Проект приказа ФСБ России "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных" 

ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

________________________ №_______________________

Москва

Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством Российской Федерации требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных 

В соответствии с постановлением Правительства Российской Федерации от 11 ноября 2005 г. № 679 «О порядке разработки и утверждения административных регламентов исполнения государственных функций (предоставления государственных услуг)»

П Р И К А З Ы В А Ю:

1.  Утвердить прилагаемый Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством Российской Федерации требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

2.  Контроль за исполнением Административного регламента, утвержденного настоящим приказом, возложить на 8 Центр ФСБ России.

Директор А.Бортников

Приложение

к приказу ФСБ России

от _____ __________ 2011 г.

№ _____

Административный регламент

Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством Российской Федерации требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных

I.  Общие положения

1.  Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством Российской Федерации требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных2 определяет порядок и последовательность действий (административных процедур) при осуществлении государственного контроля (надзора) за выполнением установленных Правительством Российской Федерации требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения 
таких данных вне информационных систем персональных данных.

2.  Исполнение государственной функции осуществляется в соответствии с:

Кодексом Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ4;

Федеральным законом от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности»5;

Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»6;

Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

Федеральным законом от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»9;

Указом Президента Российской Федерации от 11 августа 2003 г. № 960 «Вопросы Федеральной службы безопасности Российской Федерации»;

постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;

постановлением Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

постановлением Правительства Российской Федерации от 30 июня 2010 г. № 489 «Об утверждении Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей»;

приказом ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. № 17316);

приказом ФСБ России от 22 января 2007 г. № 21 «Об утверждении Инструкции об организации рассмотрения обращений граждан Российской Федерации в органах федеральной службы безопасности»17 (с изменениями, внесенными приказом ФСБ России от 4 апреля 2008 г. № 14918);

приказом ФСБ России от 6 сентября 2007 г. № 453 «Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности».

3.  Исполнение государственной функции осуществляется должностными лицами 8 Центра ФСБ России и территориальных органов безопасности.

4.  Исполнение государственной функции осуществляется в отношении государственных органов, муниципальных органов, юридических лиц, индивидуальных предпринимателей, организующих и (или) осуществляющих автоматизированную обработку персональных данных в информационных системах персональных данных, а также работу с материальными носителями биометрических персональных данных и хранением таких данных вне информационных систем персональных данных с использованием средств криптографической защиты информации.

5.  Результатом исполнения государственной функции является обеспечение соблюдения операторами установленных Правительством Российской Федерации требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

По результатам исполнения государственной функции должностными лицами органов безопасности23 составляется акт проверки выполнения требований к обеспечению безопасности персональных данных.

В случаях выявления нарушений требований к обеспечению безопасности персональных данных к акту проверки прилагаются предписания, протоколы (заключения) проведенных экспертиз, объяснения работников, на которых возлагается ответственность за указанные нарушения, и другие документы, связанные с результатами проверки выполнения требований к обеспечению безопасности персональных данных, или их копии.

6.  Юридическим фактом завершения исполнения государственной функции является подписание акта проверки.

В случае выявления при исполнении государственной функции нарушений требований к обеспечению безопасности персональных данных:

а) оператору выдается предписание об устранении выявленных нарушений требований к обеспечению безопасности персональных данных;

б) в отношении оператора составляется протокол об административном правонарушении;

в) в Роскомнадзор направляется представление для принятия в отношении оператора мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации.

II. Порядок исполнения государственной функции

7.  Информация о порядке исполнения государственной функции предоставляется по телефону и посредством размещения информации на официальном сайте ФСБ России в сети Интернет.

8.  Адрес официального сайта ФСБ России в сети Интернет: www.fsb.ru.

9.  Телефоны, по которым можно получить информацию о порядке исполнения государственной функции, размещаются на официальном сайте ФСБ России в сети Интернет.

10.  Информация о порядке исполнения государственной функции предоставляется бесплатно.

11.  Срок исполнения государственной функции не может превышать двадцать рабочих дней.

12.  В отношении одного субъекта малого предпринимательства общий срок исполнения государственной функции не может превышать пятьдесят часов для малого предприятия и пятнадцать часов для микропредприятия в год.

13.  В исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц, исполняющих государственную функцию, срок исполнения государственной функции может быть продлен, но не более чем на двадцать рабочих дней, в отношении малых предприятий, микропредприятий не более чем на пятнадцать часов.

14.  Оснований для приостановления исполнения государственной функции либо отказа в исполнении государственной функции законодательством Российской Федерации не предусмотрено.

III. Административные процедуры

15.  Органы безопасности исполняют государственную функцию в виде плановых и внеплановых выездных проверок. Вид проверки определяется с учетом оснований, предусмотренных Административным регламентом.

16.  Исполнение государственной функции включает в себя следующие административные процедуры:

а)  проведение проверки оператора;

б) составление акта проверки.

17.  Проведение проверки включает в себя следующие действия (административные процедуры):

а) принятие решения о проведении проверки;

б) подготовка к проверке;

в) проведение проверки и подготовка акта проверки;

г) ознакомление с актом проверки руководителя или иного уполномоченного представителя оператора.

Блок-схема последовательности действий при выполнении административных процедур по исполнению государственной функции приведена в приложении к Административному регламенту.

18.  Плановые выездные проверки осуществляются в соответствии с Планом проведения плановых проверок юридических лиц и индивидуальных предпринимателей.

План проведения проверок составляется 8 Центром ФСБ России ежегодно в период, предшествующий календарному году, и утверждается Директором ФСБ России с учетом положений частей 6 - 6.2 статьи 9 Федерального закона. В Плане проведения проверок указываются сведения в соответствии с частью 4 статьи 9 Федерального закона.

План проведения проверок должен соответствовать типовой форме ежегодного плана проведения плановых проверок юридических лиц и индивидуальных предпринимателей, установленной постановлением Правительства Российской Федерации от 30 июня 2010 г. № 489 
«Об утверждении Правил подготовки органами государственного контроля (надзора) и органами муниципального контроля ежегодных планов проведения плановых проверок юридических лиц и индивидуальных предпринимателей».

Утвержденный План проведения проверок доводится до сведения заинтересованных лиц посредством его размещения на официальном сайте ФСБ России в сети Интернет либо иным доступным способом.

19.  Основанием для включения оператора в План проведения проверок является истечение трех лет со дня начала осуществления оператором деятельности в соответствии с представленным в Роскомнадзор уведомлением о начале осуществления деятельности по обработке персональных данных с использованием средств криптографической защиты информации или со дня окончания проведения последней плановой проверки оператора.

20.  Плановые выездные проверки одного и того же оператора проводятся не чаще чем один раз в три года.

21.  Плановые и внеплановые выездные проверки проводятся по месту нахождения оператора и (или) по месту фактического осуществления его деятельности.

22.  Плановые и внеплановые выездные проверки проводятся комиссионно. В состав комиссии должно входить не менее двух должностных лиц, один из которых является председателем комиссии.

23.  Плановые и внеплановые выездные проверки проводятся на основании распоряжения начальника или заместителя начальника органа безопасности о проведении проверки.

В распоряжении о проведении проверки указываются:

а) наименование органа безопасности;

б) фамилии, имена, отчества должностных лиц, а также привлекаемых к проведению проверки экспертов, представителей экспертных организаций;

в) наименование оператора, проверка которого проводится;

г) цели, задачи и предмет проверки;

д) правовые основания проведения проверки, в том числе обязательные требования к обеспечению безопасности персональных данных, подлежащие проверке;

е) название административного регламента, в соответствии с которым проводятся мероприятия по контролю;

ж) перечень документов, представление которых оператором необходимо для достижения целей и задач проведения проверки;

з) сроки проведения и перечень мероприятий по контролю, необходимых для достижения целей и задач проведения проверки;

и) даты начала и окончания проверки.

24.  Для проведения выездной проверки операторов могут привлекаться эксперты и экспертные организации, не состоящие в гражданско-правовых и трудовых отношениях с оператором, в отношении которого проводится проверка.

25.  Проверка может проводиться только теми должностными лицами и привлекаемыми экспертами или представителями экспертных организаций,

которые указаны в распоряжении о проведении проверки.

26.  О проведении плановой выездной проверки оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии распоряжения о проведении проверки заказным почтовым отправлением с уведомлением о вручении или иным доступным способом.

27.  Основанием для проведения внеплановой выездной проверки является:

а) истечение срока исполнения оператором ранее выданного предписания об устранении выявленных нарушений требований к обеспечению безопасности персональных данных;

б) поступление обращений и заявлений граждан, юридических лиц, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о фактах возникновения угрозы причинения вреда жизни, здоровью граждан, безопасности государства, а также о фактах причинения вреда жизни, здоровью граждан, безопасности государства;

в) распоряжение начальника органа безопасности о проведении проверки, изданное в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации.

28.  О проведении внеплановой выездной проверки, за исключением внеплановой выездной проверки, основания проведения которой указаны в подпункте «б» пункта 27 Административного регламента, орган безопасности, начальник или заместитель начальника которого подписал распоряжение о проведении проверки, уведомляет оператора не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

29.  Согласование проведения внеплановой выездной проверки с органами прокуратуры производится в случае, если проверка проводится по основаниям, предусмотренным подпунктом «б» пункта 27 Административного регламента.

30.  Если основанием для проведения внеплановой выездной проверки является причинение вреда жизни, здоровью граждан, безопасности государства, обнаружение нарушений требований к обеспечению безопасности персональных данных в момент совершения таких нарушений в связи с необходимостью принятия неотложных мер, выездная проверка может быть осуществлена незамедлительно с извещением органов прокуратуры о проведении мероприятий по контролю посредством направления необходимых документов в органы прокуратуры в течение двадцати четырех часов.

31.  В случае, если в результате деятельности оператора причинен или причиняется вред жизни, здоровью граждан, безопасности государства, уведомление оператора о начале проведения внеплановой выездной проверки не требуется.

32.  После завершения внеплановой выездной проверки в орган прокуратуры, принявший решение о согласовании проведения проверки, направляется копия акта проверки в течение пяти рабочих дней со дня его составления.

33.  При прибытии к месту нахождения оператора и (или) к месту фактического осуществления его деятельности председатель комиссии обязан:

а) предъявить оператору служебное удостоверение;

б) ознакомить оператора с распоряжением о проведении проверки;

в) ознакомить руководителя или иного уполномоченного представителя оператора с целями, задачами, основаниями, сроками и условиями проведения выездной проверки, видами и объемом мероприятий по контролю;

г) представить членов комиссии, состав экспертов, представителей экспертных организаций, привлекаемых к проверке;

д) выяснить все существенные обстоятельства, касающиеся предмета проверки;

е) обеспечить соблюдение членами комиссии установленного режима работы и условий функционирования проверяемого оператора.

34.  По просьбе руководителя или уполномоченного представителя оператора должностные лица, осуществляющие проверку, обязаны ознакомить указанных лиц с Административным регламентом.

35.  При проведении выездных проверок руководитель или иной уполномоченный представитель оператора обязан обеспечить присутствие работников, ответственных за организацию и проведение мероприятий по выполнению требований к обеспечению безопасности персональных данных.

36.  Руководитель или иной уполномоченный представитель оператора обязан предоставить должностным лицам, проводящим проверку, возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проводящих выездную проверку должностных лиц и участвующих в выездной проверке экспертов, представителей экспертных организаций на территорию, в здания, строения, сооружения, помещения, используемые оператором при осуществлении обработки персональных данных, к используемому оператором оборудованию.

37.  При проведении проверки должностные лица, осуществляющие выездную проверку, не вправе:

а) проверять выполнение требований, не относящихся к компетенции органов безопасности;

б) осуществлять плановые и внеплановые выездные проверки в случае отсутствия при их проведении руководителя или уполномоченного представителя оператора, за исключением случая проведения 
такой проверки по основаниям, предусмотренным подпунктом «б» пункта 27 Административного регламента;

в) требовать предоставления документов и информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов;

г) нарушать установленный режим конфиденциальности, распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации;

д) превышать установленные сроки проведения проверок;

е) осуществлять выдачу операторам предписаний или предложений о проведении за их счет мероприятий по контролю;

ж) знакомиться с персональными данными, обрабатываемыми в информационных системах персональных данных.

38.  По завершении исполнения государственной функции должностными лицами, проводящими проверку, составляется акт проверки в двух экземплярах. Один экземпляр акта проверки с копиями приложений (при их наличии) вручается руководителю или иному уполномоченному представителю оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки. В случае отсутствия указанных лиц, а также в случае их отказа дать расписку об ознакомлении либо об отказе в ознакомлении с актом проверки один экземпляр акта проверки направляется этим лицам заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта проверки, хранящемуся в деле проводившего проверку органа безопасности.

39.  В акте проверки должны быть указаны:

а) наименование органа безопасности;

б) дата, время и место составления;

в)  ограничительная пометка (при необходимости - гриф секретности);

г) дата и номер распоряжения о проведении проверки, на основании которого проведена проверка;

д) наименование оператора, проверка которого проводилась;

е) фамилии, имена, отчества должностных лиц, проводивших проверку;

ж) объект проверки;

з) дата, время и место проведения проверки;

и) сведения о результатах проверки, в том числе о выявленных нарушениях требований к обеспечению безопасности персональных данных, об их характере, о лицах, на которых возлагается ответственность за совершение этих нарушений;

к) сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя или иных уполномоченных представителей оператора, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у оператора указанного журнала;

л) подписи должностных лиц, осуществивших проверку.

40.  В случае выявления при проведении проверки нарушений требований к обеспечению безопасности персональных данных должностными лицами, проводившими проверку, оператору выдается предписание об устранении выявленных нарушений с указанием сроков их устранения.

41.  В предписании об устранении выявленных нарушений указываются:

а) наименование органа безопасности;

б) дата, время и место выдачи предписания;

в) номер предписания;

г) наименование оператора, проверка которого проводилась;

д) регистрационный номер оператора в Реестре операторов, осуществляющих обработку персональных данных (при наличии);

е) наименование вида деятельности оператора;

ж) дата и номер акта проверки;

з) содержание нарушений требований к обеспечению безопасности персональных данных;

и) основание выдачи предписания;

к) срок устранения нарушений требований к обеспечению безопасности персональных данных;

л) срок информирования органа безопасности, проводившего проверку, об устранении выявленных нарушений требований к обеспечению безопасности персональных данных;

м) подписи должностных лиц, проводивших проверку.

42.  В случае выявления в результате проведения проверки достаточных данных, указывающих на наличие события административного правонарушения, должностными лицами, осуществляющими проверку, составляется протокол об административном правонарушении.

43.  В случае выявления в результате проведения проверки достаточных данных, указывающих на нарушение прав субъектов персональных данных, орган безопасности, проводивший проверку, направляет предложения в Роскомнадзор для принятия в отношении оператора мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации.

44. В случае выявления в результате проведения проверки фактов нарушения условий действия лицензии (лицензий) на осуществление деятельности, связанной с шифровальными (криптографическими) средствами, орган безопасности, проводивший проверку, направляет в орган, выдавший лицензию, информацию о нарушении оператором условий действия лицензии (лицензий).

45.  Результаты проверки, содержащие информацию, составляющую государственную, коммерческую, служебную и иную охраняемую законом тайну, оформляются с соблюдением требований, предусмотренных законодательством Российской Федерации.

46.  По завершении выездной проверки председатель комиссии производит необходимую запись о проведенной проверке в журнале учета проверок оператора.

При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.

47.  Оператор, в отношении которого проводилась проверка, в случае несогласия с фактами, выводами, предложениями, изложенными 
в акте проверки, либо с выданным предписанием об устранении выявленных нарушений в течение пятнадцати дней с даты получения акта проверки вправе представить в орган безопасности, проводивший проверку, в письменной форме возражения в отношении акта проверки и (или) выданного предписания об устранении выявленных нарушений в целом или его отдельных положений.

При этом оператор вправе приложить к таким возражениям документы, подтверждающие обоснованность таких возражений, 
или их заверенные копии либо в согласованный срок передать их в орган безопасности, проводивший проверку.

IV. Контроль за исполнением государственной функции

48.  Текущий контроль за соблюдением последовательности действий, определенных Административным регламентом, осуществляется начальниками органов безопасности.

Контроль за исполнением государственной функции территориальными органами безопасности осуществляет 8 Центр ФСБ  России.

49.  Должностные лица, участвующие в проверке, несут персональную ответственность за исполнение государственной функции. В случаях ненадлежащего исполнения должностными лицами, осуществляющими проверку, служебных обязанностей или совершения ими противоправных действий (бездействия) при проведении проверки они несут ответственность в соответствии с законодательством Российской Федерации.

V. Порядок обжалования действий (бездействия) и решений должностных лиц при исполнении государственной функции

50.  Действия (бездействие) и решения должностных лиц могут быть обжалованы:

а) должностных лиц территориальных органов безопасности, осуществляющих государственный контроль (надзор), - в 8 Центр ФСБ России;

б) должностных лиц 8 Центра ФСБ России, осуществляющих государственный контроль (надзор), - руководителю НТС ФСБ России.

51.  Заявитель направляет письменное предложение, заявление или жалобу (далее - письменное обращение), в котором в обязательном порядке указывает наименование органа, в который направляет письменное обращение, либо фамилию, имя, отчество (последнее - при наличии) соответствующего должностного лица либо его должность, а также свои фамилию, имя, отчество (последнее - при наличии), полное наименование органа или организации (для юридического лица), почтовый адрес, по которому должны быть направлены ответ, уведомление о переадресации письменного обращения, излагает его суть, ставит личную подпись и дату. В подтверждение своих доводов заявитель может приложить к письменному обращению копии необходимых документов и материалов.

52.  Порядок рассмотрения письменных обращений определен 
Инструкцией об организации рассмотрения обращений граждан Российской Федерации в органах федеральной службы безопасности, утвержденной приказом ФСБ России от 22 января 2007 г. № 21 (с изменениями, внесенными приказом ФСБ России от 4 апреля 2008 г. № 149).

53.  Действия (бездействие) и решения должностных лиц могут быть обжалованы в судебном порядке в соответствии с законодательством 
Российской Федерации. Обжалование производится в сроки, установленные процессуальным законодательством Российской Федерации, с соблюдением правил подведомственности и подсудности.

Приложение

к Административному регламенту (п.17)

Источник: http://pd.rsoc.ru/law/legislation-projects/document120.htm?print=1