Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
ПРИКАЗ
от 10 января 2023 года N 1
О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253
В соответствии с частью 1 статьи 53 Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (Собрание законодательства Российской Федерации, 2020, N 31, ст.5007), пунктом 3 требований к разработке, содержанию, общественному обсуждению проектов форм проверочных листов, утверждению, применению, актуализации форм проверочных листов, а также случаев обязательного применения проверочных листов, утвержденных постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1844 (Собрание законодательства Российской Федерации, 2021, N 44, ст.7443), пунктом 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст.1431), пунктом 2 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29 июня 2021 г. N 1046 (Собрание законодательства Российской Федерации, 2021, N 27, ст.5424),
приказываю:
Внести в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253 (зарегистрирован Министерством юстиции Российской Федерации 25 февраля 2022 г., регистрационный N 67486), изменения в соответствии с приложением к настоящему приказу.
Руководитель
А.Ю.Липов
Зарегистрировано
в Министерстве юстиции
Российской Федерации
5 апреля 2023 года,
регистрационный N 72886
Изменения, которые вносятся в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253
1. Строку 5 таблицы пункта 12 изложить в следующей редакции:
"
5 | Соблюдаются ли контролируемым лицом обязательные требования к поручению обработки персональных данных лицу, которому поручается обработка персональных данных, в части определения перечня персональных данных, перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, установления обязанности такого лица соблюдать конфиденциальность персональных данных, требований, предусмотренных частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанности по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со статьей 6 Закона о персональных данных, обязанности обеспечивать безопасность персональных данных при их обработке, а также указания требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных? |
"
2. Строку 19 таблицы пункта 12 изложить в следующей редакции:
"
19 | Соблюдаются ли контролируемым лицом обязательные требования по обслуживанию субъекта персональных данных в случае его отказа предоставить биометрические персональные данные и (или) согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным? |
"
3. Строку 20 таблицы пункта 12 изложить в следующей редакции:
"
20 | Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных до начала осуществления деятельности по трансграничной передаче персональных данных? |
"
4. Таблицу пункта 12 дополнить строками 20(1)-20(5) следующего содержания:
"
20(1) | Соблюдаются ли контролируемым лицом обязательные требования по представлению в уполномоченный орган по защите прав субъектов персональных данных уведомления о намерении осуществлять трансграничную передачу персональных данных, содержащего сведения, предусмотренные частью 4 статьи 12 Закона о персональных данных? | |||
20(2) | Соблюдаются ли контролируемым лицом обязательные требования по получению от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведений, предусмотренных частью 5 статьи 12 Закона о персональных данных, до подачи уведомления о намерении осуществлять трансграничную передачу персональных данных? | |||
20(3) | Соблюдаются ли контролируемым лицом обязательные требования по предоставлению по запросу уполномоченного органа по защите прав субъектов персональных данных сведений, предусмотренных пунктами 1-3 части 5 статьи 12 Закона о персональных данных, в течение десяти рабочих дней с даты получения такого запроса? | |||
20(4) | Соблюдаются ли контролируемым лицом обязательные требования по неосуществлению трансграничной передачи персональных данных на территории указанных в уведомлении, предусмотренном частью 3 статьи 12 Закона о персональных данных, иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 статьи 12 Закона о персональных данных перечень, после направления уведомления о намерении осуществлять трансграничную передачу персональных данных до истечения сроков, указанных в части 9 статьи 12 Закона о персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц? | |||
20(5) | Соблюдаются ли контролируемым лицом обязательные требования по обеспечению уничтожения органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных, в случае принятия уполномоченным органом по защите прав субъектов персональных данных решения о запрещении или об ограничении трансграничной передачи персональных данных? |
"
5. Строку 28 таблицы пункта 12 изложить в следующей редакции:
"
28 | Соблюдаются ли контролируемым лицом обязательные требования по разъяснению субъекту персональных данных юридических последствий отказа предоставить его персональные данные и (или) дать согласие на их обработку, в случае, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными? |
"
6. Строки 34 и 35 таблицы пункта 12 изложить в следующей редакции:
"
34 | Соблюдаются ли контролируемым лицом обязательные требования по сообщению в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а равно по ознакомлению с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя? | |||
35 | Соблюдаются ли контролируемым лицом обязательные требования по представлению в письменной форме мотивированного ответа, содержащего ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для отказа в представлении субъекту персональных данных или его законному представителю информации о наличии персональных данных о соответствующем субъекте в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя? |
"
7. Таблицу пункта 12 дополнить строкой 40(1) следующего содержания:
"
40(1) | Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом: | |||
в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)? |
"
8. Таблицу пункта 12 дополнить строкой 42(1) следующего содержания:
"
42(1) | Соблюдаются ли контролируемым лицом обязательные требования по прекращению обработки персональных данных или обеспечению прекращения обработки персональных данных (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных? |
"
9. Строку 43 таблицы пункта 12 изложить в следующей редакции:
"
43 | Соблюдаются ли контролируемым лицом обязательные требования по осуществлению блокирования и уничтожения персональных данных в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3-5.1 статьи 21 Закона о персональных данных, в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами? |
"
10. Таблицу пункта 12 дополнить строкой 43(1) следующего содержания:
"
43(1) | Соблюдаются ли контролируемым лицом обязательные требования по подтверждению уничтожения персональных данных в случаях, предусмотренных статьей 21 Закона о персональных данных, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных? |
"
11. Строку 46 таблицы пункта 12 изложить в следующей редакции:
"
46 | Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае изменения сведений, содержащихся в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных? |
"
Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
Официальный интернет-портал
правовой информации
www.pravo.gov.ru, 05.04.2023,
N 0001202304050016