Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Приложение 2
ГАРАНТ:
Пункт 2, утвердивший настоящее приложение, вступает в силу с 1 января 2021 г.
Приложение 2
к распоряжению
от 16 октября 2020 г. N 827
12. Правила осуществления внутреннего контроля, аудита соответствия обработки ПДн требованиям к защите ПДн, контроля за выполнением требований к защите ПДн при их обработке в ИСПДн
12.1. Внутренний контроль соответствия обработки ПДн требованиям к защите ПДн осуществляется:
12.1.1. в органах Администрации, не являющихся юридическими лицами:
ответственным за организацию обработки ПДн в Администрации города - в случаях проведения плановых проверок;
комиссией по осуществлению внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн в Администрации города (далее - Комиссия АгТ) - в случаях проведения внеплановых проверок;
12.1.2. в органах Администрации, являющихся юридическими лицами:
ответственным за организацию обработки ПДн в соответствующих органах Администрации города - в случаях проведения плановых проверок;
комиссией по осуществлению внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн в соответствующем органе Администрации (далее - Комиссия органа АгТ) - в случаях проведения внеплановых проверок.
12.2. Комиссии, предусмотренные пунктом 12.1 настоящего Положения (далее при совместном упоминании Комиссии), состоят не менее чем из двух членов и включают в свой состав:
12.2.1. в Комиссии АгТ:
председателя комиссии - ответственного за организацию обработки ПДн в Администрации города;
члена комиссии - работника Уполномоченной организации, назначаемого приказом руководителя Уполномоченной организации;
12.2.2. в Комиссии органа АгТ:
председателя комиссии - ответственного за организацию обработки ПДн в соответствующем органе Администрации;
члена комиссии - работника Уполномоченной организации, назначаемого приказом руководителя Уполномоченной организации.
12.2.3. Уполномоченная организация является ответственной за обеспечение организационно-документационной работы Комиссий, в том числе за обеспечение хранения документов, образуемых в результате работы таких Комиссий.
12.3. Проверке подлежат:
организационно-распорядительная документация по обеспечению безопасности ПДн, обрабатываемых, в том числе, в ИСПДн;
реестр информационных систем: проверка соответствия размещенных сведений в "Реестре информационных систем Администрации города Тюмени" с текущими данными по содержащимся ИСПДн.
12.4. Проверки подразделяются на плановые и внеплановые (далее при совместном упоминании - проверочные мероприятия).
12.5. Плановые проверки органов Администрации проводятся не реже одного раза в год в соответствии с планом проведения проверок, утверждаемым в срок не позднее 31 декабря года, предшествующего году проведения плановой проверки:
в отношении органов Администрации, не являющихся юридическими лицами - приказом директора административного департамента;
в отношении органов Администрации, являющихся юридическими лицами - приказом руководителя соответствующего органа Администрации.
В ежегодном плане проведения проверок указывается субъект плановой проверки (субъекты плановых проверок), период проведения плановой проверки (плановых проверок). Период проведения плановой проверки в одном органе Администрации не может превышать 10 рабочих дней.
План проведения проверок в отношении органов Администрации, не являющихся юридическими лицами, направляется административным департаментом в соответствующие органы Администрации города не позднее 5 рабочих дней со дня его утверждения.
12.6. Внеплановые проверки проводятся Комиссиями, в соответствии с компетенцией, установленной настоящей главой, в связи с поступлением обращений (заявлений, жалоб) физических и (или) юридических лиц, содержащих указание на факты несоблюдения органами Администрации требований законодательства, муниципальных правовых актов города Тюмени в области организации обработки ПДн.
В целях организации проведения внеплановых проверок органы Администрации города, являющиеся юридическими лицами, административный департамент в соответствии с компетенцией, установленной настоящей главой, не позднее 5 рабочих дней со дня регистрации обращения (заявления, жалобы) обеспечивают издание приказов руководителей органов Администрации города о проведении внеплановых проверок в отношении органов Администрации (далее - МПА о проведении внеплановой проверки), указанных в абзаце первом настоящего пункта, и направление их копий в Уполномоченную организацию. В МПА о проведении внеплановой проверки указывается субъект внеплановой проверки (субъекты внеплановых проверок), период проведения внеплановой проверки (внеплановых проверок). Конечная дата проведения внеплановой проверки не должна превышать период 15 рабочих дней со дня регистрации обращения (заявления, жалобы).
Руководитель Уполномоченной организации не позднее 1 рабочего дня со дня получения копии МПА о проведении внеплановой проверки обеспечивает назначение своим приказом работников Уполномоченной организации в качестве членов соответствующих комиссий.
12.7. Предметом проведения проверочных мероприятий является:
при плановой проверке - установление соответствия (несоответствия) перечня мероприятий, выполненных субъектами проверки, перечню мероприятий, выполнение которых обязательно в соответствии с законодательством, муниципальными правовыми актами города Тюмени в области организации обработки ПДн, определенных в проверочном листе (далее - Проверочный лист);
при внеплановой проверке - установление фактов несоблюдения органами Администрации требований законодательства, муниципальных правовых актов города Тюмени в области организации обработки ПДн, указанных в поступивших обращениях (заявлениях, жалобах) физических и (или) юридических лиц.
Форма Проверочного листа утверждается приказом руководителя Уполномоченной организации. Проверочный лист включает в себя перечень мероприятий, выполнение которых обязательно в соответствии с законодательством, муниципальных правовых актов города Тюмени в области организации обработки ПДн, отражающих содержание обязательных требований (ссылку на законодательство, муниципальные правовые акты города Тюмени), ответ на которые однозначно свидетельствует о соблюдении или несоблюдении органом Администрации обязательных требований при осуществлении ими деятельности. Указанный приказ, а также изменения в него подлежат направлению ответственному за организацию обработки ПДн в Администрации города, в Органы Администрации не позднее 5 рабочих дней со дня издания соответствующего приказа, внесения изменений в него.
12.8. В ходе реализации проверочных мероприятий ответственным за организацию обработки ПДн в Администрации города, органах Администрации города заполняется Проверочный лист (в случае проведения плановой проверки), акты осмотра по форме, утверждаемой приказом директора Уполномоченной организации, для каждой из проверяемых ИСПДн Органа Администрации. Акты оформляются в двух экземплярах: один - органу Администрации, второй - Комиссии.
Результат проверочных мероприятий оформляется ответственным за организацию обработки ПДн в Администрации города, органах Администрации города итоговым актом проверочных мероприятий по форме, утверждаемой приказом директора Уполномоченной организации, в срок, не превышающий 20 рабочих дней со дня их завершения. Итоговый акт проверочных мероприятий оформляется в двух экземплярах: один остается на хранении у ответственного за организацию обработки ПДн в Администрации города, органах Администрации города, второй - в течение 2 рабочих дней со дня его подписания направляется в Уполномоченную организацию. В случае, если проверочное мероприятие осуществлялось в отношении органа Администрации, не являющегося юридическим лицом, ответственный за организацию обработки ПДн в Администрации города одновременно с направлением итогового акта проверочных мероприятий в Уполномоченную организацию, обеспечивает направление заверенной копии указанного акта в соответствующий орган Администрации.
12.9. При наличии нарушений, зафиксированных в итоговом акте проверочных мероприятий, орган Администрации обязан направить информацию по факту устранения нарушений в адрес ответственного за организацию обработки ПДн в Администрации города, органах Администрации города, Уполномоченной организации в течение 40 рабочих дней со дня получения такого итогового акта.
12.10. Уполномоченная организация не реже одного раза в три года проводит в органах Администрации города Тюмени:
аудит соответствия обработки ПДн требованиям к защите ПДн (далее - аудит) с целью выражения независимого мнения о достоверности (недостоверности) результатов, проведенного в органах Администрации города Тюмени планового внутреннего контроля;
контроль за выполнением требований к защите ПДн при их обработке в ИСПДн (далее - Контроль).
План проведения аудита соответствия обработки ПДн требованиям к защите ПДн, контроля за выполнением требований к защите ПДн при их обработке в ИСПДн (далее - План проведения аудита, Контроля) утверждается приказом руководителя Уполномоченной организации не позднее 31 декабря года, предшествующего периоду, на который сформирован соответствующий план.
12.11. Уполномоченная организация за 30 дней до начала проведения аудита, Контроля направляет в орган Администрации, в отношении которого планируется проведение аудита, Контроля уведомление, в котором указывается:
дата и сроки проведения аудита, Контроля;
цели проведения аудита, Контроля;
фамилии, имена, отчества и должности председателя комиссии, членов комиссии, сформированных из числа работников Уполномоченной организации.
12.12. В срок, не превышающий 30 дней со дня завершения аудита, Контроля Уполномоченная организация оформляет результаты проведения аудита, Контроля итоговым актом проведения аудита, Контроля по форме, утверждаемой приказом директора Уполномоченной организации. Итоговый акт проведения аудита, Контроля подписывается руководителем Уполномоченной организации в двух экземплярах: один направляется органу Администрации в течение 2 рабочих дней после его подписания, второй - хранится в Уполномоченной организации.
При наличии разногласий по итоговому акту проведения аудита, Контроля руководитель органа Администрации составляет протокол разногласий, который направляется в Уполномоченную организацию в течение 5 рабочих дней со дня получения такого итогового акта и приобщается к итоговому акту проведения аудита, Контроля и является его неотъемлемой частью.
Уполномоченная организация в течение 5 рабочих дней со дня получения протокола разногласий проверяет их обоснованность, составляет по ним письменное заключение и направляет органу Администрации. Второй экземпляр такого письменного заключения приобщается к итоговому акту проведения аудита, Контроля.
12.13. Уполномоченная организация ежегодно в срок до 25 декабря года, в котором проводились проверочные мероприятия, аудит, Контроль обеспечивает:
подготовку проекта отчета о результатах проведения проверочных мероприятий, аудита, Контроля за год (далее - Отчет) и его подписание ответственными за организацию обработки ПДн в Администрации города, органах Администрации города;
предоставление Отчета Главе города Тюмени.
В Отчете указывается информация о количестве проведенных проверочных мероприятий в органах Администрации, выявленных нарушениях в организации и обеспечении обработки и защиты ПДн, а также о результатах устранения нарушений.
12.14. В период проведения проверочных мероприятий, аудита, Контроля лица их проводящие вправе:
посещать территорию и помещения органа Администрации, в отношении которого проводится проверочное мероприятие, аудит, Контроль;
запрашивать у работников органа Администрации, в отношении которого проводится проверочное мероприятие, аудит, Контроль, необходимые материалы и документы, в том числе оригиналы документов, по вопросам, относящимся к предмету проверочного мероприятия, аудита, Контроля;
требовать присутствия работников органа Администрации, в отношении которого проводится проверочное мероприятие, аудит, Контроль, для своевременного получения необходимых документов и материалов, а также объяснений и разъяснений как в устной, так и в письменной форме.
12.15. В период проведения проверочных мероприятий, аудита, Контроля лица их осуществляющие обязаны:
своевременно и в полном объеме исполнять предоставленные ей им полномочия по проведению проверочных мероприятий, аудита, Контроля;
проводить проверочные мероприятия, аудит, Контроль на основании и в строгом соответствии с порядком, установленным настоящей главой;
давать разъяснения по вопросам, относящимся к предмету проверочных мероприятий, аудита, Контроля;
обеспечить сохранность и возврат оригиналов документов, полученных в ходе проверочных мероприятий, аудита, Контроля;
обеспечивать конфиденциальность в отношении ПДн, ставших известными в ходе проведения проверочных мероприятий, аудита, Контроля.
|
<< Приложение 1 Приложение 1 |
Приложение 3 >> Приложение 3 |
|
|
Содержание Распоряжение Администрации г. Тюмени от 16 октября 2020 г. N 827 "О внесении изменений в распоряжения Администрации города... |