Приложение 4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Приказ Департамента торговли и услуг г. Москвы от 24.12.2020 N 44 "Об обработке персональных данных в Департаменте торговли и услуг города Москвы и работе с персональными данными"

Приложение 4
к приказу Департамента
торговли и услуг города Москвы
от 24.12.2020 г. N 44

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

1. Общие положения

1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) устанавливают основания, порядок и формы проведения внутреннего контроля соответствия обработки и защиты персональных данных требованиям, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными, правовыми актами Российской Федерации, города Москвы и Департамента торговли и услуг города Москвы (далее - Департамент).

1.2. Настоящие Правила разработаны в соответствии с законодательством Российской Федерации и города Москвы в области обработки и защиты персональных данных и иными правовыми актами, принимаемыми в соответствии с данным законодательством (далее - законодательство в сфере персональных данных).

1.3. Целями осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) являются:

- оценка выполнения в Департаменте требований по обработке и защите персональных данных, установленных законодательством Российской Федерации, Правительства Москвы, а также правовыми актами Департамента;

- выявление и предотвращение в Департаменте нарушений законодательства Российской Федерации и города Москвы в сфере персональных данных.

1.4. Внутренний контроль проводится Комиссией по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Комиссия), назначаемой в порядке, установленном в Департаменте.

1.5. В состав Комиссии могут входить работники Департамента и внешние эксперты. В проведении внутреннего контроля не могут участвовать работники Департамента, прямо или косвенно заинтересованные в его результатах.

1.6. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения внутреннего контроля, обеспечивают конфиденциальность персональных данных субъектов персональных данных.

2. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

2.1. Внутренний контроль осуществляется Департаментом путем проведения проверок соблюдения требований законодательства в сфере персональных данных и внутренних документов Департамента по обработке и защите персональных данных (далее - проверки).

2.2. Проверки проводятся непосредственно на месте обработки персональных данных путем:

- опроса либо, при необходимости, путем осмотра рабочих мест работников, участвующих в процессе обработки персональных данных;

- проверки документов, относящихся к деятельности структурного подразделения в части обработки и (или) защиты персональных данных;

- проведения, при необходимости, инструментальных проверок защищенности информационных систем персональных данных.

2.3. Проверки в Департаменте разделяются на:

- плановые;

- внеплановые.

2.4. Плановые проверки проводятся не реже одного раза в год в соответствии с Планом проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - План внутреннего контроля).

2.5. План внутреннего контроля разрабатывается Ответственным за организацию обработки персональных данных, который назначается руководителем Департамента. Разработанный План внутреннего контроля утверждается в порядке, установленном в Департаменте.

2.6. Количество плановых проверок зависит от:

- результатов проведения предыдущих проверок;

- критичности объекта (структурного подразделения, осуществляющего обработку и (или) защиту персональных данных, или процесса обработки персональных данных), по которому планируется проведение проверки;

- предложений руководства и специалистов структурных подразделений Департамента.

2.7. Внеплановые внутренние проверки могут проводиться в следующих случаях:

- по результатам расследования выявленных нарушений требований законодательства в сфере персональных данных;

- по результатам внешних контрольных мероприятий, проводимых уполномоченным органом по защите прав субъектов персональных данных;

- при существенных изменениях процессов или процедур обработки и защиты персональных данных;

- при выявлении большого числа нарушений требований законодательства в сфере персональных данных или повторяемости одних и тех же нарушений от проверки к проверке;

- по указанию руководства Департамента.

2.8. Руководители проверяемых структурных подразделений к началу проведения проверок должны обеспечить:

- доступность необходимых для проведения проверок работников;

- доступность необходимых для проведения проверок материалов;

- доступ к информационным ресурсам, владельцами которых они являются;

- доступ в помещения, имеющие отношения к области проведения проверок.

2.9. Результаты проведения внутреннего контроля фиксируются в Отчете по результатам проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Отчет).

2.10. В Отчете в обязательном порядке должны быть указаны:

- основание проверки;

- вид проверки (плановая/внеплановая);

- цель проведения проверки;

- выявленные нарушения.

2.11. Отчет подписывают председатель и члены Комиссии.

2.12. По результатам проведения внутреннего контроля Комиссией проводится анализ выявленных нарушений и разрабатывается план действий по устранению выявленных нарушений.

2.13. Результаты проведения внутреннего контроля и план действий по устранению выявленных нарушений доводятся до сведения руководства Департамента для принятия решений о необходимости проведения работ по устранению выявленных нарушений.

2.14. Решения о необходимости проведения работ по устранению выявленных нарушений подлежат реализации в порядке, установленном в Департаменте.

3. Права Комиссии

3.1. Комиссия для реализации своих полномочий имеет право:

- привлекать к проведению проверок работников Департамента;

- запрашивать у работников Департамента необходимую информацию;

- принимать меры по устранению выявленных нарушений;

- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в сфере персональных данных.

3.2. К проведению проверок могут привлекаться внешние эксперты на договорной основе в соответствии с действующим законодательством.