Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного жилищного надзора Иркутской области. Приказ Службы государственного жилищного надзора Иркутской области от 19.08.2019 N 37-спр "О принятии мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" (с изменениями и дополнениями) (документ утратил силу)

Приложение N 3

к приказу службы государственного

жилищного надзора Иркутской области

от 19.08.2019 года N 37-спр

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного жилищного надзора Иркутской области

1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в Службе разработаны в целях выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.

2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) осуществляется в соответствии с Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и локальными актами оператора.

3. Настоящие Правила определяют порядок осуществления внутреннего контроля в Службе и действуют постоянно.

4. В целях осуществления внутреннего контроля в Службе организовывается проведение проверок условий обработки персональных данных.

Тематика проверок внутреннего контроля:

1) с использованием средств автоматизации: соответствие полномочий матрице доступа;

соблюдение пользователями информационных систем персональных данных Службы парольной политики;

соблюдение пользователями информационных систем персональных данных Службы антивирусной политики;

соблюдение пользователями информационных систем персональных данных Службы правил работы со съемными носителями персональных данных;

соблюдение порядка доступа в помещения Службы, где расположены элементы информационных систем персональных данных;

соблюдение порядка резервирования баз данных и хранения резервных копий;

2) без использования средств автоматизации:

хранение бумажных носителей с персональными данными;

доступ к бумажным носителям с персональными данными;

доступ в помещения, где обрабатываются и хранятся бумажные носителя# с персональными данными.

5. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных (далее - проверки) осуществляются комиссией, создаваемой распоряжением Службы.

6. Проверки внутреннего контроля проводятся по поручению руководителя Службы не реже 1 раза в три года, либо в связи с поступившим в Службу обращением субъекта персональных данных о нарушениях правил обработки персональных данных.

7. В течение трех рабочих дней с момента поступления в Службу заявления о нарушениях правил обработки персональных данных принимается решение о проведении проверки, которое оформляется распоряжением Службы.

8. Проведение проверки организуется в течение трех рабочих дней с момента оформления распоряжения Службы о проведении проверки внутреннего контроля.

9. При проведении проверки комиссией устанавливается соблюдение или нарушение правил обработки персональных данных установленным требованиям.

10. Срок проведения внеплановой проверки не должен превышать 30 календарных дней со дня регистрации обращения субъекта персональных данных.

11. При проведении проверки комиссия имеет право:

1) запрашивать у сотрудников Службы информацию, необходимую для проведения проверки;

2) вносить руководителю Службы предложения о принятии мер (правовых, организационных, технических) по обеспечению безопасности персональных данных при их обработке;

3) вносить руководителю Службы предложения о привлечении к дисциплинарной ответственности лиц, нарушивших правила обработки персональных данных.

12. Для каждой проверки оформляется акт проверки внутреннего контроля. Решение комиссии оформляется протоколом проведения проверки. Форма акта и протокола приведены в приложении к настоящим Правилам.

13. О результатах проведенной проверки и мерах, необходимых для устранения нарушений (в случае их выявления), руководителю Службы докладывает ответственный за организацию обработки персональных данных.

14. Членами комиссии обеспечивается конфиденциальность персональных данных, ставших известными им при проведении проверки.

15. Контроль за своевременностью и правильностью проведения назначенных проверок осуществляется руководителем Службы.

Руководитель службы

А.Ю.Проценко