Приложение к Приказу от 25.12.2015 г № 1921 Правила
Правила осуществления в инспекции государственного строительного надзора волгоградской области внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом от 27 июля 2006 г. № 152-фз «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами инспекции государственного строительного надзора волгоградской области
1.Правила осуществления в инспекции государственного строительного надзора Волгоградской области (далее - инспекция) внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами инспекции (далее - Правила), определяют основания и порядок проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством (далее - внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных).
2.Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
3.Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в инспекции осуществляется в форме плановых и внеплановых проверок условий обработки персональных данных (далее - проверки).
4.Проверки осуществляются комиссией по соблюдению требований, предъявляемых к обработке персональных данных (далее - комиссия), состав которой утверждается приказом инспекции.
В проведении проверки в инспекции не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
5.Плановые проверки проводятся на основании ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных, разработка которого обеспечивается ответственным за организацию обработки персональных данных и утверждаемого приказом инспекции на основании предложений руководителей структурных подразделений. Плановые проверки проводятся не реже одного раза в год.
6.Основанием для проведения внеплановой проверки является поступившее в инспекцию письменное заявление о нарушениях правил обработки персональных данных.
Проведение внеплановой проверки организуется ответственным за организацию обработки персональных данных в течение десяти рабочих дней с момента поступления в инспекцию соответствующего заявления.
7.Решение о начале проведения проверки оформляется приказом инспекции.
8.При проведении проверок должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер по их предотвращению;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
9.Комиссия имеет право:
запрашивать у должностных лиц инспекции информацию, необходимую для реализации полномочий;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить предложения о привлечении к ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
10.Срок проведения проверки не должен превышать тридцать календарных дней со дня начала проверки.
11.При наличии оснований срок проведения проверки может быть продлен на тридцать календарных дней руководителем инспекции.
12.По результатам проведения проверки оформляется акт, в котором отражаются обстоятельства, установленные в ходе проверки, и меры, необходимые для устранения выявленных нарушений. Акт проверки подписывается председателем и членами комиссии и в течение двух рабочих дней со дня окончания проверки направляется руководителю инспекции.