Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных установленным законодательством в сфере защиты персональных данных, в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края

Приложение N 3

к приказу агентства по гражданской

обороне, чрезвычайным ситуациям

и пожарной безопасности

Красноярского края

от 11 августа 2021 N 180п

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных установленным законодательством в сфере защиты персональных данных, в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края

1. Общие положения

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством в сфере защиты персональных данных в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края (далее - Правила) определяют процедуры проведения внутреннего контроля соответствия обработки персональных данных в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края (далее - агентство) требованиям к защите персональных данных, с целью выявления и предотвращения нарушений законодательства в сфере защиты персональных данных (далее - внутренний контроль).

1.2. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", иными нормативными правовыми актами.

1.3. Понятия и термины, используемые в Правилах, применяются в том же значении, что и в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Порядок осуществления внутреннего контроля

2.1. Основаниями для осуществления внутреннего контроля являются:

поручение руководителя агентства либо лица, исполняющего его обязанности (далее - руководитель);

поступившая в агентство информация о нарушениях правил обработки персональных данных.

2.2. Внутренний контроль осуществляется в форме проверки.

2.3. При возникновении оснований осуществления внутреннего контроля издается приказ агентства о проведении проверки, создании комиссии по контролю за соблюдением требований к защите персональных данных (далее - комиссия) и утверждении ее состава.

2.4. Приказ агентства о проведении проверки, создании комиссии и утверждении ее состава (далее - приказ) издается не позднее 5 рабочих дней со дня подписания поручения руководителя или регистрации информации о нарушениях правил обработки персональных данных.

2.5. В состав комиссии включаются ответственный за организацию обработки персональных данных, государственный гражданский служащий административно-правового отдела агентства, иные государственные гражданские служащие агентства.

2.6. В состав комиссии не может входить государственный гражданский служащий агентства, действия которого являются предметом проверки.

2.7. Поручение руководителя передается в комиссию не позднее 2 рабочих дней, следующих за днем издания приказа.

2.8. Информация о нарушениях правил обработки персональных данных регистрируется в агентстве и передается в комиссию не позднее 2 рабочих дней, следующих за днем издания приказа.

2.9. О поступлении в комиссию поручения руководителя или информации о нарушениях правил обработки персональных данных секретарь комиссии делает соответствующую отметку на указанных поручении и информации.

2.10. Осуществление внутреннего контроля проводится не позднее одного месяца со дня поступления в комиссию поручения руководителя или информации о нарушении правил обработки персональных данных.

2.11. При осуществлении внутреннего контроля должны быть полностью, объективно и всесторонне установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

соблюдение правил обработки персональных данных;

соблюдение правил работы с обезличенными персональными данными;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным;

наличие (отсутствие) фактов неправомерной обработки персональных данных.

2.12. Комиссия имеет право:

запрашивать у государственных гражданских служащих агентства информацию, необходимую для проведения проверки;

требовать от уполномоченных на обработку персональных данных государственных гражданских служащих уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить руководителю предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить руководителю предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

2.13. По результатам проверки составляется заключение, которое подписывается председателем комиссии, членами комиссии и руководителем проверяемого структурного подразделения.

Составление заключения осуществляется в срок, указанный в пункте 2.10 Правил. В заключении отражаются мероприятия, необходимые для устранения выявленных нарушений, определяется срок их исполнения и лицо, ответственное за реализацию мероприятий.

Заключение не позднее дня, следующего за днем завершения проверки, представляется руководителю.

2.14. С заключением комиссии под роспись подлежит ознакомлению государственный гражданский служащий агентства, действия которого являются предметом проверки.

К заключению прилагаются замечания указанного государственного гражданского служащего при их наличии.

2.15. По результатам проверки руководитель принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных лиц к установленной ответственности.

Руководитель

Е.И.Мусс

<< Приложение N 2. Правила рассмотрения запросов субъектов персональных данных или их представителей в агентстве по гражданской обороне,...		Приложение >> N 4. Перечень персональных данных, обрабатываемых в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности...
	Содержание Приказ агентства по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края от 11 августа 2021...

Вы можете открыть актуальную версию документа прямо сейчас.