Приложение. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом "О персональных данных", в министерстве образования Белгородской области. Приказ министерства образования Белгородской области от 29.06.2022 N 2078 "Об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных"

Приложение

к приказу

министерства образования

Белгородской области

от 29 июня 2022 г. N 2078

Порядок
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом "О персональных данных", в министерстве образования Белгородской области

1. Настоящим Порядком определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) в министерстве образования Белгородской области организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону "О персональных данных" (далее - проверки, Министерство).

Целями осуществления внутреннего контроля являются:

- оценка выполнения в Министерстве требований по обработке и защите персональных данных, установленных законодательством Российской Федерации, нормативными и правовыми актами Российской Федерации и Белгородской области;

- выявление и предотвращение в Министерстве нарушений законодательства в сфере персональных данных.

3. Проверки подразделяются на плановые и внеплановые. Плановые проверки проводятся в соответствии с ежегодным планом проверок и не могут быть реже двух раз в год.

Ежегодный план проверок разрабатывается и утверждается комиссией по организации обработки и защиты персональных данных Министерства для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом "О персональных данных" (далее - Комиссия). Состав комиссии утверждается распорядительным актом Министерства. В проведении проверки не может участвовать сотрудник Министерства, прямо или косвенно заинтересованный в ее результатах.

4. В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

5. Мероприятия по внутреннему контролю делятся на два основных этапа:

1) проверяется порядок и условия применения организационных мер, необходимых для выполнения требований к защите персональных данных, в том числе проводится проверка наличия и актуальности документов Министерства в сфере персональных данных:

- осуществление проверки выполнения мер, а также наличия и актуальности документов, разработанных в соответствии с Федеральным законом "О персональных данных", требованиями постановления Правительства Российской Федерации от 21 марта 2021 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- проверка соответствия установленных прав доступа к персональным данным полномочиям в рамках трудовых обязанностей сотрудников Министерства;

- проверка подтверждения факта ознакомления ответственных должностных лиц за организацию обработки персональных данных, непосредственно осуществляющих обработку персональных данных в Министерстве, с положениями нормативной базы в части требований к защите персональных данных и иными правовыми актами по вопросам работы с персональными данными в Министерстве при назначении на должность в Министерстве;

- выборочные проверки уровня знаний ответственных должностных лиц организационно-распорядительных документов в области работы с персональными данными;

- проверка наличия и актуальности уведомления об обработке персональных данных и др.

2) проверяется порядок и условия применения технических мер, необходимых для выполнения требований к защите персональных данных:

проверка соответствия целей обработки содержанию и объему обрабатываемых персональных данных;

- контроль соблюдения сроков хранения и порядка уничтожения носителей персональных данных;

- проверка соблюдения процедур и сроков подготовки ответов на обращения субъектов персональных данных,

- проверка соблюдения эксплуатации средств защиты информации, используемых для обеспечения защиты персональных данных, входящих в зону ответственности Министерства, предусмотренных эксплуатационной и технической документацией на них;

- проверка правильности эксплуатации средств криптографической защиты информации при их использовании в Министерстве и др.

6. Мероприятия внутреннего контроля осуществляются:

- путем опроса либо при необходимости путем осмотра рабочих мест сотрудников, участвующих в обработке персональных данных;

- путем анализа - документов, регламентирующих работу с персональными данными и их защиту;

- путем проведения при необходимости инструментальных проверок защищенности информационных систем персональных данных.

7. Внеплановые проверки проводятся на основании поступившего в Министерство письменного заявления о нарушениях правил обработки персональных данных.

Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.

8. Срок проведения любой проверки не может превышать месяц со дня принятия решения о ее проведении или наступления времени ее проведения в соответствии с ежегодным планом проверок.

9. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

10. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом, в котором отражается информация по рассмотренным вопросам, выявленные недостатки (при наличии), а также рекомендации по их устранению.

Протокол составляется не позднее 10 календарных дней со дня окончания мероприятия внутреннего контроля, подписывается всеми членами Комиссии.

11. В целях контроля устранения выявленных нарушений Комиссия вправе проводить повторные проверки, даже если их проведение не отражено в ежегодном плане проверок, что также относится к внеплановым проверкам.

Основаниями для внеплановой (повторной) проверки по решению председателя комиссии является:

- окончание рекомендованного срока устранения выявленных нарушений, выявленных в ходе мероприятий внутреннего контроля;

- результаты внешних контрольных мероприятий, проводимых уполномоченным органом по защите прав субъектов персональных данных;

- существенных изменений процессов или процедур обработки персональных данных;

- повторяемость выявленных нарушений;

- решение руководителя Министерства или должностного лица, ответственного за организацию обработки персональных данных в Министерстве и осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

Решение о проведении дополнительной (внеплановой) проверки принимается не позднее 30 (тридцати) календарных дней со дня наступления указанных выше обстоятельств.