ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 29 июня 2021 года N 1046
О федеральном государственном контроле (надзоре) за обработкой персональных данных
(с изменениями на 16 декабря 2021 года)
____________________________________________________________________
Документ с изменениями, внесенными:
постановлением Правительства Российской Федерации от 16 декабря 2021 года N 2311 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 17.12.2021, N 0001202112170059) (вступило в силу c 1 марта 2022 года).
____________________________________________________________________
Правительство Российской Федерации
постановляет:
1. Утвердить прилагаемое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных.
2. Установить, что реализация полномочий, предусмотренных настоящим постановлением, осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в пределах установленной Правительством Российской Федерации предельной численности работников центрального аппарата и территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также бюджетных ассигнований, предусмотренных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций на руководство и управление в сфере установленных функций.
3. Признать утратившим силу постановление Правительства Российской Федерации от 13 февраля 2019 г. N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных" (Собрание законодательства Российской Федерации, 2019, N 7, ст.673).
4. Настоящее постановление вступает в силу с 1 июля 2021 г.
Председатель Правительства
Российской Федерации
М.Мишустин
УТВЕРЖДЕНО
постановлением Правительства
Российской Федерации
от 29 июня 2021 года N 1046
Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных
(с изменениями на 16 декабря 2021 года)
I. Общие положения
1. Настоящее Положение устанавливает порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных.
Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом "О персональных данных" и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации.
Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - контролирующий орган) и его территориальными органами.
3. Должностными лицами, уполномоченными на осуществление федерального государственного контроля (надзора) за обработкой персональных данных, являются:
а) руководитель контролирующего органа;
б) заместитель руководителя контролирующего органа;
в) руководитель территориального органа контролирующего органа;
г) заместитель руководителя территориального органа контролирующего органа;
д) должностные лица контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий;
е) должностные лица территориального органа контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий.
4. Должностными лицами, уполномоченными на принятие решений о проведении контрольных (надзорных) мероприятий, являются:
а) руководитель контролирующего органа;
б) заместитель руководителя контролирующего органа;
в) руководитель территориального органа контролирующего органа;
г) заместитель руководителя территориального органа контролирующего органа.
5. Должностные лица, осуществляющие федеральный государственный контроль (надзор) за обработкой персональных данных при проведении контрольного (надзорного) мероприятия в пределах своих полномочий и в объеме проводимых контрольных (надзорных) действий, пользуются правами, установленными частью 2 статьи 29 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
6. К отношениям, связанным с осуществлением федерального государственного контроля (надзора) за обработкой персональных данных, применяются положения Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", за исключением контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом.
Объекты контроля
7. Объектами контроля контролирующего органа (территориального органа) в рамках государственного контроля (надзора) за обработкой персональных данных являются:
а) деятельность и результаты деятельности операторов и третьих лиц, действующих по поручению оператора (далее - объекты контроля), по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации;
б) результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке персональных данных, указанных в части 1 статьи 18_1 Федерального закона "О персональных данных", и принятых оператором мер, указанных в части 1 статьи 18_1 Федерального закона "О персональных данных".
8. Контролирующим органом (территориальным органом) учет объектов контроля обеспечивается посредством ведения единой информационной системы контролирующего органа (далее - информационная система), предусматривающей соответствующий функционал.
Учет объектов контроля осуществляется уполномоченными должностными лицами контролирующего органа (территориального органа) на основании вводимой в информационную систему информации:
содержащейся в уведомлении об обработке персональных данных объекта контроля, поступившем в контролирующий орган (территориальный орган) в соответствии со статьей 22 Федерального закона "О персональных данных";
полученной в рамках межведомственного взаимодействия в порядке и сроки, которые установлены законодательством Российской Федерации;
о результатах контрольных мероприятий в отношении контролируемых лиц, размещаемой в информационной системе по окончании контрольных мероприятий в сроки, установленные законодательством Российской Федерации;
полученной из общедоступных источников информации.
Дополнение, изменение информации, на основании которой в информационной системе осуществляется учет объектов контроля, обеспечиваются уполномоченными должностными лицами контролирующего органа (территориального органа) при поступлении в контролирующий орган (территориальный орган) актуализированных сведений.
II. Управление рисками причинения вреда (ущерба) охраняемым законом ценностям при осуществлении государственного контроля (надзора)
9. При осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками.
10. Контролирующий орган (территориальный орган) при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба) (далее - категории риска):
а) высокий риск;
б) значительный риск;
в) средний риск;
г) умеренный риск;
д) низкий риск.
Критерии отнесения объектов государственного контроля (надзора) к категориям риска
11. Отнесение объектов государственного контроля к определенной категории риска осуществляется на основании критериев отнесения объектов государственного контроля к определенной категории риска, установленных согласно приложению.
Учет рисков причинения вреда (ущерба) охраняемым законом ценностям при проведении контрольных (надзорных) мероприятий
12. Плановые контрольные (надзорные) мероприятия в отношении объектов контроля в зависимости от присвоенной категории риска проводятся со следующей периодичностью:
в отношении объектов контроля, отнесенных к категории высокого риска, - инспекционный визит или выездная проверка с периодичностью один раз в 2 года;
в отношении объектов контроля, отнесенных к категории значительного риска, - инспекционный визит или выездная проверка с периодичностью один раз в 3 года;
в отношении объектов контроля, отнесенных к категории среднего риска, - инспекционный визит или документарная проверка или выездная проверка с периодичностью один раз в 4 года;
в отношении объектов контроля, отнесенных к категории умеренного риска, - документарная проверка или выездная проверка с периодичностью один раз в 6 лет.
В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.
III. Профилактика рисков причинения вреда (ущерба) охраняемым законом ценностям
13. При осуществлении государственного контроля (надзора) за обработкой персональных данных могут проводиться следующие виды профилактических мероприятий:
а) информирование;
б) обобщение правоприменительной практики;
в) объявление предостережения;
г) консультирование;
д) профилактический визит.
Информирование
14. Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения соответствующих сведений на официальном сайте контролирующего органа в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет), в средствах массовой информации, в личных кабинетах контролируемых лиц в информационной системе.
15. Контролирующий орган размещает и поддерживает в актуальном состоянии на своем официальном сайте в сети "Интернет" сведения, предусмотренные статьей 46 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
Обобщение правоприменительной практики
16. Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется один раз в год. По итогам обобщения правоприменительной практики готовится доклад о правоприменительной практике.
17. Доклад о правоприменительной практике утверждается приказом (распоряжением) руководителя контролирующего органа не позднее 31 марта года, следующего за отчетным, и размещается на официальном сайте в сети "Интернет" не позднее 3 рабочих дней со дня его утверждения.
Объявление предостережения
18. В случае наличия у контролирующего органа и (или) его территориального органа сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям, контролирующий орган (территориальный орган) в соответствии со статьей 49 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" объявляет контролируемому лицу предостережение о недопустимости нарушения обязательных требований, предлагает ему принять меры по обеспечению соблюдения обязательных требований.
19. В предостережении о недопустимости нарушения обязательных требований в том числе указывается:
а) наименование юридического лица, адрес места нахождения или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, адрес места жительства;
б) обязательные требования, предусматривающие их нормативный правовой акт, информация о том, какие действия (бездействие) контролируемого лица могут привести или приводят к нарушению обязательных требований, а также предложение о принятии мер по обеспечению соблюдения данных требований.
20. Контролируемое лицо вправе в течение 10 рабочих дней со дня получения предостережения подать в контролирующий орган (территориальный орган) возражение в отношении указанного предостережения.
В возражении контролируемым лицом указываются:
наименование юридического лица, фамилия, имя, отчество (при наличии) индивидуального предпринимателя;
дата и номер предостережения, направленного в адрес контролируемого лица;
идентификационный номер налогоплательщика - юридического лица, индивидуального предпринимателя;
