Приложение N 5. Приказ Департамента строительства Вологодской области от 31.01.2023 N 005 "О внесении изменений в приказ Департамента строительства Вологодской области от 4 июня 2018 года N 107 и признании утратившими силу некоторых приказов Комитета градостроительства и архитектуры Вологодской области"

Приложение N 5
к приказу
Департамента строительства
Вологодской области
от 31.01.2023 года N 005

Приложение N 7
к приказу
Департамента строительства
Вологодской области
от 4 июня 2018 года N 107

Правила
осуществления внутреннего контроля соответствия обработки персональных данных в Департаменте строительства Вологодской области (далее - Департамент) требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Департамента (далее - Правила)

1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и определяют основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Внутренний контроль соответствия обработки персональных данных установленным требованиям законодательства Российской Федерации и сфере персональных данных проводится в виде проверок условий обработки персональных данных в структурных подразделениях Департамента, обрабатывающих персональные данные (далее - проверки);

3. Проверки проводятся комиссией по защите информации в Департаменте (далее - Комиссия), состав которой утверждается правовым актом Департамента.

4. Проверки проводятся на основании ежегодного плана проверок соответствия обработки персональных данных в Департаменте установленным требованиям к защите персональных данных (плановые проверки).

Проверки проводятся также на основании поступившего в Департамент письменного заявления о нарушениях правил обработки персональных данных или решения лица, ответственного за организацию обработки персональных данных в департаменте, по результатам внутреннего расследования произошедшего инцидента (внеплановые проверки);

5. При организации плановых проверок в состав Комиссии могут быть включены уполномоченные лица бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" (далее - БУ ВО "ЦИТ"), осуществляющего сопровождение, администрирование и техническую поддержку инфраструктуры информационных систем персональных данных.

6. План проверок формируется Комиссией до 10 декабря года, предшествующего году проведения проверок, согласуется с БУ ВО "ЦИТ" и утверждается руководителем Департамента.

В срок, не превышающий трех рабочих дней после утверждения, но не позднее 20 декабря года, предшествующего году проведения проверок, план проверок направляется руководителям структурных подразделений Департамента, осуществляющих обработку персональных данных, подлежащих проверке в планируемом году.

7. Проведение внеплановой проверки организуется лицом, ответственным за организацию обработки персональных данных в Департаменте, в течение семи рабочих дней со дня поступления соответствующего заявления либо принятия решения о проведении внеплановой проверки с момента выявления произошедшего инцидента.

8. Проверка осуществляется непосредственно на месте обработки персональных данных путем изучения документов, опроса либо при необходимости путем осмотра служебных мест лиц, непосредственно осуществляющих обработку персональных данных, в пределах полномочий проверяющих.

9. Во время проверок устанавливается, в том числе:

соблюдение правил доступа к персональным данным;

соблюдение правил передачи (предоставления) персональных данных;

состояние учета машинных носителей персональных данных, хранение бумажных и машинных носителей с персональными данными;

соблюдение инструкций по обработке и хранению персональных данных;

соблюдение парольной политики;

соблюдение антивирусной политики;

соблюдение правил работы со съемными носителями персональных данных;

соблюдение ответственными за криптографические средства защиты информации правил работы с ними;

знание и соблюдение порядка работы со средствами защиты информации;

соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;

соблюдение порядка резервирования баз данных и хранения резервных копий;

соблюдение порядка уничтожения информации, содержащей персональные данные.

10. По результатам каждой проверки в срок, не превышающий пяти рабочих дней, составляется протокол проведения проверки по форме согласно приложению N 8 к настоящему приказу, который подписывается членами Комиссии и в срок, не превышающий трех рабочих дней со дня подписания, доводится до руководителя проверяемого структурного подразделения Департамента и начальника Департамента. При выявлении в ходе проверки нарушений или недостатков, создающих предпосылки к возникновению нарушений, в протоколе дается предписание о мерах и сроках по их устранению.

11. О неисполнении или ненадлежащем исполнении структурным подразделением Департамента предписанных мер председатель Комиссии информирует руководителя Департамента."