Законодательная база Российской Федерации

ПРИКАЗ Роскомнадзора от 01.12.2009 N 630 "ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПРОВЕДЕНИЯ ПРОВЕРОК ФЕДЕРАЛЬНОЙ СЛУЖБОЙ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ ПРИ ОСУЩЕСТВЛЕНИИ ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО КОНТРОЛЯ (НАДЗОРА) ЗА СООТВЕТСТВИЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ"

38. Проверки проводятся должностными лицами Службы и (или) ее территориального органа на основании приказов Службы и (или) ее территориальных органов.

Форма приказа утверждена Приказом Министерства экономического развития Российской Федерации от 30 апреля 2009 г. N 141 "О реализации положений Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный N 13915) (Российская газета, 2009, 14 мая) (далее - Приказ Минэкономразвития России от 30.04.2009 N 141).

39. Решение о проведении проверки принимает руководитель Службы или руководитель территориального органа Службы.

40. В день принятия решения начальник ответственного структурного подразделения Службы или территориального органа Службы готовит проект приказа о проведении проверки и направляет его на подпись руководителю Службы или руководителю территориального органа Службы.

41. Руководитель Службы или руководитель территориального органа Службы в течение одного рабочего дня подписывает приказ о проведении проверки.

42. В случае отсутствия руководителя Службы или руководителя территориального органа Службы проект приказа о проведении проверки подписывается уполномоченным лицом, исполняющим его обязанности.

43. В приказе о проведении проверки указываются:

43.1. Наименование органа федерального государственного контроля (надзора).

43.2. Фамилии, имена, отчества должностных лиц, проводящих проверку.

43.3. Наименование (фамилия, имя, отчество) Оператора.

43.4. Цели, задачи, предмет проверки и срок ее проведения.

43.5. Правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования законодательства Российской Федерации в области персональных данных.

43.6. Сроки проведения и перечень мероприятий по контролю, необходимых для достижения целей и задач проведения проверки.

43.7. Перечень административных регламентов проведения мероприятий по контролю.

43.8. Перечень документов, представление которых Оператором необходимо для достижения целей и задач проведения проверки.

43.9. Даты начала и окончания проведения проверки.

44. При проведении проверки в отношении Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, приказ о назначении ответственного территориального органа подписывается руководителем или заместителем руководителя Службы и направляется в адрес соответствующего территориального органа Службы.

45. Приказ ответственного территориального органа Службы о проведении проверки готовится на основе изданного приказа Службы и направляется в территориальные органы Службы, участвующие в проверке.

46. Территориальными органами Службы, участвующими в проверке Оператора, но не являющихся ответственными, готовятся отдельные приказы о проведении проверки в отношении территориального структурного подразделения Оператора на основе приказа ответственного территориального органа Службы.

47. При проведении проверки в отношении Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, в приказе ответственного территориального органа Службы дополнительно указываются:

47.1. Перечень территориальных органов Службы, участвующих в проверке.

47.2. Срок представления территориальными органами Службы актов проверок.

48. Ответственные за проведение проверки должностные лица Службы или ее территориального органа в соответствии с возложенными обязанностями уведомляют Оператора о проведении проверки в сроки, установленные пунктами 23, 29 настоящего Регламента.

49. При проведении проверки должностными лицами Службы или ее территориального органа составляется план (программа) проверки.

50. План (программа) проверки утверждается руководителем или заместителем руководителя Службы либо руководителем или заместителем руководителя территориального органа Службы не менее чем за три рабочих дня до начала проверки.

51. При необходимости и исходя из конкретных обстоятельств проведения проверки, в План (программу) проверки вносятся изменения. Внесение изменений производится на основании служебной записки руководителю Службы или руководителю территориального органа Службы. План (программа) проверки с внесенными изменениями утверждается руководителем или заместителем руководителя Службы либо руководителем или заместителем руководителя территориального органа Службы.

52. Согласование проведения внеплановых выездных проверок Службы или ее территориальных органов производится по месту осуществления деятельности Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства с прокурорами (заместителями прокуроров) субъектов Российской Федерации по основаниям, предусмотренным подпунктами 27.2.1 и 27.2.2 настоящего Регламента.

53. Форма заявления о согласовании с органом прокуратуры проведения внеплановой выездной проверки Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства, утверждена Приказом Минэкономразвития России от 30.04.2009 N 141.

54. Заявление о согласовании проведения внеплановой выездной проверки Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства, и прилагаемые к нему документы направляются Службой или ее территориальным органом в органы прокуратуры заказным почтовым отправлением с уведомлением о вручении либо в форме электронного документа, подписанного электронной цифровой подписью в целях оценки законности проведения внеплановой выездной проверки.

55. Решение уполномоченных должностных лиц органов прокуратуры о согласовании проведения внеплановой выездной проверки или об отказе в согласовании ее проведения может быть обжаловано вышестоящему прокурору или в суд.

56. Блок-схема административной процедуры принятия решения о проведении проверки представлена в Приложении N 2.

57. Копия приказа о проведении проверки, заверенная гербовой печатью Службы или ее территориального органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением.

58. На втором экземпляре копии приказа о проведении проверки, остающейся у должностного лица Службы или территориального органа, руководитель или иной уполномоченный представитель Оператора проставляет отметку о получении копии приказа о проведении проверки с указанием должности, фамилии, имени и отчества, а также даты и времени его получения.

59. Проверка проводится должностными лицами Службы или ее территориального органа, которые указаны в приказе о ее проведении.

60. При необходимости изменения состава должностных лиц Службы или ее территориального органа, проводящих проверку, Служба или ее территориальный орган издает соответствующий приказ.

61. Служба или ее территориальный орган не вправе осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя или иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию, предусмотренному подпунктами 27.2.2 настоящего Регламента.

62. Руководитель, иной уполномоченный представитель Оператора должен обеспечить необходимые условия для проведения проверки и обязан по требованию должностных лиц Службы или ее территориального органа, проводящих проверку, организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.

63. В случае необоснованного препятствования проведению проверки, уклонения от участия в проведении проверки руководитель или иной уполномоченный представитель Оператора несут ответственность в соответствии с законодательством Российской Федерации.

64. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:

64.1. Рассмотрение документов Оператора, в том числе:

64.1.1. Уведомление об обработке персональных данных.

64.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.

64.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.

64.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.

64.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.

64.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.

64.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.

64.2. Исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

65. Должностные лица Службы или ее территориального органа при проведении проверок вправе в пределах своей компетенции:

65.1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.

65.2. Составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

65.3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.

65.4. Использовать технику и оборудование, принадлежащие Службе или ее территориальному органу.

65.5. Запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки.

65.6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.

65.7. Направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

65.8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.

65.9. Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

66. Плановые и внеплановые проверки проводятся в форме документарной или выездной проверки. Форма проведения проверки определяется Службой или ее территориальным органом самостоятельно, с учетом оснований, предусмотренных пунктами 22, 27 настоящего Регламента.

67. Документарная проверка проводится по месту нахождения Службы или ее территориального органа.

67.1. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа.

67.2. В процессе проведения документарной проверки должностными лицами Службы или ее территориального органа в первую очередь рассматриваются документы Оператора, имеющиеся в распоряжении Службы или ее территориального органа, в том числе уведомление об обработке персональных данных, акты предыдущих проверок в области персональных данных, материалы рассмотрения дел об административных правонарушениях и иные документы о результатах, проведенных в отношении Оператора проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

67.3. Уведомление о проведении документарной проверки направляется в адрес Оператора не позднее чем в течение трех рабочих дней до начала ее проведения.

67.4. В случае, если достоверность сведений, содержащихся в документах, имеющихся в распоряжении Службы или ее территориального органа, вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, Служба или ее территориальный орган направляют в адрес Оператора мотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы. К запросу прилагается заверенная печатью копия приказа руководителя, заместителя руководителя Службы или ее территориального органа о проведении документарной проверки.

67.5. В течение десяти рабочих дней со дня получения мотивированного запроса Оператор обязан представить в Службу или ее территориальный орган указанные в запросе документы.

67.6. Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

67.7. Не допускается требовать нотариального удостоверения копий документов, представляемых в Службу или ее территориальный орган, если иное не предусмотрено законодательством Российской Федерации.

67.8. В случае если в ходе документарной проверки выявлены ошибки и (или) противоречия в представленных Оператором документах либо несоответствие сведений, содержащихся в этих документах, сведениям, содержащимся в имеющихся у Службы или ее территориального органа документах и (или) полученным в ходе проведения государственного контроля (надзора), информация об этом направляется Оператору с требованием представить в течение десяти рабочих дней необходимые пояснения в письменной форме.

67.9. Оператор вправе представить дополнительно документы, подтверждающие достоверность ранее представленных документов.

67.10. Должностные лица Службы или ее территориального органа, проводящие документарную проверку, обязаны рассмотреть представленные руководителем или иным уполномоченным представителем Оператора пояснения и документы, подтверждающие достоверность ранее представленных документов. В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Служба или ее территориальный орган установят признаки нарушения обязательных требований, установленных нормативными правовыми актами в области персональных данных, должностные лица Службы или ее территориального органа вправе провести выездную проверку.

68. Решение о проведении выездной проверки также может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством Российской Федерации сроки.

69. В день принятия решения о проведении выездной проверки ответственное должностное лицо Службы или территориального органа Службы готовит проект приказа о внесении изменений в приказ о проведении документарной проверки в части изменения вида проверки, продления сроков ее проведения и направляет его на подпись руководителю Службы или руководителю территориального органа Службы.

70. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения Оператора и (или) по месту фактического осуществления его деятельности.

70.1. Предметом выездной проверки являются содержащиеся в документах Оператора сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных.

70.2. Выездная проверка проводится в случае, если при документарной проверке не представляется возможным:

70.2.1. Удостовериться в полноте и достоверности сведений, содержащихся в уведомлении об обработке персональных данных, и иных имеющихся в распоряжении Службы или ее территориального органа документов Оператора.

70.2.2. Оценить соответствие деятельности Оператора требованиям, установленным нормативными правовыми актами в области персональных данных, без проведения соответствующей проверки.

70.2.3. Выездная проверка начинается с предъявления служебного удостоверения должностными лицами Службы или ее территориального органа, обязательного ознакомления руководителя или иного уполномоченного представителя Оператора с приказом о назначении выездной проверки и с полномочиями должностных лиц Службы или ее территориального органа, проводящих проверку, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, со сроками и с условиями ее проведения.

70.2.4. Руководитель или иной уполномоченный представитель Оператора обязаны предоставить должностным лицам Службы или ее территориального органа возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, в случае, если выездной проверке не предшествовало проведение документарной проверки, а также обеспечить доступ проводящих выездную проверку должностных лиц Службы или ее территориального органа на территорию, в используемые Оператором при осуществлении обработки персональных данных здания, строения, сооружения, помещения, к используемому Оператором оборудованию.

71. При проведении проверки должностные лица Службы и (или) ее территориальных органов не вправе:

71.1. Проверять выполнение обязательных требований и требований, установленных нормативными правовыми актами в области персональных данных, если такие требования не относятся к полномочиям Службы.

71.2. Осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя, иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию, предусмотренному подпунктами 27.2.2 настоящего Регламента.

71.3. Требовать представления документов, информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов.

71.4. Распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.

71.5. Превышать установленные сроки проведения проверки.

71.6. Осуществлять выдачу Операторам предписаний или предложений о проведении за их счет проверок.

72. Блок-схема административной процедуры проведения проверок представлена в Приложении N 3.

73. По результатам проверки должностными лицами Службы или ее территориального органа, проводившими проверку, составляется акт проверки, который оформляется непосредственно после ее завершения.

74. Форма акта утверждена Приказом Минэкономразвития России от 30.04.2009 N 141.

75. В акте проверки указываются:

75.1. Дата, время и место составления акта проверки.

75.2. Наименование Службы (ее территориального органа).

75.3. Дата и номер приказа руководителя Службы (руководителя территориального органа Службы).

75.4. Фамилии, имена, отчества должностных лиц, проводивших проверку.

75.5. Наименование проверяемого Оператора, а также фамилия, имя, отчество и должность руководителя, иного уполномоченного представителя Оператора, присутствовавших при проведении проверки.

75.6. Дата, время, продолжительность и место проведения проверки.

75.7. Сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области персональных данных, об их характере и о лицах, допустивших указанные нарушения.

75.8. Сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя, иного уполномоченного представителя Оператора, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у Оператора указанного журнала.

75.9. Подписи должностных лиц, проводивших проверку.

76. Акт должен содержать одно из следующих заключений:

76.1. Об отсутствии в деятельности Оператора нарушений требований законодательства Российской Федерации в области персональных данных.

76.2. О выявленных в деятельности Оператора нарушениях требований законодательства Российской Федерации в области персональных данных, с указанием конкретных статей и (или) пунктов нормативных правовых актов.

77. По результатам проведения проверки Оператора, осуществляющего деятельность на территории одного субъекта Российской Федерации, должностными лицами Службы или ее территориального органа акт составляется в двух экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Службы или ее территориального органа.

78. По результатам проведения проверки Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, должностными лицами ответственного территориального органа Службы, проводившими проверку, составляется и подписывается обобщенный акт в двух экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле ответственного территориального органа Службы.

Территориальные органы Службы, проводящие проверку под руководством ответственного территориального органа Службы, составляют и подписывают акт в трех экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю территориального подразделения Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается ко второму экземпляру акта, хранящемуся в деле территориального органа Службы, проводившего проверку. Третий экземпляр с копиями приложений направляется в ответственный территориальный орган Службы для составления обобщенного акта проверки.

79. В случае отсутствия руководителя или иного уполномоченного представителя Оператора, а также в случае отказа Оператора дать расписку об ознакомлении либо от отказе в ознакомлении с актом проверки в акте делается соответствующая запись, подтверждаемая подписями должностных лиц Службы или ее территориального органа, проводивших проверку. Данный акт с копиями приложений направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Службы или ее территориального органа.

80. При наличии разногласий по содержанию акта окончательное решение принимает должностное лицо Службы или ее территориального органа, исполняющее функции руководителя проверки. Должностные лица Службы или ее территориального органа, проводящие проверку, а также представители Оператора, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту.

Акт подписывают все должностные лица Службы или ее территориального органа, проводившие проверку, после чего в него запрещается вносить изменения и дополнения.

К акту прилагаются протоколы, справки, объяснительные работников Оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.

81. После завершения внеплановой выездной проверки, согласованной ранее с органами прокуратуры, Служба или ее территориальный орган направляют в орган прокуратуры, принявший решение о согласовании проведения проверки, копию акта проверки в течение пяти рабочих дней со дня его составления.

82. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных Оператору, вместе с актом, выдается предписание об устранении выявленных нарушений.

83. В предписании об устранении выявленных нарушений указываются:

83.1. Наименование органа федерального государственного контроля (надзора).

83.2. Дата выдачи предписания об устранении выявленных нарушений.

83.3. Номер предписания об устранении выявленных нарушений.

83.4. Наименование Оператора.

83.5. Регистрационный номер Оператора в Реестре (при наличии).

83.6. Наименование вида деятельности.

83.7. Дата и номер акта проверки.

83.8. Содержание нарушения.

83.9. Основание выдачи предписания.

83.10. Срок устранения нарушения.

83.11. Срок информирования органа федерального государственного контроля (надзора) об устранении выявленного нарушения.

83.12. Подписи должностных лиц, проводивших проверку.

84. В случае выявления по результатам проверки Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, нарушений требований законодательства Российской Федерации в области персональных данных предписания выдаются ответственным территориальным органом Службы.

85. В случае выявления в ходе или по результатам проверки административного правонарушения, предусмотренного Кодексом Российской Федерации об административных правонарушениях, в том числе невыполнения в установленный срок ранее выданного предписания об устранении выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных, должностные лица Службы или ее территориального органа составляют такой протокол в порядке, установленном законодательством Российской Федерации, или направляют материалы в органы прокуратуры, другие правоохранительные органы для разрешения вопроса о возбуждении дела об административном правонарушении, а также о возбуждении уголовного дела, при наличии оснований для возбуждения уголовных дел по признакам преступлений, выявленных в ходе проверки и связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

86. По окончании проверки должностное лицо Службы или ее территориального органа в журнале Оператора по учету проверок производит запись о проведенной проверке.

Форма журнала учета проверок установлена Приказом Минэкономразвития России от 30.04.2009 N 141. Журнал учета проверок должен быть прошит, пронумерован и удостоверен печатью Оператора.

При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.

87. Блок-схема административной процедуры оформления результатов и принятия мер по результатам проверок представлена в Приложении N 4.