ПОСТАНОВЛЕНИЕ
от 13 февраля 2019 года N 146
Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных
____________________________________________________________________
Утратило силу с 1 июля 2021 года на основании
постановления Правительства Российской Федерации
от 29 июня 2021 года N 1046
____________________________________________________________________
В соответствии с частью 1_1 статьи 23 Федерального закона "О персональных данных" Правительство Российской Федерации
постановляет:
Утвердить прилагаемые Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных.
Председатель Правительства
Российской Федерации
Д.Медведев
постановлением Правительства
Российской Федерации
от 13 февраля 2019 года N 146
Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных
1. Настоящие Правила устанавливают порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами персональных данных (далее - государственный контроль и надзор).
Действие настоящих Правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона "О персональных данных".
2. Государственный контроль и надзор осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами (далее - орган по контролю и надзору).
3. Государственный контроль и надзор включает в себя деятельность органа по контролю и надзору, направленную на предупреждение, выявление и пресечение нарушения операторами персональных данных (далее - операторы) требований Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов (далее - требования) посредством:
а) организации и проведения плановых и внеплановых проверок;
б) принятия мер по пресечению и (или) устранению последствий выявленных нарушений;
в) проведения мероприятий по контролю без взаимодействия с операторами;
г) проведения мероприятий по профилактике нарушений.
4. Организация и проведение проверки осуществляются должностными лицами органа по контролю и надзору, должностными регламентами которых предусмотрены полномочия по осуществлению государственного контроля и надзора за соответствием обработки персональных данных требованиям (далее - должностные лица).
5. Плановые проверки в отношении операторов проводятся в соответствии с ежегодными планами деятельности органов по контролю и надзору, размещаемыми на официальных сайтах органов по контролю и надзору в информационно-телекоммуникационный сети "Интернет" (далее соответственно - сеть "Интернет", план по контролю).
6. Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня:
а) государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
б) окончания последней плановой проверки оператора.
7. Плановая проверка в отношении оператора включается в план по контролю и проводится с периодичностью не чаще одного раза в 2 года со дня окончания его последней плановой проверки в следующих случаях:
а) оператор осуществляет обработку персональных данных в информационных системах персональных данных, имеющих в соответствии с федеральными законами статус государственных информационных систем;
б) оператор осуществляет сбор биометрических и специальных категорий персональных данных;
в) оператор осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
г) оператор осуществляет обработку персональных данных по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации.
8. Внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного:
а) в случае неисполнения или частичного исполнения оператором предписания об устранении выявленного нарушения, выданного органом по контролю и надзору;
б) по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона "О персональных данных", действиями (бездействием) оператора при обработке их персональных данных;
в) в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации;
г) на основании требования прокурора об осуществлении внеплановой проверки;
д) на основании решения руководителя органа по контролю и надзору по итогам рассмотрения докладной записки, содержащей выводы о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.
9. Проведение внеплановых проверок по основаниям, предусмотренным подпунктами "б" и "д" пункта 8 настоящих Правил, согласовывается с органами прокуратуры.
10. Проверки проводятся органом по контролю и надзору на основании приказа, изданного уполномоченным должностным лицом, в форме документарной или выездной проверки.
11. Орган по контролю и надзору уведомляет оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты начала ее проведения посредством направления копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица, по адресу электронной почты оператора, если такой адрес содержится на сайте оператора в сети "Интернет" либо ранее был представлен оператором в орган по контролю и надзору, или иным доступным способом (далее - любой доступный способ).
12. О проведении внеплановой проверки оператор уведомляется органом по контролю и надзору не менее чем за 24 часа до начала ее проведения посредством направления копии приказа любым доступным способом.
13. Проверка проводится должностными лицами, указанными в приказе о ее проведении.
14. При изменении состава должностных лиц, проводящих проверку, орган по контролю и надзору издает соответствующий приказ, о чем уведомляет оператора в течение 3 рабочих дней со дня издания приказа посредством направления его копии любым доступным способом.
15. Проверка проводится в отношении:
а) деятельности оператора по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям, в том числе мер, принимаемых оператором во исполнение требований;
б) документов и локальных актов оператора, указанных в части 1 статьи 18_1 Федерального закона "О персональных данных", и принятых оператором мер, указанных в части 1 статьи 18_1 Федерального закона "О персональных данных";
в) информационных систем персональных данных в части, касающейся обработки персональных данных субъектов персональных данных.
16. Срок проведения плановой проверки не может превышать 20 рабочих дней. Срок проведения плановой проверки может быть продлен однократно не более чем на 20 рабочих дней.
17. Срок проведения внеплановой проверки не может превышать 10 рабочих дней. Срок проведения внеплановой проверки может быть продлен однократно не более чем на 10 рабочих дней.
18. При проведении проверки в отношении оператора, который осуществляет свою деятельность на территориях нескольких субъектов Российской Федерации, срок проведения проверки устанавливается отдельно по каждому филиалу, представительству оператора, при этом общий срок проведения такой проверки не может превышать 60 рабочих дней.
19. Основанием для продления срока проведения проверки является:
а) получение в ходе проведения проверки от правоохранительных органов, в том числе органов прокуратуры, либо из иных источников документов, свидетельствующих о нарушении оператором требований;
б) возникновение обстоятельств непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;
в) непредставление оператором в ходе проведения проверки необходимых документов;
г) выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных.
20. Решение о продлении срока проведения проверки оформляется приказом органа по контролю и надзору с указанием оснований продления срока проведения проверки.
Орган по контролю и надзору уведомляет оператора о продлении срока проведения проверки в течение 3 рабочих дней со дня издания приказа о продлении срока проведения проверки путем предъявления уполномоченному представителю оператора копии приказа о продлении срока проведения проверки или направления оператору копии приказа любым доступным способом.
21. Должностные лица при осуществлении государственного контроля и надзора вправе:
а) во время проведения проверки запрашивать и получать от оператора информацию, документы, в том числе локальные акты, необходимые для реализации органом по контролю и надзору своих полномочий;
б) посещать во время проведения выездной проверки помещения, используемые оператором при осуществлении деятельности по обработке персональных данных, и проводить их обследование;
в) выдавать по итогам проведения проверки предписание об устранении выявленных нарушений;
г) использовать во время проведения проверки или мероприятия по контролю без взаимодействия с оператором принадлежащие органу по контролю и надзору технику и оборудование;
д) получать во время проведения выездной проверки доступ к информационным системам персональных данных оператора в режиме просмотра и выборки информации, необходимой для оценки законности деятельности по обработке персональных данных, в том числе на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки;
е) во время проведения проверки или мероприятия по контролю без взаимодействия с оператором в пределах своей компетенции проверять и оценивать принятые оператором меры по обеспечению выполнения требований;
ж) по итогам проведения проверки или мероприятия по контролю без взаимодействия с операторами принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований;
з) по итогам проведения мероприятия по контролю без взаимодействия с оператором требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
и) по итогам проведения проверки или мероприятия по контролю без взаимодействия с операторами составлять протоколы об административном правонарушении по основаниям и в порядке, которые установлены законодательством Российской Федерации;
к) в рамках проведения выездной проверки обращаться в правоохранительные органы, в том числе в органы прокуратуры, за содействием в предотвращении или пресечении действий, препятствующих осуществлению государственного контроля и надзора должностными лицами, а также в установлении лиц, виновных в нарушении требований;
л) в рамках проведения проверки запрашивать и получать от оператора устные и письменные пояснения по вопросам, относящимся к предмету проверки.
22. Должностные лица при осуществлении государственного контроля и надзора обязаны:
а) в рамках проведения проверок, мероприятий по контролю без взаимодействия с операторами, мероприятий по профилактике своевременно и в полной мере исполнять полномочия по предупреждению, выявлению и пресечению нарушений требований;
б) проводить проверку на основании приказа органа по контролю и надзору;
в) проводить выездную проверку только во время исполнения служебных обязанностей при предъявлении служебных удостоверений и копии приказа органа по контролю и надзору о ее проведении;
г) не препятствовать руководителю оператора или иному уполномоченному представителю оператора присутствовать при проведении выездной проверки и давать разъяснения по вопросам, относящимся к предмету проверки;
д) знакомить руководителя оператора или иного уполномоченного представителя оператора с результатами проверки;