Агентство ЗАГС

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентства

Утверждено

распоряжением руководителя Агентства ЗАГС Ульяновской области

от  03 июля 2019 года23

 

 

 

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами
и локальными актами Агентства записи актов гражданского состояния
Ульяновской области

 

1.       Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентствазаписи актов гражданского состояния Ульяновской области (далее- Правила) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее– ПДн), основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн (далее- внутренний контроль) в Агентстве записи актов гражданского состояния Ульяновской области (далее– Агентство).

2.       Внутренний контроль соответствия обработки ПДн требованиям
к защите ПДн в Агентстве осуществляется путём проведение плановых
и внеплановых проверок условий обработки ПДн на предмет соответствия
Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» (далее– Федеральный закон «О персональных данных»), принятым
в соответствии с ним нормативным правовым актам и локальным актам Агентства (далее – проверки).

3.       Проверки проводятся комиссией Агентства по защите ПДн (далее – Комиссия) либо должностным лицом, ответственным за организацию обработки ПДн в Агентстве.

4.       Проверки проводятся:

1)       не реже одного раза в год (плановые проверки);

2)       по решению руководителя Агентства на основании поступившего заявления субъекта ПДн или его законного представителя (далее - заявитель)
о нарушении законодательства Российской Федерации в области ПДн (внеплановые проверки);

3)       регулярные– согласно Приложению 1 к Правилам.

5.       Ежегодный план проверок разрабатывается Комиссией
и утверждается руководителем Агентства. В плане по каждой проверке устанавливаются объект и предмет проверки, проверяемый период,
срок её проведения и ответственный исполнитель.

6.       При проведении внутреннего контроля должно быть обеспечено документальное и, если это необходимо, техническое подтверждение
того, что:

1)       политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;

2)       организационная структура обеспечения безопасности ПДн создана;

3)       процессы выполнения требований безопасности ПДн исполняются
и удовлетворяют поставленным целям;

4)       защитные меры (межсетевые экраны, средства защиты информации
от несанкционированного доступа и т.п.) настроены и используются правильно;

5)       остаточные риски безопасности ПДн оценены и остаются приемлемыми;

6)       рекомендации предшествующих проверок реализованы.

7.       При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учёта нештатных ситуаций информационных систем, содержащих ПДн.

8.       Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.

9.       Срок проведения проверки не может превышать месяц
со дня принятия решения о ее проведении.

10.  Члены Комиссии, получившие доступ к ПДн субъектов ПДн в ходе проведения проверки, обеспечивают конфиденциальность ПДн субъектов ПДн, не раскрывают третьим лицам и не распространяют ПДн без согласия субъекта ПДн.

11.   По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях комиссии, оформляются протоколом
и подписываются членами комиссии.

12.  По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.

13.  О результатах проведенной проверки и мерах, необходимых
для устранения выявленных нарушений, руководителю Агентства докладывает председатель комиссии или лицо, ответственное за организацию обработки ПДн в Агентстве.

14.  Информация о периодически проводимых мероприятиях
и их результатах фиксируется в журнале учета мероприятий по контролю
за соблюдением режима защиты ПДн (далее - Журнал). Форма Журнала представлена в Приложении N 2 к Правилам.

15.  Внутренний контроль соблюдения порядка доступа уполномоченных должностных лиц (субъектов ПДн) в помещения, в которых ведется обработка ПДн, вне проверок осуществляется лицом, ответственным за организацию обработки ПДн в Агентстве.

 

_____________