Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

ПРИКАЗ

от 10 января 2023 года N 1

О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253



В соответствии с частью 1 статьи 53 Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (Собрание законодательства Российской Федерации, 2020, N 31, ст.5007), пунктом 3 требований к разработке, содержанию, общественному обсуждению проектов форм проверочных листов, утверждению, применению, актуализации форм проверочных листов, а также случаев обязательного применения проверочных листов, утвержденных постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1844 (Собрание законодательства Российской Федерации, 2021, N 44, ст.7443), пунктом 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст.1431), пунктом 2 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29 июня 2021 г. N 1046 (Собрание законодательства Российской Федерации, 2021, N 27, ст.5424),

приказываю:

Внести в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253 (зарегистрирован Министерством юстиции Российской Федерации 25 февраля 2022 г., регистрационный N 67486), изменения в соответствии с приложением к настоящему приказу.

Руководитель
А.Ю.Липов

Зарегистрировано

в Министерстве юстиции

Российской Федерации

5 апреля 2023 года,

регистрационный N 72886     

Приложение к приказу
Федеральной службы
по надзору в сфере связи,
информационных технологий
массовых коммуникаций
от 10 января 2023 года N 1



Изменения, которые вносятся в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253



1. Строку 5 таблицы пункта 12 изложить в следующей редакции:

"

5

Соблюдаются ли контролируемым лицом обязательные требования к поручению обработки персональных данных лицу, которому поручается обработка персональных данных, в части определения перечня персональных данных, перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, установления обязанности такого лица соблюдать конфиденциальность персональных данных, требований, предусмотренных частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанности по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со статьей 6 Закона о персональных данных, обязанности обеспечивать безопасность персональных данных при их обработке, а также указания требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных?

часть 3 статьи 6 Закона о персональных данных


"

2. Строку 19 таблицы пункта 12 изложить в следующей редакции:

"

19

Соблюдаются ли контролируемым лицом обязательные требования по обслуживанию субъекта персональных данных в случае его отказа предоставить биометрические персональные данные и (или) согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным?

часть 3 статьи 11 Закона о персональных данных


"

3. Строку 20 таблицы пункта 12 изложить в следующей редакции:

"

20

Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных до начала осуществления деятельности по трансграничной передаче персональных данных?

часть 3 статьи 12 Закона о персональных данных


"

4. Таблицу пункта 12 дополнить строками 20(1)-20(5) следующего содержания:

"

20(1)

Соблюдаются ли контролируемым лицом обязательные требования по представлению в уполномоченный орган по защите прав субъектов персональных данных уведомления о намерении осуществлять трансграничную передачу персональных данных, содержащего сведения, предусмотренные частью 4 статьи 12 Закона о персональных данных?

часть 4 статьи 12 Закона о персональных данных

20(2)

Соблюдаются ли контролируемым лицом обязательные требования по получению от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведений, предусмотренных частью 5 статьи 12 Закона о персональных данных, до подачи уведомления о намерении осуществлять трансграничную передачу персональных данных?

часть 5 статьи 12 Закона о персональных данных

20(3)

Соблюдаются ли контролируемым лицом обязательные требования по предоставлению по запросу уполномоченного органа по защите прав субъектов персональных данных сведений, предусмотренных пунктами 1-3 части 5 статьи 12 Закона о персональных данных, в течение десяти рабочих дней с даты получения такого запроса?

часть 6 статьи 12 Закона о персональных данных

20(4)

Соблюдаются ли контролируемым лицом обязательные требования по неосуществлению трансграничной передачи персональных данных на территории указанных в уведомлении, предусмотренном частью 3 статьи 12 Закона о персональных данных, иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 статьи 12 Закона о персональных данных перечень, после направления уведомления о намерении осуществлять трансграничную передачу персональных данных до истечения сроков, указанных в части 9 статьи 12 Закона о персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц?

часть 11 статьи 12 Закона о персональных данных

20(5)

Соблюдаются ли контролируемым лицом обязательные требования по обеспечению уничтожения органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных, в случае принятия уполномоченным органом по защите прав субъектов персональных данных решения о запрещении или об ограничении трансграничной передачи персональных данных?

часть 14 статьи 12 Закона о персональных данных


"

5. Строку 28 таблицы пункта 12 изложить в следующей редакции:

"

28

Соблюдаются ли контролируемым лицом обязательные требования по разъяснению субъекту персональных данных юридических последствий отказа предоставить его персональные данные и (или) дать согласие на их обработку, в случае, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными?

часть 2 статьи 18 Закона о персональных данных


"

6. Строки 34 и 35 таблицы пункта 12 изложить в следующей редакции:

"

34

Соблюдаются ли контролируемым лицом обязательные требования по сообщению в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а равно по ознакомлению с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя?

часть 1 статьи 20 Закона о персональных данных

35

Соблюдаются ли контролируемым лицом обязательные требования по представлению в письменной форме мотивированного ответа, содержащего ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для отказа в представлении субъекту персональных данных или его законному представителю информации о наличии персональных данных о соответствующем субъекте в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя?

часть 2 статьи 20 Закона о персональных данных


"

7. Таблицу пункта 12 дополнить строкой 40(1) следующего содержания:

"

40(1)

Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом:

часть 3.1 статьи 21 Закона о персональных данных

в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)?


"

8. Таблицу пункта 12 дополнить строкой 42(1) следующего содержания:

"

42(1)

Соблюдаются ли контролируемым лицом обязательные требования по прекращению обработки персональных данных или обеспечению прекращения обработки персональных данных (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных?

часть 5.1 статьи 21 Закона о персональных данных


"

9. Строку 43 таблицы пункта 12 изложить в следующей редакции:

"

43

Соблюдаются ли контролируемым лицом обязательные требования по осуществлению блокирования и уничтожения персональных данных в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3-5.1 статьи 21 Закона о персональных данных, в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами?

часть 6 статьи 21 Закона о персональных данных


"

10. Таблицу пункта 12 дополнить строкой 43(1) следующего содержания:

"

43(1)

Соблюдаются ли контролируемым лицом обязательные требования по подтверждению уничтожения персональных данных в случаях, предусмотренных статьей 21 Закона о персональных данных, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных?

часть 7 статьи 21 Закона о персональных данных


"

11. Строку 46 таблицы пункта 12 изложить в следующей редакции:

"

46

Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае изменения сведений, содержащихся в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных?

часть 7 статьи 22 Закона о персональных данных


"


Электронный текст документа

подготовлен АО "Кодекс" и сверен по:

Официальный интернет-портал

правовой информации

www.pravo.gov.ru, 05.04.2023,

N 0001202304050016

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»