Приложение 11. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Тамбовском районном Совете народных депутатов. Распоряжение Тамбовского районного Совета народных депутатов Тамбовской области от 09.04.2013 N 11-р "Об утверждении перечня документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

Приложение 11

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Тамбовском районном Совете народных депутатов
(утв. распоряжением Тамбовского районного Совета народных депутатов Тамбовской области
от 9 апреля 2013 г. N 11-р)

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

Общие положения

1.1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Тамбовском районном Совете народных депутатов (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

1.2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"; Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"; Постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"; Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации"; Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами"; Приказом ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и другими нормативными правовыми актами.

1.3. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.

1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Тамбовском районном Совете народных депутатов организовывается проведение проверок условий обработки персональных данных.

2.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных в Тамбовском районном Совете народных депутатов (далее - проверки) осуществляются комиссией, утвержденной распоряжением председателя Тамбовского районного Совета народных депутатов (далее - Комиссия по персональным данным).

2.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях районного Совета, в которых ведется обработка персональных данных.

2.4. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным распоряжением председателя Тамбовского районного Совета народных депутатов.

2.5. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Тамбовском районном Совете народных депутатов.

2.6. Внеплановые проверки проводятся на основании поступившего в Тамбовский районный Совет народных депутатов на имя председателя письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.

2.7. В течение трех рабочих дней с момента поступления в Тамбовский районный Совет народных депутатов заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется распоряжением председателя Тамбовского районного Совета народных депутатов.

2.8. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления распоряжения о проведении внеплановой проверки.

2.9. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в Тамбовском районном Совете народных депутатов, а именно:

- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;

- соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;

- отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

2.10. В случае выявления фактов:

- несоблюдения установленного порядка обработки персональных данных;

- несоблюдения условий хранения носителей персональных данных;

- использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

- нарушения заданного уровня безопасности персональных данных (конфиденциальность/ целостность/доступность);

- в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.

2.11. Комиссия по персональным данным имеет право:

- запрашивать у сотрудников Тамбовского районного Совета народных депутатов информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить председателю Тамбовского районного Совета народных депутатов предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить председателю Тамбовского районного Совета народных депутатов предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

2.12. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.

2.13. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.

2.14. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется председателю Тамбовского районного Совета народных депутатов за подписью председателя Комиссии по персональным данным.

2.15. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.

2.16. В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.