Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Постановление Администрации города Южно-Сахалинска от 21 февраля 2020 г. N 489-па "Об обработке персональных данных в администрации города Южно-Сахалинска" (с изменениями и дополнениями) (документ не действует)
- Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными актами
Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными актами
Приложение N 3
Утверждены
постановлением администрации
города Южно-Сахалинска
от 21 февраля 2020 г. N 489-па
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными актами
1. Общие положения
1.1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации города Южно-Сахалинска (далее - Администрация) организовывается проведение плановых и внеплановых проверок (далее - проверки) условий обработки персональных данных на предмет соответствия Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и постановлению Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Тематика внутреннего контроля
2.1. Тематика проверок обработки персональных данных с использованием средств автоматизации:
2.1.1. Соответствие указанных в "Перечне персональных данных" персональных данных фактически обрабатываемым;
2.1.2. Актуальность Перечня должностей работников, замещение которых предусматривает осуществление обработки персональных данных;
2.1.3. Подтверждение факта ознакомления с локальными актами в области обработки и обеспечения безопасности персональных данных;
2.1.4. Выборочные проверки уровня знания сотрудниками организационно-распорядительных документов в области обработки и обеспечения безопасности персональных данных;
2.1.5. Соблюдение пользователями информационных систем персональных данных (далее - ИСПДн) инструкции по учету, выдаче, хранению, обращению с машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными) (Приложение N 3 к настоящим Правилам);
2.1.6. Соблюдение пользователями ИСПДн парольной политики;
2.1.7. Соблюдение пользователями ИСПДн антивирусной политики;
2.1.8. Соблюдение пользователями правил работы со средствами криптографической защиты информации (далее СКЗИ);
2.1.9. Соблюдение порядка доступа в помещения, где расположены элементы ИСПДн;
2.1.10. Соблюдение порядка работы со средствами защиты информации;
2.1.11. Знание пользователей ИСПДн о своих действиях во внештатных ситуациях;
2.2. Тематика проверок обработки персональных данных без использования средств автоматизации:
2.2.1. Хранение бумажных носителей с персональными данными;
2.2.2. Доступ к бумажным носителям с персональными данными;
2.2.3. Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.
3. Порядок проведения внутренних проверок
3.1. Проверки проводятся в соответствии с ежегодным Планом внутренних проверок условий обработки персональных данных Администрации (далее - План проверок) (примерная форма указана в Приложении N 1 к настоящим Правилам) или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
3.2. Ежегодный План проверок разрабатывается комиссией по организации обработки и защиты персональных данных Администрации (далее - Комиссия) для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом N 152-ФЗ и утверждается председателем Комиссии.
3.3. Состав комиссии:
- председатель комиссии - первый вице-мэр, руководитель аппарата Администрации;
- заместитель председателя Комиссии - директор Департамента мобилизационной подготовки и защиты информации;
- члены комиссии:
- референт Департамента мобилизационной подготовки и защиты информации;
- руководитель проверяемого структурного подразделения аппарата или отраслевого (функционального) органа Администрации;
- администратор безопасности муниципальной информационной системы "Единая мультисервисная телекоммуникационная сеть администрации города Южно-Сахалинска".
3.4. В Плане проверок по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
3.5. Проверки проводятся Комиссией по организации обработки и защиты персональных данных. В проведении проверки не может участвовать сотрудник, прямо или косвенно заинтересованный в ее результатах.
3.6. Основанием для проведения внеплановой проверки является поступившее в Администрацию письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.
3.7. Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.
3.8. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
3.9. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
3.10. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом (Приложение N 2 к настоящим Правилам).
3.11. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
-
Приложение N 1. План внутренних проверок условий обработки персональных данных в администрации города Южно-Сахалинска
-
Приложение N 2. Протокол проведения внутренней проверки условий обработки
-
Приложение N 3. Инструкция по учету, выдаче, хранению, обращению с машинными носителями информации и персональными идентификаторами, предназначенными для хранения информации ограниченного использования (персональными данными)