Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных в Думе городского округа "Город Чита" требованиям к защите персональных данных. Постановление Главы городского округа "Город Чита" от 08.12.2016 N 18 "Об организации работы с персональными данными в Думе городского округа "Город Чита" (с изменениями и дополнениями)

Приложение 3
к постановлению Главы городского округа "Город Чита"
от 8 декабря 2016 г. N 18

Правила
осуществления внутреннего контроля соответствия обработки
персональных данных в Думе городского округа "Город Чита"
требованиям к защите персональных данных

1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в Думе городского округа требованиям к защите персональных данных (далее - Правила), установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют основания и порядок проведения процедур внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом N 152-ФЗ, принятыми в соответствии с ним муниципальными правовыми актами.

2. Настоящие Правила разработаны в соответствии с Федеральным законом N 152-ФЗ, постановлением Правительства Российской Федерации от 27.07.2006 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", иными нормативными правовыми актами.

3. В настоящих Правилах используются основные понятия, определённые в статье 3 Федерального закона N 152-ФЗ.

4. Действие Правил распространяется на все персональные данные субъектов персональных данных, обрабатываемых Думой городского округа "Город Чита" (далее - Дума городского округа) с применением средств автоматизации и без применения таких средств.

5. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством, в Думе городского округа организуется проведение ежегодных проверок условий обработки персональных данных, а также внеплановых проверок условий обработки персональных данных (далее - проверки).

6. Проверки осуществляются лицом, ответственным за организацию обработки персональных данных (далее - Ответственное лицо) либо комиссией, образуемой по представлению ответственного лица представителем нанимателя (работодателем) (далее - Комиссия). В проведении проверки не может участвовать специалист Думы городского округа, прямо или косвенно заинтересованный в её результатах.

7. Периодичность проведения плановых проверок - один раз в год.

8. Внеплановые проверки проводятся на основании поручения представителя нанимателя (работодателя) в случае поступления в Думу городского округа сведений об имеющихся нарушениях при осуществлении обработки персональных данных.

9. Проведение проверки организуется в течение десяти рабочих дней с момента поступления соответствующего обращения.

10. При проведении проверки должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- состояние учёта электронных носителей и информационных систем персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

11. Ответственное лицо (комиссия) имеет право:

- запрашивать у специалистов Думы городского округа информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путём персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации в сфере персональных данных;

- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

12. В отношении персональных данных, ставших известными ответственному лицу (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

13. Проверки осуществляются ответственным лицом (комиссией) непосредственно на месте обработки персональных данных путем опроса специалистов Думы городского округа, путем осмотра рабочих мест специалистов, участвующих в процессе обработки персональных данных, а также в иных формах в соответствии с действующим законодательством.

14. Для каждой проверки составляется акт проведения внутренней проверки условий обработки персональных данных в Думе городского округа (далее - Акт). Срок проведения проверки и оформления акта составляет 30 календарных дней со дня начала проверки, указанного в муниципальном правовом акте о назначении проверки.

15. При выявлении в ходе проверки нарушений ответственным лицом (комиссией) в акте делается запись о необходимых мероприятиях по устранению выявленных нарушений и сроках их устранения.

16. О результатах проверки и мерах, необходимых для устранения нарушений, представителю нанимателя (работодателю) докладывает ответственное лицо (председатель комиссии).