Зарегистрировано в Минюсте РФ 28 января 2010 г. N 16095
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
ПРИКАЗ
от 1 декабря 2009 г. N 630
ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПРОВЕДЕНИЯ ПРОВЕРОК ФЕДЕРАЛЬНОЙ СЛУЖБОЙ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПРИ ОСУЩЕСТВЛЕНИИ ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО КОНТРОЛЯ (НАДЗОРА) ЗА СООТВЕТСТВИЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В целях реализации части 1 статьи 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716), в соответствии с Федеральным законом от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (Собрание законодательства Российской Федерации, 2008, N 52 (ч. I), ст. 6249; 2009, N 18 (ч. I), ст. 2140; N 29, ст. 3601; N 52 (ч. I), ст. 6441), Постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431), Постановлением Правительства Российской Федерации от 11 ноября 2005 г. N 679 "О порядке разработки и утверждения административных регламентов исполнения государственных функций (предоставления государственных услуг)" (Собрание законодательства Российской Федерации, 2005, N 47, ст. 4933; 2007, N 50, ст. 6285; 2008, N 18, ст. 2063; 2009, N 41, ст. 4765) приказываю:
1. Утвердить прилагаемый Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
2. Направить настоящий Приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
УТВЕРЖДЕН
Приказом Федеральной службы
по надзору в сфере связи,
информационных технологий
и массовых коммуникаций
от 01.12.2009 N 630
АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ
ПРОВЕДЕНИЯ ПРОВЕРОК ФЕДЕРАЛЬНОЙ СЛУЖБОЙ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПРИ ОСУЩЕСТВЛЕНИИ ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО КОНТРОЛЯ (НАДЗОРА) ЗА СООТВЕТСТВИЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. Общие положения
Наименование государственной функции
1. Настоящий Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее - Регламент) определяет сроки и последовательность действий (административных процедур) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Служба) и ее территориальных органов, а также порядок взаимодействия с государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - Оператор), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
2. Регламент включает исполнение следующих административных процедур:
2.1. Принятие решений о проведении проверок.
2.3. Оформление результатов и принятие мер по результатам проверок.
Наименование уполномоченного федерального органа исполнительной власти
3. Проведение проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее - проведение проверок) осуществляется Службой и ее территориальными органами, перечень которых приведен в Приложении N 1.
Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок
4. Проведение проверок осуществляется в соответствии со следующими нормативными правовыми актами:
4.1. Кодекс Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, N 1 (ч. I), ст. 1; N 18, ст. 1721; N 30, ст. 3029; N 44, ст. 4295, 4298; 2003, N 1, ст. 2; N 27 (ч. I), ст. 2700; N 27 (ч. II), ст. 2708, 2717; N 46 (ч. I), ст. 4434, 4440; N 50, ст. 4847, 4855; N 52 (ч. I), ст. 5037; 2004, N 19 (ч. I), ст. 1838; N 30, ст. 3095; N 31, ст. 3229; N 34, ст. 3529, 3533; N 44, ст. 4266; 2005, N 1 (ч. I), ст. 9, 13, 37, 40, 45; N 10, ст. 762, 763; N 13, ст. 1077, 1079; N 17, ст. 1484; N 19, ст. 1752; N 25, ст. 2431; N 27, ст. 2719, 2721; N 30 (ч. I), ст. 3104; N 30 (ч. II), ст. 3124, 3131; N 40, ст. 3986; N 50, ст. 5247; N 52 (ч. I), ст. 5574, 5596; 2006, N 1, ст. 4, 10; N 2, ст. 172, 175; N 6, ст. 636; N 10, ст. 1067; N 12, ст. 1234; N 17 (ч. I), ст. 1776; N 18, ст. 1907; N 19, ст. 2066; N 23, ст. 2380, 2385; N 28, ст. 2975; N 30, ст. 3287; N 31 (ч. I), ст. 3420, 3432, 3433, 3438, 3452; N 43, ст. 4412; N 45, ст. 4633, 4634, 4641; N 50, ст. 5279, 5281; N 52 (ч. I), ст. 5498; 2007, N 1 (ч. I), ст. 21, ст. 25, ст. 29, ст. 33; N 7, ст. 840; N 15, ст. 1743; N 16, ст. 1824, ст. 1825; N 17, ст. 1930; N 20, ст. 2367; N 21, ст. 2456; N 26, ст. 3089; N 30, ст. 3755; N 31, ст. 4001, ст. 4007, ст. 4008, ст. 4009, ст. 4015; N 41, ст. 4845; N 43, ст. 5084; N 46, ст. 5553; N 49, ст. 6034, ст. 6065; N 50, ст. 6246, 2008, N 10 (ч. I), ст. 896; N 18, ст. 1941; N 20, ст. 2251, ст. 2259; N 29 (ч. I), ст. 3418; N 30 (ч. I), ст. 3582, ст. 3601, ст. 3604; N 45, ст. 5143; N 49, ст. 5738, ст. 5745, ст. 5748; N 52 (ч. I), ст. 6227; N 52 (ч. I), ст. 6235, ст. 6236, ст. 6248; 2009, N 1, ст. 17; N 7, ст. 771, ст. 777; N 19, ст. 2276; N 23, ст. 2759, ст. 2767, ст. 2776; N 26, ст. 3120, ст. 3122, ст. 3131, ст. 3132; N 29, ст. 3597, ст. 3599, ст. 3635, ст. 3642; N 30, ст. 3735, ст. 3739; N 45, ст. 5265, ст. 5267; N 48, ст. 5711, ст. 5724, ст. 5755) (Российская газета, 2009, 23 декабря; 29 декабря).
4.2. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716).
4.3. Федеральный закон от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (Собрание законодательства Российской Федерации, 2008, N 52 (ч. I), ст. 6249; 2009, N 18 (ч. I), ст. 2140; N 29, ст. 3601; N 52 (ч. I), ст. 6441).
4.4. Федеральный закон от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (Собрание законодательства Российской Федерации, 2006, N 19, ст. 2060).
4.5. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3448).
4.6. Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48 (ч. II), ст. 6001).
4.7. Постановление Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (Собрание законодательства Российской Федерации, 2008, N 28, ст. 3384).
4.8. Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320).
4.9. Постановление Правительства Российской Федерации от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431).
4.10. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" (зарегистрирован Министерством юстиции Российской Федерации 3 апреля 2008 г., регистрационный N 11462).
4.11. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 7 апреля 2009 г. N 51 "Об утверждении Типового положения о территориальном органе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций" (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный N 13919).
Описание результатов, а также указание на юридические факты, которыми заканчивается проверка
5. Проверка Службы и ее территориального органа завершается:
5.1. Составлением и вручением Оператору акта проверки.
5.2. Выдачей Оператору предписаний об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных.
5.3. Составлением протоколов об административных правонарушениях в отношении Оператора.
5.4. Подготовкой и направлением материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
II. Требования к порядку проведения проверок
Порядок информирования о правилах проведения проверок
6. Информация о порядке проведения проверок предоставляется:
6.1. Посредством размещения на официальном сайте Службы и ее территориальных органов в информационно-телекоммуникационной сети "Интернет", указанном в пункте 10 настоящего Регламента.
6.2. Непосредственно в центральном аппарате Службы и ее территориальных органах.
7. Место нахождения центрального аппарата Службы: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.
8. Почтовый адрес для направления обращений: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.
9. График работы Службы и ее территориальных органов: понедельник - четверг 9.00 - 18.00; пятница 9.00 - 16.45.
В предпраздничные дни продолжительность времени работы Службы и ее территориальных органов сокращается на 1 час.
Часы приема корреспонденции в экспедиции Службы: понедельник - пятница 10.00 - 13.00, 14.00 - 16.00.
Телефон Службы для получения справок по вопросам проведения проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных: (495) 987-68-00.
10. Официальный сайт Службы в информационно-телекоммуникационной сети "Интернет": www.rsoc.ru (далее - официальный сайт Службы). На официальном сайте Службы размещается следующая информация:
10.1. Нормативные правовые акты и методические документы, регулирующие деятельность Службы.
10.2. Текст настоящего Регламента с приложениями.
10.3. Местонахождение, график (режим) работы, номера телефонов, адрес центрального аппарата Службы, информация о ее территориальных органах и режиме их работы.
10.4. Публикации по вопросам защиты прав субъектов персональных данных.
10.5. Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных.
10.6. План проведения плановых проверок Службы.
11. Информация об основаниях и порядке проведения проверок предоставляется при личном обращении заинтересованных лиц в Службу, по письменным обращениям заявителей, размещается на официальном сайте Службы и ее территориальных органов, а также на информационных стендах территориальных органов Службы.
12. При информировании об основаниях и порядке проведения проверок по письменным обращениям ответ на обращение направляется по почте в адрес заявителя в течение тридцати дней со дня регистрации письменного обращения. В случаях, предусмотренных законодательством Российской Федерации, руководитель Службы (заместитель руководителя Службы) либо уполномоченное на то лицо вправе продлить срок рассмотрения обращения не более чем на тридцать дней, уведомив о продлении срока заявителя.
При поступлении обращения в письменной форме на бумажном носителе или в электронной форме по существу рассматриваются обращения, содержащие следующую информацию:
наименование (с указанием организационно-правовой формы), почтовый адрес - для юридического лица;
фамилия, почтовый адрес - для физического лица.
Обращения по вопросам информирования и консультирования регистрируются в установленном порядке как обращения граждан в структурном подразделении Службы или ее территориального органа, отвечающего за вопросы делопроизводства.
13. В центральном аппарате Службы структурным подразделением, ответственным за организацию проведения проверок, является Управление по защите прав субъектов персональных данных.
14. В территориальном органе Службы структурным подразделением, ответственным за проведение проверок, является соответствующий отдел или должностное лицо (лица), назначенные руководителем территориального органа Службы.
Проведение проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
15. Федеральный государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных осуществляют должностные лица Службы и ее территориальных органов.
Под должностным лицом Службы или ее территориального органа в настоящем Регламенте следует понимать лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя Службы или ее территориального органа, то есть наделенное в установленном законом порядке полномочиями по осуществлению федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
16. Служба и ее территориальные органы осуществляют проверку деятельности Оператора на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных.
17. Службой и ее территориальными органами проводятся плановые и внеплановые проверки. Плановые и внеплановые проверки проводятся должностными лицами Службы и (или) ее территориальных органов в форме документарной или выездной проверки. Количественный состав участников проверки должен быть не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения.
18. Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок Службы на текущий календарный год (далее - План).
19. План утверждается руководителем Службы после завершения органами прокуратуры процедуры рассмотрения на предмет законности включения в него объектов государственного контроля (надзора) и внесения предложений о проведении совместных плановых проверок.
20. План размещается на официальном сайте Службы.
21. Плановые проверки проводятся:
21.1. В отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных (далее - Реестр).
21.2. В отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.
22. Основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
22.1. Государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя.
22.2. Окончания проведения последней плановой проверки Оператора.
23. О проведении плановой проверки Оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Службы или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом.
24. Планирование проверок проводится в порядке и сроки, установленные приказом руководителя Службы.
25. Территориальные органы Службы в установленные приказом руководителя Службы сроки направляют на согласование в центральный аппарат свои предложения по плановым проверкам.
26. После прохождения процедуры согласования данные предложения вносятся в проект Плана Службы на планируемый период, утверждаемый руководителем Службы в порядке, установленном пунктом 19 настоящего Регламента.
27. Внеплановые проверки проводятся по следующим основаниям:
27.1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.
27.2. Поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
27.2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан.
27.2.2. Причинение вреда жизни, здоровью граждан.
27.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.
27.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.
27.5. Нарушение Операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.
28. Обращения и заявления, не позволяющие установить лицо, обратившееся в Службу или ее территориальный орган, а также обращения и заявления, не содержащие сведений о фактах, указанных в пункте 27 настоящего Регламента, не могут служить основанием для проведения внеплановой проверки.
29. О проведении внеплановой выездной проверки Оператор уведомляется Службой или ее территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.
30. Если в результате деятельности Оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление Оператора о начале проведения внеплановой выездной проверки не требуется.
Сроки проведения проверок
31. Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.
32. В случае возникновения необходимости срок проведения проверки может быть продлен, но на срок не более двадцати рабочих дней. При необходимости продления срока проверки проводящие проверку должностные лица Службы не позднее чем за два дня до даты окончания проверки готовят докладную записку с изложением причин продления срока и направляют ее руководителю Службы или руководителю территориального органа Службы, принявшему решение о проведении проверки.
33. Руководитель Службы или руководитель территориального органа Службы, принявший решение о проведении проверки, в течение одного рабочего дня назначает ответственного за подготовку приказа о продлении срока проверки.
34. Ответственный за подготовку приказа о продлении срока проверки в течение двух рабочих дней готовит проект приказа и передает его руководителю Службы или руководителю территориального органа Службы, принявшему решение о проведении проверки.
35. Руководитель Службы или руководитель территориального органа Службы, принявший решение о проведении проверки, подписывает приказ о продлении срока проверки.
36. При проведении проверок в отношении филиалов, представительств Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, сроки проведения проверок устанавливаются территориальными органами Службы, участвующими в проверке, в рамках общего срока проверки, установленного ответственным территориальным органом Службы.
37. Решение о назначении одного из территориальных органов Службы ответственным за координацию проверки, взаимодействие с Оператором и оформление обобщенного акта по результатам проверок, проводимых участвовавшими в них территориальными органами Службы, принимает руководитель Службы или его заместитель, либо ответственным признается территориальный орган, на территории которого зарегистрирован Оператор.
III. Административные процедуры в рамках проведения проверки
Принятие решения о проведении проверки
38. Проверки проводятся должностными лицами Службы и (или) ее территориального органа на основании приказов Службы и (или) ее территориальных органов.
Форма приказа утверждена Приказом Министерства экономического развития Российской Федерации от 30 апреля 2009 г. N 141 "О реализации положений Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный N 13915) (Российская газета, 2009, 14 мая) (далее - Приказ Минэкономразвития России от 30.04.2009 N 141).
39. Решение о проведении проверки принимает руководитель Службы или руководитель территориального органа Службы.
40. В день принятия решения начальник ответственного структурного подразделения Службы или территориального органа Службы готовит проект приказа о проведении проверки и направляет его на подпись руководителю Службы или руководителю территориального органа Службы.
41. Руководитель Службы или руководитель территориального органа Службы в течение одного рабочего дня подписывает приказ о проведении проверки.
42. В случае отсутствия руководителя Службы или руководителя территориального органа Службы проект приказа о проведении проверки подписывается уполномоченным лицом, исполняющим его обязанности.
43. В приказе о проведении проверки указываются:
43.1. Наименование органа федерального государственного контроля (надзора).
43.2. Фамилии, имена, отчества должностных лиц, проводящих проверку.
43.3. Наименование (фамилия, имя, отчество) Оператора.
43.4. Цели, задачи, предмет проверки и срок ее проведения.
43.5. Правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования законодательства Российской Федерации в области персональных данных.
43.6. Сроки проведения и перечень мероприятий по контролю, необходимых для достижения целей и задач проведения проверки.
43.7. Перечень административных регламентов проведения мероприятий по контролю.
43.8. Перечень документов, представление которых Оператором необходимо для достижения целей и задач проведения проверки.
43.9. Даты начала и окончания проведения проверки.
44. При проведении проверки в отношении Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, приказ о назначении ответственного территориального органа подписывается руководителем или заместителем руководителя Службы и направляется в адрес соответствующего территориального органа Службы.
45. Приказ ответственного территориального органа Службы о проведении проверки готовится на основе изданного приказа Службы и направляется в территориальные органы Службы, участвующие в проверке.
46. Территориальными органами Службы, участвующими в проверке Оператора, но не являющихся ответственными, готовятся отдельные приказы о проведении проверки в отношении территориального структурного подразделения Оператора на основе приказа ответственного территориального органа Службы.
47. При проведении проверки в отношении Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, в приказе ответственного территориального органа Службы дополнительно указываются:
47.1. Перечень территориальных органов Службы, участвующих в проверке.
47.2. Срок представления территориальными органами Службы актов проверок.
48. Ответственные за проведение проверки должностные лица Службы или ее территориального органа в соответствии с возложенными обязанностями уведомляют Оператора о проведении проверки в сроки, установленные пунктами 23, 29 настоящего Регламента.
49. При проведении проверки должностными лицами Службы или ее территориального органа составляется план (программа) проверки.
50. План (программа) проверки утверждается руководителем или заместителем руководителя Службы либо руководителем или заместителем руководителя территориального органа Службы не менее чем за три рабочих дня до начала проверки.
51. При необходимости и исходя из конкретных обстоятельств проведения проверки, в План (программу) проверки вносятся изменения. Внесение изменений производится на основании служебной записки руководителю Службы или руководителю территориального органа Службы. План (программа) проверки с внесенными изменениями утверждается руководителем или заместителем руководителя Службы либо руководителем или заместителем руководителя территориального органа Службы.
52. Согласование проведения внеплановых выездных проверок Службы или ее территориальных органов производится по месту осуществления деятельности Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства с прокурорами (заместителями прокуроров) субъектов Российской Федерации по основаниям, предусмотренным подпунктами 27.2.1 и 27.2.2 настоящего Регламента.
53. Форма заявления о согласовании с органом прокуратуры проведения внеплановой выездной проверки Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства, утверждена Приказом Минэкономразвития России от 30.04.2009 N 141.
54. Заявление о согласовании проведения внеплановой выездной проверки Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства, и прилагаемые к нему документы направляются Службой или ее территориальным органом в органы прокуратуры заказным почтовым отправлением с уведомлением о вручении либо в форме электронного документа, подписанного электронной цифровой подписью в целях оценки законности проведения внеплановой выездной проверки.
55. Решение уполномоченных должностных лиц органов прокуратуры о согласовании проведения внеплановой выездной проверки или об отказе в согласовании ее проведения может быть обжаловано вышестоящему прокурору или в суд.
56. Блок-схема административной процедуры принятия решения о проведении проверки представлена в Приложении N 2.
Проведение проверки
57. Копия приказа о проведении проверки, заверенная гербовой печатью Службы или ее территориального органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением.
58. На втором экземпляре копии приказа о проведении проверки, остающейся у должностного лица Службы или территориального органа, руководитель или иной уполномоченный представитель Оператора проставляет отметку о получении копии приказа о проведении проверки с указанием должности, фамилии, имени и отчества, а также даты и времени его получения.
59. Проверка проводится должностными лицами Службы или ее территориального органа, которые указаны в приказе о ее проведении.
60. При необходимости изменения состава должностных лиц Службы или ее территориального органа, проводящих проверку, Служба или ее территориальный орган издает соответствующий приказ.
61. Служба или ее территориальный орган не вправе осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя или иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию, предусмотренному подпунктами 27.2.2 настоящего Регламента.
62. Руководитель, иной уполномоченный представитель Оператора должен обеспечить необходимые условия для проведения проверки и обязан по требованию должностных лиц Службы или ее территориального органа, проводящих проверку, организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.
63. В случае необоснованного препятствования проведению проверки, уклонения от участия в проведении проверки руководитель или иной уполномоченный представитель Оператора несут ответственность в соответствии с законодательством Российской Федерации.
64. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
64.1. Рассмотрение документов Оператора, в том числе:
64.1.1. Уведомление об обработке персональных данных.
64.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.
64.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.
64.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.
64.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
64.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
64.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.
64.2. Исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.
65. Должностные лица Службы или ее территориального органа при проведении проверок вправе в пределах своей компетенции:
65.1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.
65.2. Составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
65.3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.
65.4. Использовать технику и оборудование, принадлежащие Службе или ее территориальному органу.
65.5. Запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки.
65.6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.
65.7. Направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
65.8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.
65.9. Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
66. Плановые и внеплановые проверки проводятся в форме документарной или выездной проверки. Форма проведения проверки определяется Службой или ее территориальным органом самостоятельно, с учетом оснований, предусмотренных пунктами 22, 27 настоящего Регламента.
67. Документарная проверка проводится по месту нахождения Службы или ее территориального органа.
67.1. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа.
67.2. В процессе проведения документарной проверки должностными лицами Службы или ее территориального органа в первую очередь рассматриваются документы Оператора, имеющиеся в распоряжении Службы или ее территориального органа, в том числе уведомление об обработке персональных данных, акты предыдущих проверок в области персональных данных, материалы рассмотрения дел об административных правонарушениях и иные документы о результатах, проведенных в отношении Оператора проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
67.3. Уведомление о проведении документарной проверки направляется в адрес Оператора не позднее чем в течение трех рабочих дней до начала ее проведения.
67.4. В случае, если достоверность сведений, содержащихся в документах, имеющихся в распоряжении Службы или ее территориального органа, вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, Служба или ее территориальный орган направляют в адрес Оператора мотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы. К запросу прилагается заверенная печатью копия приказа руководителя, заместителя руководителя Службы или ее территориального органа о проведении документарной проверки.
67.5. В течение десяти рабочих дней со дня получения мотивированного запроса Оператор обязан представить в Службу или ее территориальный орган указанные в запросе документы.
67.6. Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора.
67.7. Не допускается требовать нотариального удостоверения копий документов, представляемых в Службу или ее территориальный орган, если иное не предусмотрено законодательством Российской Федерации.
67.8. В случае если в ходе документарной проверки выявлены ошибки и (или) противоречия в представленных Оператором документах либо несоответствие сведений, содержащихся в этих документах, сведениям, содержащимся в имеющихся у Службы или ее территориального органа документах и (или) полученным в ходе проведения государственного контроля (надзора), информация об этом направляется Оператору с требованием представить в течение десяти рабочих дней необходимые пояснения в письменной форме.
67.9. Оператор вправе представить дополнительно документы, подтверждающие достоверность ранее представленных документов.
67.10. Должностные лица Службы или ее территориального органа, проводящие документарную проверку, обязаны рассмотреть представленные руководителем или иным уполномоченным представителем Оператора пояснения и документы, подтверждающие достоверность ранее представленных документов. В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Служба или ее территориальный орган установят признаки нарушения обязательных требований, установленных нормативными правовыми актами в области персональных данных, должностные лица Службы или ее территориального органа вправе провести выездную проверку.
68. Решение о проведении выездной проверки также может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством Российской Федерации сроки.
69. В день принятия решения о проведении выездной проверки ответственное должностное лицо Службы или территориального органа Службы готовит проект приказа о внесении изменений в приказ о проведении документарной проверки в части изменения вида проверки, продления сроков ее проведения и направляет его на подпись руководителю Службы или руководителю территориального органа Службы.
70. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения Оператора и (или) по месту фактического осуществления его деятельности.
70.1. Предметом выездной проверки являются содержащиеся в документах Оператора сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных.
70.2. Выездная проверка проводится в случае, если при документарной проверке не представляется возможным:
70.2.1. Удостовериться в полноте и достоверности сведений, содержащихся в уведомлении об обработке персональных данных, и иных имеющихся в распоряжении Службы или ее территориального органа документов Оператора.
70.2.2. Оценить соответствие деятельности Оператора требованиям, установленным нормативными правовыми актами в области персональных данных, без проведения соответствующей проверки.
70.2.3. Выездная проверка начинается с предъявления служебного удостоверения должностными лицами Службы или ее территориального органа, обязательного ознакомления руководителя или иного уполномоченного представителя Оператора с приказом о назначении выездной проверки и с полномочиями должностных лиц Службы или ее территориального органа, проводящих проверку, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, со сроками и с условиями ее проведения.
70.2.4. Руководитель или иной уполномоченный представитель Оператора обязаны предоставить должностным лицам Службы или ее территориального органа возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, в случае, если выездной проверке не предшествовало проведение документарной проверки, а также обеспечить доступ проводящих выездную проверку должностных лиц Службы или ее территориального органа на территорию, в используемые Оператором при осуществлении обработки персональных данных здания, строения, сооружения, помещения, к используемому Оператором оборудованию.
71. При проведении проверки должностные лица Службы и (или) ее территориальных органов не вправе:
71.1. Проверять выполнение обязательных требований и требований, установленных нормативными правовыми актами в области персональных данных, если такие требования не относятся к полномочиям Службы.
71.2. Осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя, иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию, предусмотренному подпунктами 27.2.2 настоящего Регламента.
71.3. Требовать представления документов, информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов.
71.4. Распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.
71.5. Превышать установленные сроки проведения проверки.
71.6. Осуществлять выдачу Операторам предписаний или предложений о проведении за их счет проверок.
72. Блок-схема административной процедуры проведения проверок представлена в Приложении N 3.
Оформление результатов и принятие мер по результатам проверок
73. По результатам проверки должностными лицами Службы или ее территориального органа, проводившими проверку, составляется акт проверки, который оформляется непосредственно после ее завершения.
74. Форма акта утверждена Приказом Минэкономразвития России от 30.04.2009 N 141.
75. В акте проверки указываются:
75.1. Дата, время и место составления акта проверки.
75.2. Наименование Службы (ее территориального органа).
75.3. Дата и номер приказа руководителя Службы (руководителя территориального органа Службы).
75.4. Фамилии, имена, отчества должностных лиц, проводивших проверку.
75.5. Наименование проверяемого Оператора, а также фамилия, имя, отчество и должность руководителя, иного уполномоченного представителя Оператора, присутствовавших при проведении проверки.
75.6. Дата, время, продолжительность и место проведения проверки.
75.7. Сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области персональных данных, об их характере и о лицах, допустивших указанные нарушения.
75.8. Сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя, иного уполномоченного представителя Оператора, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у Оператора указанного журнала.
75.9. Подписи должностных лиц, проводивших проверку.
76. Акт должен содержать одно из следующих заключений:
76.1. Об отсутствии в деятельности Оператора нарушений требований законодательства Российской Федерации в области персональных данных.
76.2. О выявленных в деятельности Оператора нарушениях требований законодательства Российской Федерации в области персональных данных, с указанием конкретных статей и (или) пунктов нормативных правовых актов.
77. По результатам проведения проверки Оператора, осуществляющего деятельность на территории одного субъекта Российской Федерации, должностными лицами Службы или ее территориального органа акт составляется в двух экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Службы или ее территориального органа.
78. По результатам проведения проверки Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, должностными лицами ответственного территориального органа Службы, проводившими проверку, составляется и подписывается обобщенный акт в двух экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле ответственного территориального органа Службы.
Территориальные органы Службы, проводящие проверку под руководством ответственного территориального органа Службы, составляют и подписывают акт в трех экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю территориального подразделения Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается ко второму экземпляру акта, хранящемуся в деле территориального органа Службы, проводившего проверку. Третий экземпляр с копиями приложений направляется в ответственный территориальный орган Службы для составления обобщенного акта проверки.
79. В случае отсутствия руководителя или иного уполномоченного представителя Оператора, а также в случае отказа Оператора дать расписку об ознакомлении либо от отказе в ознакомлении с актом проверки в акте делается соответствующая запись, подтверждаемая подписями должностных лиц Службы или ее территориального органа, проводивших проверку. Данный акт с копиями приложений направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Службы или ее территориального органа.
80. При наличии разногласий по содержанию акта окончательное решение принимает должностное лицо Службы или ее территориального органа, исполняющее функции руководителя проверки. Должностные лица Службы или ее территориального органа, проводящие проверку, а также представители Оператора, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту.
Акт подписывают все должностные лица Службы или ее территориального органа, проводившие проверку, после чего в него запрещается вносить изменения и дополнения.
К акту прилагаются протоколы, справки, объяснительные работников Оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.
81. После завершения внеплановой выездной проверки, согласованной ранее с органами прокуратуры, Служба или ее территориальный орган направляют в орган прокуратуры, принявший решение о согласовании проведения проверки, копию акта проверки в течение пяти рабочих дней со дня его составления.
82. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных Оператору, вместе с актом, выдается предписание об устранении выявленных нарушений.
83. В предписании об устранении выявленных нарушений указываются:
83.1. Наименование органа федерального государственного контроля (надзора).
83.2. Дата выдачи предписания об устранении выявленных нарушений.
83.3. Номер предписания об устранении выявленных нарушений.
83.4. Наименование Оператора.
83.5. Регистрационный номер Оператора в Реестре (при наличии).
83.6. Наименование вида деятельности.
83.7. Дата и номер акта проверки.
83.8. Содержание нарушения.
83.9. Основание выдачи предписания.
83.10. Срок устранения нарушения.
83.11. Срок информирования органа федерального государственного контроля (надзора) об устранении выявленного нарушения.
83.12. Подписи должностных лиц, проводивших проверку.
84. В случае выявления по результатам проверки Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, нарушений требований законодательства Российской Федерации в области персональных данных предписания выдаются ответственным территориальным органом Службы.
85. В случае выявления в ходе или по результатам проверки административного правонарушения, предусмотренного Кодексом Российской Федерации об административных правонарушениях, в том числе невыполнения в установленный срок ранее выданного предписания об устранении выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных, должностные лица Службы или ее территориального органа составляют такой протокол в порядке, установленном законодательством Российской Федерации, или направляют материалы в органы прокуратуры, другие правоохранительные органы для разрешения вопроса о возбуждении дела об административном правонарушении, а также о возбуждении уголовного дела, при наличии оснований для возбуждения уголовных дел по признакам преступлений, выявленных в ходе проверки и связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
86. По окончании проверки должностное лицо Службы или ее территориального органа в журнале Оператора по учету проверок производит запись о проведенной проверке.
Форма журнала учета проверок установлена Приказом Минэкономразвития России от 30.04.2009 N 141. Журнал учета проверок должен быть прошит, пронумерован и удостоверен печатью Оператора.
При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.
87. Блок-схема административной процедуры оформления результатов и принятия мер по результатам проверок представлена в Приложении N 4.
IV. Порядок обжалования действий (бездействия) должностных лиц Службы или ее территориального органа, а также принимаемых ими решений при проведении проверки
88. Заявитель вправе обратиться в Службу или ее территориальный орган устно в ходе личного приема или письменно с обращением (жалобой, заявлением) на решения, действия (бездействие) должностных лиц Службы или ее территориальных органов в ходе проведения проверок на основании настоящего Регламента в соответствии с действующим законодательством Российской Федерации.
89. Заявитель вправе обжаловать действия (бездействие) должностных лиц:
89.1. Территориального органа Службы - руководителю территориального органа Службы.
89.2. Службы или руководителя территориального органа Службы - руководителю Службы.
89.3. Руководителя Службы - Министру связи и массовых коммуникаций Российской Федерации.
90. Личный прием должностными лицами Службы проводится в установленные для приема дни и время.
91. В ходе личного приема заявителю может быть отказано в дальнейшем рассмотрении обращения, если ему ранее неоднократно давались ответы по существу поставленных в обращении вопросов.
92. Письменное обращение (жалоба, заявление) рассматривается Службой или ее территориальным органом в течение 30 дней с момента его регистрации. В случаях, предусмотренных законодательством Российской Федерации, руководитель Службы или ее территориального органа либо иное уполномоченное лицо вправе продлить срок рассмотрения обращения не более чем на 30 дней, уведомив заявителя о продлении срока.
93. Служба и ее территориальные органы:
93.1. Обеспечивают объективное, всестороннее и своевременное рассмотрение обращения.
93.2. Запрашивают необходимые для рассмотрения обращения документы и материалы в других государственных органах, органах местного самоуправления и у иных должностных лиц, за исключением судов, органов дознания и органов предварительного следствия.
93.3. Принимают меры, направленные на восстановление или защиту нарушенных прав, свобод и законных интересов заявителя.
93.4. Дают письменный ответ по существу поставленных в обращении вопросов, за исключением случаев, установленных законодательством Российской Федерации.
93.5. Уведомляют заявителя о направлении его обращения на рассмотрение в другой государственный орган, орган местного самоуправления или иному должностному лицу в соответствии с их компетенцией.
94. Указанные обращения рассматриваются в порядке, установленном Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (Собрание законодательства Российской Федерации, 2006, N 19, ст. 2060).
Приложение N 1
к Административному регламенту
проведения проверок
Федеральной службы по надзору
в сфере связи, информационных
технологий и массовых
коммуникаций при осуществлении
федерального государственного
контроля (надзора) за соответствием
обработки персональных данных
требованиям законодательства
Российской Федерации
в области персональных данных
ТЕРРИТОРИАЛЬНЫЕ ОРГАНЫ СЛУЖБЫ
Приложение N 2
к Административному регламенту
проведения проверок
Федеральной службы по надзору
в сфере связи, информационных
технологий и массовых
коммуникаций при осуществлении
федерального государственного
контроля (надзора) за соответствием
обработки персональных данных
требованиям законодательства
Российской Федерации
в области персональных данных
БЛОК-СХЕМА АДМИНИСТРАТИВНОЙ ПРОЦЕДУРЫ ПРИНЯТИЯ РЕШЕНИЯ О ПРОВЕДЕНИИ ПРОВЕРОК
Приложение N 3
к Административному регламенту
проведения проверок
Федеральной службы по надзору
в сфере связи, информационных
технологий и массовых
коммуникаций при осуществлении
федерального государственного
контроля (надзора) за соответствием
обработки персональных данных
требованиям законодательства
Российской Федерации
в области персональных данных
БЛОК-СХЕМА АДМИНИСТРАТИВНОЙ ПРОЦЕДУРЫ ПРОВЕДЕНИЯ ПРОВЕРОК
Приложение N 4
к Административному регламенту
проведения проверок
Федеральной службы по надзору
в сфере связи, информационных
технологий и массовых
коммуникаций при осуществлении
федерального государственного
контроля (надзора) за соответствием
обработки персональных данных
требованиям законодательства
Российской Федерации
в области персональных данных