Приложение 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных в Департаменте природных ресурсов и охраны окружающей среды Вологодской области требованиям к защите персональных данных, установленным федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Департамента природных ресурсов и охраны окружающей среды. Приказ Департамента природных ресурсов и охраны окружающей среды Вологодской области от 10.11.2020 N 269 "Об утверждении организационно-распорядительных документов по обеспечению безопасности персональных данных в Департаменте природных ресурсов и охраны окружающей среды Вологодской области" (с изменениями и дополнениями)

Утверждены
приказом
Департамента
природных ресурсов
и охраны окружающей среды
Вологодской области
от 10.11.2020 г. N 269
(приложение 3)

Правила
осуществления внутреннего контроля соответствия обработки персональных данных в Департаменте природных ресурсов и охраны окружающей среды Вологодской области требованиям к защите персональных данных, установленным федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Департамента природных ресурсов и охраны окружающей среды (далее - Правила, Департамент)

1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Внутренний контроль соответствия обработки персональных данных установленным требованиям законодательства Российской Федерации в сфере персональных данных осуществляется с целью предупреждения, выявления и пресечения несанкционированного доступа к персональным данным, несанкционированных и непреднамеренных воздействий на защищаемую информацию и проводится в виде проверок условий обработки персональных данных в Департаменте (далее - проверки).

3. Проверки проводятся комиссией, состав которой утверждается приказом Департамента.

4. При организации плановых проверок в состав комиссии может включаться уполномоченное лицо бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" (далее - БУ ВО "ЦИТ"), осуществляющего сопровождение, администрирование и техническую поддержку инфраструктуры информационных систем персональных данных.

5. Проверки проводятся на основании ежегодного плана проверок соответствия обработки персональных данных в Департаменте установленным требованиям к защите персональных данных (плановые проверки) или на основании поступившего в Департамент письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

6. План проверок формируется лицом, назначенным ответственным за организацию обработки персональных данных в Департаменте до 10 декабря года, предшествующего году проведения проверок, и утверждается начальником Департамента.

7. Проведение внеплановой проверки организуется лицом, ответственным за организацию обработки персональных данных в Департаменте, в течение семи рабочих дней со дня поступления соответствующего заявления.

8. В срок, не превышающий трех рабочих дней после утверждения, но не позднее 20 декабря года, предшествующего году проведения проверок, план проверок направляется специалистам, осуществляющим обработку персональных данных, подлежащих проверке в планируемом году.

9. Проверка осуществляется непосредственно на месте обработки персональных данных путем изучения документов, опроса либо, при необходимости, путем осмотра служебных мест лиц, непосредственно осуществляющих обработку персональных данных, в пределах полномочий проверяющих.

10. Во время проверок устанавливаются, в том числе: соблюдение правил доступа к персональным данным; соблюдение правил передачи (предоставления) персональных данных; состояние учета машинных носителей персональных данных, хранения бумажных и машинных носителей с персональными данными;

соблюдение инструкций, утвержденных лицом, ответственным за организацию обработки персональных данных в Департаменте; соблюдение парольной политики; соблюдение антивирусной политики;

соблюдение правил работы со съемными носителями персональных данных; соблюдение ответственными за криптографические средства защиты информации правил работы с ними;

знание и соблюдение порядка работы со средствами защиты информации; соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;

соблюдение условий хранения персональных данных;

соблюдение порядка уничтожения информации, содержащей персональные данные.

11. По результатам каждой проверки в срок, не превышающий пяти рабочих дней, составляется протокол проведения проверки по форме согласно приложению к настоящим Правилам, который подписывается членами комиссии, и в срок, не превышающий трех рабочих дней со дня подписания, доводится до начальника Департамента и лица, ответственного за организацию обработки персональных данных в Департаменте. При выявлении в ходе проверки нарушений или недостатков, создающих предпосылки к возникновению нарушений, в протоколе дается предписание о мерах и сроках по их устранению.

12. Протоколы хранятся у лица, ответственного за организацию обработки персональных данных в Департаменте, в течение 5 дет.