Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Приказ Управления Федеральной налоговой службы России по Амурской области от 31.07.2015 N 677-од "О мерах, направленных на реализацию Постановления Правительства Российской Федерации от 21.03.2012 N 211"

Приложение N 3

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
(утв. приказом Управления Федеральной налоговой службы России по Амурской области
от 31 июля 2015 г. N 677-од)

1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, разработанные в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", определяют порядок организации работы по контролю за обработкой персональных данных в УФНС России по Амурской области (далее - Управление), обеспечивающего функционирование системы обработки персональных данных (соблюдение требований по работе с конфиденциальной информацией, обеспечение их физической сохранности) государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями федеральной государственной гражданской службы, Управления, кандидатов, претендующих на замещение должности государственной гражданской службы в Управлении, их родственников (далее - работники Управления), персональные данные которых подлежат обработке в информационных системах Управления.

2. Целью внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Контроль соответствия) является проверка наличия документов, дел и носителей информации, установление их реального соответствия записям в учётных формах, сохранности, целостности и комплектности, определение правильности выполнения процедур и операций по их учёту, хранению и использованию работниками Управления, допущенных к обработке персональных данных, а также своевременное выявление фактов утраты конфиденциальной информации.

3. В Управлении контроль соответствия осуществляется в виде регламентированных (периодических) и нерегламентированных (непериодических) проверок.

3.1. Регламентированные, обязательные проверки наличия документов, дел и носителей информации, соответствия записям в учётных формах, сохранности, целостности и комплектности, определение правильности выполнения процедур и операций по их учёту, хранению и использованию проводятся ежедневно, по окончанию календарного года и в ходе аудиторской проверки внутреннего аудита налогового органа (далее - аудиторская проверка).

3.1.1. Ежедневные проверки наличия (самопроверки) проводятся в конце рабочего дня всеми работниками Управления, допущенными к обработке персональных данных.

3.1.2. Годовые проверки наличия осуществляются комиссией, назначаемой ответственным за организацию обработки персональных данных в Управлении.

Технологическая схема годовой проверки включает в себя следующие процедуры:

- подготовка годовой проверки;

- проверка в структурном подразделении конфиденциальных материалов;

- проверка на рабочих местах исполнителей;

- оформление и анализ результатов проверки.

В процессе проведения годовой проверки наличия конфиденциальных материалов контролируется сохранность всех традиционных и электронных документов, как находящихся на исполнении, так и исполненных, подшитых в дела независимо от времени их поступления, получения или издания.

3.1.3. Любой вид проверки может быть закончен лишь после выявления фактического наличия всех документов, числящихся по учётным формам. Для проверки используются только основные учётные формы. Другие учётные формы (описи, перечни, акты и т.д.) носят вспомогательный информационный и оправдательный характер.

Отсутствие конфиденциального документа, дела или носителя информации у работника Управления, которому они были выданы, считается утратой этих материалов. О подобном случае немедленно докладывается ответственному за организацию обработки персональных данных в Управлении.

Ответственному за организацию обработки персональных данных в Управлении докладывается также в случае обнаружения в базе данных автоматизированного рабочего места работника Управления или на носителе информации неучтённой или несанкционированной сохранённой копии электронного конфиденциального документа.

3.2. Нерегламентированные проверки осуществляются при смене ответственного за организацию обработки персональных данных в Управлении, руководителя структурного подразделения Управления, увольнении работника Управления, допущенного к обработке персональных данных, при выявлении факта утраты конфиденциальной информации, после завершения чрезвычайной ситуации и в других случаях.

Нерегламентированная проверка обычно ограничивается конкретной частью конфиденциальных материалов.

3.3. В ходе проверки проверяется соблюдение работником Управления установленного порядка работы с материалами, содержащими персональные данные, их хранения, правильности ведения внутренней описи документов и т.д. Проверка ведётся только в присутствии самого работника Управления, допущенного к обработке персональных данных

3.4. По результатам годовой, нерегламентированной проверки составляется акт проверки.

Акт проверки подписывается всеми членами комиссии и утверждается ответственным за организацию обработки персональных данных в налоговом органе, если иное не установлено организационно-распорядительными документами Управления.