Приказ Министерства здравоохранения Республики Северная Осетия-Алания от 19.08.2022 N 481 о/д "Об утверждении Инструкции по осуществлению внутреннего контроля выполнения требований по защите персональных данных Министерством здравоохранения Республики Северная Осетия-Алания"

С целью организации обработки персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" приказываю:

ГАРАНТ:

См. Приказ Министерства здравоохранения Республики Северная Осетия-Алания от 11 октября 2022 г. N 931 о/д "О утверждении форм письменных согласий на обработку персональных данных в Министерстве здравоохранения Республики Северная Осетия-Алания"

1. Утвердить инструкцию об осуществлении внутреннего контроля выполнения требований по защите персональных данных в Министерстве здравоохранения Республики Северная Осетия-Алания.

2. Контроль исполнения настоящего приказа оставляю за собой.

Министр

С. Тебиев

УТВЕРЖДЕНО

приказом Министерства

здравоохранения Республики

Северная Осетия-Алания

от 19.08.2022 г. N 481 о/д

Инструкция
об осуществлении внутреннего контроля выполнения требований по защите персональных данных в Министерстве здравоохранения Республики Северная Осетия-Алания

Настоящая инструкция определяет порядок организации и осуществления контроля выполнения требований по защите персональных данных в структурных подразделениях Министерства здравоохранения Республики Северная Осетия-Алания (далее - Министерство).

Требования инструкции обязательны для исполнения всеми должностными лицами Министерства, осуществляющими контроль состояния защиты персональных данных.

I. Общие положения

Контроль выполнения требований по защите персональных данных в структурных подразделениях Министерства имеет целью определить наличие несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработать меры по их устранению и недопущению в дальнейшем.

Контроль осуществляет Ответственный за организацию обработки персональных данных Министерства. Для участия в проведении контроля решением Ответственного за организацию обработки персональных данных могут также привлекаться другие специалисты подразделений Министерства (по согласованию с их руководителями). В таких случаях контроль носит комплексный характер.

Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.

Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.

Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов Министерства или нарушения требований по защите персональных данных.

Сроки проведения контрольных проверок доводятся руководителям проверяемых подразделений не позднее, чем за 24 часа до начала проверки.

Проверки по частным вопросам могут проводиться без уведомления руководителей проверяемых подразделений.

Периодичность и сроки проведения плановых проверок подразделений Министерства устанавливаются графиком проверок на календарный год. План утверждает Министр. Сроки проведения плановых проверок доводятся руководителям проверяемых подразделений не позднее, чем за 10 суток до начала проверки.

II. Порядок подготовки к проверке

Для участия в проведении проверки Ответственным за организацию обработки персональных данных заблаговременно назначаются соответствующие компетентные специалисты (далее - проверяющие лица). В случае проведения проверки комиссией также назначается ее председатель.

Председатель комиссии (старший по проверке) подготавливает в адрес руководителя проверяемого подразделения распоряжение о проверке за подписью Ответственного за организацию обработки персональных данных Министерства и перечень вопросов проверки (при необходимости). Председатель комиссии (старший по проверке) распределяет обязанности по проверке конкретных участков работы между проверяющими лицами.

Проверяющие лица инструктируются непосредственным начальником об особенностях работы в конкретном подразделении Министерства. За 3 - 4 дня до начала проверки они должны изучить материалы предыдущих проверок данного подразделения, уточнить наличие в нем защищаемых ресурсов, сил и средств защиты персональных данных, а также особенности их функционирования.

III. Порядок проведения проверки

По прибытию в подразделение для проведения проверки председатель комиссии (старший по проверке) прибывает к руководителю проверяемого подразделения Министерства, представляется ему и представляет других прибывших на проверку лиц. При этом согласовываются конкретные вопросы по объёму, содержанию, срокам проверки, а также каких должностных лиц подразделения необходимо привлечь к проверке и какие объекты следует посетить. Допуск лиц, прибывших на проверку, к конкретным информационным ресурсам, охраняемым сведениям и техническим средствам производится руководителем подразделения на основании распоряжения о проверке. Подобный допуск должен исключать ознакомление проверяющих лиц с конкретными персональными данными.

Руководителем подразделения принимаются необходимые меры для обеспечения работы комиссии по проверке и определяется должностное лицо подразделения, ответственное за обеспечение работы комиссии.

В ходе осуществления контроля выполнения требований но защите персональных данных в подразделении Министерства проверке подлежат следующие показатели:

1. В части общей организации работ по защите персональных данных:

- соответствие информации, указанной в уведомлении об обработке персональных данных, реальному положению дел;

- наличие нормативных документов по защите персональных данных;

- знание нормативных документов сотрудниками, имеющими доступ к персональным данным;

- полнота и правильность выполнения требований нормативных документов сотрудниками, имеющими доступ к персональным данным;

- наличие лиц, назначенных ответственными за организацию обработки персональных данных в подразделении, уровень их профессиональной подготовки и способность выполнить возложенные обязанности;

- наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объема персональных данных и сроков обработки целям обработки персональных данных;

- соответствие перечня мест хранения материальных носителей, перечня лиц, допущенных к обработке персональных данных фактическому состоянию.

Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

IV. Оформление результатов проверки

Результаты проверки оформляются:

- актом - при проведении проверки комиссией;

- служебной запиской - при проведении проверки назначенными специалистами.

Акт (служебная записка) составляется в двух экземплярах, как правило, на месте в подразделении, подписывается председателем и членами комиссии (старшим по проверке), докладывается под роспись руководителю подразделения и представляется на утверждение (на доклад) Ответственному за организацию обработки персональных данных Министерства. Один экземпляр документа высылается в подразделение.

В случае несогласия с выводами комиссии (проверяющих лиц) руководитель подразделения может выразить в письменном виде своё особое мнение (прилагается к акту или служебной записке).

Результаты проверок подразделений периодически обобщаются Ответственным за организацию обработки персональных данных Министерства и доводятся до руководителей подразделений. При необходимости принятия решений по результатам проверок подразделений Министру готовятся соответствующие служебные записки.