(1).jpg)
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10 января 2023 г. N 1 “О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253”
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10 января 2023 г. N 1
“О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253”
В соответствии с частью 1 статьи 53 Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (Собрание законодательства Российской Федерации, 2020, N 31, ст. 5007), пунктом 3 требований к разработке, содержанию, общественному обсуждению проектов форм проверочных листов, утверждению, применению, актуализации форм проверочных листов, а также случаев обязательного применения проверочных листов, утвержденных постановлением Правительства Российской Федерации от 27 октября 2021 г. N 1844 (Собрание законодательства Российской Федерации, 2021, N 44, ст. 7443), пунктом 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 (Собрание законодательства Российской Федерации, 2009, N 12, ст. 1431), пунктом 2 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29 июня 2021 г. N 1046 (Собрание законодательства Российской Федерации, 2021, N 27, ст. 5424), приказываю:
Внести в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253 (зарегистрирован Министерством юстиции Российской Федерации 25 февраля 2022 г., регистрационный N 67486), изменения в соответствии с приложением к настоящему приказу.
| Руководитель | А.Ю. Липов |
Зарегистрировано в Минюсте РФ 5 апреля 2023 г.
Регистрационный № 72886
Приложение
к приказу Федеральной службы
по надзору в сфере связи,
информационных технологий
массовых коммуникаций
от 10 января 2023 г. N 1
Изменения, которые вносятся в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253
1. Строку 5 таблицы пункта 12 изложить в следующей редакции:
“
| 5 | Соблюдаются ли контролируемым лицом обязательные требования к поручению обработки персональных данных лицу, которому поручается обработка персональных данных, в части определения перечня персональных данных, перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, установления обязанности такого лица соблюдать конфиденциальность персональных данных, требований, предусмотренных частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанности по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со статьей 6 Закона о персональных данных, обязанности обеспечивать безопасность персональных данных при их обработке, а также указания требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона о персональных данных? | часть 3 статьи 6 Закона о персональных данных |
|---|
“
2. Строку 19 таблицы пункта 12 изложить в следующей редакции:
“
| 19 | Соблюдаются ли контролируемым лицом обязательные требования по обслуживанию субъекта персональных данных в случае его отказа предоставить биометрические персональные данные и (или) согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным? | часть 3 статьи 11 Закона о персональных данных |
|---|
“
3. Строку 20 таблицы пункта 12 изложить в следующей редакции:
“
| 20 | Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных до начала осуществления деятельности по трансграничной передаче персональных данных? | часть 3 статьи 12 Закона о персональных данных |
|---|
“
4. Таблицу пункта 12 дополнить строками 20(1) - 20(5) следующего содержания:
“
| 20(1) | Соблюдаются ли контролируемым лицом обязательные требования по представлению в уполномоченный орган по защите прав субъектов персональных данных уведомления о намерении осуществлять трансграничную передачу персональных данных, содержащего сведения, предусмотренные частью 4 статьи 12 Закона о персональных данных? | часть 4 статьи 12 Закона о персональных данных | ||
|---|---|---|---|---|
| 20(2) | Соблюдаются ли контролируемым лицом обязательные требования по получению от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведений, предусмотренных частью 5 статьи 12 Закона о персональных данных, до подачи уведомления о намерении осуществлять трансграничную передачу персональных данных? | часть 5 статьи 12 Закона о персональных данных | ||
| 20(3) | Соблюдаются ли контролируемым лицом обязательные требования по предоставлению по запросу уполномоченного органа по защите прав субъектов персональных данных сведений, предусмотренных пунктами 1 - 3 части 5 статьи 12 Закона о персональных данных, в течение десяти рабочих дней с даты получения такого запроса? | часть 6 статьи 12 Закона о персональных данных | ||
| 20(4) | Соблюдаются ли контролируемым лицом обязательные требования по неосуществлению трансграничной передачи персональных данных на территории указанных в уведомлении, предусмотренном частью 3 статьи 12 Закона о персональных данных, иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 статьи 12 Закона о персональных данных перечень, после направления уведомления о намерении осуществлять трансграничную передачу персональных данных до истечения сроков, указанных в части 9 статьи 12 Закона о персональных данных, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц? | часть 11 статьи 12 Закона о персональных данных | ||
| 20(5) | Соблюдаются ли контролируемым лицом обязательные требования по обеспечению уничтожения органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных, в случае принятия уполномоченным органом по защите прав субъектов персональных данных решения о запрещении или об ограничении трансграничной передачи персональных данных? | часть 14 статьи 12 Закона о персональных данных |
“
5. Строку 28 таблицы пункта 12 изложить в следующей редакции:
“
| 28 | Соблюдаются ли контролируемым лицом обязательные требования по разъяснению субъекту персональных данных юридических последствий отказа предоставить его персональные данные и (или) дать согласие на их обработку, в случае, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными? | часть 2 статьи 18 Закона о персональных данных |
|---|
“
6. Строки 34 и 35 таблицы пункта 12 изложить в следующей редакции:
“
| 34 | Соблюдаются ли контролируемым лицом обязательные требования по сообщению в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а равно по ознакомлению с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя? | часть 1 статьи 20 Закона о персональных данных | ||
|---|---|---|---|---|
| 35 | Соблюдаются ли контролируемым лицом обязательные требования по представлению в письменной форме мотивированного ответа, содержащего ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для отказа в представлении субъекту персональных данных или его законному представителю информации о наличии персональных данных о соответствующем субъекте в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя? | часть 2 статьи 20 Закона о персональных данных |
“
7. Таблицу пункта 12 дополнить строкой 40(1) следующего содержания:
“
| 40(1) | Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом: в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)? | часть 3.1 статьи 21 Закона о персональных данных |
|---|
“
8. Таблицу пункта 12 дополнить строкой 42(1) следующего содержания:
“
| 42(1) | Соблюдаются ли контролируемым лицом обязательные требования по прекращению обработки персональных данных или обеспечению прекращения обработки персональных данных (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных? | часть 5.1 статьи 21 Закона о персональных данных |
|---|
“
9. Строку 43 таблицы пункта 12 изложить в следующей редакции:
“
“
10. Таблицу пункта 12 дополнить строкой 43(1) следующего содержания:
“
| 43(1) | Соблюдаются ли контролируемым лицом обязательные требования по подтверждению уничтожения персональных данных в случаях, предусмотренных статьей 21 Закона о персональных данных, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных? | часть 7 статьи 21 Закона о персональных данных |
|---|
“
11. Строку 46 таблицы пункта 12 изложить в следующей редакции:
“
| 46 | Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае изменения сведений, содержащихся в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных? | часть 7 статьи 22 Закона о персональных данных |
|---|
“
Обзор документа
Актуализирована форма проверочного листа в сфере обработки персональных данных. Роскомнадзор и его территориальные органы применяют чек-лист в рамках контроля (надзора).
