушения (признаков нарушения) требований оператору персональных данных направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 рабочих дней с информированием контролирующего органа (территориального органа) об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных признаков нарушения требований.
Выявленные по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом сведения о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям направляются уполномоченному должностному лицу контролирующим органом (территориального органа) для принятия решений в соответствии со статьей 60 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
Приложение
к Положению о федеральном
государственном контроле (надзоре)
за обработкой персональных данных
КРИТЕРИИ
ОТНЕСЕНИЯ ОБЪЕКТОВ КОНТРОЛЯ К ОПРЕДЕЛЕННОЙ КАТЕГОРИИ РИСКА
1. С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований деятельность контролируемого лица, подлежащая федеральному государственному контролю (надзору), разделяется на группы тяжести "А", "Б", "В" и "Г" (далее - группы тяжести).
2. К группе тяжести "А" относятся следующие виды деятельности:
а) обработка специальной категории персональных данных и (или) биометрических персональных данных;
б) сбор персональных данных, в том числе в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), осуществляемый с использованием баз данных, находящихся за пределами Российской Федерации;
в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона "О персональных данных";
г) передача третьим лицам персональных данных, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных.
3. К группе тяжести "Б" относятся следующие виды деятельности:
а) обработка персональных данных в целях, отличных от заявленных целей обработки персональных данных на этапе их сбора;
б) обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами;
в) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные более чем 20000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
г) сбор персональных данных, в том числе в сети "Интернет", осуществляемый с использованием иностранных программ и сервисов.
4. К группе тяжести "В" относятся следующие виды деятельности:
а) обработка персональных данных близких родственников субъекта персональных данных;
б) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные от 1000 до 20000 субъектов персональных данных;
в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона "О персональных данных";
г) обезличивание персональных данных, обработка персональных данных, полученных в результате обезличивания, с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных, без передачи третьим лицам.
5. К группе тяжести "Г" относятся следующие виды деятельности:
а) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные менее чем 1000 субъектов персональных данных;
б) обработка персональных данных без предоставления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций информации уведомительного характера, предоставление которой предусмотрено Федеральным законом "О персональных данных";
в) обработка персональных данных, полученных из общедоступных источников персональных данных;
г) трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
6. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам тяжести, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.
7. С учетом оценки вероятности несоблюдения контролируемыми лицами обязательных требований деятельность, подлежащая государственному контролю (надзору), разделяется на группы вероятности "1", "2", "3", "4" (далее - группы вероятности).
8. К группе вероятности "1" относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
9. К группе вероятности "2" относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1, 2, 5, 6, 8 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
10. К группе вероятности "3" относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 4, 7 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
11. К группе вероятности "4" относится деятельность контролируемых лиц при отсутствии обстоятельств, указанных в пунктах 8-10 настоящего приложения.
12. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам вероятности, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.
13. Отнесение деятельности контролируемого лица к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице:
Категория риска
|
Группа тяжести
|
Группа вероятности
|
Высокий риск
|
А
|
1
|
Б
|
1
|
|
Значительный риск
|
А
|
2
|
А
|
3
|
|
Средний риск
|
Б
|
2
|
В
|
1
|
|
В
|
2
|
|
А
|
4
|
|
Б
|
3
|
|
Умеренный риск
|
В
|
3
|
Г
|
1
|
|
Г
|
2
|
|
Низкий риск
|
Б
|
4
|
В
|
4
|
|
Г
|
3
|
|
Г
|
4
|
- URL
- HTML
- BB-код
- Текст