Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Распоряжение Правительства Тверской области от 20 сентября 2019 г. N 641-рп "Об отдельных вопросах обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных"
- Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных
Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных
Приложение 3
к распоряжению Правительства
Тверской области
от 20.09.2019 N 641-рп
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных
1. Настоящие Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных в аппарате Правительства Тверской области/в исполнительном органе государственной власти Тверской области (далее - оператор) требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных (далее - внутренний контроль).
2. В целях осуществления внутреннего контроля операторами проводятся плановые и внеплановые периодические проверки условий обработки персональных данных (далее при совместном упоминании - проверки).
3. Проверка проводится на основании ежегодно утверждаемого руководителем оператора плана осуществления внутреннего контроля (плановые проверки) или на основании поступившей информации о нарушениях оператором правил обработки персональных данных (внеплановые проверки).
4. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях оператором правил обработки персональных данных.
5. Проверка проводится комиссией, состав которой утверждается руководителем оператора (далее - Комиссия).
6. В проведении проверки не могут участвовать работники операторов, прямо или косвенно заинтересованные в ее результатах.
7. Проверка осуществляется непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест работников операторов, участвующих в процессе обработки персональных данных.
8. При проведении проверки должны быть полностью, объективно и всесторонне установлены следующие условия обработки персональных данных:
1) порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
4) учет носителей персональных данных;
5) факты нарушения правил доступа к персональным данным;
6) факты нарушения порядка доступа в помещения, в которых ведется обработка персональных данных;
7) факты несанкционированного доступа к персональным данным и принятие необходимых мер;
8) факты проведения мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9. Комиссия имеет право:
1) запрашивать у работников операторов информацию, необходимую для реализации полномочий;
2) вносить предложения работникам операторов, осуществляющих обработку персональных данных, об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных;
3) в установленном порядке вносить предложения о:
совершенствовании правового, технического и организационного обеспечения безопасности персональных данных при их обработке;
приостановлении или прекращении обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.
10. Члены Комиссии должны обеспечивать конфиденциальность сведений, ставших им известными в ходе проведения мероприятий внутреннего контроля.
11. Проверка должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.
12. Не позднее чем через десять рабочих дней со дня завершения проверки председателем Комиссии утверждается письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.