Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Комитета по здравоохранению Псковской области от 1 сентября 2023 г. N 842 "Об утверждении типовых форм организационно-распорядительной документации по организации обработки и защите информации, в том числе по работе с персональными данными"
- Приложение N 17. Правила проведения внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных
Приложение N 17. Правила проведения внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных
,Приложение N 17
к приказу
<наименование учреждения здравоохранения>
от __________ N _____
Правила
проведения внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных
1. Настоящими Правилами осуществления внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в <наименование учреждения здравоохранения> определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации".
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152 ФЗ "О персональных данных".
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в <наименование учреждения здравоохранения> организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются ответственным за обеспечение безопасности персональных данных <наименование учреждения здравоохранения> либо комиссией, образуемой приказом <должность руководителя> <наименование учреждения здравоохранения>.
6. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.
7. В проведении проверки не может участвовать сотрудник, прямо или косвенно заинтересованный в ее результатах.
8. Проверки соответствия обработки персональных данных установленным требованиям в <наименование учреждения здравоохранения> проводятся на основании утвержденного <должность руководителя> <наименование учреждения здравоохранения> ежегодного плана мероприятий по организации защиты персональных данных или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
9. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
10. Ответственный за обеспечение безопасности персональных данных в <наименование учреждения здравоохранения> (комиссия) имеет право:
- запрашивать у сотрудников <наименование учреждения здравоохранения> информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональн