Приложение N 3
к приказу Федерального казначейства
от 31 января 2020 г. N 7н
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федерального казначейства и территориальных органов Федерального казначейства
1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Федеральном казначействе и территориальных органах Федерального казначейства определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, методы проведения внутреннего контроля соответствия обработки персональных данных субъектов персональных данных требованиям к защите персональных данных в Федеральном казначействе и территориальных органах Федерального казначейства (далее - оператор).
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных операторами организовывается проведение плановых и внеплановых проверок условий обработки персональных данных (далее - проверки) на предмет соответствия Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2018, N 1, ст. 82) (далее - Федеральный закон N 152-ФЗ).
3. Проверки проводятся в Федеральном казначействе, территориальных органах Федерального казначейства на основании ежегодного плана или на основании поступившей оператору информации о нарушении правил обработки персональных данных (внеплановые проверки). Ежегодный план проверок разрабатывается и утверждается комиссией оператора по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом N 152-ФЗ (далее - Комиссия).
4. В ежегодном плане проверок по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
5. Проверки проводятся Комиссией, создаваемой приказом оператора. В проведении проверки не может участвовать федеральный государственный гражданский служащий (работник), заинтересованный в ее результатах.
6. Основанием для проведения внеплановой проверки является поступившее оператору письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных данного субъекта персональных данных.
7. Проведение внеплановой проверки организуется в течение 5 рабочих дней со дня поступления обращения.
8. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
9. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
10. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом.
11. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.