Приказ Государственного комитета Кабардино-Балкарской Республики по печати и массовым коммуникациям от 17.01.2017 N 2-од "Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных в Государственном комитете Кабардино-Балкарской Республики по печати и массовым коммуникациям"

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказываю:

1. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных в Государственном комитете Кабардино-Балкарской Республики по печати и массовым коммуникациям.

2. Контроль за исполнением настоящего приказа возложить на ответственного за обеспечение безопасности персональных данных заместителя председателя Государственного комитета Кабардино-Балкарской Республики по печати и массовым коммуникациям Конакова Х.А.

Председатель

Л. Казанчева

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям по защите персональных данных в Государственном комитете Кабардино-Балкарской Республики по печати и массовым коммуникациям
(утв. приказом Государственного комитета Кабардино-Балкарской Республики по печати и массовым коммуникациям
от 17 января 2017 г. N 2-од)

1. Общие положения

1.1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Государственном комитете Кабардино-Балкарской Республики по печати и массовым коммуникациям (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

1.2. Настоящие Правила разработаны в соответствии с Федеральными законами: от 27.07.2006 N 152-ФЗ "О персональных данных", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлениями Правительства Российской Федерации: от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами" и другими нормативными правовыми актами.

1.3. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.

1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных".

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Государственном комитете Кабардино-Балкарской Республики по печати и массовым коммуникациям (далее - Комитет) организовывается проведение проверок условий обработки персональных данных.

2.2. Проверки условий обработки персональных данных на соответствие требованиям по защите персональных данных в Комитете (далее - проверки) осуществляются Комиссией по проверке условий обработки персональных данных, назначенной приказом Комитета (далее - Комиссия).

Комиссия создается из сотрудников Комитет, ответственных за защиту информации и обработку персональных данных.

2.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях Комитета, в которых ведется обработка персональных данных.

2.4. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным приказом Комитета.

2.5. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных совместно с лицом, ответственным за безопасность информации в Комитете.

2.6. Внеплановые проверки проводятся на основании поступившего в Комитет на имя председателя письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.

2.7. В течение трех рабочих дней с момента поступления в Комитет заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется приказом Комитета.

2.8. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления приказа по Комитету о проведении внеплановой проверки.

2.9. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в Комитете, а именно:

соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора персональных данных;

соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;

отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации; соблюдение правил-доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

2.10. В случае выявления фактов:

несоблюдения установленного порядка обработки персональных данных;

несоблюдения условий хранения носителей персональных данных;

использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

нарушения заданного уровня безопасности персональных данных (конфиденциальность/целостность/доступность);

в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.

2.11. Комиссия имеет право:

запрашивать у сотрудников Комитета информацию, необходимую для реализации полномочий;

требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить председателю предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить председателю предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

2.12. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.

2.13. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.

2.14. Плановая проверка должна быть завершена не позднее чем через месяц со дня её назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется председателю за подписью председателя Комиссии.

2.15. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.

2.16. В отношении персональных данных, ставших известными Комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.