МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
ПРИКАЗ
от 10 января 2023 г. N 1
О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ФОРМУ ПРОВЕРОЧНОГО ЛИСТА (СПИСКА КОНТРОЛЬНЫХ
ВОПРОСОВ, ОТВЕТЫ НА КОТОРЫЕ СВИДЕТЕЛЬСТВУЮТ О СОБЛЮДЕНИИ
ИЛИ НЕСОБЛЮДЕНИИ КОНТРОЛИРУЕМЫМ ЛИЦОМ ОБЯЗАТЕЛЬНЫХ
ТРЕБОВАНИЙ), ПРИМЕНЯЕМОГО ПРИ ОСУЩЕСТВЛЕНИИ ФЕДЕРАЛЬНОГО
ГОСУДАРСТВЕННОГО КОНТРОЛЯ (НАДЗОРА) ЗА ОБРАБОТКОЙ
ПЕРСОНАЛЬНЫХ ДАННЫХ ФЕДЕРАЛЬНОЙ СЛУЖБОЙ ПО НАДЗОРУ
В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ
КОММУНИКАЦИЙ И ЕЕ ТЕРРИТОРИАЛЬНЫМИ ОРГАНАМИ, УТВЕРЖДЕННУЮ
ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
ОТ 24 ДЕКАБРЯ 2021 Г. N 253
В соответствии с частью 1 статьи 53 Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (Собрание законодательства Российской Федерации, 2020, N 31, ст. 5007), пунктом 3 требований к разработке, содержанию, общественному обсуждению проектов форм проверочных листов, утверждению, применению, актуализации форм проверочных листов, а также случаев обязательного применения проверочных листов, утвержденных постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1844 (Собрание законодательства Российской Федерации, 2021, N 44, ст. 7443), пунктом 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431), пунктом 2 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29 июня 2021 г. N 1046 (Собрание законодательства Российской Федерации, 2021, N 27, ст. 5424), приказываю:
Внести в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253 (зарегистрирован Министерством юстиции Российской Федерации 25 февраля 2022 г., регистрационный N 67486), изменения в соответствии с приложением к настоящему приказу.
Руководитель
А.Ю.ЛИПОВ
Приложение
к приказу Федеральной службы
по надзору в сфере связи,
информационных технологий
массовых коммуникаций
от 10 января 2023 г. N 1
ИЗМЕНЕНИЯ,
КОТОРЫЕ ВНОСЯТСЯ В ФОРМУ ПРОВЕРОЧНОГО ЛИСТА (СПИСКА
КОНТРОЛЬНЫХ ВОПРОСОВ, ОТВЕТЫ НА КОТОРЫЕ СВИДЕТЕЛЬСТВУЮТ
О СОБЛЮДЕНИИ ИЛИ НЕСОБЛЮДЕНИИ КОНТРОЛИРУЕМЫМ ЛИЦОМ
ОБЯЗАТЕЛЬНЫХ ТРЕБОВАНИЙ), ПРИМЕНЯЕМОГО ПРИ ОСУЩЕСТВЛЕНИИ
ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО КОНТРОЛЯ (НАДЗОРА)
ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ ФЕДЕРАЛЬНОЙ СЛУЖБОЙ
ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
И МАССОВЫХ КОММУНИКАЦИЙ И ЕЕ ТЕРРИТОРИАЛЬНЫМИ ОРГАНАМИ,
УТВЕРЖДЕННУЮ ПРИКАЗОМ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ
В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ
КОММУНИКАЦИЙ ОТ 24 ДЕКАБРЯ 2021 Г. N 253
1. Строку 5 таблицы пункта 12 изложить в следующей редакции:
"
|
5
|
Соблюдаются ли контролируемым лицом обязательные требования к поручению обработки персональных данных лицу, которому поручается обработка персональных данных, в части определения перечня персональных данных, перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, установления обязанности такого лица соблюдать конфиденциальность персональных данных, требований, предусмотренных частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанности по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со статьей 6 Закона о персональных данных, обязанности обеспечивать безопасность персональных данных при их обработке, а также указания требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных?
|
часть 3 статьи 6 Закона о персональных данных
|
"
2. Строку 19 таблицы пункта 12 изложить в следующей редакции:
"
|
19
|
Соблюдаются ли контролируемым лицом обязательные требования по обслуживанию субъекта персональных данных в случае его отказа предоставить биометрические персональные данные и (или) согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным?
|
часть 3 статьи 11 Закона о персональных данных
|
"
3. Строку 20 таблицы пункта 12 изложить в следующей редакции:
"
|
20
|
Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных до начала осуществления деятельности по трансграничной передаче персональных данных?
|
часть 3 статьи 12 Закона о персональных данных
|
"
4. Таблицу пункта 12 дополнить строками 20(1) - 20(5) следующего содержания:
"
|
20(1)
|
Соблюдаются ли контролируемым лицом обязательные требования по представлению в уполномоченный орган по защите прав субъектов персональных данных уведомления о намерении осуществлять трансграничную передачу персональных данных, содержащего сведения, предусмотренные частью 4 статьи 12 Закона о персональных данных?
|
часть 4 статьи 12 Закона о персональных данных
|
||
|
20(2)
|
Соблюдаются ли контролируемым лицом обязательные требования по получению от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведений, предусмотренных частью 5 статьи 12 Закона о персональных данных, до подачи уведомления о намерении осуществлять трансграничную передачу персональных данных?
|
часть 5 статьи 12 Закона о персональных данных
|
||
|
20(3)
|
Соблюдаются ли контролируемым лицом обязательные требования по предоставлению по запросу уполномоченного органа по защите прав субъектов персональных данных сведений, предусмотренных пунктами 1 - 3 части 5 статьи 12 Закона о персональных данных, в течение десяти рабочих дней с даты получения такого запроса?
|
часть 6 статьи 12 Закона о персональных данных
|
||
|
20(4)
|
Соблюдаются ли контролируемым лицом обязательные требования по неосуществлению трансграничной передачи персональных данных на территории указанных в уведомлении, предусмотренном частью 3 статьи 12 Закона о персональных данных, иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 статьи 12 Закона о персональных данных перечень, после направления уведомления о намерении осуществлять трансграничную передачу персональных данных до истечения сроков, указанных в части 9 статьи 12 Закона о персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц?
|
часть 11 статьи 12 Закона о персональных данных
|
||
|
20(5)
|
Соблюдаются ли контролируемым лицом обязательные требования по обеспечению уничтожения органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных, в случае принятия уполномоченным органом по защите прав субъектов персональных данных решения о запрещении или об ограничении трансграничной передачи персональных данных?
|
часть 14 статьи 12 Закона о персональных данных
|
"
5. Строку 28 таблицы пункта 12 изложить в следующей редакции:
"
|
28
|
Соблюдаются ли контролируемым лицом обязательные требования по разъяснению субъекту персональных данных юридических последствий отказа предоставить его персональные данные и (или) дать согласие на их обработку, в случае, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными?
|
часть 2 статьи 18 Закона о персональных данных
|
"
6. Строки 34 и 35 таблицы пункта 12 изложить в следующей редакции:
"
|
34
|
Соблюдаются ли контролируемым лицом обязательные требования по сообщению в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а равно по ознакомлению с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя?
|
часть 1 статьи 20 Закона о персональных данных
|
||
|
35
|
Соблюдаются ли контролируемым лицом обязательные требования по представлению в письменной форме мотивированного ответа, содержащего ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для отказа в представлении субъекту персональных данных или его законному представителю информации о наличии персональных данных о соответствующем субъекте в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя?
|
часть 2 статьи 20 Закона о персональных данных
|
"
7. Таблицу пункта 12 дополнить строкой 40(1) следующего содержания:
"
|
40(1)
|
Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом:
в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)?
|
часть 3.1 статьи 21 Закона о персональных данных
|
"
8. Таблицу пункта 12 дополнить строкой 42(1) следующего содержания:
"
|
42(1)
|
Соблюдаются ли контролируемым лицом обязательные требования по прекращению обработки персональных данных или обеспечению прекращения обработки персональных данных (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных?
|
часть 5.1 статьи 21 Закона о персональных данных
|
"
9. Строку 43 таблицы пункта 12 изложить в следующей редакции:
"
|
43
|
Соблюдаются ли контролируемым лицом обязательные требования по осуществлению блокирования и уничтожения персональных данных в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 статьи 21 Закона о персональных данных, в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами?
|
часть 6 статьи 21 Закона о персональных данных
|
"
10. Таблицу пункта 12 дополнить строкой 43(1) следующего содержания:
"
|
43(1)
|
Соблюдаются ли контролируемым лицом обязательные требования по подтверждению уничтожения персональных данных в случаях, предусмотренных статьей 21 Закона о персональных данных, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных?
|
часть 7 статьи 21 Закона
о персональных данных
|
"
11. Строку 46 таблицы пункта 12 изложить в следующей редакции:
"
|
46
|
Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае изменения сведений, содержащихся в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных?
|
часть 7 статьи 22 Закона о персональных данных
|
"
