Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Тверской городской Думе. Постановление Председателя Тверской городской Думы от 03.06.2021 N 15 "Об утверждении Перечня документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" (с изменениями и дополнениями)

Приложение 3
к Постановлению председателя
Тверской городской Думы
от 3 июня 2021 г. N 15

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Тверской городской Думе

С изменениями и дополнениями от:

15 сентября 2021 г.

I. Общие положения

1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Тверской городской Думе (далее - Правила) разработаны на основании требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Целью Правил является определение порядка осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) в Тверской городской Думе.

1.3. В настоящих Правилах термины и определения применяются в том значении, в котором они применяются в Федеральном законе.

II. Предмет внутреннего контроля

2.1. В целях осуществления внутреннего контроля в Тверской городской Думе организовывается проведение плановых и внеплановых проверок.

2.2. Предметом внутреннего контроля являются:

1) документы, характер информации в которых предполагает или допускает включение в них персональных данных;

2) информационные системы персональных данных;

3) деятельность по обработке персональных данных.

III. Принятие решения о проведении внутреннего контроля

3.1. Внутренний контроль проводится на основании утвержденного распоряжением председателя Тверской городской Думы ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Правил обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющих для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Тверской городской Думе (плановые проверки) или на основании поступившего в Тверскую городскую Думу письменного заявления субъекта персональных данных о нарушениях Правил обработки персональных данных (внеплановые проверки).

3.2. Плановые проверки осуществляются муниципальным служащим, ответственным за организацию обработки персональных данных в Тверской городской Думе, внеплановые проверки осуществляются комиссией, образуемой распоряжением председателя Тверской городской Думы.

3.3. Количественный состав комиссии должен быть не менее трех должностных лиц, в том числе представитель правового отдела аппарата Тверской городской Думы.

3.4. Муниципальный служащий, ответственный за организацию обработки персональных данных в Тверской городской Думе, или комиссия при проведении проверки имеют право:

1) запрашивать у работников Тверской городской Думы информацию, необходимую для реализации полномочий;

2) уведомлять председателя Тверской городской Думы о необходимости требования от уполномоченных на обработку персональных данных должностных лиц Тверской городской Думы уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

4) вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

5) вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

IV. Организация и проведение проверок

4.1. В проведении проверки не может участвовать муниципальный служащий, прямо или косвенно заинтересованный в ее результатах.

4.2. Плановые проверки проводятся не чаще чем один раз в полгода в соответствии с распоряжением председателя Тверской городской Думы.

4.3. Проведение внеплановой проверки организуется указанной в п. 3.2 настоящих Правил комиссией в течение трех рабочих дней с момента поступления в Тверскую городскую Думу соответствующего заявления.

О проведении внеплановой проверки издается распоряжение председателя Тверской городской Думы.

Информация об изменениях:

Пункт 4.4 изменен с 17 сентября 2021 г. - Постановление Председателя Тверской городской Думы от 15 сентября 2021 г. N 19

См. предыдущую редакцию

4.4. Сведения о проведении плановых и внеплановых проверок отражаются в соответствующем журнале, который ведется муниципальным служащим, ответственным за организацию обработки персональных данных (приложение к настоящим Правилам).

4.5. При проведении проверок должны быть полностью, объективно и всесторонне установлены:

1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные федеральным законодательством уровни защищенности персональных данных;

2) порядок и условия применения средств защиты информации;

3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4) состояние учета машинных носителей персональных данных;

5) соблюдение правил доступа к персональным данным;

6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер обеспечения их безопасности;

7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) осуществление мероприятий по обеспечению сохранности персональных данных.

4.6. В случае выявления нарушений обязательных требований соответствия обработки персональных данных требованиям к защите персональных данных, установленных федеральным законодательством, муниципальный служащий, ответственный за организацию обработки персональных данных в Тверской городской Думе, проводящий плановую проверку, обязан сообщить председателю Тверской городской Думы о выявленных нарушениях в течение пяти рабочих дней со дня окончания проведения плановой проверки.

4.7. Срок проведения каждой из проверок не может превышать двадцать рабочих дней.

4.8. По результатам проверки издается распоряжение председателя Тверской городской Думы.

4.9. Муниципальный служащий, ответственный за организацию обработки персональных данных в Тверской городской Думе, ведет журнал учета проверок.

4.10. В журнале учета проверок осуществляется запись, содержащая сведения о лицах, проводивших проверку, датах начала и окончания проведения проверки, времени ее проведения, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и принятых решениях, подписи лиц, проводивших проверку.