Проект Постановления Правительства Российской Федерации "Об утверждении Порядка организации и осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации" (подготовлен Минкомсвязью России 09.03.2017)
Досье на проект
Пояснительная записка
В соответствии со статьей 1 от 22 февраля 2017 года N 16-ФЗ "О внесении изменений в главу 5 Федерального закона "О персональных данных" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля", главой 5 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701), пунктом 5.1.1.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431; 2010, N 13, ст. 1502; N 26, ст. 3350; 2011, N 3, ст. 542; N 6, ст. 888; N 14, ст. 1935; N 21, ст. 2965; N 40, ст. 5548; N 44, ст. 6272; 2012, N 20, ст. 2540; N 39, ст. 5270) Правительство Российской Федерации постановляет:
Утвердить прилагаемый Порядок организации и осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации.
Председатель Правительства Российской Федерации | Д. Медведев |
УТВЕРЖДЕНО
постановлением Правительства Российской Федерации
от "___"___________ N _____
Порядок
организации и осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации
Настоящее Положение устанавливает порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, за исключением деятельности по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее-государственный контроль и надзор).
1. Государственный контроль и надзор на территории Российской Федерации и находящихся под юрисдикцией Российской Федерации территориях осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций непосредственно и через ее территориальные органы.
2. Государственный контроль и надзор включает в себя деятельность Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, направленную на предупреждение, выявление и пресечение в пределах своей компетенции нарушений государственными органами, муниципальными органами, юридическими лицами, индивидуальными предпринимателями и физическими лицами требований, установленных законодательством Российской Федерации, посредством организации и проведения проверок проверяемых лиц, принятия предусмотренных законодательством Российской Федерации мер по пресечению и (или) устранению последствий выявленных нарушений, проведения мероприятий систематического наблюдения за исполнением требований законодательства Российской Федерации, анализа и прогнозирования исполнения обязательных требований.
3. Деятельность по осуществлению государственного контроля и надзора подразделяется на плановую и внеплановую и осуществляется посредством проведения плановых и внеплановых проверок, а также мероприятий систематического наблюдения.
4. Плановые и внеплановые проверки проводятся должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, должностными регламентами которых предусмотрены полномочия по осуществлению государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации (далее - должностные лица), в форме документарной или выездной проверки.
5. Плановые и внеплановые мероприятия систематического наблюдения проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушений законодательства Российской Федерации без взаимодействия с государственными органами, муниципальными органами, юридическими лицами, индивидуальными предпринимателями и физическими лицами, осуществляющими обработку персональных данных, и их уполномоченными представителями.
6. Плановые проверки, плановые мероприятия систематического наблюдения в области персональных данных в отношении государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц, осуществляющих обработку персональных данных, проводятся в соответствии с планом деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и планами территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, размещаемыми на официальном сайте в сети Интернет.
7. Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, принятого:
7.1. в случае неисполнения государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом выданного Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом предписания об устранении выявленного нарушения;
7.2. по результатам рассмотрения обращений граждан, поступивших в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальные органы обращений граждан, при условии наличия материалов, подтверждающих факт нарушение их прав, определенных статьями 14-17 Федерального закона от 27 июля 2006 г. N152-ФЗ "О персональных данных" действиями (бездействием) государственного органа, муниципального органа, юридического лица, физического лица при обработке их персональных данных, за исключением случаев, не порождающих юридические последствия для субъекта персональных данных, установленных статьей 16 Федерального закона от 27 июля 2006 г. N152-ФЗ "О персональных данных".
7.3. в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.
7.4. на основании решения руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в случае нарушения государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом требований законодательства Российской Федерации в области персональных данных, выявленного по итогам мероприятий систематического наблюдения в области персональных данных.
7.5. на основании представления (требования) органа прокуратуры о проведении внеплановой проверки.
8. Проведение внеплановых проверок по основаниям, предусмотренным пунктом 7 настоящего Положения, за исключением пункта 7.2, не требует согласования с органами прокуратуры.
9. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов при осуществлении государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации вправе:
9.1. запрашивать и получать на основании мотивированного запроса от государственного органа, муниципального органа, юридического лица, физического лица информацию, документы и локальные акты, связанные с исполнением требований законодательства Российской Федерации в области персональных данных.
9.2. посещать и проводить обследования используемых государственным органом, муниципальным органом, юридическим лицом, физическим лицом при осуществлении деятельности по обработке персональных данных помещений, информационных систем персональных данных, документов, а также проводить необходимые исследования за исключением объектов, где осуществляется обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, либо обрабатываемым в соответствии с законодательством Российской Федерации об архивном деле.
9.3. выдавать обязательные для выполнения предписания об устранении выявленных нарушений.
9.4. использовать технику и оборудование, принадлежащие Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальному органу.
9.5. получать на время проведения выездной проверки по месту нахождения государственного органа, муниципального органа, юридического лица, физического лица доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки.
9.6. получать от государственного органа, муниципального органа, юридического лица, физического лица документы, локальные акты и иные формы подтверждения принятия мер по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
9.7. в пределах своей компетенции проверять и оценивать принятые государственным органом, муниципальным органом, юридическим лицом, физическим лицом меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
9.8. выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона "О персональных данных".
9.9. выдавать обязательные для исполнения требования об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных.
9.10. составлять протоколы об административном правонарушении в порядке, установленном законодательством Российской Федерации.
9.11. обращаться в правоохранительные органы, органы прокуратуры за содействием в предотвращении или пресечении действий, препятствующих осуществлению должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, а также в установлении лиц, виновных в нарушении требований законодательства Российской Федерации, допущенных при обработке персональных данных.
10. Должностные лица обязаны:
10.1. своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований в области персональных данных.
10.2. проводить проверку на основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов о ее проведении в соответствии с ее назначением.
10.3. проводить проверку только во время исполнения служебных обязанностей при предъявлении служебных удостоверений, копии приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов о ее проведении.
10.4. не препятствовать руководителю или иному уполномоченному представителю государственного органа, муниципального органа, юридического лица, физического лица присутствовать при проведении проверки и давать разъяснения по вопросам, относящимся к предмету проверки.
10.5. знакомить руководителя или иного уполномоченного представителя государственного органа, муниципального органа, юридического лица, физического лица с результатами проверки.
10.6. учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов государственного органа, муниципального органа, юридического лица, физического лица.
10.7. доказывать обоснованность своих действий при их обжаловании государственным органом, муниципальным органом, юридическим лицом, физическим лицом в порядке, установленном законодательством Российской Федерации.
10.8. соблюдать установленные сроки проведения проверки.
11. Формы образцов документов и актов ненормативного характера, необходимых для реализации государственного контроля и надзора, устанавливаются Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
12. Основанием для включения плановой проверки в план деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в план деятельности территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций является осуществление государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом деятельности по обработке персональных данных.
13. Периодичность проведения плановых проверок в отношении государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица устанавливается с учетом риск-ориентированного подхода.
Критерии отнесения проверяемого лица к соответствующей группе риска устанавливаются Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
14. Проверки проводятся должностными лицами на основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа.
15. Проверки государственных органов субъектов Российской Федерации и муниципальных органов осуществляются в соответствии с законодательством Российской Федерации.
16. Сроки и последовательность административных процедур при осуществлении государственного контроля и надзора устанавливаются административным регламентом, разрабатываемым и утверждаемым в соответствии с постановлением Правительства Российской Федерации от 16 мая 2011 г. N 373.
19. Предмет проверок:
19.1. деятельность государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям законодательства Российской Федерации в области персональных данных;
19.2. документы, локальные акты, а также принятые государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом меры, указанные в части 1 статьи 18.1 Федерального закона "О персональных данных";
19.3. исполнение государственными и муниципальными органами обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, установленных Правительством Российской Федерации.
19.4. содержание информационной системы персональных данных, в части, касающейся обработки персональных данных субъектов персональных данных.
20. Мероприятия систематического наблюдения в области персональных данных проводятся на основании:
20.1. плана деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и плана территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
20.2. поручения Президента Российской Федерации, Правительства Российской Федерации, поручения руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
20.3. обращения государственного органа, муниципального органа, юридического лица, физического лица, публикаций средств массовой информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушения требований законодательства Российской Федерации.
21. Мероприятия систематического наблюдения проводятся Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее территориальным органом в порядке, установленном Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Предмет мероприятий систематического наблюдения в области персональных данных определяется Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
22. В целях раскрытия информации о результатах осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации за отчетный календарный год, обеспечения эффективности контрольной деятельности, а также анализа информации о результатах проведения контрольных мероприятий соответствующая информация отражается в ежегодном отчете о деятельности уполномоченного органа по защите прав субъектов персональных данных.
23. Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных направляется Президенту Российской Федерации, в Правительство Российской Федерации, в Федеральное Собрание Российской Федерации и размещается на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
_______________
Обзор документа
Разработан порядок осуществления госконтроля и надзора за соответствием обработки персональных данных требованиям законодательства.
Госконтроль и надзор в указанной сфере возлагается на Роскомнадзор. Прописывается порядок проведения проверок операторов персональных данных и мероприятий систематического наблюдения.
Определяются основания проведения внеплановых проверок. Закрепляются права и обязанности проверяющих. Периодичность проведения плановых проверок операторов будет устанавливаться с учетом риск-ориентированного подхода.