Приложение 2. Распоряжение Администрации г. Тюмени от 16.10.2020 N 827 "О внесении изменений в распоряжения Администрации города Тюмени от 01.08.2011 N 906, от 18.12.2015 N 1023"

ГАРАНТ:

Пункт 2, утвердивший настоящее приложение, вступает в силу с 1 января 2021 г.

Приложение 2
к распоряжению
от 16 октября 2020 г. N 827

12. Правила осуществления внутреннего контроля, аудита соответствия обработки ПДн требованиям к защите ПДн, контроля за выполнением требований к защите ПДн при их обработке в ИСПДн

12.1. Внутренний контроль соответствия обработки ПДн требованиям к защите ПДн осуществляется:

12.1.1. в органах Администрации, не являющихся юридическими лицами:

ответственным за организацию обработки ПДн в Администрации города - в случаях проведения плановых проверок;

комиссией по осуществлению внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн в Администрации города (далее - Комиссия АгТ) - в случаях проведения внеплановых проверок;

12.1.2. в органах Администрации, являющихся юридическими лицами:

ответственным за организацию обработки ПДн в соответствующих органах Администрации города - в случаях проведения плановых проверок;

комиссией по осуществлению внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн в соответствующем органе Администрации (далее - Комиссия органа АгТ) - в случаях проведения внеплановых проверок.

12.2. Комиссии, предусмотренные пунктом 12.1 настоящего Положения (далее при совместном упоминании Комиссии), состоят не менее чем из двух членов и включают в свой состав:

12.2.1. в Комиссии АгТ:

председателя комиссии - ответственного за организацию обработки ПДн в Администрации города;

члена комиссии - работника Уполномоченной организации, назначаемого приказом руководителя Уполномоченной организации;

12.2.2. в Комиссии органа АгТ:

председателя комиссии - ответственного за организацию обработки ПДн в соответствующем органе Администрации;

члена комиссии - работника Уполномоченной организации, назначаемого приказом руководителя Уполномоченной организации.

12.2.3. Уполномоченная организация является ответственной за обеспечение организационно-документационной работы Комиссий, в том числе за обеспечение хранения документов, образуемых в результате работы таких Комиссий.

12.3. Проверке подлежат:

организационно-распорядительная документация по обеспечению безопасности ПДн, обрабатываемых, в том числе, в ИСПДн;

реестр информационных систем: проверка соответствия размещенных сведений в "Реестре информационных систем Администрации города Тюмени" с текущими данными по содержащимся ИСПДн.

12.4. Проверки подразделяются на плановые и внеплановые (далее при совместном упоминании - проверочные мероприятия).

12.5. Плановые проверки органов Администрации проводятся не реже одного раза в год в соответствии с планом проведения проверок, утверждаемым в срок не позднее 31 декабря года, предшествующего году проведения плановой проверки:

в отношении органов Администрации, не являющихся юридическими лицами - приказом директора административного департамента;

в отношении органов Администрации, являющихся юридическими лицами - приказом руководителя соответствующего органа Администрации.

В ежегодном плане проведения проверок указывается субъект плановой проверки (субъекты плановых проверок), период проведения плановой проверки (плановых проверок). Период проведения плановой проверки в одном органе Администрации не может превышать 10 рабочих дней.

План проведения проверок в отношении органов Администрации, не являющихся юридическими лицами, направляется административным департаментом в соответствующие органы Администрации города не позднее 5 рабочих дней со дня его утверждения.

12.6. Внеплановые проверки проводятся Комиссиями, в соответствии с компетенцией, установленной настоящей главой, в связи с поступлением обращений (заявлений, жалоб) физических и (или) юридических лиц, содержащих указание на факты несоблюдения органами Администрации требований законодательства, муниципальных правовых актов города Тюмени в области организации обработки ПДн.

В целях организации проведения внеплановых проверок органы Администрации города, являющиеся юридическими лицами, административный департамент в соответствии с компетенцией, установленной настоящей главой, не позднее 5 рабочих дней со дня регистрации обращения (заявления, жалобы) обеспечивают издание приказов руководителей органов Администрации города о проведении внеплановых проверок в отношении органов Администрации (далее - МПА о проведении внеплановой проверки), указанных в абзаце первом настоящего пункта, и направление их копий в Уполномоченную организацию. В МПА о проведении внеплановой проверки указывается субъект внеплановой проверки (субъекты внеплановых проверок), период проведения внеплановой проверки (внеплановых проверок). Конечная дата проведения внеплановой проверки не должна превышать период 15 рабочих дней со дня регистрации обращения (заявления, жалобы).

Руководитель Уполномоченной организации не позднее 1 рабочего дня со дня получения копии МПА о проведении внеплановой проверки обеспечивает назначение своим приказом работников Уполномоченной организации в качестве членов соответствующих комиссий.

12.7. Предметом проведения проверочных мероприятий является:

при плановой проверке - установление соответствия (несоответствия) перечня мероприятий, выполненных субъектами проверки, перечню мероприятий, выполнение которых обязательно в соответствии с законодательством, муниципальными правовыми актами города Тюмени в области организации обработки ПДн, определенных в проверочном листе (далее - Проверочный лист);

при внеплановой проверке - установление фактов несоблюдения органами Администрации требований законодательства, муниципальных правовых актов города Тюмени в области организации обработки ПДн, указанных в поступивших обращениях (заявлениях, жалобах) физических и (или) юридических лиц.

Форма Проверочного листа утверждается приказом руководителя Уполномоченной организации. Проверочный лист включает в себя перечень мероприятий, выполнение которых обязательно в соответствии с законодательством, муниципальных правовых актов города Тюмени в области организации обработки ПДн, отражающих содержание обязательных требований (ссылку на законодательство, муниципальные правовые акты города Тюмени), ответ на которые однозначно свидетельствует о соблюдении или несоблюдении органом Администрации обязательных требований при осуществлении ими деятельности. Указанный приказ, а также изменения в него подлежат направлению ответственному за организацию обработки ПДн в Администрации города, в Органы Администрации не позднее 5 рабочих дней со дня издания соответствующего приказа, внесения изменений в него.

12.8. В ходе реализации проверочных мероприятий ответственным за организацию обработки ПДн в Администрации города, органах Администрации города заполняется Проверочный лист (в случае проведения плановой проверки), акты осмотра по форме, утверждаемой приказом директора Уполномоченной организации, для каждой из проверяемых ИСПДн Органа Администрации. Акты оформляются в двух экземплярах: один - органу Администрации, второй - Комиссии.

Результат проверочных мероприятий оформляется ответственным за организацию обработки ПДн в Администрации города, органах Администрации города итоговым актом проверочных мероприятий по форме, утверждаемой приказом директора Уполномоченной организации, в срок, не превышающий 20 рабочих дней со дня их завершения. Итоговый акт проверочных мероприятий оформляется в двух экземплярах: один остается на хранении у ответственного за организацию обработки ПДн в Администрации города, органах Администрации города, второй - в течение 2 рабочих дней со дня его подписания направляется в Уполномоченную организацию. В случае, если проверочное мероприятие осуществлялось в отношении органа Администрации, не являющегося юридическим лицом, ответственный за организацию обработки ПДн в Администрации города одновременно с направлением итогового акта проверочных мероприятий в Уполномоченную организацию, обеспечивает направление заверенной копии указанного акта в соответствующий орган Администрации.

12.9. При наличии нарушений, зафиксированных в итоговом акте проверочных мероприятий, орган Администрации обязан направить информацию по факту устранения нарушений в адрес ответственного за организацию обработки ПДн в Администрации города, органах Администрации города, Уполномоченной организации в течение 40 рабочих дней со дня получения такого итогового акта.

12.10. Уполномоченная организация не реже одного раза в три года проводит в органах Администрации города Тюмени:

аудит соответствия обработки ПДн требованиям к защите ПДн (далее - аудит) с целью выражения независимого мнения о достоверности (недостоверности) результатов, проведенного в органах Администрации города Тюмени планового внутреннего контроля;

контроль за выполнением требований к защите ПДн при их обработке в ИСПДн (далее - Контроль).

План проведения аудита соответствия обработки ПДн требованиям к защите ПДн, контроля за выполнением требований к защите ПДн при их обработке в ИСПДн (далее - План проведения аудита, К