Приложение N 4. Правила осуществления в агентстве печати и массовых коммуникаций Красноярского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством в сфере защиты персональных данных. Приказ агентства печати и массовых коммуникаций Красноярского края от 26.08.2015 N 12-Н "Об обработке и защите персональных данных в агентстве печати и массовых коммуникаций Красноярского края" (с изменениями и дополнениями)

Приложение N 4

к Приказу агентства печати и массовых

коммуникаций Красноярского края

от 26 августа 2015 г. N 12-Н

Правила
осуществления в агентстве печати и массовых коммуникаций Красноярского края
внутреннего контроля соответствия обработки персональных данных требованиям
к защите персональных данных, установленным законодательством
в сфере защиты персональных данных

1. Общие положения

1.1. Правилами осуществления в агентстве печати и массовых коммуникаций Красноярского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством в сфере защиты персональных данных (далее - Правила) определяются процедуры, с целью выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.

1.2. Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

1.3. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.

1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Порядок проведения проверки

2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в агентстве печати и массовых коммуникаций Красноярского края (далее - агентство) организовывается проведение проверок условий обработки персональных данных.

Проверки осуществляются комиссией, образуемой приказом руководителя агентства.

В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.

Проверки соответствия обработки персональных данных установленным требованиям (плановые проверки) в агентстве проводятся один раз в 2 года, или на основании поступившего в агентство письменного заявления (обращения), служебной записки о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления (обращения), служебной записки о нарушениях правил обработки персональных данных.

2.2. При проведении проверки соответствия обработки персональных данных установленным требованиям должны полностью, объективно и всесторонне установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

2.3. Члены комиссии имеют право:

запрашивать у сотрудников агентства информацию, необходимую для проведения проверки;

требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить руководителю агентства предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить руководителю агентства предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

2.4. Проверка должна быть завершена не позднее чем через месяц со дня издания приказа о ее проведении. По результатам проведенной проверки составляется и подписывается комиссией заключение, в котором отражаются меры, необходимые для устранения выявленных нарушений. Подписанное заключение не позднее дня, следующего за днем завершения проверки, представляется руководителю агентства.

2.5. По результатам проверки руководитель агентства принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных лиц к установленной ответственности.