Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ОБУСО «Льговский МКЦСОН»
УТВЕРЖДЕНЫ
приказом директора
учреждения от 21.11.2017 г. № 178 -ОД
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных
в ОБУСО «Льговский МКЦСОН»
1. Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ОБУСО «Льговский МКЦСОН» разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами и определяют процедуры, направленные на выявление
и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ОБУСО «Льговский МКЦСОН» проводятся периодические поверки условий обработки персональных данных.
2.2. Проверки обработки персональных данных проводятся комиссией, состав которой утверждается приказом директора, либо лицом, ответственным за организацию обработки персональных данных в ОБУСО «Льговский МКЦСОН», лицом, ответственным за организацию обработки и обеспечение работ по технической защите информации, в том числе персональных данных, содержащихся в информационных системах ОБУСО «Льговский МКЦСОН».
2.3.Плановые проверки условий обработки персональных данных проводятся на основании утвержденного директором плана основных организационных мероприятий ОБУСО «Льговский МКЦСОН» на год в рамках осуществления внутреннего аудита деятельности, в том числе соответствия обработки персональных данных установленным требованиям.
2.4. Предложения в план, в части проведения проверок условий обработки персональных данных в отдельных структурных подразделениях ОБУСО «Льговский МКЦСОН», представляются ежегодно в ноябре месяце лицом, ответственным за организацию обработки персональных данных в ОБУСО «Льговский МКЦСОН», а также лицом, ответственным за организацию обработки и обеспечение работ по технической защите информации, в том числе персональных данных, содержащихся в информационных системах ОБУСО «Льговский МКЦСОН».
2.5. Внеплановые проверки проводятся на основании поступившей в ОБУСО «Льговский МКЦСОН» информации, письменного заявления о нарушениях правил обработки персональных данных.
Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.
2.6. В проведении проверки условий обработки персональных данных не могут участвовать работники ОБУСО «Льговский МКЦСОН», прямо или косвенно заинтересованные в ее результатах.
2.7. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест работников ОБУСО «Льговский МКЦСОН», участвующих в процессе обработки персональных данных.
2.8. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
- состояние учета носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению сохранности персональных данных при хранении материальных носителей;
- соответствие места хранения персональных данных (материальных носителей) и соответствие перечня лиц, имеющих к ним доступ в установленном порядке;
- обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
2.9. Комиссия по проведению проверки условий обработки персональных данных имеет право:
- запрашивать у работников ОБУСО «Льговский МКЦСОН» информацию, необходимую для реализации полномочий;
- требовать от работников ОБУСО «Льговский МКЦСОН», осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- вносить директору ОБУСО «Льговский МКЦСОН» предложения о: совершенствовании правового, технического и организационного обеспечения безопасности персональных данных при их обработке;
приостановлении или прекращении обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
привлечении к дисциплинарной ответственности лиц, виновных
в нарушении законодательства Российской Федерации о персональных данных.
2.10. Члены комиссии по проведению проверки условий обработки персональных данных должны обеспечивать конфиденциальность ставших им известными в ходе проведения мероприятий внутреннего контроля персональных данных.
2.11. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения об ее проведении.
2.12. О результатах проведенной проверки условий обработки персональных данных и мерах, необходимых для устранения выявленных нарушений, председатель комиссии, либо лицо, ответственное за организацию обработки персональных данных, докладывает директору ОБУСО «Льговский МКЦСОН».
2.13. По результатам проверки директор ОБУСО «Льговский МКЦСОН» принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных должностных лиц к установленной ответственности.