Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствие с ним нормативными правовыми актами и локальными актами оператора. Постановление Администрации МО "Городской округ "Город Нарьян-Мар" Ненецкого автономного округа от 04.04.2022 N 413 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в Администрации муниципального образования "Городской округ "Город Нарьян-Мар"

Приложение 3

УТВЕРЖДЕНЫ
постановлением Администрации
муниципального образования
"Городской округ "Город Нарьян-Мар"
от 04.04.2022 N 413

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствие с ним нормативными правовыми актами и локальными актами оператора

1. Настоящие Правила определяют процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Понятия, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации муниципального образования "Городской округ "Город Нарьян-Мар (далее - Администрация города) организуется проведение периодических проверок условий обработки персональных данных (далее - проверки) на предмет их соответствия требованиям, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним иными нормативными правовыми актами и правовыми актами Администрации города.

3. Проверки осуществляются лицом, ответственным за организацию обработки персональных данных в Администрации города (далее - ответственный за организацию обработки персональных данных), либо комиссией, состав которой утверждается распоряжением Администрации города.

В проведении проверки не может участвовать муниципальный служащий, работник Администрации города, прямо или косвенно заинтересованный в ее результатах.

4. Проверки проводятся на основании утвержденного распоряжением Администрации города плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных (плановые проверки) или на основании поступившего в Администрацию города письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

5. Плановые проверки проводятся не чаще чем один раз в год.

6. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления в Администрацию города заявления, указанного в пункте 4 настоящих Правил.

7. При проведении проверки должны быть полностью, объективно и всесторонне установлены:

7.1. Порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.

7.2. Порядок и условия применения средств защиты информации.

7.3. Эффективность принимаемых мер по обеспечению безопасности персональных данных.

7.4. Состояние учета машинных носителей персональных данных.

7.5. Соблюдение правил доступа к персональным данным.

7.6. Наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер.

7.7. Мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

7.8. Осуществление мероприятий по обеспечению целостности персональных данных.

8. При проведении проверки ответственный за организацию обработки персональных данных или комиссия имеют право:

8.1. Запрашивать у работников Администрации города информацию, необходимую для реализации полномочий.

8.2. Требовать от должностных лиц Администрации города, непосредственно осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

8.3. Вносить предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации.

8.4. Вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства в области обработки персональных данных.

9. Ответственный за организацию обработки персональных данных, а также члены комиссии должны обеспечивать конфиденциальность персональных данных, ставших им известными в ходе проведения мероприятий внутреннего контроля.

10. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, составляется письменное заключение, которое подписывается ответственным за организацию обработки персональных данных либо членами комиссии.

Срок проведения проверки и оформления заключения составляет не более тридцати календарных дней со дня начала проверки, указанного в правовом акте о назначении проверки.