Приложение к Приказу от 09.08.2017 г № 119-ОД Правила
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом от 27.07.2006 № 152-фз «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами управления государственной архивной службы новосибирской области
1.Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами управления государственной архивной службы Новосибирской области, определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, основания, порядок, формы и методы проведения в управлении государственной архивной службы Новосибирской области (далее - управление ГАС НСО) внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2.Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в управлении ГАС НСО осуществляется посредством проведения периодических проверок условий обработки персональных данных на предмет соответствия требованиям Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов, локальных актов управления ГАС НСО (далее - проверки).
3.Проверки проводятся на основании утвержденного начальником управления ГАС НСО ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки) или на основании поступившего в управление ГАС НСО письменного обращения субъекта персональных данных или его представителя о нарушении порядка обработки персональных данных (внеплановые проверки).
В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
Проведение внеплановой проверки организуется в течение трех дней с момента поступления обращения.
4.Проверки проводятся комиссией, образуемой приказом управления ГАС НСО, либо должностным лицом, ответственным за организацию обработки персональных данных в управлении ГАС НСО (далее - комиссия (должностное лицо)).
5.В проведении проверки не может участвовать государственный гражданский служащий или работник управления ГАС НСО, прямо или косвенно заинтересованный в ее результатах.
6.При проведении проверки комиссией (должностным лицом) должны быть полностью, объективно и всесторонне рассмотрены следующие вопросы:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил обработки персональных данных в управлении ГАС НСО;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) осуществление мероприятий по обеспечению целостности персональных данных.
7.Члены комиссии (должностное лицо), получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
8.Члены комиссии (должностное лицо) при проведении проверки имеют право:
1) запрашивать у государственных гражданских служащих, работников управления ГАС НСО информацию по вопросам проверки;
2) требовать от лиц, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить начальнику управления ГАС НСО предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) вносить начальнику управления ГАС НСО предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении требований законодательства Российской Федерации об обработке персональных данных.
9.Срок проведения проверки не может превышать двадцать дней со дня принятия решения о ее проведении.
10.По результатам проведенной проверки комиссией (должностным лицом) составляется акт проверки, в котором указываются обстоятельства, установленные при проведении проверки, сведения о нарушении требований законодательства Российской Федерации об обработке персональных данных и меры, необходимые для их устранения.
11.В случае проведения внеплановой проверки на основании письменного обращения субъекта персональных данных или его представителя, заявителю в течение трех дней со дня окончания проверки комиссия (должностное лицо) готовит письменный ответ по существу поставленных в обращении вопросов.