Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Аппарата Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия от 20 июля 2021 г. N А-51-р "О принимаемых в Аппарате Главы Республики Хакасия Председателя Правительства Республики Хакасия и Правительства Республики Хакасия мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с изменениями и дополнениями)
- Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Аппарата Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия
Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Аппарата Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия
Приложение 3
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Аппарата Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия
(утв. приказом Аппарата Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия "О принимаемых в Аппарате Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных
1. Общие положения
1.1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), принятыми в соответствии с ним нормативными правовыми актами Российской Федерации и локальными актами Аппарата Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия (далее - Аппарат).
Понятия, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом N 152-ФЗ.
1.2. Внутренний контроль процесса обработки и обеспечения безопасности персональных данных заключается в проверке выполнения установленных законодательством Российской Федерации и правовыми актами Аппарата требований к процессам обработки (в том числе хранения) персональных данных и соблюдения требований по обеспечению безопасности персональных данных при их обработке. Целями проведения внутренних проверок является выявление и своевременное устранение нарушений правил обработки персональных данных и требований по обеспечению безопасности персональных данных, в том числе путем принятия дополнительных мер по обеспечению безопасности персональных данных.
1.3. Мероприятия по осуществлению внутреннего контроля процесса обработки и обеспечения безопасности персональных данных направлены на решение следующих задач:
обеспечение соблюдения государственными гражданскими служащими Аппарата и работниками, замещающими должности, не являющиеся должностями государственной гражданской службы в Аппарате (далее - сотрудники), требований нормативных правовых актов, правовых актов Аппарата, регулирующих сферу обработки персональных данных;
оценка компетентности сотрудников, участвующих в процессе обработки и (или) обеспечения безопасности персональных данных, и определение необходимости их обучения по вопросам обработки персональных данных и (или) обеспечения безопасности персональных данных;
обеспечение соответствия условий эксплуатации технических средств, участвующих в обработке персональных данных, и средств защиты информации требованиям технической и эксплуатационной документации;
выявление изменений технологического процесса обработки персональных данных, новых угроз безопасности персональных данных и их источников, иных факторов, влияющих на оценку угроз безопасности персональных данных, обрабатываемых в Аппарате;
сбор информации, необходимой для анализа выявленных нарушений требований по обработке (в том числе хранению) и обеспечению безопасности персональных данных, выработки предложений и принятия решений по совершенствованию порядка обработки и обеспечения безопасности персональных данных.
2. Формы проведения внутреннего контроля
2.1. Внутренний контроль процесса обработки и обеспечения безопасности персональных данных проводится в следующих формах:
текущий контроль;
периодические проверки (плановые и внеплановые).
2.2. Текущий контроль направлен на обеспечение соблюдения:
порядка доступа в помещения, в которых установлены технические средства, участвующие в обработке персональных данных, либо хранятся материальные носители персональных данных;
правил эксплуатации технических средств, участвующих в обработке персональных данных, и правил работы с материальными носителями персональных данных, а также порядка доступа к ним;
порядка обращения с паролями (парольной информацией), материальными носителями аутентификационной и ключевой информации;
порядка реагирования на нештатные ситуации в целях недопущения их игнорирования;
установленных правил обработки персональных данных в Аппарате.
2.3. Периодические проверки направлены на:
выявление фактов обработки персональных данных, не регламентированных правовыми актами Аппарата:
выявление изменений технологического процесса обработки персональных данных, новых угроз безопасности персональных данных и их источников, иных факторов, влияющих на оценку угроз безопасности персональных данных, обрабатываемых в Аппарате;
оценку актуальности документов, регламентирующих порядок обработки персональных данных в Аппарате, доступ к ним и необходимость их корректировки;
оценку соответствия принятых мер по обеспечению безопасности персональных данных в Аппарате требованиям законодательства Российской Федерации;
обеспечение соблюдения условий эксплуатации средств защиты информации, предусмотренных технической и эксплуатационной документацией.
3. Порядок осуществления контроля
3.1. Текущий контроль соблюдения правил обработки персональных данных и требований по обеспечению их безопасности осуществляется руководителями структурных подразделений Аппарата, сотрудники которых участвуют в процессе обработки персональных данных.
3.2. Текущий контроль осуществляется на постоянной основе. Лица, осуществляющие текущий контроль соблюдения правил обработки персональных данных и требований по обеспечению их безопасности, самостоятельно обеспечивают соблюдение установленных правил и требований.
3.3. Периодические проверки проводятся на основании утвержденного Первым заместителем Главы Республики Хакасия - Председателя Правительства Республики Хакасия - руководителем Аппарата Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия либо исполняющим обязанности руководителя Аппарата (далее - руководитель) ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки) или на основании поступившего в Аппарат письменного обращения субъекта персональных данных или его представителя о нарушении порядка обработки персональных данных (внеплановые проверки).
3.4. Периодические проверки условий обработки персональных данных и принимаемых мер по их защите установленным требованиям проводятся Комиссией Аппарата Главы Республики Хакасия - Председателя Правительства Республики Хакасия и Правительства Республики Хакасия по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Комиссия), образованной приказом Аппарата.
В проведении проверки не может участвовать государственный гражданский служащий или сотрудник Аппарата, прямо или косвенно заинтересованный в ее результатах.
3.5. Проведение внеплановой проверки организуется в течение трех дней с момента поступления обращения.
3.6. Проверки проводятся непосредственно на месте обработки персональных данных.
3.7. Срок проведения проверки не может превышать двадцати дней со дня начала проверки, указанного в правовом акте о назначении проверки.
3.8. При проведении проверки должны быть полностью, объективно и всесторонне рассмотрены следующие вопросы:
1) соблюдение правил обработки персональных данных в Аппарате;
2) соблюдение порядка доступа сотрудников Аппарата в помещения, в которых ведется обработка персональных данных;
3) наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
4) наличие (отсутствие) фактов неправомерной обработки персональных данных;
5) соблюдение требований к защите персональных данных, установленных Федеральным законом N 152-ФЗ.
3.9. В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
3.10. При проведении проверки Комиссия имеет право:
1) запрашивать у государственных гражданских служащих, сотрудников Аппарата информацию по вопросам проверки;
2) требовать от лиц, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить руководителю Аппарата предложения о:
совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
привлечении к ответственности лиц, виновных в нарушении требований законодательства об обработке персональных данных.
3.11. О результатах проведенной проверки составляется письменное заключение, в котором указываются обстоятельства, установленные при проведении проверки, сведения о нарушении требований законодательства об обработке персональных данных и меры, необходимые для их устранения. Заключение подписывается всеми членами Комиссии и представляется руководителю Аппарата.
3.12. По результатам проверки условий обработки персональных данных Комиссия разрабатывает комплекс мер, направленных на устранение нарушений в сфере персональных данных.
3.13. Комиссия должна обеспечивать конфиденциальность персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля.
3.14. В случае проведения внеплановой проверки на основании письменного обращения субъекта персональных данных или его представителя заявителю в течение трех дней со дня окончания проверки направляется письменный ответ по существу поставленных в обращении вопросов.