ПРИКАЗ
от 24 декабря 2021 года N 253
(с изменениями на 10 января 2023 года)
____________________________________________________________________
Документ с изменениями, внесенными:
приказом Роскомнадзора от 10 января 2023 года N 1 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 05.04.2023, N 0001202304050016).
____________________________________________________________________
В соответствии с частью 1 статьи 53 Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (Собрание законодательства Российской Федерации, 2020, N 31, ст.5007), пунктом 3 требований к разработке, содержанию, общественному обсуждению проектов форм проверочных листов, утверждению, применению, актуализации форм проверочных листов, а также случаев обязательного применения проверочных листов, утвержденных постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1844 (Собрание законодательства Российской Федерации, 2021, N 44, ст.7443), пунктом 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст.1431), пунктом 2 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29 июня 2021 г. N 1046 (Собрание законодательства Российской Федерации, 2021, N 27, ст.5424),
приказываю:
Руководитель
А.Ю.Липов
Зарегистрировано
в Министерстве юстиции
Российской Федерации
25 февраля 2022 года,
регистрационный N 67486
QR-код |
Проверочный лист (список контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемый при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами | |
1. Наименование вида контроля, включенного в единый реестр видов федерального государственного контроля (надзора), регионального государственного контроля (надзора), муниципального контроля: | |
. | |
2. Наименование контрольного (надзорного) органа: | |
. | |
3. Реквизиты нормативного правового акта об утверждении формы проверочного листа: приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от _____________ N _______ "Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами". | |
4. Вид контрольного (надзорного) мероприятия: | |
5. Объект государственного контроля (надзора), муниципального контроля, в отношении которого проводится контрольное (надзорное) мероприятие: | |
. | |
6. Фамилия, имя и отчество (при наличии) гражданина или индивидуального предпринимателя, его идентификационный номер налогоплательщика и (или) основной государственный регистрационный номер индивидуального предпринимателя, наименование юридического лица, его идентификационный номер налогоплательщика и (или) основной государственный регистрационный номер, являющихся контролируемыми лицами: | |
. | |
7. Адрес регистрации по месту жительства (пребывания) гражданина или индивидуального предпринимателя, адрес в пределах места нахождения юридического лица (его филиалов, представительств, обособленных структурных подразделений), являющихся контролируемыми лицами: | |
. | |
8. Место (места) проведения контрольного (надзорного) мероприятия с заполнением проверочного листа: | |
. | |
9. Реквизиты решения контрольного (надзорного) органа о проведении контрольного (надзорного) мероприятия, подписанного уполномоченным должностным лицом контрольного (надзорного) органа: | |
10. Учетный номер контрольного (надзорного) мероприятия: | |
. | |
11. Должность, фамилия и инициалы должностного лица контрольного (надзорного) органа, в должностные обязанности которого в соответствии с положением о виде контроля, должностным регламентом или должностной инструкцией входит осуществление полномочий по виду контроля, в том числе проведение контрольных (надзорных) мероприятий, проводящего контрольное (надзорное) мероприятие и заполняющего проверочный лист: | |
. | |
12. Список контрольных вопросов, отражающих содержание обязательных требований, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований в области персональных данных: |
N п/п | Список контрольных вопросов | Реквизиты нормативных правовых актов с указанием их структурных единиц, которыми установлены обязательные требования | Ответы на вопросы (да/нет/ | Примечание |
1. | Соблюдаются ли контролируемым лицом обязательные требования при обработке персональных данных в части совместимости с целями сбора персональных данных? | часть 2 статьи 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" | ||
2. | Соблюдаются ли контролируемым лицом обязательные требования к содержанию и объему персональных данных в части соответствия заявленным целям обработки? | |||
3. | Соблюдаются ли контролируемым лицом обязательные требования по обработке персональных данных в случаях, предусмотренных Федеральным законом "О персональных данных"? | |||
4. | Соблюдаются ли контролируемым лицом обязательные требования при поручении иному лицу осуществлять обработку персональных данных с согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных? | |||
5. | Соблюдаются ли контролируемым лицом обязательные требования к поручению обработки персональных данных лицу, которому поручается обработка персональных данных, в части определения перечня персональных данных, перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, установления обязанности такого лица соблюдать конфиденциальность персональных данных, требований, предусмотренных частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанности по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со статьей 6 Закона о персональных данных, обязанности обеспечивать безопасность персональных данных при их обработке, а также указания требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных? | |||
6. | Соблюдаются ли контролируемым лицом обязательные требования по нераскрытию третьим лицам и нераспространению персональных данных данные без согласия субъекта персональных данных? | |||
7. | Соблюдаются ли контролируемым лицом обязательные требования по включению персональных данных в общедоступные источники персональных данных с письменного согласия субъекта персональных данных? | |||
8. | Соблюдаются ли контролируемым лицом обязательные требования по исключению сведений о субъекте персональных из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов? | |||
9. | Соблюдаются ли контролируемым лицом обязательные требования по предоставлению доказательств получения согласия субъекта персональных данных на обработку его персональных данных или доказательств наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных? | |||
10. | Соблюдаются ли контролируемым лицом обязательные требования к содержанию письменного согласия субъекта персональных данных на обработку персональных данных? | |||
11. | Обрабатываются ли контролируемым лицом специальные категории персональных данных в случаях, предусмотренных частями 2 и 2.1 статьи 10 Закона о персональных данных? | |||
12. | Обрабатываются ли контролируемым лицом специальные категории персональных данных (сведения о судимости) в случаях, предусмотренных частью 3 Закона о персональных данных? | |||
13. | Соблюдаются ли контролируемым лицом обязательные требования по наличию согласия субъекта персональных данных, разрешенных субъектом персональных данных для распространения, отдельно оформленного от иных согласий на обработку его персональных данных? | |||
14. | Соблюдаются ли контролируемым лицом обязательные требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения? | часть 1 статьи 10.1 Закона о персональных данных, приказ Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения" | ||
15. | Предоставлены ли контролируемым лицом доказательства законности распространения или иной обработки персональных данных, разрешенных субъектом персональных данных для распространения, в случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия на обработку таких персональных данных? | |||
16. | Соблюдаются ли контролируемым лицом обязательные требования по опубликованию информации об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения, в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных? | |||
17. | Соблюдаются ли контролируемым лицом обязательные требования по прекращению передачи (распространение, предоставление, доступ) персональных данных в случае обращения субъекта персональных данных с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу? | |||
18. | Соблюдаются ли контролируемым лицом обязательные требования при обработке биометрических персональных данных субъекта персональных данных в части наличия согласия субъекта персональных данных на обработку его персональных данных в письменной форме за исключением случаев, предусмотренных частью 2 статьи 11 Закона о персональных данных? | |||
19. | Соблюдаются ли контролируемым лицом обязательные требования по обслуживанию субъекта персональных данных в случае его отказа предоставить биометрические персональные данные и (или) согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным? |
20. | Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных до начала осуществления деятельности по трансграничной передаче персональных данных? | |||
20(1) | Соблюдаются ли контролируемым лицом обязательные требования по представлению в уполномоченный орган по защите прав субъектов персональных данных уведомления о намерении осуществлять трансграничную передачу персональных данных, содержащего сведения, предусмотренные частью 4 статьи 12 Закона о персональных данных? | |||
20(2) | Соблюдаются ли контролируемым лицом обязательные требования по получению от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведений, предусмотренных частью 5 статьи 12 Закона о персональных данных, до подачи уведомления о намерении осуществлять трансграничную передачу персональных данных? | |||
20(3) | Соблюдаются ли контролируемым лицом обязательные требования по предоставлению по запросу уполномоченного органа по защите прав субъектов персональных данных сведений, предусмотренных пунктами 1-3 части 5 статьи 12 Закона о персональных данных, в течение десяти рабочих дней с даты получения такого запроса? | |||
20(4) | Соблюдаются ли контролируемым лицом обязательные требования по неосуществлению трансграничной передачи персональных данных на территории указанных в уведомлении, предусмотренном частью 3 статьи 12 Закона о персональных данных, иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 статьи 12 Закона о персональных данных перечень, после направления уведомления о намерении осуществлять трансграничную передачу персональных данных до истечения сроков, указанных в части 9 статьи 12 Закона о персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц? | |||
20(5) | Соблюдаются ли контролируемым лицом обязательные требования по обеспечению уничтожения органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных, в случае принятия уполномоченным органом по защите прав субъектов персональных данных решения о запрещении или об ограничении трансграничной передачи персональных данных? |
21. | Соблюдаются ли контролируемым лицом обязательные требования по исполнению требования субъекта персональных данных об уточнении его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки? | |||
22. | Соблюдаются ли контролируемым лицом обязательные требования по предоставлению субъекту персональных данных в доступной форме сведений, указанных в части 7 статьи 14 Закона о персональных данных? | |||
23. | Соблюдаются ли контролируемым лицом обязательные требования по непредоставлению персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных? | |||
24. | Соблюдаются ли контролируемым лицом обязательные требования при обработке персональных данных субъекта персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации при условии наличия предварительного согласия субъекта персональных данных? | |||
25. | Соблюдаются ли контролируемым лицом обязательные требования по немедленному прекращению обработки персональных данных по требованию субъекта персональных данных обработки его персональных данных в случаях, указанных в части 1 статьи 15 Закона о персональных данных? | |||
26. | Соблюдаются ли контролируемым лицом обязательные требования при принятии решения, порождающего юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки его персональных данных, по наличию согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных? | |||
27. | Соблюдаются ли контролируемым лицом обязательные требования по предоставлению субъекту персональных данных по его просьбе информации, предусмотренной частью 7 статьи 14 Закона о персональных данных при сборе его персональных данных? | |||
28. | Соблюдаются ли контролируемым лицом обязательные требования по разъяснению субъекту персональных данных юридических последствий отказа предоставить его персональные данные и (или) дать согласие на их обработку, в случае, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными? | |||
29. | Соблюдаются ли контролируемым лицом обязательные требования по предоставлению субъекту персональных данных информации до начала обработки персональных данных, в случае если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных частью 4 статьи 18 Закона о персональных данных? | |||
30. | Соблюдаются ли контролируемым лицом обязательные требования по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных? | |||
31. | Соблюдаются ли контролируемым лицом юридическим лицом обязательные требования по принятию мер, необходимых и достаточных для выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами? | |||
32. | Соблюдаются ли контролируемым лицом обязательные требования по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных? | |||
33. | Соблюдаются ли контролируемым лицом обязательные требования по принятию необходимых организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий? | |||
34. | Соблюдаются ли контролируемым лицом обязательные требования по сообщению в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а равно по ознакомлению с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя? | |||
35. | Соблюдаются ли контролируемым лицом обязательные требования по представлению в письменной форме мотивированного ответа, содержащего ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для отказа в представлении субъекту персональных данных или его законному представителю информации о наличии персональных данных о соответствующем субъекте в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя? | |||
36. | Соблюдаются ли контролируемым лицом обязательные требования по предоставлению субъекту персональных данных или его представителю возможности ознакомления с персональными данными, относящимися к этому субъекту персональных данных? | |||
37. | Соблюдаются ли контролируемым лицом обязательные требования по внесению необходимых изменений или уничтожению персональных данных в случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих со дня предоставления таких сведений, а также по уведомлению о внесенных изменениях и предпринятых мерах и принятию разумных мер для уведомления третьих лиц, которым персональные данные этого субъекта были переданы? | |||
38. | Соблюдаются ли контролируемым лицом обязательные требования по блокированию персональных данных в случае выявления неправомерной обработки персональных данных или неточных персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки? | |||
39. | Соблюдаются ли контролируемым лицом обязательные требования по уточнению персональных данных в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов в течение семи рабочих дней со дня представления таких сведений? | |||
40. | Соблюдаются ли контролируемым лицом обязательные требования по прекращению неправомерной обработки персональных данных в случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты этого выявления, или уничтожению персональных данных в случае невозможности обеспечить правомерность обработки персональных данных в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки? | |||
40(1) | Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом: | |||
в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)? |