Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам аппарата Губернатора и Правительства Ленинградской области. Приказ Аппарата Губернатора и Правительства Ленинградской области от 09.10.2015 N 01-02/10 "Об утверждении организационно-распорядительных документов аппарата Губернатора и Правительства Ленинградской области как оператора персональных данных и о признании утратившими силу отдельных приказов аппарата Губернатора и Правительства Ленинградской области"

(приложение 3)

Правила
осуществления внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам аппарата Губернатора и Правительства Ленинградской области (далее - аппарат)
(утв. приказом аппарата Губернатора и Правительства Ленинградской области
от 9 октября 2015 г. N 01-02/10)

1. Внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам аппарата (далее - внутренний контроль) организуется в форме периодических проверок (далее - проверки).

2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в аппарате, либо комиссией, образуемой распоряжением аппарата.

3. В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.

4. Проверки проводятся на основании утверждаемого вице-губернатором Ленинградской области - руководителем аппарата ежегодного плана осуществления внутреннего контроля (плановые проверки) или на основании поступившего в аппарат письменного заявления субъекта персональных данных или его представителя о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

План осуществления внутреннего контроля в себя включает перечень направлений и (или) мероприятий проверки, периодичность и (или) сроки их проведения, перечисление ответственных лиц за проведение проверки, перечень структурных подразделений и лиц, проверяемых в ходе проверки, примечания.

5. При проведении проверки должны быть полностью, объективно и всесторонне определены:

1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

2) порядок и условия применения средств защиты информации;

3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4) состояние учета машинных носителей персональных данных;

5) соблюдение правил доступа к персональным данным;

6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) мероприятия по обеспечению целостности персональных данных.

6. Должностное лицо, ответственное за организацию обработки персональных данных (комиссия), имеет право:

1) запрашивать у работников аппарата области информацию, необходимую для исполнения своих обязанностей;

2) требовать от уполномоченных на обработку персональных данных уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации в области персональных данных;

4) представлять вице-губернатору Ленинградской области - руководителю аппарата предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

5) представлять вице-губернатору Ленинградской области - руководителю аппарата предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в области персональных данных.

7. В отношении персональных данных, ставших известными должностному лицу, ответственному за организацию обработки персональных данных (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

8. Проверка должна быть завершена не позднее чем через десять рабочих дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, вице-губернатору Ленинградской области - руководителю аппарата докладывает должностное лицо, ответственное за организацию обработки персональных данных, в форме служебной записки либо председатель комиссии в форме письменного заключения, в случае проведения проверки комиссией.