Утверждены
распоряжением Агентства ЗАГС Ульяновской области
от 03.07.2019 №23
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентства записи актов гражданского состояния Ульяновской области
- Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентства записи актов гражданского состояния Ульяновской области (далее- Правила) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее– ПДн), основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн (далее- внутренний контроль) в Агентстве записи актов гражданского состояния Ульяновской области (далее– Агентство).
- Внутренний контроль соответствия обработки ПДн требованиям
к защите ПДн в Агентстве осуществляется путём проведение плановых и внеплановых проверок условий обработки ПДн на предмет соответствия Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» (далее– Федеральный закон «О персональных данных»), принятым в соответствии с ним нормативным правовым актам и локальным актам Агентства (далее – проверки). - Проверки проводятся комиссией Агентства по защите ПДн (далее – Комиссия) либо должностным лицом, ответственным за организацию обработки ПДн в Агентстве.
- Проверки проводятся:
- не реже одного раза в год (плановые проверки);
- по решению руководителя Агентства на основании поступившего заявления субъекта ПДн или его законного представителя (далее — заявитель)
о нарушении законодательства Российской Федерации в области ПДн (внеплановые проверки); - регулярные– согласно Приложению 1 к Правилам.
- Ежегодный план проверок разрабатывается Комиссией и утверждается руководителем Агентства. В плане по каждой проверке устанавливаются объект и предмет проверки, проверяемый период, срок её проведения и ответственный исполнитель.
- При проведении внутреннего контроля должно быть обеспечено документальное и, если это необходимо, техническое подтверждение того, что:
- политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;
- организационная структура обеспечения безопасности ПДн создана;
- процессы выполнения требований безопасности ПДн исполняются
и удовлетворяют поставленным целям; - защитные меры (межсетевые экраны, средства защиты информации
от несанкционированного доступа и т.п.) настроены и используются правильно; - остаточные риски безопасности ПДн оценены и остаются приемлемыми;
- рекомендации предшествующих проверок реализованы.
- При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учёта нештатных ситуаций информационных систем, содержащих ПДн.
- Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.
- Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
- Члены Комиссии, получившие доступ к ПДн субъектов ПДн в ходе проведения проверки, обеспечивают конфиденциальность ПДн субъектов ПДн, не раскрывают третьим лицам и не распространяют ПДн без согласия субъекта ПДн.
- По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях комиссии, оформляются протоколом и подписываются членами комиссии.
- По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
- О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю Агентства докладывает председатель комиссии или лицо, ответственное за организацию обработки ПДн в Агентстве.
- Информация о периодически проводимых мероприятиях и их результатах фиксируется в журнале учета мероприятий по контролю за соблюдением режима защиты ПДн (далее — Журнал). Форма Журнала представлена в Приложении N 2 к Правилам.
- Внутренний контроль соблюдения порядка доступа уполномоченных должностных лиц (субъектов ПДн) в помещения, в которых ведется обработка ПДн, вне проверок осуществляется лицом, ответственным за организацию обработки ПДн в Агентстве.
_____________