Постановление Правительства РФ от 29.06.2021 N 1046

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ
от 29 июня 2021 г. N 1046

О ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ КОНТРОЛЕ (НАДЗОРЕ) ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

(в ред. Постановлений Правительства РФ от 16.12.2021 N 2311, от 27.08.2025 N 1286)

Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных.

2. Установить, что реализация полномочий, предусмотренных настоящим постановлением, осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в пределах установленной Правительством Российской Федерации предельной численности работников центрального аппарата и территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также бюджетных ассигнований, предусмотренных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций на руководство и управление в сфере установленных функций.

3. Признать утратившим силу постановление Правительства Российской Федерации от 13 февраля 2019 г. N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных" (Собрание законодательства Российской Федерации, 2019, N 7, ст. 673).

4. Настоящее постановление вступает в силу с 1 июля 2021 г.

Председатель Правительства
Российской Федерации
М. МИШУСТИН

УТВЕРЖДЕНО
постановлением Правительства
Российской Федерации
от 29 июня 2021 г. N 1046

ПОЛОЖЕНИЕ О ФЕДЕРАЛЬНОМ ГОСУДАРСТВЕННОМ КОНТРОЛЕ (НАДЗОРЕ) ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

(в ред. Постановлений Правительства РФ от 16.12.2021 N 2311, от 27.08.2025 N 1286)

I. Общие положения

1. Настоящее Положение устанавливает порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных.

Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом "О персональных данных" и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации.

Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - контролирующий орган) и его территориальными органами.

3. Должностными лицами, уполномоченными на осуществление федерального государственного контроля (надзора) за обработкой персональных данных, являются:

а) руководитель контролирующего органа;

б) заместитель руководителя контролирующего органа;

в) руководитель территориального органа контролирующего органа;

г) заместитель руководителя территориального органа контролирующего органа;

д) должностные лица контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий;

е) должностные лица территориального органа контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий.

4. Должностными лицами, уполномоченными на принятие решений о проведении контрольных (надзорных) мероприятий, являются:

а) руководитель контролирующего органа;

б) заместитель руководителя контролирующего органа;

в) руководитель территориального органа контролирующего органа;

г) заместитель руководителя территориального органа контролирующего органа.

5. Должностные лица, осуществляющие федеральный государственный контроль (надзор) за обработкой персональных данных при проведении контрольного (надзорного) мероприятия в пределах своих полномочий и в объеме проводимых контрольных (надзорных) действий, пользуются правами, установленными частью 2 статьи 29 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".

6. К отношениям, связанным с осуществлением федерального государственного контроля (надзора) за обработкой персональных данных, применяются положения Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", за исключением контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом.

Объекты контроля

7. Объектами контроля контролирующего органа (территориального органа) в рамках государственного контроля (надзора) за обработкой персональных данных являются:

а) деятельность и результаты деятельности операторов и третьих лиц, действующих по поручению оператора (далее - объекты контроля), по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации;

б) результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке персональных данных, указанных в части 1 статьи 18.1 Федерального закона "О персональных данных", и принятых оператором мер, указанных в части 1 статьи 18.1 Федерального закона "О персональных данных".

8. Контролирующим органом (территориальным органом) учет объектов контроля обеспечивается посредством ведения единой информационной системы контролирующего органа (далее информационная система), предусматривающей соответствующий функционал.

Учет объектов контроля осуществляется уполномоченными должностными лицами контролирующего органа (территориального органа) на основании вводимой в информационную систему информации:

содержащейся в уведомлении об обработке персональных данных объекта контроля, поступившем в контролирующий орган (территориальный орган) в соответствии со статьей 22 Федерального закона "О персональных данных";

полученной в рамках межведомственного взаимодействия в порядке и сроки, которые установлены законодательством Российской Федерации;

о результатах контрольных мероприятий в отношении контролируемых лиц, размещаемой в информационной системе по окончании контрольных мероприятий в сроки, установленные законодательством Российской Федерации;

полученной из общедоступных источников информации.

Дополнение, изменение информации, на основании которой в информационной системе осуществляется учет объектов контроля, обеспечиваются уполномоченными должностными лицами контролирующего органа (территориального органа) при поступлении в контролирующий орган (территориальный орган) актуализированных сведений.

II. Управление рисками причинения вреда (ущерба) охраняемым законом ценностям при осуществлении государственного контроля (надзора)

9. При осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками.

10. Контролирующий орган (территориальный орган) при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба) (далее - категории риска):

а) высокий риск;

б) значительный риск;

в) средний риск;

г) умеренный риск;

д) низкий риск.

Критерии отнесения объектов государственного контроля (надзора) к категориям риска

11. Отнесение объектов государственного контроля к определенной категории риска осуществляется на основании критериев отнесения объектов государственного контроля к определенной категории риска, установленных согласно приложению.

Учет рисков причинения вреда (ущерба) охраняемым законом ценностям при проведении контрольных (надзорных) мероприятий

12. В отношении объектов контроля, отнесенных к категории высокого риска, проводятся одно плановое контрольное (надзорное) мероприятие в 2 года или один обязательный профилактический визит в год. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Периодичность проведения обязательных профилактических визитов для объектов контроля, отнесенных к категории значительного, среднего или умеренного риска, устанавливается в соответствии с периодичностью, определенной Правительством Российской Федерации в соответствии с пунктом 3 части 2 статьи 25 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Плановые контрольные (надзорные) мероприятия в отношении объектов контроля, отнесенных к категории значительного, среднего, умеренного или низкого риска, и обязательные профилактические визиты в отношении объектов контроля, отнесенных к категории низкого риска, не проводятся. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

III. Профилактика рисков причинения вреда (ущерба) охраняемым законом ценностям

13. При осуществлении государственного контроля (надзора) за обработкой персональных данных могут проводиться следующие виды профилактических мероприятий:

а) информирование;

б) обобщение правоприменительной практики;

в) объявление предостережения;

г) консультирование;

д) профилактический визит.

Информирование

14. Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения соответствующих сведений на официальном сайте контролирующего органа в информационно-телекоммуникационной сети "Интернет" (далее - есть "Интернет), в средствах массовой информации, в личных кабинетах контролируемых лиц в информационной системе.

15. Контролирующий орган размещает и поддерживает в актуальном состоянии на своем официальном сайте в сети "Интернет" сведения, предусмотренные статьей 46 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".

Обобщение правоприменительной практики

16. Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется один раз в год. По итогам обобщения правоприменительной практики готовится доклад о правоприменительной практике.

17. Доклад о правоприменительной практике утверждается приказом (распоряжением) руководителя контролирующего органа не позднее 31 марта года, следующего за отчетным, и размещается на официальном сайте в сети "Интернет" не позднее 3 рабочих дней со дня его утверждения.

Объявление предостережения

18. В случае наличия у контролирующего органа и (или) его территориального органа сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям, контролирующий орган (территориальный орган) в соответствии со статьей 49 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" объявляет контролируемому лицу предостережение о недопустимости нарушения обязательных требований, предлагает ему принять меры по обеспечению соблюдения обязательных требований.

19. В предостережении о недопустимости нарушения обязательных требований в том числе указывается:

а) наименование юридического лица, адрес места нахождения или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, адрес места жительства;

б) обязательные требования, предусматривающие их нормативный правовой акт, информация о том, какие действия (бездействие) контролируемого лица могут привести или приводят к нарушению обязательных требований, а также предложение о принятии мер по обеспечению соблюдения данных требований.

20. Контролируемое лицо вправе в течение 10 рабочих дней со дня получения предостережения подать в контролирующий орган (территориальный орган) возражение в отношении указанного предостережения.

В возражении контролируемым лицом указываются:

наименование юридического лица, фамилия, имя, отчество (при наличии) индивидуального предпринимателя;

дата и номер предостережения, направленного в адрес контролируемого лица;

идентификационный номер налогоплательщика - юридического лица, индивидуального предпринимателя;

обоснование позиции относительно указанных в предостережении действий (бездействия) юридического лица, индивидуального предпринимателя, которые приводят или могут привести к нарушению обязательных требований, и (или) информация о наличии в предостережении требования о представлении контролируемым лицом сведений и документов, сроков для устранения последствий, возникших в результате действий (бездействия) контролируемого лица, которые могут привести или приводят к нарушению обязательных требований; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

иные документы, подтверждающие обоснованность таких возражений, или их заверенные копии (при наличии).

21. Возражения направляются контролируемым лицом в бумажном виде почтовым отправлением в контролирующий орган (территориальный орган), либо в виде электронного документа, оформляемого в соответствии со статьей 21 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", на указанный в предостережении адрес электронной почты контролирующего (территориального органа), либо иными указанными в предостережении способами.

22. Возражение рассматривается в течение 20 рабочих дней со дня регистрации возражения.

23. По результатам рассмотрения возражения принимается одно из следующих решений:

а) удовлетворить возражение в форме отмены объявленного предостережения;

б) отказать в удовлетворении возражения.

24. Не позднее дня, следующего за днем принятия решения, указанного в пункте 22 настоящего Положения, контролируемому лицу, подавшему возражение, в письменной форме и по его желанию в электронной форме направляется мотивированный ответ о результатах рассмотрения возражения.

25. Повторное направление возражения по тем же основаниям не допускается. Поступившее в контролирующий орган (территориальный орган) возражение по тем же основаниям подлежит оставлению без рассмотрения, о чем контролируемое лицо уведомляется посредством направления соответствующего уведомления на адрес электронной почты или иным доступным способом.

Консультирование

26. Консультирование может осуществляться должностным лицом контролирующего органа (территориального органа) по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связи, на личном приеме.

27. Должностные лица контролирующего органа (территориального органа) предоставляют консультирование по следующим вопросам:

а) наличие и (или) содержание обязательных требований в сфере обработки персональных данных;

б) периодичность и порядок проведения контрольных (надзорных) мероприятий;

в) порядок выполнения обязательных требований в сфере обработки персональных данных;

г) выполнение предписания, выданного по итогам контрольного мероприятия.

28. Должностные лица контролирующего органа (территориального органа) предоставляют письменное консультирование по вопросу, предусмотренному подпунктом "г" пункта 27 настоящего Положения.

29. Консультирование по вопросам, предусмотренным подпунктами "а" - "в" пункта 27 настоящего Положения, при поступлении в контролирующий орган 50 и более однотипных обращений, направленных от различных контролируемых лиц и их представителей производится посредством размещения на официальном сайте контролирующего органа в сети "Интернет" письменного разъяснения, подписанного уполномоченным должностным лицом контролирующего органа.

Профилактический визит

30. Профилактический визит проводится по инициативе контролирующего органа (территориального органа) (обязательный профилактический визит) или по инициативе контролируемого лица. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Обязательный профилактический визит проводится в соответствии с пунктами 1 и 4 части 1 статьи 52.1 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", а также в случаях, установленных Правительством Российской Федерации в соответствии с частью 2 статьи 52.1 указанного Федерального закона. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Профилактический визит проводится в форме профилактической беседы должностным лицом контролирующего органа (территориального органа) по месту осуществления деятельности контролируемого лица либо путем использования видео-конференц-связи или разработанного на базе государственной информационной системы программного обеспечения, применяемого контролирующими органами и контролируемыми лицами с использованием компьютерного устройства (мобильного телефона, смартфона или компьютера, включая планшетный компьютер) (далее - мобильное приложение "Инспектор"). (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Осмотр в рамках обязательного профилактического визита может осуществляться с использованием средств дистанционного взаимодействия, в том числе посредством видео-конференц-связи, а также с использованием мобильного приложения "Инспектор". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Фотосъемка и (или) видеозапись при проведении осмотра в рамках обязательного профилактического визита осуществляются с использованием мобильного приложения "Инспектор". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

31. - 32. Пункты утратили силу. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

33. Срок проведения обязательного профилактического визита не может превышать 10 рабочих дней. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

34. В случае если выявленные нарушения обязательных требований не устранены до окончания проведения обязательного профилактического визита, контролируемому лицу выдается предписание об устранении выявленных нарушений обязательных требований. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

35. В случае если при проведении профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда (ущерба) охраняемым законом ценностям или такой вред (ущерб) причинен, должностное лицо (лица) незамедлительно направляет информацию об этом уполномоченному должностному лицу контролирующего органа (территориального органа) для принятия решения о проведении контрольных (надзорных) мероприятий в соответствии с положениями статьи 60 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

36. Контролирующий орган (территориальный орган) осуществляет учет профилактических визитов.

IV. Осуществление федерального государственного контроля (надзора)

37. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется посредством проведения плановых и внеплановых контрольных (надзорных) мероприятий.

38. Плановые контрольные (надзорные) мероприятия проводятся на основании плана проведения плановых контрольных (надзорных) мероприятий на очередной календарный год, согласованного с органами прокуратуры. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

39. Организация проведения внеплановых контрольных (надзорных) мероприятий, осуществляется в соответствии с положениями статьи 66 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным пунктами 1, 3 - 5, 7 и 9 части 1 и частью 3 статьи 57 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

40. В случае временной нетрудоспособности, нахождения в служебной командировке индивидуальный предприниматель, гражданин, являющиеся контролируемыми лицами, вправе представить в контрольный (надзорный) орган информацию о невозможности присутствия при проведении контрольного (надзорного) мероприятия.

По результатам рассмотрения представленной информации контролирующим органом (территориальным органом) принимается решение о переносе сроков проведения контрольного (надзорного) мероприятия на срок, необходимый для устранения обстоятельств, послуживших поводом для данного обращения индивидуального предпринимателя, гражданина в контролирующий орган (территориальный орган).

Порядок фотосъемки, аудио- и видеозаписи и иных способов фиксации доказательств

41. Для фиксации доказательств выявленных нарушений обязательных требований по решению должностного лица контролирующего органа (территориального органа) могут осуществляться фотосъемка, аудио- и (или) видеозапись. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Зафиксированные с помощью фотосъемки, аудио- и (или) видеозаписи доказательства нарушений обязательных требований, выявленных при проведении контрольных (надзорных) мероприятий, оформляются в виде приложения к акту контрольного (надзорного) мероприятия (далее - акт). (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Контрольные (надзорные) мероприятия

42. Федеральный государственный контроль (надзор) осуществляется посредством проведения следующих контрольных (надзорных) мероприятий:

а) инспекционный визит;

б) документарная проверка;

в) выездная проверка.

42.1. Указанные в пункте 42 настоящего Положения контрольные (надзорные) мероприятия, а также совершаемые в рамках контрольных (надзорных) мероприятий контрольные (надзорные) действия проводятся в порядке, предусмотренном Федеральным законом "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Осмотр, опрос и экспертиза могут осуществляться с использованием средств дистанционного взаимодействия, в том числе посредством видео-конференц-связи, а также с использованием мобильного приложения "Инспектор". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Фотосъемка и (или) видеозапись при проведении осмотра в рамках инспекционного визита и выездной проверки осуществляются с использованием мобильного приложения "Инспектор". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Инспекционный визит

43. Инспекционный визит проводится по месту нахождения (осуществления деятельности) контролируемого лица (его филиалов, представительств, обособленных структурных подразделений) либо объекта контроля, или с использованием средств дистанционного взаимодействия, в том числе посредством видео-конференц-связи, или с использованием мобильного приложения "Инспектор". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

44. В ходе инспекционного визита могут совершаться следующие контрольные (надзорные) действия:

а) осмотр;

б) опрос;

в) получение письменных объяснений;

г) истребование документов, которые в соответствии с обязательными требованиями должны находиться в месте нахождения (осуществления деятельности) контролируемого лица (его филиалов, представительств, обособленных структурных подразделений) либо объекта контроля.

45. Срок проведения инспекционного визита в одном месте осуществления деятельности либо на одном производственном объекте (территории) не может превышать один рабочий день. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

45.1. В случае если выявленные нарушения обязательных требований не устранены до окончания проведения инспекционного визита, контролируемому лицу выдается предписание об устранении выявленных нарушений обязательных требований. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Документарная проверка

46. В ходе документарной проверки могут совершаться следующие контрольные (надзорные) действия:

получение письменных объяснений;

истребование документов.

Срок проведения документарной проверки не может превышать 10 рабочих дней.

Документарная проверка проводится по месту нахождения контролирующего органа (территориального органа). (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

47. Пункт утратил силу. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

48. В случае если достоверность сведений, содержащихся в документах, имеющихся в распоряжении контролирующего органа (территориального органа), вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение контролируемым лицом обязательных требований, контролирующий орган (территориальный орган) направляет в адрес контролируемого лица требование представить иные необходимые для рассмотрения в ходе документарной проверки документы. Контролируемое лицо обязано представить в контролирующий орган (территориальный орган) документы и информацию, необходимые для проведения документарной проверки, в срок, указанный в требовании об истребовании документов.

49. В целях недопущения нарушения сроков проведения документарной проверки контрольными датами контрольных (надзорных) действий, в том числе предоставления контролируемым лицом запрашиваемых документов, являются даты регистрации соответствующих документов в системе электронного документооборота контролирующего органа (территориального органа).

49.1. В случае если выявленные нарушения обязательных требований не устранены до окончания проведения документарной проверки, контролируемому лицу выдается предписание об устранении выявленных нарушений обязательных требований. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

50. Направление контролируемому лицу запросов о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в контролирующий орган (территориальный орган), не является документарной проверкой.

Выездная проверка

51. Выездная проверка проводится по месту нахождения (осуществления деятельности) контролируемого лица (его филиалов, представительств, обособленных структурных подразделений) либо объекта контроля, или с использованием средств дистанционного взаимодействия, в том числе посредством видео-конференц-связи, или с использованием мобильного приложения "Инспектор". (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

В ходе выездной проверки могут совершаться следующие контрольные (надзорные) действия: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

осмотр; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

опрос; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

получение письменных объяснений; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

истребование документов; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

инструментальное обследование; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

экспертиза. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Срок проведения выездной проверки не может превышать 10 рабочих дней. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

52. О проведении выездной проверки контролируемое лицо уведомляется в порядке, предусмотренном статьей 21 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", посредством направления копии решения о проведении выездной проверки не позднее чем за 24 часа до ее начала. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

52.1. В случае если выявленные нарушения обязательных требований не устранены до окончания проведения выездной проверки, контролируемому лицу выдается предписание об устранении выявленных нарушений обязательных требований. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

V. Результаты контрольного (надзорного) мероприятия

53. По окончании проведения контрольного (надзорного) мероприятия составляется акт. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

54. Оформление акта производится на месте проведения контрольного (надзорного) мероприятия в день окончания проведения такого мероприятия.

55. При наличии обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, значительным количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных, оформление и вручение акта производятся не позднее 5 рабочих дней со дня окончания контрольного (надзорного) мероприятия.

56. К акту прилагаются протоколы контрольных (надзорных) действий, предписание об устранении выявленных нарушений, материальные носители персональных данных и иные связанные с результатами контрольных (надзорных) мероприятий оригиналы документов или их копии.

VI. Обжалование решений контролирующего органа, действий (бездействия) его должностных лиц

57. Правом на обжалование решений контролирующего органа (территориального органа) действий (бездействия) их должностных лиц обладает контролируемое лицо, в отношении которого приняты решения или совершены действия (бездействие), указанные в части 4 статьи 40 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".

Жалоба на решение территориального органа контролирующего органа, действия (бездействие) его должностных лиц рассматривается руководителем (заместителем руководителя) данного территориального органа либо контролирующим органом.

Жалоба на действия (бездействие) руководителя (заместителя руководителя) территориального органа контролирующего органа рассматривается контролирующим органом.

В случае обжалования решений должностного лица контролирующего органа, действий (бездействия) должностных лиц центрального аппарата контролирующего органа жалоба рассматривается руководителем контролирующего органа. В случае отсутствия вышестоящего органа контролирующего органа жалоба на решения, действия (бездействие) руководителя контролирующего органа рассматривается руководителем контролирующего органа. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Жалоба на решение, действия (бездействие) должностных лиц контролирующего органа (территориального органа) может быть подана в течение 30 календарных дней со дня, когда контролируемое лицо узнало или должно было узнать о нарушении своих прав.

Жалоба на предписание контролирующего органа (территориального органа) может быть подана в течение 10 рабочих дней с момента получения контролируемым лицом предписания.

В случае пропуска по уважительной причине срока подачи жалобы этот срок по ходатайству лица, подающего жалобу, может быть восстановлен контролирующим органом (территориальным органом).

Лицо, подавшее жалобу, до принятия решения по жалобе может ее отозвать. При этом повторное направление жалобы по тем же основаниям не допускается.

Жалоба может содержать ходатайство о приостановлении исполнения обжалуемого решения контролирующего органа (территориального органа).

Контролирующий орган (территориальный орган) не позднее 2 рабочих дней со дня регистрации жалобы принимает решение:

о приостановлении исполнения обжалуемого решения;

об отказе в приостановлении исполнения обжалуемого решения.

Информация об указанном решении направляется лицу, подавшему жалобу, в течение одного рабочего дня с момента принятия решения.

Жалоба должна содержать:

наименование контролирующего органа (территориального органа), фамилию, имя, отчество (при наличии) должностного лица, решение и (или) действие (бездействие) которых обжалуются;

фамилию, имя, отчество (при наличии), сведения о месте жительства (месте осуществления деятельности) гражданина, либо наименование организации-заявителя, сведения о месте нахождения организации-заявителя либо реквизиты доверенности и фамилию, имя, отчество (при наличии) лица, подающего жалобу по доверенности, желаемый способ осуществления взаимодействия на время рассмотрения жалобы и желаемый способ получения решения по ней;

сведения об обжалуемом решении и (или) действии (бездействии) должностного лица контролирующего органа (территориального органа), которые привели или могут привести к нарушению прав контролируемого лица, подавшего жалобу;

основания и доводы, на основании которых заявитель не согласен с решением и (или) действием (бездействием) должностного лица контролирующего органа (территориального органа). Лицом, подающим жалобу, могут быть представлены документы (при наличии), подтверждающие его доводы, либо их копии;

требования лица, подавшего жалобу;

учетный номер контрольного (надзорного) мероприятия или обязательного профилактического визита в едином реестре контрольных (надзорных) мероприятий, в отношении которых подается жалоба, в случае подачи жалобы по основаниям, предусмотренным пунктами 1 - 3 части 4 статьи 40 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации"; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

учетный номер объекта контроля в едином реестре видов федерального государственного контроля (надзора), регионального государственного контроля (надзора), муниципального контроля (при обжаловании решения об отнесении объекта контроля к соответствующей категории риска). (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Жалоба не должна содержать нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностных лиц контролирующего органа (территориального органа) либо членов их семей.

Подача жалобы может быть осуществлена полномочным представителем контролируемого лица в случае делегирования ему соответствующего права с помощью федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".

К жалобе может быть приложена позиция Уполномоченного при Президенте Российской Федерации по защите прав предпринимателей, его общественного представителя, уполномоченного по защите прав предпринимателей в субъекте Российской Федерации, относящаяся к предмету жалобы. Ответ на позицию Уполномоченного при Президенте Российской Федерации по защите прав предпринимателей, его общественного представителя, уполномоченного по защите прав предпринимателей в субъекте Российской Федерации направляется уполномоченным органом лицу, подавшему жалобу, в течение одного рабочего дня с момента принятия решения по жалобе.

Контролирующий орган (территориальный орган) принимает решение об отказе в рассмотрении жалобы в течение 5 рабочих дней с момента получения жалобы, если:

жалоба подана после истечения сроков подачи жалобы, установленных частями 5 и 6 статьи 40 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", и не содержит ходатайства о восстановлении пропущенного срока на подачу жалобы;

в удовлетворении ходатайства о восстановлении пропущенного срока на подачу жалобы отказано;

до принятия решения по жалобе от контролируемого лица, ее подавшего, поступило заявление об отзыве жалобы;

имеется решение суда по вопросам, поставленным в жалобе;

ранее в уполномоченный на рассмотрение жалобы орган была подана другая жалоба от того же контролируемого лица по тем же основаниям;

жалоба содержит нецензурные либо оскорбительные выражения, угрозы жизни, здоровью и имуществу должностных лиц контрольного (надзорного) органа, а также членов их семей;

ранее получен отказ в рассмотрении жалобы по тому же предмету, исключающий возможность повторного обращения данного контролируемого лица с жалобой, и не приводятся новые доводы или обстоятельства;

жалоба подана в ненадлежащий уполномоченный орган;

законодательством Российской Федерации предусмотрен только судебный порядок обжалования решений контрольного (надзорного) органа.

Контролирующий орган (территориальный орган) вправе запросить у лица, подавшего жалобу, дополнительную информацию и документы, относящиеся к предмету жалобы. Контролируемое лицо обязано представить указанные информацию и документы в течение 5 рабочих дней с момента направления запроса. Течение срока рассмотрения жалобы приостанавливается с момента направления запроса о представлении дополнительных документов и информации, относящихся к предмету жалобы, до момента получения их контролирующим органом (территориальным органом), но не более чем на 5 рабочих дней с момента направления запроса. Неполучение от контролируемого лица дополнительных документов и информации, относящихся к предмету жалобы, не является основанием для отказа в рассмотрении жалобы.

Не допускается запрашивать у контролируемого лица, подавшего жалобу, документы и информацию, которые находятся в распоряжении контролирующего органа (территориального органа).

Жалоба рассматривается контролирующим органом (территориальным органом) в течение 15 рабочих дней со дня ее регистрации, а жалоба на решение об отнесении объектов контроля к соответствующей категории риска - в течение 5 рабочих дней. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Обязанность доказывания законности и обоснованности принятого решения и (или) совершенного действия (бездействия) возлагается на контролирующий орган (территориальный орган).

По итогам рассмотрения жалобы контролирующий орган (территориальный орган):

оставляет жалобу без удовлетворения;

отменяет решение полностью или частично;

отменяет решение полностью и принимает новое решение;

признает действия (бездействие) должностных лиц контролирующего органа (территориального органа) незаконными и выносит решение по существу, в том числе об осуществлении при необходимости определенных действий. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Решение контролирующего органа (территориального органа), содержащее обоснование принятого решения, срок и порядок его исполнения, размещается не позднее рабочего дня со дня его принятия в личном кабинете контролируемого лица в федеральной государственной информационной системе "Единый портал государственных и муниципальных услуг (функций)".

VII. Организация и проведение контрольных (надзорных) мероприятий без взаимодействия с контролируемым лицом (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

58. Контрольные (надзорные) мероприятия без взаимодействия с контролируемым лицом проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения обязательных требований. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Контрольные (надзорные) мероприятия без взаимодействия с контролируемым лицом проводятся должностными лицами контролирующего органа (территориального органа), в том числе с использованием информационных систем, принадлежащих и (или) находящихся в пользовании контролирующего органа (территориального органа), на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) контролирующего органа (территориального органа). (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

59. К контрольным (надзорным) мероприятиям без взаимодействия с контролируемым лицом относятся: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

а) наблюдение за соблюдением обязательных требований при размещении информации в сети "Интернет"; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

б) наблюдение за соблюдением обязательных требований посредством анализа информации о деятельности контролируемого лица, которая представляется контролируемым лицом (в том числе посредством использования федеральных государственных информационных систем) в контролирующий орган (территориальный орган) в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или может быть получена (в том числе в рамках межведомственного информационного взаимодействия). (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

60. Задание на проведение контрольного (надзорного) мероприятия без взаимодействия с контролируемым лицом выдается в случае: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

а) наличия поручения Президента Российской Федерации, поручения Правительства Российской Федерации, а также руководителя контролирующего органа;

б) обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в средствах массовой информации и размещения в сети "Интернет" информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушении обязательных требований. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

61. По итогам проведения контрольного (надзорного) мероприятия без взаимодействия с контролируемым лицом должностными лицами контролирующего органа (территориального органа) составляется докладная записка на имя руководителя (уполномоченного заместителя руководителя) контролирующего органа (территориального органа). (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

При выявлении по итогам проведения контрольного (надзорного) мероприятия без взаимодействия с контролируемым лицом нарушения обязательных требований контролируемому лицу: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

направляется письмо с требованием о прекращении обработки персональных данных, или об обеспечении ее прекращения (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), или уничтожении персональных данных, или обеспечении их уничтожения (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), осуществляемых с нарушением требований законодательства Российской Федерации в области персональных данных; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

направляется письмо с требованием об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 рабочих дней с информированием контролирующего органа (территориального органа) об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных нарушений обязательных требований; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

объявляется предостережение о недопустимости нарушения обязательных требований и предлагается принять меры по обеспечению соблюдения обязательных требований. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

Выявленные по итогам проведения контрольного (надзорного) мероприятия без взаимодействия с контролируемым лицом сведения о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям направляются уполномоченному должностному лицу контролирующего органа (территориального органа) для принятия решений в соответствии со статьей 60 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".​​​​​​​ (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

VIII. Ключевой показатель федерального контроля и его целевые значения (в ред. Постановления Правительства РФ от 16.12.2021 N 2311)

62. Ключевым показателем государственного контроля (надзора) и его целевыми значениями является доля контролируемых лиц, категория риска которых повышена в отчетном периоде по причинам, не связанным с изменением группы тяжести указанных контролируемых лиц, к общему числу контролируемых лиц в 2022 году - не более 5 процентов, в 2023 году - не более 5 процентов, в 2024 году - не более 4 процентов, в 2025 году - не более 4 процентов и в 2026 году - не более 3 процентов.

Приложение
к Положению о федеральном
государственном контроле (надзоре)
за обработкой персональных данных

КРИТЕРИИ ОТНЕСЕНИЯ ОБЪЕКТОВ КОНТРОЛЯ К ОПРЕДЕЛЕННОЙ КАТЕГОРИИ РИСКА

(в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

1. С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований деятельность контролируемого лица, подлежащая федеральному государственному контролю (надзору), разделяется на группы тяжести "А", "Б", "В" и "Г" (далее - группы тяжести).

2. К группе тяжести "А" относятся следующие виды деятельности: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

а) обработка специальной категории персональных данных и (или) биометрических персональных данных; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

б) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные более чем 100000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

в) обработка персональных данных на основании согласия субъекта персональных данных на обработку его персональных данных в случаях, если федеральным законом не предусмотрена обязанность получения такого согласия; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

г) сбор персональных данных, в том числе в информационно­телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), осуществляемый с использованием принадлежащих иностранным юридическим лицами и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

д) трансграничная передача персональных данных на территории иностранных государств, не включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона "О персональных данных"; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

е) передача третьим лицам персональных данных, полученных в результате обезличивания персональных данных с использованием методов обезличивания персональных данных, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных.​​​​​​​ (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

3. К группе тяжести "Б" относятся следующие виды деятельности: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

а) обработка персональных данных несовершеннолетних лиц в случаях, предусмотренных законодательством Российской Федерации; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

б) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные более чем 10000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

в) сбор персональных данных, в том числе в сети "Интернет", осуществляемый с использованием баз данных, находящихся за пределами Российской Федерации в случаях, указанных в пунктах 2, 3, 4 и 8 части 1 статьи 6 Федерального закона "О персональных данных"; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

г) осуществление трансграничной передачи персональных данных без подачи уведомления, предусмотренного частью 3 статьи 12 Федерального закона "О персональных данных", в случаях, определяемых Правительством Российской Федерации в соответствии с частью 15 статьи 12 указанного Федерального закона; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

д) обезличивание персональных данных, обработка персональных данных, полученных в результате обезличивания персональных данных, с использованием методов обезличивания персональных данных, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных, без передачи третьим лицам. (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

4. К группе тяжести "В" относятся следующие виды деятельности: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

а) обработка персональных данных близких родственников субъекта персональных данных; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

б) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные от 1000 до 10000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

в) трансграничная передача персональных данных на территории иностранных государств, включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона "О персональных данных"; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

г) распространение персональных данных на основании согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, полученного в соответствии со статьей 10.1 Федерального закона "О персональных данных".​​​​​​​ (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

5. К группе тяжести "Г" относятся следующие виды деятельности: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

а) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные менее чем 1000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

б) обработка персональных данных, полученных из общедоступных источников персональных данных.​​​​​​​ (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

6. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам тяжести, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

7. С учетом оценки вероятности несоблюдения контролируемыми лицами обязательных требований деятельность, подлежащая государственному контролю (надзору), разделяется на группы вероятности "1", "2", "3", "4" (далее - группы вероятности).

8. К группе вероятности "1" относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 8, 9, 12 - 18 статьи 13.11 и статьей 13.11.3 Кодекса Российской Федерации об административных правонарушениях: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;

в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

9. К группе вероятности "2" относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1, 2, 5, 6, 10, 11 статьи 13.11 и статьей 13.11.2 Кодекса Российской Федерации об административных правонарушениях: (в ред. Постановления Правительства РФ от 27.08.2025 N 1286)

по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;

в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

10. К группе вероятности "3" относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 4, 7 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;

в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

11. К группе вероятности "4" относится деятельность контролируемых лиц при отсутствии обстоятельств, указанных в пунктах 8 - 10 настоящего приложения.

12. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам вероятности, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

13. Отнесение деятельности контролируемого лица к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице: