Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе архитектуры Иркутской области. Приказ Службы архитектуры Иркутской области от 23.07.2019 N 82-7-спр "О принятии мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" в службе архитектуры Иркутской области" (с изменениями и дополнениями)

Приложение N 3

к приказу службы архитектуры

Иркутской области

от 23 июля 2019 года N 82-7-спр

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе архитектуры Иркутской области

1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в службе архитектуры Иркутской области (далее - служба) разработаны в целях выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.

2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) осуществляется в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и локальными актами оператора.

3. Настоящие Правила определяют порядок осуществления внутреннего контроля в службе и действуют постоянно.

4. В целях осуществления внутреннего контроля в службе организовывается проведение проверок условий обработки персональных данных.

Тематика проверок внутреннего контроля:

1) с использованием средств автоматизации: соответствие полномочий матрице доступа;

соблюдение пользователями информационных систем персональных данных службы парольной политики;

соблюдение пользователями информационных систем персональных данных службы антивирусной политики;

соблюдение пользователями информационных систем персональных данных службы правил работы со съемными носителями персональных данных;

соблюдение порядка доступа в помещения службы, где расположены элементы информационных систем персональных данных;

соблюдение порядка резервирования баз данных и хранения резервных копий;

2) без использования средств автоматизации:

хранение бумажных носителей с персональными данными;

доступ к бумажным носителям с персональными данными;

доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.

5. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных (далее - проверки) осуществляются комиссией, создаваемой распоряжением службы.

6. Проверки внутреннего контроля проводятся по поручению руководителя службы не реже 1 раза в три года либо в связи с поступившим в службу обращением субъекта персональных данных о нарушениях правил обработки персональных данных.

7. В течение трех рабочих дней с момента поступления в службу заявления о нарушениях правил обработки персональных данных принимается решение о проведении проверки, которое оформляется распоряжением службы.

8. Проведение проверки организуется в течение трех рабочих дней с момента оформления распоряжения службы о проведении проверки внутреннего контроля.

9. При проведении проверки комиссией устанавливается соблюдение или нарушение правил обработки персональных данных установленным требованиям.

10. Срок проведения внеплановой проверки не должен превышать 30 календарных дней со дня регистрации обращения субъекта персональных данных.

11. При проведении проверки комиссия имеет право:

1) запрашивать у сотрудников службы информацию, необходимую для проведения проверки;

2) вносить руководителю службы предложения о принятии мер (правовых, организационных, технических) по обеспечению безопасности персональных данных при их обработке;

3) вносить руководителю службы предложения о привлечении к дисциплинарной ответственности лиц, нарушивших правила обработки персональных данных.

12. Для каждой проверки оформляется акт проверки внутреннего контроля. Решение комиссии оформляется протоколом проведения проверки. Форма акта и протокола приведены в приложении к настоящим Правилам.

13. О результатах проведенной проверки и мерах, необходимых для устранения нарушений (в случае их выявления), руководителю службы докладывает ответственный за организацию обработки персональных данных.

14. Членами комиссии обеспечивается конфиденциальность персональных данных, ставших известными им при проведении проверки.

15. Контроль за своевременностью и правильностью проведения назначенных проверок осуществляется руководителем службы.

Руководитель службы архитектуры Иркутской области - главный архитектор Иркутской области

Е.В.Протасова

ГАРАНТ:

См. данную форму в редакторе MS-Word

"Утверждаю"

руководитель службы архитектуры

Иркутской области -

главный архитектор Иркутской области

от "____" _______________ 20___ года

_____________________ И.О.Фамилия

подпись

                               Протокол

               проведения проверки внутреннего контроля

              соответствия обработки персональных данных

               требованиям к защите персональных данных

     Настоящий Протокол составлен  в том, что  комиссией  по  внутреннему

контролю проведена проверка _____________________________________________

                                    (указывается тема проверки)

     По результатам проверки составлен акт от "___" _____________ 20__ г.

     Проверка  осуществлялась  в соответствии с требованиями Федерального

закона    от  27  июля  2006  года  N  152-ФЗ  "О  персональных  данных",

постановления  Правительства Российской Федерации от 21 марта 2012 года N

211  "Об  утверждении перечня мер, направленных на обеспечение выполнения

обязанностей,    предусмотренных   Федеральным  законом  "О  персональных

данных"  и  принятыми в соответствии с ним нормативными правовыми актами,

операторами, являющимися государственными и муниципальными органами".

     В ходе проверки проверено:

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

     Выявленные нарушения:

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

     Меры по устранению нарушений:

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

     Срок устранения нарушений: до "___" _____________ 20__ года.

     Председатель комиссии                     Личная подпись И.О.Фамилия

     Члены комиссии:                           Личная подпись И.О.Фамилия

                                               Личная подпись И.О.Фамилия