Проект Постановления Правительства Российской Федерации "Об утверждении Положения о порядке осуществления федерального государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации" (подготовлен Минкомсвязью России 12.05.2017)
Досье на проект
Пояснительная записка
В соответствии со статьёй 3 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях", главой 5 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701), пунктом 5.1.1.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431; 2010, N 13, ст. 1502; N 26, ст. 3350; 2011, N 3, ст. 542; N 6, ст. 888; N 14, ст. 1935; N 21, ст. 2965; N 40, ст. 5548; N 44, ст. 6272; 2012, N 20, ст. 2540; N 39, ст. 5270) Правительство Российской Федерации постановляет:
Утвердить прилагаемое Положение о порядке осуществления федерального государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации.
Председатель Правительства Российской Федерации | Д. Медведев |
УТВЕРЖДЕНО
постановлением Правительства Российской Федерации
от "___"___________ N _____
Положение
о порядке осуществления федерального государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации
I. Общие положения
1. Настоящее Положение устанавливает порядок организации и проведения проверок в отношении юридических лиц и индивидуальных предпринимателей, осуществляющих обработку персональных данных, а также порядок организации и осуществления федерального государственного контроля и надзора за обработкой персональных данных в отношении государственных органов, муниципальных органов, физических лиц, осуществляющих обработку персональных данных, за исключением деятельности по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г.N 152-ФЗ "О персональных данных" (далее-государственный контроль и надзор).
2. Государственный контроль и надзор на территории Российской Федерации и находящихся под юрисдикцией Российской Федерации территориях осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций непосредственно и через ее территориальные органы.
3. Государственный контроль и надзор включает в себя деятельность Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, направленную на предупреждение, выявление и пресечение в пределах своей компетенции нарушений государственными органами, муниципальными органами, юридическими лицами, индивидуальными предпринимателями и физическими лицами требований, установленных законодательством Российской Федерации, посредством организации и проведения проверок проверяемых лиц, принятия предусмотренных законодательством Российской Федерации мер по пресечению и (или) устранению последствий выявленных нарушений, проведения мероприятий систематического наблюдения за исполнением требований законодательства Российской Федерации, анализа и прогнозирования исполнения обязательных требований.
4. Деятельность по осуществлению государственного контроля и надзора подразделяется на плановую и внеплановую и осуществляется посредством проведения плановых и внеплановых проверок, а также мероприятий систематического наблюдения и мероприятий по профилактике нарушений требований законодательства Российской Федерации в области персональных данных.
II. Организация и проведение проверок и мероприятий систематического наблюдения за соответствием обработки персональных данных требованиям законодательства Российской Федерации
5. Плановые и внеплановые проверки проводятся должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов, должностными регламентами которых предусмотрены полномочия по осуществлению государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации (далее - должностные лица), в форме документарной или выездной проверки.
6. Плановые и внеплановые мероприятия систематического наблюдения проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушений законодательства Российской Федерации без взаимодействия с государственными органами, муниципальными органами, юридическими лицами, индивидуальными предпринимателями и физическими лицами, осуществляющими обработку персональных данных, и их уполномоченными представителями.
7. Плановые проверки, плановые мероприятия систематического наблюдения в области персональных данных в отношении государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей и физических лиц, осуществляющих обработку персональных данных, проводятся в соответствии с планом деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и планами территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, размещаемыми на официальном сайте в сети "Интернет".
8. Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа, принятого:
8.1. в случае неисполнения государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом выданного Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальным органом предписания об устранении выявленного нарушения;
8.2. по результатам рассмотрения обращений граждан, поступивших в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальные органы обращений граждан, при условии наличия материалов, подтверждающих факт нарушение их прав, определенных статьями 14-17 Федерального закона от 27 июля 2006 г. N152-ФЗ "О персональных данных" действиями (бездействием) государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица при обработке их персональных данных, за исключением случаев, не порождающих юридические последствия для субъекта персональных данных, установленных статьей 16 Федерального закона от 27 июля 2006 г. N152-ФЗ "О персональных данных".
8.3. в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.
8.4. на основании решения руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в случае нарушения государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом требований законодательства Российской Федерации в области персональных данных, выявленного по итогам мероприятий систематического наблюдения в области персональных данных.
8.5. на основании представления (требования) органа прокуратуры о проведении внеплановой проверки.
9. Проведение внеплановых проверок по основаниям, предусмотренным пунктом 8 настоящего Положения, за исключением пункта 8.2, не требует согласования с органами прокуратуры.
10. Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.
В исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований, срок проведения проверки может быть продлен, но не более чем на двадцать рабочих дней.
11. Должностные лица Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов при осуществлении государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации вправе:
11.1. запрашивать и получать на основании мотивированного запроса от государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица информацию, документы и локальные акты, связанные с исполнением требований законодательства Российской Федерации в области персональных данных.
11.2. посещать и проводить обследования используемых государственным органом, муниципальным органом, юридическим лицом, физическим лицом при осуществлении деятельности по обработке персональных данных помещений, информационных систем персональных данных, документов, а также проводить необходимые исследования за исключением объектов, где осуществляется обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, либо обрабатываемым в соответствии с законодательством Российской Федерации об архивном деле.
11.3. выдавать обязательные для выполнения предписания об устранении выявленных нарушений.
11.4. использовать технику и оборудование, принадлежащие Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальному органу.
11.5. получать на время проведения выездной проверки по месту нахождения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки.
11.6. получать от государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица документы, локальные акты и иные формы подтверждения принятия мер по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
11.7. в пределах своей компетенции проверять и оценивать принятые государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
11.8. выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона "О персональных данных".
11.9. выдавать обязательные для исполнения требования об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных.
11.10. составлять протоколы об административном правонарушении в порядке, установленном законодательством Российской Федерации.
11.11. обращаться в правоохранительные органы, органы прокуратуры за содействием в предотвращении или пресечении действий, препятствующих осуществлению должностными лицами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, а также в установлении лиц, виновных в нарушении требований законодательства Российской Федерации, допущенных при обработке персональных данных.
12. Должностные лица обязаны:
12.1. своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований в области персональных данных.
12.2. проводить проверку на основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов о ее проведении в соответствии с ее назначением.
12.3. проводить проверку только во время исполнения служебных обязанностей при предъявлении служебных удостоверений, копии приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориальных органов о ее проведении.
12.4. не препятствовать руководителю или иному уполномоченному представителю государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица присутствовать при проведении проверки и давать разъяснения по вопросам, относящимся к предмету проверки.
12.5. знакомить руководителя или иного уполномоченного представителя государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица с результатами проверки.
12.6. учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица.
12.7. доказывать обоснованность своих действий при их обжаловании государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом в порядке, установленном законодательством Российской Федерации.
12.8. соблюдать установленные сроки проведения проверки.
13. Формы образцов документов и актов ненормативного характера, необходимых для реализации государственного контроля и надзора, устанавливаются Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
14. Основанием для включения плановой проверки в план деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в план деятельности территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций является осуществление государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом деятельности по обработке персональных данных.
15. Периодичность проведения плановых проверок в отношении государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица устанавливается с учетом риск-ориентированного подхода.
Критерии отнесения проверяемого лица к соответствующей группе риска устанавливаются Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
16. Проверки проводятся должностными лицами на основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или ее территориального органа.
17. Проверки государственных органов субъектов Российской Федерации и муниципальных органов осуществляются в соответствии с законодательством Российской Федерации.
18. Сроки и последовательность административных процедур при осуществлении государственного контроля и надзора устанавливаются административным регламентом, разрабатываемым и утверждаемым в соответствии с постановлением Правительства Российской Федерации от 16 мая 2011 г. N 373.
19. Предмет проверок:
19.1. деятельность государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации;
19.2. документы, локальные акты, а также принятые юридическим лицом, индивидуальным предпринимателем, физическим лицом меры по соблюдению требований законодательства Российской Федерации в области персональных данных;
19.3. исполнение государственными и муниципальными органами обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, установленных Правительством Российской Федерации.
19.4. информационные системы персональных данных, в части, касающейся обработки персональных данных субъектов персональных данных.
20. Мероприятия систематического наблюдения проводятся посредством наблюдения за деятельностью по обработке персональных данных с использованием информационно-телекоммуникационной сети "Интернет" на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных, а также при оказании услуг и продаже товаров, предметом которых являются персональные данные и (или) деятельность по их обработке.
21. Мероприятия систематического наблюдения в области персональных данных проводятся на основании:
21.1. плана деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и плана территориального органа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
21.2. поручения Президента Российской Федерации, Правительства Российской Федерации, поручения руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций;
21.3. обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикаций средств массовой информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушения требований законодательства Российской Федерации.
22. Мероприятия систематического наблюдения проводятся Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, ее территориальным органом в порядке, установленном Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
III. Организация и проведение мероприятий по профилактике нарушений требований законодательства Российской Федерации в области персональных данных.
23. В целях предупреждения нарушения государственным органом, муниципальным органом, юридическим лицом, индивидуальным предпринимателем, физическим лицом требований законодательства Российской Федерации в области персональных данных, устранения причин, факторов и условий, способствующих нарушениям требований законодательства Российской Федерации в области персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и её территориальные органы осуществляют мероприятия по профилактике нарушений требований законодательства Российской Федерации в области персональных данных в соответствии с ежегодно утверждаемыми ими программами профилактики нарушений.
24. В целях профилактики нарушений требований законодательства Российской Федерации в области персональных данных Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и её территориальные органы:
24.1 Обеспечивают размещение на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций перечней нормативных правовых актов, содержащих обязательные требования.
24.2 Осуществляют информирование государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей, физических лиц о положении дел в области защиты прав субъектов персональных данных.
24.3 Обеспечивают регулярное обобщение практики осуществления государственного контроля и надзора в области персональных данных посредством составления ежегодного отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных.
Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных направляется Президенту Российской Федерации, в Правительство Российской Федерации, в Федеральное Собрание Российской Федерации и размещается на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Обзор документа
Разработан порядок осуществления Роскомнадзором госконтроля и надзора за обработкой персональных данных.
Регламентированы правила проведения Службой плановых и внеплановых проверок соответствия обработки персональных данных требованиям законодательства. Предусматриваются документарные и выездные проверки в отношении государственных и муниципальных органов, организаций, ИП и физлиц, осуществляющих обработку персональных данных.
Также Служба будет заниматься систематическим наблюдением за деятельностью по обработке персональных данных с использованием Интернета.
Предусматриваются и мероприятия по профилактике нарушений требований законодательства в области персональных данных.