Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним правовыми актами оператора. Распоряжение Управления имущественных и земельных отношений Ненецкого автономного округа от 21.11.2016 N 1687 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"

Приложение 3
к распоряжению Управления
имущественных и земельных отношений
Ненецкого автономного округа
от 21 ноября 2016 г. N 1687
"О мерах, направленных на обеспечение
выполнения обязанностей, предусмотренных
Федеральным законом "О персональных данных"

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним правовыми актами оператора

1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами" и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания и порядок проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом N 152-ФЗ, принятыми в соответствии с ним правовыми актами Управления имущественных и земельных отношений Ненецкого автономного округа (далее - внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных).

2. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона N 152-ФЗ.

3. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении имущественных и земельных отношений Ненецкого автономного округа (далее - Управление) организовывается проведение периодических проверок условий обработки персональных данных (далее - проверки).

4. Проверки осуществляются сотрудником Управления, ответственным за организацию обработки персональных данных в Управлении (далее - ответственный за организацию обработки персональных данных), либо комиссией, образуемой правовым актом Управления.

В проведении проверки не может участвовать сотрудник Управления прямо или косвенно заинтересованный в её результатах.

5. Проверки проводятся на основании утвержденного Управлением ежегодного Плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных (плановые проверки) или на основании поступившего в Управление письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

6. Плановые проверки проводятся не чаще чем один раз в год.

7. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления в Управление соответствующего заявления.

8. При проведении проверки должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

9. Ответственный за организацию обработки персональных данных в Управлении или комиссия имеет право:

- запрашивать у сотрудников Управления информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных должностных лиц Управления уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

10. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Управлении либо комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

11. По результатам проведения проверки оформляется акт проверки, который подписывается ответственным за организацию обработки персональных данных или членами комиссии.

Срок проведения проверки и оформления акта составляет 30 календарных дней со дня начала проверки, указанного в правовом акте о назначении проверки.

12. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, докладывает ответственный за организацию обработки персональных данных либо председатель комиссии, в форме письменного заключения.