Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного финансового контроля Иркутской области. Приказ Службы государственного финансового контроля Иркутской области от 05.03.2024 N 85-6-спр "О принятии мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

Приложение 3
к приказу службы
государственного финансового
контроля
Иркутской области
от 5 марта 2024 года N 85-6-спр

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного финансового контроля Иркутской области

1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного финансового контроля Иркутской области (далее - служба) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных субъектов персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе.

2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в службе (далее - внутренний контроль) осуществляется в с соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", иными нормативными правовыми актами.

3. Термины и определения, используемые в настоящих Правилах, применяются в значениях, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

4. Осуществление внутреннего контроля реализуется путем проведения плановых и внеплановых проверок.

5. Плановые проверки проводятся на основании утвержденного распоряжением службы ежегодного плана осуществления внутреннего контроля (далее - План).

В Плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

6. Основанием для проведения внеплановой проверки является поступившее в службу письменное обращение (жалоба) субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.

Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления обращения (жалобы).

7. Проверки проводятся комиссией, образуемой распоряжением службы. В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.

8. Комиссия имеет право:

1) запрашивать у должностных лиц службы информацию, необходимую для проведения проверки;

2) требовать от должностных лиц службы, замещение должностей которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным субъектов персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных субъектов персональных данных;

3) принимать меры по приостановлению или прекращению обработки персональных данных субъектов персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

4) вносить руководителю службы предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных субъектов персональных данных при их обработке;

5) вносить руководителю службы предложения о привлечении лиц, виновных в нарушении требований Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, к ответственности, предусмотренной законодательством Российской Федерации.

9. Члены комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъектов персональных данных.

10. Срок проведения проверки не должен превышать месяц со дня принятия решения о ее проведении.

11. О результатах проверки и мерах, необходимых для устранения выявленных нарушений, комиссия подготавливает письменное заключение.

12. По существу поставленных в обращении (жалобе) вопросов служба в течение пяти рабочих дней со дня окончания проверки дает письменный ответ заявителю.