Документ:О ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ КОНТРОЛЕ (НАДЗОРЕ) ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

29.06.2021 N 1046

ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

           <Изменение: [cod://deab0095‒4f03‒4e82-b438-c5559f865897 постановление Правительства РФ от 16.12.2021 N 2311 ] (изменения вступают в силу с 1 марта 2022 г .)>

            <См. также:

[cod://02cb246e-5572‒4271‒89e8-c29a573a7de8 приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 24.12.2021 N 253 ]>

Правительство Российской Федерации постановляет:

1.

2.

3.

4.

УТВЕРЖДЕНО

постановлением Правительства

Российской Федерации

от 29 июня 2021 г . N 1046

ПОЛОЖЕНИЕ

О ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ КОНТРОЛЕ (НАДЗОРЕ)

ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

I. Общие положения

1. Настоящее Положение устанавливает порядок организации

Предметом федерального государственного контроля (надзора)

Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется Федеральной службой по надзору

3. Должностными лицами, уполномоченными на осуществление федерального государственного контроля (надзора) за обработкой персональных данных, являются:

а) руководитель контролирующего органа; б) заместитель руководителя контролирующего органа;

в) руководитель территориального органа контролирующего органа;

г)

д)

е)

4. Должностными лицами, уполномоченными на принятие решений о проведении контрольных (надзорных) мероприятий, являются:

а) руководитель контролирующего органа; б) заместитель руководителя контролирующего органа;

в) руководитель территориального органа контролирующего органа;

г)

5.

6.

Объекты контроля

7.Объектами контроля контролирующего органа (территориального органа) в рамках государственного контроля (надзора) за обработкой персональных данных являются:

а) деятельность и результаты деятельности операторов и третьих лиц, действующих по поручению оператора (далее — объекты контроля), по обработке персональных данных, осуществляемой с использованием и б)

8.

Учет объектов контроля осуществляется уполномоченными должностными лицами контролирующего органа (территориального органа) на основании вводимой в информационную систему информации:

содержащейся в уведомлении об обработке персональных данных объекта контроля, поступившем в контролирующий орган (территориальный орган) в соответствии со статьей 22 Федерального закона О персональных данных;

полученной в рамках межведомственного взаимодействия

о результатах контрольных мероприятий в отношении контролируемых лиц, размещаемой в информационной системе по окончании контрольных мероприятий в сроки, установленные законодательством Российской Федерации;

полученной из общедоступных источников информации.

Дополнение, изменение информации, на основании которой

II. Управление рисками причинения вреда (ущерба) охраняемым законом

ценностям при осуществлении государственного контроля (надзора)

9. При осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками.

10. Контролирующий орган (территориальный орган) при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба) (далее — категории риска):

а) высокий риск; б) значительный риск;

в) средний риск;

г) умеренный риск;

д) низкий риск.

Критерии отнесения объектов государственного контроля

(надзора)

11. Отнесение объектов государственного контроля к определенной категории риска осуществляется на основании критериев отнесения объектов государственного контроля к определенной категории риска, установленных согласно приложению.

Учет рисков причинения вреда (ущерба) охраняемым законом ценностям

при проведении контрольных (надзорных) мероприятий

12. Плановые контрольные (надзорные) мероприятия в отношении объектов контроля в зависимости от присвоенной категории риска проводятся со следующей периодичностью:

в отношении объектов контроля, отнесенных к категории высокого риска, — инспекционный визит или выездная проверка с периодичностью один раз в 2 года;

в отношении объектов контроля, отнесенных к категории значительного риска, — инспекционный визит или выездная проверка с периодичностью один раз в 3 года;

в отношении объектов контроля, отнесенных к категории среднего риска, — инспекционный визит или документарная проверка или выездная проверка с периодичностью один раз в 4 года;

В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.

III. Профилактика рисков причинения вреда (ущерба)

13. При осуществлении государственного контроля (надзора)

а) б)

в)

г)

д)

Информирование

14. Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения соответствующих сведений на официальном сайте

15. Контролирующий орган

Обобщение правоприменительной практики

16. Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется один раз в год.

17. Доклад о правоприменительной практике контролирующего органа

Объявление предостережения

18. В случае наличия у 19. В предостережении о недопустимости нарушения обязательных требований в том числе указывается:

а) наименование юридического лица, адрес места нахождения или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, адрес места жительства; б)

20. Контролируемое лицо вправе в течение 10 рабочих дней со дня получения предостережения подать в контролирующий орган (территориальный орган) возражение в отношении указанного предостережения.

В возражении контролируемым лицом указываются:

наименование юридического лица, фамилия, имя, отчество

дата и номер предостережения, направленного в адрес контролируемого лица;

идентификационный номер налогоплательщика — юридического лица, индивидуального предпринимателя;

обоснование позиции в отношении указанных в предостережении действий (бездействия) юридического лица, индивидуального предпринимателя, которые приводят или могут привести к нарушению обязательных требований;

иные документы, подтверждающие обоснованность таких возражений, или их заверенные копии (при наличии).

21. Возражения направляются контролируемым лицом в бумажном виде почтовым отправлением в контролирующий орган (территориальный орган), либо в виде электронного документа, оформляемого в соответствии

22.

23. По результатам рассмотрения возражения принимается одно из следующих решений:

а) удовлетворить возражение в форме отмены объявленного предостережения; б) отказать в удовлетворении возражения.

24. Не позднее дня, следующего за днем принятия решения, указанного в пункте 22 настоящего Положения, контролируемому лицу, подавшему возражение, в письменной форме и по его желанию в электронной форме направляется мотивированный ответ о результатах рассмотрения возражения.

25. Повторное направление возражения по тем же основаниям не допускается. Поступившее в контролирующий орган (территориальный орган) возражение по тем же основаниям подлежит оставлению без рассмотрения, о чем контролируемое лицо уведомляется посредством направления соответствующего уведомления на адрес электронной почты или иным доступным способом.

Консультирование

26.

27.

а) наличие и (или) содержание обязательных требований в сфере обработки персональных данных; б) периодичность и порядок проведения контрольных (надзорных) мероприятий;

в)

г)

29.

Профилактический визит

30.

О проведении обязательного профилактического визита контролируемое лицо должно быть уведомлено не позднее чем

Срок проведения обязательного профилактического визита не может превышать 5 рабочих дней.

Обязательный профилактический визит при его проведении по месту осуществления деятельности контролируемого лица начинается

В случае проведения обязательного профилактического визита в режиме видео-конференц-связи должностное лицо контролирующего органа (территориального органа) осуществляет указанные в настоящем пункте действия посредством использования электронных каналов связи.

31.

32.

33. Срок проведения профилактического визита не может превышать 5 рабочих дней.

34. По итогам проведения обязательного профилактического визита составляются разъяснения рекомендательного характера по организации контролируемым лицом деятельности по обработке персональных данных.

35. В случае если при проведении обязательного профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда (ущерба) охраняемым законом ценностям или такой вред (ущерб) причинен, должностное лицо

36. Контролирующий орган (территориальный орган) осуществляет учет профилактических визитов.

IV. Осуществление федерального государственного контроля (надзора)

37.

38.

39. Организация проведения внеплановых контрольных (надзорных) мероприятий, осуществляется в соответствии с положениями статьи 66 Федерального закона О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации. Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным пунктами 1, 3 — 6 части 1 и частью 3

40.

По результатам рассмотрения представленной информации контролирующим органом (территориальным органом) принимается решение о переносе сроков проведения контрольного (надзорного) мероприятия на срок, необходимый для устранения обстоятельств, послуживших поводом для данного обращения индивидуального предпринимателя, гражданина в контролирующий орган (территориальный орган).

Порядок фотосъемки, аудио- и видеозаписи

41.

Решение об осуществлении фотосъемки, аудио- и видеозаписи для фиксации доказательств выявленных нарушений обязательных требований принимается должностным лицом контролирующего органа (территориального органа) самостоятельно при совершении следующих контрольных (надзорных) действий:

осмотр — фотосъемка, видеозапись;

опрос — аудиозапись;

получение письменных объяснений — фотосъемка, видеозапись;

истребование документов — фотосъемка, аудио- и видеозапись;

инструментальное обследование — фотосъемка, видеозапись;

экспертиза — фотосъемка, видеозапись.

При отсутствии возможности осуществления видеозаписи применяется аудиозапись проводимого контрольного (надзорного) действия.

Аудио-

Решение об осуществлении фиксации доказательств выявленных нарушений обязательных требований с помощью технических средств при совершении контрольных (надзорных) действий принимается должностным лицом контрольного органа (территориального органа) самостоятельно при проведении экспертизы и инструментального обследования.

Зафиксированные с помощью фотосъемки, аудио- и (или) видеозаписи, технических средств доказательства выявленных нарушений обязательных требований оформляются в виде приложения к акту контрольного (надзорного) мероприятия, в котором делается отметка об осуществлении фотосъемки, аудио-, видеозаписи, использовании технических средств для фиксации доказательства выявленных нарушений обязательных требований.

Контрольные (надзорные) мероприятия

42.

а) инспекционный визит; б)

в) выездная проверка.

Инспекционный визит

43.

44.

а) осмотр; б) опрос;

в) получение письменных объяснений;

г)

45.

Документарная проверка

46.

получение письменных объяснений;

истребование документов.

Срок проведения документарной проверки не может превышать

47.

48.

49.

50.

Выездная проверка

51.

осмотр;

опрос;

получение письменных объяснений;

истребование документов;

инструментальное обследование;

экспертиза.

Срок проведения выездной проверки не может превышать

52.

V. Результаты контрольного (надзорного) мероприятия

53.

54.

55.

56.

VI. Обжалование решений контролирующего органа,

(бездействия) его должностных лиц

57.

Жалоба на решение территориального органа контролирующего органа, действия (бездействие) его должностных лиц рассматривается руководителем (заместителем руководителя) данного территориального органа либо контролирующим органом.

Жалоба на действия (бездействие) руководителя (заместителя руководителя) территориального органа

В случае обжалования решений должностного лица контролирующего органа, действий (бездействия) должностных лиц центрального аппарата контролирующего органа жалоба рассматривается руководителем контролирующего органа.

Жалоба на решение, действия (бездействие) должностных лиц контролирующего органа (территориального органа) может быть подана в течение 30 календарных дней со дня, когда контролируемое лицо узнало или должно было узнать о нарушении своих прав.

Жалоба на предписание контролирующего органа (территориального органа) может быть подана в течение 10 рабочих дней с момента получения контролируемым лицом предписания.

В случае пропуска по уважительной причине срока подачи жалобы этот срок по ходатайству лица, подающего жалобу, может быть восстановлен контролирующим органом (территориальным органом).

Лицо, подавшее жалобу, до принятия решения по жалобе может ее отозвать. При этом повторное направление жалобы по тем же основаниям не допускается.

Жалоба может содержать ходатайство о приостановлении исполнения обжалуемого решения контролирующего органа (территориального органа).

Контролирующий орган (территориальный орган) не позднее 2

о приостановлении исполнения обжалуемого решения;

об отказе в приостановлении исполнения обжалуемого решения.

Информация об указанном решении направляется лицу, подавшему жалобу, в течение одного рабочего дня с момента принятия решения.

Жалоба должна содержать:

наименование контролирующего органа (территориального органа), фамилию, имя, отчество (при наличии) должностного лица, решение и (или) действие (бездействие) которых обжалуются;

фамилию, имя, отчество (при наличии), сведения о месте жительства (месте осуществления деятельности) гражданина, либо наименование организации-заявителя, сведения о месте нахождения организации-заявителя либо реквизиты доверенности и фамилию, имя, отчество (при наличии) лица, подающего жалобу по доверенности, желаемый способ осуществления взаимодействия на время рассмотрения жалобы

сведения об обжалуемом решении и (или) действии (бездействии) должностного лица контролирующего органа (территориального органа), которые привели или могут привести к нарушению прав контролируемого лица, подавшего жалобу;

основания и доводы, на основании которых заявитель не согласен

требования лица, подавшего жалобу;

учетный номер контрольного (надзорного) мероприятия в едином реестре контрольных (надзорных) мероприятий, в отношении которого подается жалоба.

Жалоба не должна содержать нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностных лиц контролирующего органа (территориального органа) либо членов их семей.

Подача жалобы может быть осуществлена полномочным представителем контролируемого лица в случае делегирования ему соответствующего права с помощью федеральной государственной информационной системы "Единая система идентификации

К жалобе может быть приложена позиция Уполномоченного при Президенте Российской Федерации по защите прав предпринимателей, его общественного представителя, уполномоченного по защите прав предпринимателей в субъекте Российской Федерации, относящаяся

Контролирующий орган (территориальный орган) принимает решение об отказе в рассмотрении жалобы в течение 5 рабочих дней с момента получения жалобы, если:

жалоба подана после истечения сроков подачи жалобы, установленных частями 5 и 6 статьи 40 Федерального закона "О

в удовлетворении ходатайства о восстановлении пропущенного срока на подачу жалобы отказано;

до принятия решения по жалобе от контролируемого лица,

имеется решение суда по вопросам, поставленным в жалобе;

ранее в уполномоченный на рассмотрение жалобы орган была подана другая жалоба от того же контролируемого лица по тем же основаниям;

жалоба содержит нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностных лиц контрольного (надзорного) органа, а также членов их семей;

ранее получен отказ в рассмотрении жалобы по тому же предмету, исключающий возможность повторного обращения данного контролируемого лица с жалобой, и не приводятся новые доводы или обстоятельства;

жалоба подана в ненадлежащий уполномоченный орган;

законодательством Российской Федерации предусмотрен только судебный порядок обжалования решений контрольного (надзорного) органа.

Контролирующий орган (территориальный орган) вправе запросить у лица, подавшего жалобу, дополнительную информацию и документы, относящиеся к предмету жалобы. Контролируемое лицо обязано представить указанные информацию и документы в течение 5 рабочих дней с момента направления запроса. Течение срока рассмотрения жалобы приостанавливается с момента направления запроса о представлении дополнительных документов и информации, относящихся к предмету жалобы, до момента получения их контролирующим органом (территориальным органом), но не более чем на 5 рабочих дней с момента

Не допускается запрашивать у контролируемого лица, подавшего жалобу, документы и информацию, которые находятся в распоряжении контролирующего органа (территориального органа).

Жалоба рассматривается контролирующим органом (территориальным органом) в течение 20 рабочих дней со дня ее регистрации.

Обязанность доказывания законности и обоснованности принятого решения и (или) совершенного действия (бездействия) возлагается на контролирующий орган (территориальный орган).

По итогам рассмотрения жалобы контролирующий орган (территориальный орган):

оставляет жалобу без удовлетворения;

отменяет решение полностью или частично;

отменяет решение полностью и принимает новое решение;

признает действия (бездействие) должностных лиц контролирующего органа (территориального органа) незаконными.

Решение контролирующего органа (территориального органа), содержащее обоснование принятого решения, срок и порядок его исполнения, размещается не позднее рабочего дня со дня его принятия в личном кабинете контролируемого лица в федеральной государственной информационной системе Единый портал государственных и муниципальных услуг (функций).

VII. Организация и проведение мероприятий

без взаимодействия с контролируемым лицом

58.

Мероприятия по контролю без взаимодействия с контролируемым лицом проводятся должностными лицами контролирующего органа (территориального органа) на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) контролирующего органа (территориального органа).

59.

а) б)

60.

а) б)

61.

При выявлении по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом нарушения (признаков нарушения) требований оператору персональных данных направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение

Выявленные по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом сведения о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям направляются уполномоченному должностному лицу контролирующим органом (территориального органа) для принятия решений в соответствии со статьей 60 Федерального закона

VIII. Ключевой показатель федерального контроля и его целевые значения

<Введен [cod://deab0095‒4f03‒4e82-b438-c5559f865897 постановлением Правительства РФ от 16.12.2021 N 2311 ]>

62. Ключевым показателем государственного контроля (надзора) и его целевыми значениями является доля контролируемых лиц, категория риска которых повышена в отчетном периоде по причинам, не связанным с изменением группы тяжести указанных контролируемых лиц, к общему числу контролируемых лиц в 2022 году — не более 5 процентов, в 2023 году — не более 5 процентов, в 2024 году — не более 4 процентов,

ПРИЛОЖЕНИЕ

к Положению о федеральном

государственном контроле (надзоре)

за обработкой персональных данных

КРИТЕРИИ

ОТНЕСЕНИЯ ОБЪЕКТОВ КОНТРОЛЯ К ОПРЕДЕЛЕННОЙ КАТЕГОРИИ РИСКА

1. С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований деятельность контролируемого лица, подлежащая федеральному государственному контролю (надзору), разделяется на группы тяжести А, Б, В и Г (далее — группы тяжести).

2. К группе тяжести А относятся следующие виды деятельности:

а) обработка специальной категории персональных данных и (или) биометрических персональных данных; б) сбор персональных данных, в том числе в информационно-телекоммуникационной

в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии

г) передача третьим лицам персональных данных, полученных

3. К группе тяжести Б относятся следующие виды деятельности:

а) обработка персональных данных в целях, отличных от заявленных целей обработки персональных данных на этапе их сбора; б) обработка персональных данных несовершеннолетних лиц

в) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные более

г) сбор персональных данных, в том числе в сети Интернет, осуществляемый с использованием иностранных программ и сервисов.

4. К группе тяжести В относятся следующие виды деятельности:

а) обработка персональных данных близких родственников субъекта персональных данных; б) обработка персональных данных в информационных

в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных

г) обезличивание персональных данных, обработка персональных данных, полученных в результате обезличивания, с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных, без передачи третьим лицам.

5. К группе тяжести Г относятся следующие виды деятельности:

а) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные менее чем 1000 б) обработка персональных данных без предоставления

в) обработка персональных данных, полученных из общедоступных источников персональных данных;

г) трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

6. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам тяжести, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

7. С учетом оценки вероятности несоблюдения контролируемыми лицами обязательных требований деятельность, подлежащая государственному контролю (надзору), разделяется на группы

8. К группе вероятности 1 относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 статьи 13.11 [cod://c351fa7f-3731‒467c-9a38‒00ce2ecbe619 Кодекса Российской Федерации об административных правонарушениях]

по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание

в отношении которых вступили в законную силу в течение 3

9. К группе вероятности 2 относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1, 2, 5, 6, 8 статьи 13.11 [cod://c351fa7f-3731‒467c-9a38‒00ce2ecbe619 Кодекса Российской Федерации об административных правонарушениях]

в отношении которых вступили в законную силу в течение 3

10. К группе вероятности 3 относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 4, 7 статьи 13.11 [cod://c351fa7f-3731‒467c-9a38‒00ce2ecbe619 Кодекса Российской Федерации об административных правонарушениях]

по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание

в отношении которых вступили в законную силу в течение 3

11. К группе вероятности 4 относится деятельность контролируемых лиц при отсутствии обстоятельств, указанных

12. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам вероятности, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

13. Отнесение деятельности контролируемого лица к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице: