Приложение 3. Правила осуществления внутреннего контроля на соответствие обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", и принятым в соответствии с ним правовым актом в департаменте имущественных отношений Краснодарского края. Приказ департамента имущественных отношений Краснодарского края от 17.11.2020 N 2221 "Об обработке персональных данных в департаменте имущественных отношений Краснодарского края"

Приложение 3

Утверждены
приказом департамента
имущественных отношений
Краснодарского края
от 17.11.2020 N 2221

Правила
осуществления внутреннего контроля на соответствие обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", и принятым в соответствии с ним правовым актом в департаменте имущественных отношений Краснодарского края

1. Общие положения

Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленные Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в департаменте имущественных отношений краснодарского края (далее - Правила) разработаны в соответствии с положениями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и определяют порядок организации и осуществления контроля за выполнением обработки персональных данных требованиям к защите персональных данных в структурных подразделениях департаменте имущественных отношений Краснодарского края (далее - департамент).

Контроль при обработке персональных данных требований к защите персональных данных уполномоченным должностным лицом, осуществляется с целью установления надлежащей защиты персональных данных и правильности их обработки в соответствии с законодательством Российской Федерации, а также принятия мер по устранению допущенных нарушений.

Контроль за обработкой персональных данных осуществляет ответственный за организацию обработки персональных данных в департаменте. Контроль проводится в форме плановых, внеплановых и контрольных проверок.

2. Организация и проведение проверок

Основанием для проведения внеплановой проверки является поступившее оператору письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.

Проведение внеплановой проверки организуется в течение пяти рабочих дней со дня поступления обращения.

Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.

Контрольные проверки проводятся в целях устранения ранее выявленных нарушений.

Также внеплановые проверки могут проводиться в случаях поступления информации по фактам несанкционированного доступа, утечки либо утраты персональных данных субъектов департамента или нарушения требований по обработке и защите персональных данных.

Проверки осуществляются комиссией департамента, образуемой соответствующим приказом департамента.

Плановые проверки проводятся на основании разрабатываемых ответственным за организацию обработки персональных данных в департаменте и утверждаемых руководителем департамента ежегодных планов.

Внеплановые и контрольные проверки проводятся на основании приказа руководителя департамента.

Ответственный за организацию обработки персональных данных в департаменте подготавливает проект приказа о проведении внеплановой и контрольной проверки с предложением по составу комиссии.

Руководители проверяемых структурных подразделений обязаны предоставить проверяющим лицам информацию об обработке персональных данных, необходимую для достижения целей проверки.

3. Порядок проведения проверки

При осуществлении внутреннего контроля проводятся следующие мероприятия по проверке:

документов о распределении обязанностей по обработке персональных данных, назначении ответственных лиц за обработку персональных данных и ознакомлении сотрудников проверяемого структурного подразделения с обязанностями по рассматриваемому направлению деятельности;

документов по обработке персональных данных в данном структурном подразделении;

проводится проверка выполнения установленного порядка обработки персональных данных на соответствие требованиям законодательства Российской Федерации в области защиты персональных данных;

ознакомление сотрудников, имеющих доступ к персональным данным с нормативными актами и законодательством Российской Федерации в сфере защиты персональных данных.

наличия согласий на обработку персональных данных субъектов персональных данных;

В части защиты персональных данных в информационных системах персональных данных (далее - ИСПДн) проводятся следящие мероприятия по проверке:

соответствия средств вычислительной техники ИСПДн показателям, указанным в документации на ИСПДн;

структуры и состава локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядка защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных;

соблюдения установленного порядка использования средств вычислительной техники ИСПДн;

эффективности применения средств и методов защиты персональных данных, при обработке с применением средств вычислительной техники;

соблюдение требований, предъявляемых к паролям на информационные ресурсы;

соблюдение требований и правил антивирусной защиты средств вычислительной техники.

4. Оформление результатов проверки

По результатам проверки составляется акт.

Один экземпляр акта хранится у ответственного за организацию обработки персональных данных департамента, второй экземпляр передается руководителю проверяемого структурного подразделения для учета в работе.

При выявлении в ходе проверки нарушений руководителем структурного подразделения в срок не превышающий 30 дней принимаются меры по их устранению, о чем сообщается служебной запиской ответственному за организацию обработки персональных данных департамента.

Лица, проводившие проверку, не вправе разглашать сведения, которые им стали известны в связи с ее проведением.

Начальник отдела информационных систем и информационной безопасности в управлении финансовой и организационной работы департамента

М.Ю. Кривошеев