О федеральном государственном контроле (надзоре) за обработкой персональных данных
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 29 июня 2021 г. № 1046
МОСКВА
О федеральном государственном контроле (надзоре) за обработкой персональных данных
(В редакции постановлений Правительства Российской Федерации от 16.12.2021 № 2311, от 27.08.2025 № 1286)
Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных.
2. Установить, что реализация полномочий, предусмотренных настоящим постановлением, осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в пределах установленной Правительством Российской Федерации предельной численности работников центрального аппарата и территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также бюджетных ассигнований, предусмотренных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций на руководство и управление в сфере установленных функций.
3. Признать утратившим силу постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных" (Собрание законодательства Российской Федерации, 2019, № 7, ст. 673) .
4. Настоящее постановление вступает в силу с 1 июля 2021 г.
Председатель Правительства Российской Федерации М.Мишустин
УТВЕРЖДЕНО постановлением Правительства Российской Федерацииот 29 июня 2021 г. № 1046
ПОЛОЖЕНИЕ о федеральном государственном контроле (надзоре) за обработкой персональных данных
(В редакции постановлений Правительства Российской Федерации от 16.12.2021 № 2311, от 27.08.2025 № 1286)
I. Общие положения
1. Настоящее Положение устанавливает порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных.
Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом "О персональных данных" и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации.
Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) , совершаемые с персональными данными.
2. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - контролирующий орган) и его территориальными органами.
3. Должностными лицами, уполномоченными на осуществление федерального государственного контроля (надзора) за обработкой персональных данных, являются:
а) руководитель контролирующего органа;
б) заместитель руководителя контролирующего органа;
в) руководитель территориального органа контролирующего органа;
г) заместитель руководителя территориального органа контролирующего органа;
д) должностные лица контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора) , в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий;
е) должностные лица территориального органа контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора) , в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий.
4. Должностными лицами, уполномоченными на принятие решений о проведении контрольных (надзорных) мероприятий, являются:
а) руководитель контролирующего органа;
б) заместитель руководителя контролирующего органа;
в) руководитель территориального органа контролирующего органа;
г) заместитель руководителя территориального органа контролирующего органа.
5. Должностные лица, осуществляющие федеральный государственный контроль (надзор) за обработкой персональных данных при проведении контрольного (надзорного) мероприятия в пределах своих полномочий и в объеме проводимых контрольных (надзорных) действий, пользуются правами, установленными частью 2 статьи 29 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
6. К отношениям, связанным с осуществлением федерального государственного контроля (надзора) за обработкой персональных данных, применяются положения Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", за исключением контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом.
Объекты контроля
7. Объектами контроля контролирующего органа (территориального органа) в рамках государственного контроля (надзора) за обработкой персональных данных являются:
а) деятельность и результаты деятельности операторов и третьих лиц, действующих по поручению оператора (далее - объекты контроля) , по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации;
б) результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке персональных данных, указанных в части 1 статьи 181 Федерального закона "О персональных данных", и принятых оператором мер, указанных в части 1 статьи 181 Федерального закона "О персональных данных".
8. Контролирующим органом (территориальным органом) учет объектов контроля обеспечивается посредством ведения единой информационной системы контролирующего органа (далее - информационная система) , предусматривающей соответствующий функционал.
Учет объектов контроля осуществляется уполномоченными должностными лицами контролирующего органа (территориального органа) на основании вводимой в информационную систему информации:
содержащейся в уведомлении об обработке персональных данных объекта контроля, поступившем в контролирующий орган (территориальный орган) в соответствии со статьей 22 Федерального закона "О персональных данных";
полученной в рамках межведомственного взаимодействия в порядке и сроки, которые установлены законодательством Российской Федерации;
о результатах контрольных мероприятий в отношении контролируемых лиц, размещаемой в информационной системе по окончании контрольных мероприятий в сроки, установленные законодательством Российской Федерации;
полученной из общедоступных источников информации.
Дополнение, изменение информации, на основании которой в информационной системе осуществляется учет объектов контроля, обеспечиваются уполномоченными должностными лицами контролирующего органа (территориального органа) при поступлении в контролирующий орган (территориальный орган) актуализированных сведений.
II. Управление рисками причинения вреда (ущерба) охраняемым законом ценностям при осуществлении государственного контроля (надзора)
9. При осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками.
10. Контролирующий орган (территориальный орган) при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба) (далее - категории риска) :
а) высокий риск;
б) значительный риск;
в) средний риск;
г) умеренный риск;
д) низкий риск.
Критерии отнесения объектов государственного контроля (надзора) к категориям риска
11. Отнесение объектов государственного контроля к определенной категории риска осуществляется на основании критериев отнесения объектов государственного контроля к определенной категории риска, установленных согласно приложению.
Учет рисков причинения вреда (ущерба) охраняемым законом ценностям при проведении контрольных (надзорных) мероприятий
12. В отношении объектов контроля, отнесенных к категории высокого риска, проводятся одно плановое контрольное (надзорное) мероприятие в 2 года или один обязательный профилактический визит в год.
Периодичность проведения обязательных профилактических визитов для объектов контроля, отнесенных к категории значительного, среднего или умеренного риска, устанавливается в соответствии с периодичностью, определенной Правительством Российской Федерации в соответствии с пунктом 3 части 2 статьи 25 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
Плановые контрольные (надзорные) мероприятия в отношении объектов контроля, отнесенных к категории значительного, среднего, умеренного или низкого риска, и обязательные профилактические визиты в отношении объектов контроля, отнесенных к категории низкого риска, не проводятся.
(Пункт в редакции Постановления Правительства Российской Федерации от 27.08.2025 № 1286)
III. Профилактика рисков причинения вреда (ущерба) охраняемым законом ценностям
13. При осуществлении государственного контроля (надзора) за обработкой персональных данных могут проводиться следующие виды профилактических мероприятий:
а) информирование;
б) обобщение правоприменительной практики;
в) объявление предостережения;
г) консультирование;
д) профилактический визит.
Информирование
14. Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения соответствующих сведений на официальном сайте контролирующего органа в информационно-телекоммуникационной сети "Интернет" (далее - есть "Интернет) , в средствах массовой информации, в личных кабинетах контролируемых лиц в информационной системе.
15. Контролирующий орган размещает и поддерживает в актуальном состоянии на своем официальном сайте в сети "Интернет" сведения, предусмотренные статьей 46 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации".
Обобщение правоприменительной практики
16. Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется один раз в год. По итогам обобщения правоприменительной практики готовится доклад о правоприменительной практике.
17. Доклад о правоприменительной практике утверждается приказом (распоряжением) руководителя контролирующего органа не позднее 31 марта года, следующего за отчетным, и размещается на официальном сайте в сети "Интернет" не позднее 3 рабочих дней со дня его утверждения.
Объявление предостережения
18. В случае наличия у контролирующего органа и (или) его территориального органа сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям, контролирующий орган (территориальный орган) в соответствии со статьей 49 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" объявляет контролируемому лицу предостережение о недопустимости нарушения обязательных требований, предлагает ему принять меры по обеспечению соблюдения обязательных требований.
19. В предостережении о недопустимости нарушения обязательных требований в том числе указывается:
а) наименование юридического лица, адрес места нахождения или фамилия, имя, отчество (при наличии) индивидуального предпринимателя, адрес места жительства;
б) обязательные требования, предусматривающие их нормативный правовой акт, информация о том, какие действия (бездействие) контролируемого лица могут привести или приводят к нарушению обязательных требований, а также предложение о принятии мер по обеспечению соблюдения данных требований.
20. Контролируемое лицо вправе в течение 10 рабочих дней со дня получения предостережения подать в контролирующий орган (территориальный орган) возражение в отношении указанного предостережения.
В возражении контролируемым лицом указываются:
наименование юридического лица, фамилия, имя, отчество (при наличии) индивидуального предпринимателя;
дата и номер предостережения, направленного в адрес контролируемого лица;
идентификационный номер налогоплательщика - юридического лица, индивидуального предпринимателя;
обоснование позиции относительно указанных в предостережении действий (бездействия) юридического лица, индивидуального предпринимателя, которые приводят или могут привести к нарушению обязательных требований, и (или) информация о наличии в предостережении требования о представлении контролируемым лицом сведений и документов, сроков для устранения последствий, возникших в результате действий (бездействия) контролируемого лица, которые могут привести или приводят к нарушению обязательных требований; (В редакции Постановления Правительства Российской Федерации от 27.08.2025 № 1286)
иные документы, подтверждающие обоснованность таких возражений, или их заверенные копии (при наличии) .
21. Возражения направляются контролируемым лицом в бумажном виде почтовым отправлением в контролирующий орган (территориальный орган) , либо в виде электронного документа, оформляемого в соответствии со статьей 21 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", на указанный в предостережении адрес электронной почты контролирующего (территориального органа) , либо иными указанными в предостережении способами.
22. Возражение рассматривается в течение 20 рабочих дней со дня регистрации возражения.
23. По результатам рассмотрения возражения принимается одно из следующих решений:
а) удовлетворить возражение в форме отмены объявленного предостережения;
б) отказать в удовлетворении возражения.
24. Не позднее дня, следующего за днем принятия решения, указанного в пункте 22 настоящего Положения, контролируемому лицу, подавшему возражение, в письменной форме и по его желанию в электронной форме направляется мотивированный ответ о результатах рассмотрения возражения.
25. Повторное направление возражения по тем же основаниям не допускается. Поступившее в контролирующий орган (территориальный орган) возражение по тем же основаниям подлежит оставлению без рассмотрения, о чем контролируемое лицо уведомляется посредством направления соответствующего уведомления на адрес электронной почты или иным доступным способом.
Консультирование
26. Консультирование может осуществляться должностным лицом контролирующего органа (территориального органа) по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связи, на личном приеме.
27. Должностные лица контролирующего органа (территориального органа) предоставляют консультирование по следующим вопросам:
а) наличие и (или) содержание обязательных требований в сфере обработки персональных данных;
б) периодичность и порядок проведения контрольных (надзорных) мероприятий;
в) порядок выполнения обязательных требований в сфере обработки персональных данных;
г) выполнение предписания, выданного по итогам контрольного мероприятия.
28. Должностные лица контролирующего органа (территориального органа) предоставляют письменное консультирование по вопросу, предусмотренному подпунктом "г" пункта 27 настоящего Положения.
29. Консультирование по вопросам, предусмотренным подпунктами "а" - "в" пункта 27 настоящего Положения, при поступлении в контролирующий орган 50 и более однотипных обращений, направленных от различных контролируемых лиц и их представителей производится посредством размещения на официальном сайте контролирующего органа в сети "Интернет" письменного разъяснения, подписанного уполномоченным должностным лицом контролирующего органа.
Профилактический визит
30. Профилактический визит проводится по инициативе контролирующего органа (территориального органа) (обязательный профилактический визит) или по инициативе контролируемого лица.
Обязательный профилактический визит проводится в соответствии с пунктами 1 и 4 части 1 статьи 521 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", а также в случаях, установленных Правительством Российской Федерации в соответствии с частью 2 статьи 521 указанного Федерального закона.
Профилактический визит проводится в форме профилактической беседы должностным лицом контролирующего органа (территориального органа) по месту осуществления деятельности контролируемого лица либо путем использования видео-конференц-связи или разработанного на базе государственной информационной системы программного обеспечения, применяемого контролирующими органами и контролируемыми лицами с использованием компьютерного устройства (мобильного телефона, смартфона или компьютера, включая планшетный компьютер) (далее - мобильное приложение "Инспектор") .
Осмотр в рамках обязательного профилактического визита может осуществляться с использованием средств дистанционного взаимодействия, в том числе посредством видео-конференц-связи, а также с использованием мобильного приложения "Инспектор".
Фотосъемка и (или) видеозапись при проведении осмотра в рамках обязательного профилактического визита осуществляются с использованием мобильного приложения "Инспектор".
(Пункт в редакции Постановления Правительства Российской Федерации от 27.08.2025 № 1286)
31. (Пункт утратил силу - Постановление Правительства Российской Федерации от 27.08.2025 № 1286)
32. (Пункт утратил силу - Постановление Правительства Российской Федерации от 27.08.2025 № 1286)
33. Срок проведения обязательного профилактического визита не может превышать 10 рабочих дней. (В редакции Постановления Правительства Российской Федерации от 27.08.2025 № 1286)
34. В случае если выявленные нарушения обязательных требований не устранены до окончания проведения обязательного профилактического визита, контролируемому лицу выдается предписание об устранении выявленных нарушений обязательных требований. (В редакции Постановления Правительства Российской Федерации от 27.08.2025 № 1286)
35. В случае если при проведении профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда (ущерба) охраняемым законом ценностям или такой вред (ущерб) причинен, должностное лицо (лица) незамедлительно направляет информацию об этом уполномоченному должностному лицу контролирующего органа (территориального органа) для принятия решения о проведении контрольных (надзорных) мероприятий в соответствии с положениями статьи 60 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". (В редакции Постановления Правительства Российской Федерации от 27.08.2025 № 1286)
36. Контролирующий орган (территориальный орган) осуществляет учет профилактических визитов.
IV. Осуществление федерального государственного контроля (надзора)
37. Федеральный государственный контроль