Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве экономического развития Рязанской области. Приказ Министерства экономического развития Рязанской области от 29.07.2022 N 214 "Об утверждении организационно-распорядительной документации по организации обработки и защите персональных данных в министерстве экономического развития Рязанской области" (с изменениями и дополнениями)

Приложение N 3
к приказу
министерства
экономического развития
Рязанской области
от 29 июля 2022 г. N 214

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве экономического развития Рязанской области

1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве экономического развития Рязанской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.

2. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывается проведение периодических проверок условий обработки персональных данных.

4. Проверки осуществляются комиссией, образуемой приказом министра экономического развития Рязанской области, возглавляемой ответственным за организацию обработки персональных данных в министерстве экономического развития Рязанской области (далее - Министерство).

5. Проверки проводятся не реже одного раза в три года на основании утвержденного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки обеспечивается в течение трех рабочих дней с момента поступления соответствующего заявления.

6. При проведении проверки соответствия обработки персональных данных требованиям к их защите проверяются:

- выполнение правил обработки персональных данных в Министерстве;

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

7. Ответственный за организацию обработки персональных данных в Министерстве имеет право:

- запрашивать информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить министру экономического развития Рязанской области предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить министру экономического развития Рязанской области предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

8. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Министерстве в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

9. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, министру промышленности и экономического развития Рязанской области докладывает ответственный за организацию обработки персональных данных в Министерстве в форме письменного заключения.

10. Контроль за своевременностью и правильностью проведения проверки возлагается на руководителя управления финансового и организационно-правового обеспечения.