Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного экологического надзора Иркутской области. Приказ Службы государственного экологического надзора Иркутской области от 30.11.2022 N 71-5-спр "О принятии мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" (с изменениями и дополнениями)

Приложение N 3
к приказу службы
государственного экологического
надзора Иркутской области
от 30 ноября 2022 г. N 71-5-спр

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного экологического надзора Иркутской области

1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного экологического надзора Иркутской области (далее - Служба) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) осуществляется в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", другими нормативными правовыми актами.

3. Термины и определения, используемые в настоящих Правилах, применяются в значениях, установленных Федеральным законом "О персональных данных".

4. В целях осуществления внутреннего контроля в Службе организовывается проведение проверок условий обработки персональных данных, включая следующие вопросы:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

5. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных (далее - проверки) осуществляются комиссией, создаваемой распоряжением Службы.

6. Проверки внутреннего контроля проводятся по поручению руководителя Службы не реже 1 раза в три года либо в связи с поступившим в Службу обращением субъекта персональных данных о нарушениях правил обработки персональных данных.

7. В течение трех рабочих дней с момента поступления в Службу заявления о нарушениях правил обработки персональных данных принимается решение о проведении проверки, которое оформляется распоряжением Службы.

8. Проведение проверки организуется в течение трех рабочих дней с момента оформления распоряжения Службы о проведении проверки внутреннего контроля.

9. При проведении проверки комиссией устанавливается соблюдение или нарушение правил обработки персональных данных установленным требованиям.

10. Срок проведения внеплановой проверки не должен превышать 30 календарных дней со дня регистрации обращения субъекта персональных данных.

11. При проведении проверки комиссия имеет право:

1) запрашивать у сотрудников Службы информацию, необходимую для проведения проверки;

2) вносить руководителю Службы предложения о принятии мер (правовых, организационных, технических) по обеспечению безопасности персональных данных при их обработке;

3) вносить руководителю Службы предложения о привлечении к дисциплинарной ответственности лиц, нарушивших правила обработки персональных данных.

12. Для каждой проверки оформляется акт проверки внутреннего контроля. Решение комиссии оформляется протоколом проведения проверки. Форма акта и протокола приведены в приложении к настоящим Правилам.

13. О результатах проведенной проверки и мерах, необходимых для устранения нарушений (в случае их выявления), руководителю Службы докладывает ответственный за организацию обработки персональных данных.

14. Членами комиссии обеспечивается конфиденциальность персональных данных, ставших известными им при проведении проверки.

15. Материалы проведенной проверки и заключение о ее результатах хранятся в службе в течение трех лет по окончании проверки.

16. Контроль за своевременностью и правильностью проведения назначенных проверок осуществляется руководителем Службы.

Утверждаю
Руководитель службы
государственного экологического
надзора Иркутской области
от "____" __________ 20__ года
____________ ____________________
(подпись) (И.О.Ф.)

                            Протокол

     проведения проверки внутреннего контроля соответствия обработки

       персональных данных требованиям к защите персональных данных

     Настоящий Протокол составлен в том, что   комиссией  по  внутреннему

контролю проведена проверка

_________________________________________________________________________

                   (указывается предмет проверки)

     По результатам проверки составлен акт от "____" _________ 20___ г.

     Проверка      осуществлялась   в   соответствии  с      требованиями

Федерального закона     от 27 июля  2006 года N 152-ФЗ "О    персональных

данных",  постановлением      Правительства     Российской      Федерации

от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных  на

обеспечение выполнения обязанностей,  предусмотренных Федеральным законом

"О персональных данных" и принятыми в   соответствии с ним   нормативными

правовыми актами и локальными актами оператора".

     В ходе проверки проверено:

_________________________________________________________________________

________________________________________________________________________.

     Выявленные нарушения:

_________________________________________________________________________

________________________________________________________________________.

     Меры по устранению нарушений:

_________________________________________________________________________

________________________________________________________________________.

     Срок устранения нарушений: до "_____" ___________20__ года.

     Председатель комиссии:   _______________   _________________________

                                 (подпись)             (И.О.Ф.)

     Члены комиссии:          _______________   _________________________

                                 (подпись)             (И.О.Ф.)

                              _______________   _________________________

                                 (подпись)             (И.О.Ф.)