Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными актами. Постановление Администрации города Южно-Сахалинска от 13.12.2023 N 3706-па "Об обработке персональных данных в администрации города Южно-Сахалинска"

Приложение N 3

Утверждены

постановлением администрации

города Южно-Сахалинска

от 13.12.2023 N 3706-па

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными актами

1. Общие положения

1.1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в структурных подразделения аппарата, отраслевых (функциональных) органах администрации города Южно-Сахалинска и подведомственных им муниципальных предприятиях и учреждениях (далее - Подразделения).

1.2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Подразделениях организовывается проведение плановых и внеплановых проверок (далее - проверки) соответствия условий обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и постановлению Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

2. Предмет внутреннего контроля

2.1. Предмет проверок обработки персональных данных с использованием средств автоматизации:

2.1.1. соответствие указанных в "Перечне персональных данных" персональных данных фактически обрабатываемым в Подразделении;

2.1.2. актуальность Перечня должностей сотрудников (работников), замещение которых предусматривает осуществление обработки персональных данных;

2.1.3. подтверждение факта ознакомления сотрудника (работника) с обязанностями по обработке и обеспечению безопасности персональных данных;

2.1.4. выборочные проверки уровня знания сотрудниками (работниками) установленного порядка обработки и обеспечения безопасности персональных данных.

2.2. Предмет проверок обработки персональных данных без использования средств автоматизации:

2.2.1. условия хранения материальных носителей с персональными данными;

2.2.2. условия доступа к материальным носителям с персональными данными;

2.2.3. условия доступа в помещения, где обрабатываются и хранятся материальные носители с персональными данными.

3. Порядок проведения внутренних проверок

3.1. Проверки проводятся в соответствии с Планом внутренних проверок условий обработки персональных данных (далее - План проверок) (примерная форма указана в приложении N 1 к настоящим Правилам) или на основании поручения вице-мэра по поступившему сообщению о нарушении правил обработки персональных данных (внеплановые проверки).

3.2. План проверок на очередной календарный период разрабатывается комиссией по проведению периодических проверок условий обработки персональных данных в администрации города Южно-Сахалинска (далее - Комиссия) и утверждается председателем Комиссии.

3.3. Состав Комиссии:

- председатель комиссии - вице-мэр (в соответствии с распределением обязанностей между мэром города, первым вице-мэром, вице-мэрами города Южно-Сахалинска, утвержденным распоряжением администрации города Южно-Сахалинска);

- члены Комиссии:

- директор Департамента кадровой политики аппарата администрации города;

- директор Департамента по работе с обращениями и сообщениями граждан;

- заместитель начальника Управления цифровых технологий МКУ "Муниципальный центр цифровой трансформации администрации города Южно-Сахалинска";

- руководитель проверяемого Подразделения (по согласованию).

3.4. В Плане проверок для каждой проверки устанавливается Подразделение-объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

3.5. В проведении проверки не может участвовать сотрудник (работник), прямо или косвенно заинтересованный в ее результатах.

3.6. Основанием для проведения внеплановой проверки является поручение председателя Комиссии по поступившему в администрацию города Южно-Сахалинска сообщению о нарушении правил обработки персональных данных.

3.7. Проведение внеплановой проверки организуется в течение 5 рабочих дней со дня поступления сообщения о нарушении в Комиссию.

3.8. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.

3.9. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

3.10. Решения Комиссии принимаются простым большинством голосов лиц, участвующих в её заседании. При равенстве голосов голос председателя Комиссии является решающим. По результатам каждой проверки Комиссией, в срок не позднее 5 рабочих дней со дня завершения проверки, проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом (приложение N 2 к настоящим Правилам).

3.11. По результатам внеочередной проверки председатель Комиссии в течение 5 рабочих дней со дня её окончания направляет ответ заявителю.