Приложение 3. Правила осуществления в службе государственного строительного надзора Ивановской области внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Приказ Службы государственного строительного надзора Ивановской области от 29.11.2023 N 170 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в службе государственного строительного надзора Ивановской области" (с изменениями и дополнениями)

Приложение 3
к приказу
службы государственного
строительного надзора
Ивановской области
от 29.11.2023 N 170

Правила
осуществления в службе государственного строительного надзора Ивановской области внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

1. Правила осуществления в службе государственного строительного надзора Ивановской области (далее - Служба) внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Службы (далее - Правила), определяют основания и порядок проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством (далее - внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных).

2. Внутренний контроль соответствия обработки и обеспечения безопасности персональных данных заключается в проверке выполнения установленных законодательством Российской Федерации и правовыми актами Службы требований к процессам обработки (в том числе хранения) персональных данных и соблюдения требований по обеспечению безопасности персональных данных при их обработке. Целью проведения внутренних проверок является выявление и своевременное устранение нарушений правил обработки персональных данных и требований по обеспечению безопасности персональных данных, в том числе путем принятия дополнительных мер по обеспечению безопасности персональных данных.

3. Проверки осуществляются комиссией по соблюдению требований, предъявляемых к обработке персональных данных (далее - комиссия), состав которой утверждается приказом Службы.

4. В проведении проверки в Службе не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.

5. Плановые проверки проводятся на основании ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных, разработка которого обеспечивается ответственным за организацию обработки персональных данных и утверждаемого приказом службы. Плановые проверки проводятся не реже одного раза в год.

6. Основанием для проведения внеплановой проверки является поступившее в Службу письменное заявление о нарушениях правил обработки персональных данных.

Проведение внеплановой проверки организуется ответственным за организацию обработки персональных данных в течение десяти рабочих дней с момента поступления в Службу соответствующего заявления.

7. Решение о начале проведения проверки оформляется приказом Службы.

8. При проведении проверок должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных;

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер по их предотвращению;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

9. Комиссия имеет право:

- запрашивать у должностных лиц службы информацию, необходимую для реализации полномочий;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить предложения о привлечении к ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

10. Срок проведения проверки не должен превышать тридцать календарных дней со дня начала проверки.

11. При наличии оснований срок проведения проверки может быть продлен на тридцать календарных дней начальником Службы.

12. По результатам проведения проверки оформляется акт, в котором отражаются обстоятельства, установленные в ходе проверки, и меры, необходимые для устранения выявленных нарушений. Акт проверки подписывается председателем и членами комиссии и в течение двух рабочих дней со дня окончания проверки направляется начальником Службы.