Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентства

Утверждено

распоряжением руководителя Агентства ЗАГС Ульяновской области

от  03 июля 2019 года23

 

 

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами
и локальными актами Агентства записи актов гражданского состояния
Ульяновской области

  1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Агентствазаписи актов гражданского состояния Ульяновской области (далее- Правила) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее– ПДн), основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн (далее- внутренний контроль) в Агентстве записи актов гражданского состояния Ульяновской области (далее– Агентство).
  2. Внутренний контроль соответствия обработки ПДн требованиям
    к защите ПДн в Агентстве осуществляется путём проведение плановых
    и внеплановых проверок условий обработки ПДн на предмет соответствия Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» (далее– Федеральный закон «О персональных данных»), принятым
    в соответствии с ним нормативным правовым актам и локальным актам Агентства (далее – проверки).
  3. Проверки проводятся комиссией Агентства по защите ПДн (далее – Комиссия) либо должностным лицом, ответственным за организацию обработки ПДн в Агентстве.
  4. Проверки проводятся:

1)       не реже одного раза в год (плановые проверки);

2)       по решению руководителя Агентства на основании поступившего заявления субъекта ПДн или его законного представителя (далее — заявитель)
о нарушении законодательства Российской Федерации в области ПДн (внеплановые проверки);

3)       регулярные– согласно Приложению 1 к Правилам.

  1. Ежегодный план проверок разрабатывается Комиссией
    и утверждается руководителем Агентства. В плане по каждой проверке устанавливаются объект и предмет проверки, проверяемый период,
    срок её проведения и ответственный исполнитель.
  2. При проведении внутреннего контроля должно быть обеспечено документальное и, если это необходимо, техническое подтверждение
    того, что:

1)       политика в отношении обработки ПДн соответствует требованиям законодательства Российской Федерации;

2)       организационная структура обеспечения безопасности ПДн создана;

3)       процессы выполнения требований безопасности ПДн исполняются
и удовлетворяют поставленным целям;

4)       защитные меры (межсетевые экраны, средства защиты информации
от несанкционированного доступа и т.п.) настроены и используются правильно;

5)       остаточные риски безопасности ПДн оценены и остаются приемлемыми;

6)       рекомендации предшествующих проверок реализованы.

  1. При проведении внутреннего контроля могут использоваться журналы средств защиты информации для выявления попыток несанкционированного доступа к защищаемым ресурсам, а также журнал учёта нештатных ситуаций информационных систем, содержащих ПДн.
  2. Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.
  3. Срок проведения проверки не может превышать месяц
    со дня принятия решения о ее проведении.
  4. Члены Комиссии, получившие доступ к ПДн субъектов ПДн в ходе проведения проверки, обеспечивают конфиденциальность ПДн субъектов ПДн, не раскрывают третьим лицам и не распространяют ПДн без согласия субъекта ПДн.
  5. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях комиссии, оформляются протоколом
    и подписываются членами комиссии.
  6. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
  7. О результатах проведенной проверки и мерах, необходимых
    для устранения выявленных нарушений, руководителю Агентства докладывает председатель комиссии или лицо, ответственное за организацию обработки ПДн в Агентстве.
  8. Информация о периодически проводимых мероприятиях
    и их результатах фиксируется в журнале учета мероприятий по контролю
    за соблюдением режима защиты ПДн (далее — Журнал). Форма Журнала представлена в Приложении N 2 к Правилам.
  9. Внутренний контроль соблюдения порядка доступа уполномоченных должностных лиц (субъектов ПДн) в помещения, в которых ведется обработка ПДн, вне проверок осуществляется лицом, ответственным за организацию обработки ПДн в Агентстве.

_____________