Постановление от 05.05.2014 г № 282

Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Урванского муниципального района КБР


В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" постановляю:
1.Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Урванского муниципального района КБР, согласно приложению.
2.Настоящее постановление подлежит опубликованию в газете "Маяк-07".
3.Контроль за исполнением данного постановления возложить на советника главы местной администрации Урванского муниципального района КБР Р.М. Бозиева.
Глава местной администрации
Урванского муниципального района
А.Д.КОШЕЕВ
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ УРВАНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА КБР
1.Общие положения
1.1.Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Урванского муниципального района КБР (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2.Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с изменениями), Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (с изменениями), Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" (с изменениями), Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
1.3.Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
1.4.В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
2.Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
2.1.В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в местной администрации Урванского муниципального района КБР (далее - Администрация) организовывается проведение проверок условий обработки персональных данных.
2.2.Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных в Администрации (далее - проверки) осуществляются комиссией, утвержденной Распоряжением Администрации (далее - Комиссия по персональным данным).
2.3.Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях Администрации, в которых ведется обработка персональных данных.
2.4.Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным Распоряжением Администрации.
2.5.План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Администрации.
2.6.Внеплановые проверки проводятся на основании поступившего в Администрацию на имя главы Администрации письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.
2.7.В течение трех рабочих дней с момента поступления в Администрацию заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется распоряжением Администрации.
2.8.Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления распоряжения Администрации о проведении внеплановой проверки.
2.9.При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в Администрации, а именно:
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
2.10.В случае выявления фактов:
- несоблюдения установленного порядка обработки персональных данных;
- несоблюдения условий хранения носителей персональных данных; использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
- нарушения заданного уровня безопасности персональных данных (конфиденциальность/ целостность/доступность); в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
2.11.Комиссия по персональным данным имеет право:
запрашивать у сотрудников Администрации информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить главе администрации муниципального образования предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить главе администрации муниципального образования предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.12.В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
2.13.В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
2.14.Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется главе муниципального образования за подписью председателя Комиссии по персональным данным.
2.15.Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
2.16.В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.