Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и правовыми актами управления ветеринарии Воронежской области. Приказ Управления ветеринарии Воронежской области от 24.08.2020 N 190 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в управлении ветеринарии Воронежской области" (с изменениями и дополнениями)

Приложение N 3
к приказу
управления ветеринарии
Воронежской области
от 24.08.2020 N 190

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и правовыми актами управления ветеринарии Воронежской области

1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Управлении организовывается проведение плановых и внеплановых проверок условий обработки персональных данных.

2.1. Плановые проверки условий обработки персональных данных проводятся по решению руководителя Управления по предложению лица, ответственного за организацию обработки персональных данных в Управлении, не реже одного раза в год.

План проведения плановых проверок утверждается руководителем Управления и доводится до начальников отделов Управления, в которых запланировано проведение плановой проверки, не менее чем за четырнадцать рабочих дней до даты начала проверки.

2.2. Внеплановые проверки условий обработки персональных данных проводятся на основании поступившего в Управление письменного обращения субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных о нарушениях обработки персональных данных по предложению лица, ответственного за организацию обработки персональных данных в Управлении.

3. Проверки условий обработки персональных данных в Управлении осуществляются комиссией, образуемой приказом Управления (далее - Комиссия) из числа лиц, замещающих должности государственной гражданской службы Воронежской области в Управлении, и иных лиц, замещающих должности, не являющиеся должностями государственной гражданской службы Воронежской области в Управлении (далее - служащие Управления), которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении. При этом председателем Комиссии является лицо, ответственное за организацию обработки персональных данных в Управлении.

В проведении проверки не может участвовать служащий Управления, прямо или косвенно заинтересованный в ее результатах.

4. Проведение внеплановой проверки организуется в течение пяти рабочих дней с даты поступления соответствующего обращения.

5. При проведении плановой проверки условий обработки персональных данных в Управлении должны быть полностью, объективно и всесторонне установлены:

соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных;

соблюдение точности и при необходимости актуальности обрабатываемых персональных данных;

соблюдение сроков обработки и хранения персональных данных;

соблюдение порядка уничтожения персональных данных;

соблюдение порядка доступа к персональным данным, включая наличие у служащих Управления полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении;

соблюдение порядка доступа служащих Управления в помещения, в которых осуществляется обработка, в том числе хранение, персональных данных (носителей персональных данных) в Управлении;

соблюдение требований при обработке персональных данных, осуществляемой неавтоматизированным способом;

выполнение принимаемых мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, применяемых в Управлении;

проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных в информационных системах персональных данных, применяемых в Управлении.

6. Комиссия при проведении проверки условий обработки персональных данных в Управлении имеет право:

запрашивать у служащих Управления информацию, необходимую для реализации полномочий;

вносить руководителю Управления предложения по уточнению, блокированию или уничтожению неполных, избыточных, недостоверных или полученных незаконным путем персональных данных в Управлении, а также прекращению обработки и уничтожения персональных данных в Управлении в случае достижения цели их обработки или в случае утраты необходимости в достижении этой цели;

вносить руководителю Управления предложения о совершенствовании правовых, организационных и технических мер по обеспечению безопасности персональных данных в Управлении, а также предложения о привлечении к дисциплинарной ответственности служащих Управления, виновных в нарушении законодательства Российской Федерации в области персональных данных и документов, определяющих политику Управления в отношении обработки персональных данных, а также правовых актов Управления по вопросам обработки и защиты персональных данных;

вносить руководителю Управления предложения по приостановлению или прекращению обработки персональных данных в Управлении, осуществляемой с нарушением требований законодательства Российской Федерации.

7. Членами комиссии должна обеспечиваться конфиденциальность персональных данных, которые стали известны в ходе проведения проверки условий обработки персональных данных в Управлении.

8. Плановая проверка условий обработки персональных данных в Управлении должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении. Внеплановая проверка должна быть завершена не позднее чем через пятнадцать календарных дней со дня принятия решения о ее проведении.

9. Решение Комиссии считается правомочным, если оно принято не менее чем половиной ее членов. Решение оформляется заключением Комиссии, которое должно содержать результаты проведенной проверки и меры, необходимые для устранения выявленных нарушений.

В случае несогласия с принятым решением каждый член Комиссии вправе изложить в письменном виде свое мнение, которое подлежит обязательному приобщению к заключению Комиссии.

10. По результатам проведенной проверки условий обработки персональных данных в Управлении лицо, ответственное за организацию обработки персональных данных в Управлении, докладывает руководителю Управления заключение о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.

11. По существу вопросов, поставленных в обращении субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, лицо, ответственное за организацию обработки персональных данных в Управлении, в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.

12. Ответственность за соблюдение настоящих Правил возлагается на лицо, ответственное за организацию обработки персональных данных в Управлении.