Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентства

Утверждены

распоряжением Агентства ЗАГС Ульяновской области

от 03.07.2019 №23

 

 

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентства записи актов гражданского состояния Ульяновской области

1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентства записи актов гражданского состояния Ульяновской области (далее- Правила) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее– ПДн), основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн (далее- внутренний контроль) в Агентстве записи актов гражданского состояния Ульяновской области (далее– Агентство).
2. Внутренний контроль соответствия обработки ПДн требованиям
   к защите ПДн в Агентстве осуществляется путём проведение плановых и внеплановых проверок условий обработки ПДн на предмет соответствия Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» (далее– Федеральный закон «О персональных данных»), принятым в соответствии с ним нормативным правовым актам и локальным актам Агентства (далее – проверки).
3. Проверки проводятся комиссией Агентства по защите ПДн (далее – Комиссия) либо должностным лицом, ответственным за организацию обработки ПДн в Агентстве.
4. Проверки проводятся:

• не реже одного раза в год (плановые проверки);
• по решению руководителя Агентства на основании поступившего заявления субъекта ПДн или его законного представителя (далее — заявитель)
  о нарушении законодательства Российской Федерации в области ПДн (внеплановые проверки);
• регулярные– согласно Приложению 1 к Правилам.

5. Ежегодный план проверок разрабатывается Комиссией и утверждается руководителем Агентства. В плане по каждой проверке устанавливаются объект и предмет проверки, проверяемый период, срок её проведения и ответственный исполнитель.
6. При проведении внутреннего контроля должно быть обеспечено документальное и, если это необходимо, техническое подтверждение того, что:

• политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;
• организационная структура обеспечения безопасности ПДн создана;
• процессы выполнения требований безопасности ПДн исполняются
  и удовлетворяют поставленным целям;
• защитные меры (межсетевые экраны, средства защиты информации
  от несанкционированного доступа и т.п.) настроены и используются правильно;
• остаточные риски безопасности ПДн оценены и остаются приемлемыми;
•  рекомендации предшествующих проверок реализованы.

7. При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учёта нештатных ситуаций информационных систем, содержащих ПДн.
8. Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.
9. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
10. Члены Комиссии, получившие доступ к ПДн субъектов ПДн в ходе проведения проверки, обеспечивают конфиденциальность ПДн субъектов ПДн, не раскрывают третьим лицам и не распространяют ПДн без согласия субъекта ПДн.
11. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях комиссии, оформляются протоколом и подписываются членами комиссии.
12. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
13. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю Агентства докладывает председатель комиссии или лицо, ответственное за организацию обработки ПДн в Агентстве.
14. Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты ПДн (далее — Журнал). Форма Журнала представлена в Приложении N 2 к Правилам.
15. Внутренний контроль соблюдения порядка доступа уполномоченных должностных лиц (субъектов ПДн) в помещения, в которых ведется обработка ПДн, вне проверок осуществляется лицом, ответственным за организацию обработки ПДн в Агентстве.

_____________