Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и приказами инспекции государственного строительного надзора Калужской области. Приказ Инспекции государственного строительного надзора Калужской области от 24.05.2021 N 36 "Об организации работы с персональными данными в инспекции государственного строительного надзора Калужской области"

Приложение N 3
к приказу инспекции
государственного строительного
надзора Калужской области
от 24.05.2021 N 36

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и приказами инспекции государственного строительного надзора Калужской области

1. Общие положения

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), принятыми в соответствии с ним нормативными правовыми актами и приказами инспекции государственного строительного надзора Калужской области (далее - Правила) разработаны в соответствии с постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Настоящие Правила определяют цели, сроки и порядок осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (далее - внутренний контроль) в инспекции государственного строительного надзора Калужской области (далее - инспекция).

2. Цели внутреннего контроля

2.1. Внутренний контроль в инспекции производится в целях:

1) проверки соблюдения сотрудниками инспекции, непосредственно осуществляющими обработку персональных данных, требований Федерального закона "О персональных данных", принятых в соответствии с ним нормативных правовых актов и приказов инспекции;

2) предотвращения нарушений, связанных с обработкой и защитой персональных данных в инспекции;

3) совершенствования системы защиты персональных данных в инспекции.

3. Организация внутреннего контроля

3.1. Внутренний контроль соответствия обработки персональных данных установленным требованиям в инспекции осуществляется путём проведения периодических проверок условий обработки персональных данных в подразделениях инспекции, обрабатывающих персональные данные.

3.2. Внутренние проверки проводит должностное лицо, ответственное за организацию обработки персональных данных в инспекции, либо комиссия по организации обработки и защиты персональных данных в инспекции, созданная приказом инспекции.

3.3. Сроки и периодичность проведения внутренних проверок в инспекции определяются ежегодным планом осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям, утверждаемым приказом инспекции.

3.4. Основания для проведения внеплановых проверок:

- решение начальника инспекции государственного строительного надзора Калужской области (далее - начальник инспекции);

- выявление ответственными должностными лицами нарушений правил обработки персональных данных в инспекции, которые могут нанести существенный вред субъекту персональных данных, установленных протоколом проведения внутренней проверки, утвержденным руководителем;

- письменное заявление субъекта персональных данных о нарушении его прав.

Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

4. Порядок проведения внутренних проверок

4.1. Внутренняя проверка условий обработки персональных данных в инспекции осуществляется непосредственно на месте обработки персональных данных способом опроса и осмотра рабочих мест сотрудников инспекции, осуществляющих обработку персональных данных.

4.2. В ходе проведения внутренней проверки проверяется:

4.2.1. наличие и актуальность документации, связанной с обработкой персональных данных;

4.2.2. выполнение требований Федерального закона "О персональных данных", принятых в соответствии с ним нормативных правовых актов и приказов инспекции, в том числе:

- правил обработки персональных данных в инспекции;

- правил рассмотрения запросов субъектов персональных данных или их представителей в инспекции;

- порядка доступа сотрудников инспекции в помещения, в которых ведется обработка персональных данных;

4.2.3. отсутствие нарушений порядка обработки и защиты персональных данных;

4.2.4. соблюдение пользователями информационных систем персональных данных порядка работы со средствами защиты информации;

4.2.5. соблюдение пользователями информационных систем персональных данных правил работы со съемными носителями информации;

4.2.6. соблюдение порядка резервирования информации и хранения резервных копий.

Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении.

5. Порядок оформления результатов внутренних проверок

5.1. Должностные лица, проводившие внутреннюю проверку, составляют протокол по форме, приведенной в приложении к настоящим Правилам.

5.2. Выявленные нарушения соответствия обработки персональных данных установленным требованиям фиксируются в протоколе, а также делается запись о планируемых мероприятиях по устранению нарушений и сроках их исполнения.

5.3. Должностные лица, проводившие внутреннюю проверку, докладывают руководителю о результатах её проведения и мерах, необходимых для устранения нарушений и представляют на утверждение протокол проведения внутренней проверки.