Основания и порядок проведения проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных

Основания и порядок проведения проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных

На основании Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области (далее –Управление) организацию и проведение плановых и внеплановых мероприятий по соблюдению проверяемыми лицами обязательных требований законодательства Российской Федерации в области персональных данных на территории Иркутской области осуществляет Управление.

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок Управления на текущий календарный год.

Плановые проверки проводятся:

  • в отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных (далее - Реестр);
  •  в отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.

Основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

  • государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя.
  • окончания проведения последней плановой проверки Оператора.

Внеплановые проверки проводятся по следующим основаниям:

  • истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных;
  • поступление в Роскомнадзор (далее – Службу) или его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации, в том числе о следующих фактах:
  • возникновение угрозы причинения вреда жизни, здоровью граждан;
  • причинение вреда жизни, здоровью граждан.
  • приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации,и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

Порядок проведения проверок

Копия приказа о проведении проверки, заверенная печатью Службы или Управления, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением.

На втором экземпляре копии приказа о проведении проверки, остающейся у должностного лица Службы или Управления, руководитель или иной уполномоченный представитель Оператора проставляет отметку о получении копии приказа о проведении проверки с указанием должности, фамилии, имени и отчества, а также даты и времени его получения.

Проверка проводится должностными лицами Службы или Управления, которые указаны в приказе о ее проведении.

При необходимости изменения состава должностных лиц Службы или Управления, проводящих проверку, Служба или Управление издает соответствующий приказ.

Служба или Управление орган не вправе осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя или иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию причинение вреда жизни, здоровью граждан.

Руководитель, иной уполномоченный представитель Оператора должен обеспечить необходимые условия для проведения проверки и обязан по требованию должностных лиц Службы или Управления, проводящих проверку, организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.

В случае необоснованного препятствования проведению проверки, уклонения от участия в проведении проверки руководитель или иной уполномоченный представитель Оператора несут ответственность в соответствии с законодательством Российской Федерации.

В ходе проведения проверки Служба или Управление осуществляют следующие мероприятия по контролю:

1. Рассмотрение документов Оператора, в том числе:

  • уведомление об обработке персональных данных;
  • документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или Управление;
  • документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных;
  • письменного согласия субъекта персональных данных на обработку его персональных данных;
  • документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных;
  • документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки;
  • локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.

2. Исследование (обследование) информационной системы персональных данных, в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Плановые и внеплановые проверки проводятся в форме документарной или выездной проверки. Форма проведения проверки определяется Службой или Управлением самостоятельно, с учетом выше приведенных оснований.

Документарная проверка проводится по месту нахождения Службы или Управления.

Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или Управления.

В процессе проведения документарной проверки должностными лицами Службы или Управления в первую очередь рассматриваются документы Оператора, имеющиеся в распоряжении Службы или Управления, в том числе уведомление об обработке персональных данных, акты предыдущих проверок в области персональных данных, материалы рассмотрения дел об административных правонарушениях и иные документы о результатах, проведенных в отношении Оператора проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Уведомление о проведении документарной проверки направляется в адрес Оператора не позднее чем в течение трех рабочих дней до начала ее проведения.

В случае, если достоверность сведений, содержащихся в документах, имеющихся в распоряжении Службы или ее территориального органа, вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, Служба или Управление направляют в адрес Оператора мотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы. К запросу прилагается заверенная печатью копия приказа руководителя, заместителя руководителя Службы или ее территориального органа о проведении документарной проверки.

В течение десяти рабочих дней со дня получения мотивированного запроса Оператор обязан представить в Службу или ее Управление указанные в запросе документы.

Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

Не допускается требовать нотариального удостоверения копий документов, представляемых в Службу или Управление, если иное не предусмотрено законодательством Российской Федерации.

В случае если в ходе документарной проверки выявлены ошибки и (или) противоречия в представленных Оператором документах либо несоответствие сведений, содержащихся в этих документах, сведениям, содержащимся в имеющихся у Службы или у Управления документах и (или) полученным в ходе проведения государственного контроля (надзора), информация об этом направляется Оператору с требованием представить в течение десяти рабочих дней необходимые пояснения в письменной форме.

Оператор вправе представить дополнительно документы, подтверждающие достоверность ранее представленных документов.

Должностные лица Службы или Управления, проводящие документарную проверку, обязаны рассмотреть представленные руководителем или иным уполномоченным представителем Оператора пояснения и документы, подтверждающие достоверность ранее представленных документов. В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Служба или ее территориальный орган установят признаки нарушения обязательных требований, установленных нормативными правовыми актами в области персональных данных, должностные лица Службы или Управления вправе провести выездную проверку.

Решение о проведении выездной проверки также может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством Российской Федерации сроки.

В день принятия решения о проведении выездной проверки ответственное должностное лицо Службы или Управления готовит проект приказа о внесении изменений в приказ о проведении документарной проверки в части изменения вида проверки, продления сроков ее проведения и направляет его на подпись руководителю Службы или руководителю Управления.

Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения Оператора и (или) по месту фактического осуществления его деятельности.

Предметом выездной проверки являются содержащиеся в документах Оператора сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных.

Выездная проверка проводится в случае, если при документарной проверке не представляется возможным:

  • удостовериться в полноте и достоверности сведений, содержащихся в уведомлении об обработке персональных данных, и иных имеющихся в распоряжении Службы или ее территориального органа документов Оператора;
  • оценить соответствие деятельности Оператора требованиям, установленным нормативными правовыми актами в области персональных данных, без проведения соответствующей проверки;
  • выездная проверка начинается с предъявления служебного удостоверения должностными лицами Службы или Управления, обязательного ознакомления руководителя или иного уполномоченного представителя Оператора с приказом о назначении выездной проверки и с полномочиями должностных лиц Службы или Управления, проводящих проверку, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, со сроками и с условиями ее проведения.

При проведении проверки должностные лица Службы или Управления не вправе:

  • проверять выполнение обязательных требований и требований, установленных нормативными правовыми актами в области персональных данных, если такие требования не относятся к полномочиям Службы и Управления.
  • осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя, иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию причинение вреда жизни, здоровью граждан.
  • требовать представления документов, информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов.
  • распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.
  • превышать установленные сроки проведения проверки.
  • осуществлять выдачу Операторам предписаний или предложений о проведении за их счет проверок.

Информация об основаниях и порядке проведения проверок предоставляется при личном обращении заинтересованных лиц в Управление, по письменным обращениям заявителей, размещается на официальном сайте Роскомнадзора (http://rkn.gov.ru/) и Управления (38. rkn.gov.ru).

Время публикации: 22.06.2013 22:01
Последнее изменение: 15.12.2017 10:42