Приложение N 1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Распоряжение администрации города Нижнего Новгорода от 13.05.2014 N 182-р "Об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных" (с изменениями и дополнениями)

Приложение N 1
к распоряжению администрации города
от 13 мая 2014 г. N 182-р

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - правила), установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и правовыми актами администрации города Нижнего Новгорода, в отраслевых (функциональных) структурных подразделениях администрации города Нижнего Новгорода, не являющихся юридическими лицами (далее - структурные подразделения администрации города Нижнего Новгорода), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Правила разработаны в соответствии c Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и правовыми актами администрации города Нижнего Новгорода.

3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных администрация города Нижнего Новгорода организует проведение проверок соответствия обработки персональных данных установленным требованиям к защите персональных данных (далее - проверки) в структурных подразделениях администрации города Нижнего Новгорода.

4. Проверки осуществляются постоянно действующей комиссией по контролю соответствия обработки персональных данных установленным требованиям в структурных подразделениях администрации города Нижнего Новгорода (далее - Комиссия), состав которой утверждается распоряжением администрации города Нижнего Новгорода.

5. Проверки проводятся на основании:

утвержденного ответственным за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (плановые проверки);

поступившего в администрацию города Нижнего Новгорода письменного заявления о нарушении выполнения требований к защите персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение 5 рабочих дней со дня регистрации соответствующего заявления.

6. В ходе проверки проводится полная, объективная и всесторонняя оценка:

6.1. Наличия и актуальности правовых и организационно-распорядительных документов, утверждаемых в соответствии с правовыми актами администрации города Нижнего Новгорода в области обработки персональных данных.

6.2. Информирования лиц, осуществляющих обработку персональных данных, о положениях законодательства Российской Федерации, правовых актах администрации города Нижнего Новгорода о порядке обработки персональных данных и требованиях к обеспечению безопасности персональных данных.

6.3. Соответствия перечня служащих, фактически осуществляющих обработку персональных данных и имеющих доступ к персональным данным, утвержденному перечню служащих, замещение должностей которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным в соответствии с правовым актом администрации города Нижнего Новгорода.

6.4. Соблюдения установленного порядка доступа служащих структурных подразделений администрации города Нижнего Новгорода в помещения, в которых ведется обработка персональных данных.

6.5. Соблюдения сроков обработки и хранения персональных данных.

6.6. Соответствия обрабатываемых персональных данных утвержденным перечням персональных данных, обрабатываемых в структурных подразделениях администрации города Нижнего Новгорода в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг, осуществлением муниципальных функций и исполнением отдельных государственных полномочий.

6.7. Соблюдения правил обработки персональных данных, осуществляемой без использования средств автоматизации, в том числе:

раздельного хранения персональных данных, обработка которых осуществляется в разных целях;

соответствия фактических мест хранения материальных носителей персональных данных местам хранения материальных носителей персональных данных, утвержденным правовым актом администрации города Нижнего Новгорода;

состояния учета машинных съемных носителей информации.

6.8. Соблюдения правил обработки персональных данных в информационных системах для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, в том числе применения технических мер:

использования сертифицированных средств защиты информации и соблюдения условий их использования лицами, осуществляющими обработку персональных данных;

наличия возможности незамедлительного восстановления персональных данных, модифицированных или уничтоженных в случае несанкционированного доступа.

7. Проверка должна быть завершена не позднее чем через 30 дней со дня начала проверки.

8. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений (в случае их наличия), в течение 10 рабочих дней со дня завершения проверки составляется акт. Акт направляется ответственному за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода и руководителю структурного подразделения администрации города Нижнего Новгорода, в котором проводилась проверка.

9. Акт должен содержать описание нарушений, в случае их наличия, и рекомендации по их устранению. Акт подписывается всеми членами Комиссии.

10. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений (в случае их наличия), главе администрации города Нижнего Новгорода докладывает ответственный за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода.

11. На основании результатов проведенной проверки при обнаружении фактов осуществления обработки персональных данных с нарушением требований законодательства Российской Федерации, ответственный за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода принимает решение о приостановлении или прекращении обработки персональных данных либо, в случае невозможности устранения нарушений (обеспечения правомерности обработки), об уничтожении таких персональных данных.

12. Члены Комиссии обязаны соблюдать конфиденциальность информации ограниченного доступа, ставшей известной им в ходе проведения проверки.