Приложение 13. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Южского муниципального района. Постановление Администрации Южского муниципального района Ивановской области от 27.03.2019 N 265-п "Об организации работы с персональными данными в Администрации Южского муниципального района" (с изменениями и дополнениями)

Приложение 13
к постановлению
Администрации Южского

муниципального района
от 27.03.2019 N 265-п

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Южского муниципального района

1. Общие положения

1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Южского муниципального района разработаны с учетом Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.2. Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и действуют постоянно.

2. Тематика внутреннего контроля

2.1. Тематика проверок обработки персональных данных с использованием средств автоматизации:

- соответствие полномочий пользователя правилам доступа;

- соблюдение пользователями информационных систем персональных данных

Администрации Южского муниципального района парольной политики;

- соблюдение пользователями информационных систем персональных данных

Администрации Южского муниципального района антивирусной политики;

- соблюдение пользователями информационных систем персональных данных

Администрации Южского муниципального района правил работы со съемными носителями персональных данных;

- соблюдение порядка доступа в помещения Администрации Южского муниципального района, где расположены элементы информационных систем персональных данных;

- соблюдение порядка резервирования баз данных и хранения резервных копий;

- соблюдение порядка работы со средствами защиты информации;

- знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях.

2.2. Тематика проверок обработки персональных данных без использования средств автоматизации:

- организация хранения бумажных носителей с персональными данными;

- доступ к бумажным носителям с персональными данными;

- доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.

3. Порядок проведения внутренних проверок

3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Администрация Южского муниципального района организует проведение периодических проверок условий обработки персональных данных.

3.2. Проверки организуются ответственным за организацию обработки персональных данных и осуществляются комиссией, назначаемой Главой Южского муниципального района.

3.3. Комиссия состоит из председателя и членов комиссии. Все члены комиссии при принятии решений обладают равными правами. В проведении проверки не может участвовать работник, прямо или косвенно заинтересованный в ее результатах.

3.4. Проверки соответствия обработки персональных данных в Администрации Южского муниципального района проводятся на основании утвержденного Главой Южского муниципального района ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Администрацию Южского муниципального района письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

3.5. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

3.6. Проверки проводятся непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.

3.7. Члены комиссии при проведении проверки обязаны:

- своевременно и в полной мере выполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований законодательства к защите персональных данных;

- соблюдать законодательство Российской Федерации, права и законные интересы оператора, проверка которого производится;

- при определении мер, принимаемых по фактам выявленных нарушений, учитывать соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов оператора.

3.8. При проведении проверки соответствия обработки персональных данных установленным требованиям комиссией должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- наличие мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

3.9. Комиссия при проведении проверки имеет право:

- запрашивать у сотрудников Администрации Южского муниципального района информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить Главе Южского муниципального района предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить Главе Южского муниципального района предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

3.10. В отношении персональных данных, ставших известными комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

3.11. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении.

3.12. В акте отражаются сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области персональных данных, об их характере и о лица, допустивших указанные нарушения.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

3.12. При выявлении в ходе проверки нарушений, в акте делается запись о мероприятиях по устранению нарушений и сроках исполнения.

3.13. По результатам проверки составляется акт проведения внутренней проверки, который предоставляется Главе Южского муниципального района для принятия соответствующего решения. Форма акта приведена в приложении к настоящим Правилам.

3.14. Акты хранятся у ответственного за организацию обработки персональных данных. Уничтожение актов проводится ответственным самостоятельно в январе года, следующего за проверочным годом. При необходимости акты могут храниться до полного устранения нарушений.