Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства здравоохранения Пензенской области от 28 марта 2023 г. N 13-38 "Об организации обработки и обеспечении безопасности персональных данных в Министерстве здравоохранения Пензенской области" (с изменениями и дополнениями)
- Приложение N 1. Положение об обработке и защите персональных данных в Министерстве здравоохранения Пензенской области
- Приложение N 7. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Приложение N 7. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Приложение N 7
к Положению
об обработке и защите персональных данных
в Министерстве здравоохранения
Пензенской области
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к информационной системе персональных данных организуется проведение периодических проверок условий обработки персональных данных.
5. Проверки проводятся ответственным за организацию обработки персональных данных, о чем вносится запись в журнал.
6. В случае поступившего в Министерство письменного заявления о нарушениях правил обработки персональных данных проводится внеплановая проверка проверки соответствия обработки персональных данных установленным требованиям. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне исследованы:
7.1. порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных и обеспечения установленных уровней защищенности персональных данных;
7.2. порядок и условия применения средств защиты информации;
7.3. эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7.4. состояние учета машинных носителей персональных данных;
7.5. соблюдение правил доступа к персональным данным;
7.6. наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7.7. мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
7.8. осуществление мероприятий по обеспечению целостности персональных данных.
8. Ответственный за организацию обработки персональных данных в Министерстве имеет право:
- запрашивать у сотрудников, обрабатывающих персональные данные, информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в сфере обработки персональных данных.
9. Конфиденциальность персональных данных, ставших известными ответственному за организацию обработки персональных данных, должна обеспечиваться в ходе проведения мероприятий внутреннего контроля.
10. В случае выявленных нарушений обработки персональных данных ответственный за организацию обработки персональных данных докладывает руководителю Министерства в форме письменного заключения о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.
11. Ответственный за организацию обработки персональных данных, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения.