Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в муниципалитете города Ярославля. Постановление Председателя муниципалитета г. Ярославля от 24.04.2018 N 10-м "Об утверждении документов в области обработки персональных данных" (с изменениями и дополнениями)

Приложение N 3
к постановлению
председателя муниципалитета
города Ярославля
от 24.04.2018 N 10-м

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в муниципалитете города Ярославля

1. Общие положения

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в муниципалитете города Ярославля (далее - Правила) разработаны в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановления Правительства Российской Федерации от 16.03.2009 N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций", Правил обработки персональных данных в муниципалитете города Ярославля.

1.2. В Правилах термины и определения применяются в том значении, в котором они применяются в Федеральном законе.

2. Предмет внутреннего контроля

2.1. В целях осуществления внутреннего контроля в муниципалитете города Ярославля организовывается проведение плановых и внеплановых проверок.

2.2. Предметом внутреннего контроля являются:

1) документы, характер информации в которых предполагает или допускает включение в них персональных данных;

2) информационные системы персональных данных;

3) деятельность по обработке персональных данных.

3. Принятие решения о проведении внутреннего контроля

3.1. Внутренний контроль проводится на основании утвержденного председателем муниципалитета города Ярославля (далее - председатель муниципалитета) ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Правил обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющих для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в муниципалитете города Ярославля (плановые проверки) или на основании поступившего в муниципалитет города Ярославля письменного заявления работника муниципалитета города Ярославля (далее - работник) либо гражданина, обратившегося в муниципалитет города Ярославля, о нарушениях Правил обработки персональных данных (внеплановые проверки).

3.2. Плановые проверки осуществляются муниципальным служащим, ответственным за организацию обработки персональных данных в муниципалитете города Ярославля, внеплановые проверки осуществляются комиссией, образуемой правовым актом председателя муниципалитета.

3.3. Количественный состав комиссии должен быть не менее трех должностных лиц, в том числе представитель правового отдела аппарата муниципалитета города Ярославля.

3.4. Муниципальный служащий, ответственный за организацию обработки персональных данных в муниципалитете города Ярославля, или комиссия при проведении проверки имеют право:

1) запрашивать у работников муниципалитета города Ярославля информацию, необходимую для реализации полномочий;

2) уведомлять председателя муниципалитета о необходимости требования от уполномоченных на обработку персональных данных должностных лиц муниципалитета города Ярославля уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

4) вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

5) вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

4. Организация и проведение проверок

4.1. В проведении проверки не может участвовать муниципальный служащий, прямо или косвенно заинтересованный в ее результатах.

4.2. Плановые проверки проводятся не чаще чем один раз в полгода в соответствии с правовым актом председателя муниципалитета.

4.3. Проведение внеплановой проверки организуется комиссией в течение пяти рабочих дней с момента поступления в муниципалитет города Ярославля соответствующего заявления. О проведении внеплановой проверки издается правовой акт председателя муниципалитета.

4.4. Сведения о проведении плановых и внеплановых проверок отражаются в соответствующем журнале, который ведется муниципальным служащим, ответственным за организацию обработки персональных данных.

4.5. При проведении проверок должны быть полностью, объективно и всесторонне установлены:

1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные федеральным законодательством уровни защищенности персональных данных;

2) порядок и условия применения средств защиты информации;

3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4) состояние учета машинных носителей персональных данных;

5) соблюдение правил доступа к персональным данным;

6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер обеспечения их безопасности;

7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) осуществление мероприятий по обеспечению сохранности персональных данных.

4.6. В случае выявления нарушений обязательных требований соответствия обработки персональных данных требованиям к защите персональных данных, установленных федеральным законодательством, муниципальный служащий, ответственный за организацию обработки персональных данных в муниципалитете города Ярославля, проводящий плановую проверку, обязан сообщить председателю муниципалитета о выявленных нарушениях в течение пяти рабочих дней со дня окончания проведения плановой проверки.

4.7. Срок проведения каждой из проверок не может превышать двадцать рабочих дней.

4.8. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю муниципалитета докладывает ответственный за организацию обработки персональных данных в муниципалитете города Ярославля либо председатель комиссии. По результатам проверки составляется акт, который оформляется непосредственно после ее завершения и утверждается председателем муниципалитета.

4.9. Муниципальный служащий, ответственный за организацию обработки персональных данных в муниципалитете города Ярославля, ведет журнал учета проверок.

4.10. В журнале учета проверок осуществляется запись, содержащая сведения о лицах, проводивших проверку, датах начала и окончания проведения проверки, времени ее проведения, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и принятых решениях, подписи лиц, проводивших проверку.