Приложение N 1. Постановление Правительства Тульской области от 31.08.2016 N 397 "О внесении изменений в постановление правительства Тульской области от 29.04.2014 N 213 "О мерах по реализации отдельных положений Федерального закона "О персональных данных"

Приложение N 1
к постановлению
правительства Тульской области
от 31 августа 2016 г. N 397

Приложение N 2
к постановлению
правительства Тульской области
от 29 апреля 2014 г. N 213

Правила
осуществления внутреннего контроля соответствия
обработки персональных данных в органах исполнительной
власти и аппарате правительства Тульской области требованиям
к защите персональных данных, установленным законодательством
Российской Федерации в сфере персональных данных

1. Настоящие Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных в органах исполнительной власти и аппарате правительства Тульской области (далее - государственные органы) требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми и локальными актами (далее - внутренний контроль).

2. В целях осуществления внутреннего контроля в государственных органах проводятся мероприятия по мониторингу соблюдения условий обработки и защиты персональных данных (далее - мероприятия внутреннего контроля).

3. Решение о проведении мероприятий внутреннего контроля принимается ежегодно заместителем Губернатора Тульской области - руководителем аппарата правительства Тульской области - начальником главного управления государственной службы и кадров аппарата правительства Тульской области и оформляется приказом,

4. Приказом, указанным в пункте 3 настоящих Правил, утверждается состав комиссии, уполномоченной на проведение мероприятий внутреннего контроля, а также ежегодный план осуществления мероприятий внутреннего контроля.

5. Проект плана осуществления внутреннего контроля разрабатывается министерством по информатизации, связи и вопросам открытого управления Тульской области и представляется на утверждение до 20 декабря года, предшествующего году проведения мероприятий внутреннего контроля.

6. По решению заместителя Губернатора Тульской области - руководителя аппарата правительства Тульской области - начальника главного управления государственной службы и кадров аппарата правительства Тульской области может быть проведено дополнительное мероприятие внутреннего контроля по следующим основаниям:

истечение рекомендованного срока устранения выявленных в ходе мероприятий внутреннего контроля недостатков;

поступление в правительство Тульской области информации о нарушениях требований законодательства Российской Федерации в сфере персональных данных.

7. Решение о проведении дополнительного мероприятия внутреннего контроля принимается не позднее 30 календарных дней со дня наступления обстоятельств, указанных в абзацах 2, 3 пункта 6 настоящих Правил.

8. Срок проведения запланированного или дополнительного мероприятия внутреннего контроля не может превышать 30 календарных дней.

9. В проведении мероприятий внутреннего контроля не могут участвовать сотрудники государственных органов, прямо или косвенно заинтересованные в их результатах.

10. Мероприятие внутреннего контроля осуществляется путем опроса либо, при необходимости, путем осмотра служебных мест сотрудников государственного органа, осуществляющих обработку персональных данных, а также путем анализа документов, регламентирующих обработку и защиту персональных данных в государственном органе.

11. При проведении мероприятия внутреннего контроля должны быть полностью, объективно и всесторонне установлены:

а) порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;

б) порядок и условия применения средств защиты информации;

в) эффективность принимаемых мер по обеспечению безопасности персональных данных;

г) состояние учета носителей персональных данных;

д) соблюдение правил доступа к персональным данным;

е) соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;

ж) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

з) принятие мер по восстановлению персональны