Приложение к Постановлению от 25.02.2016 г № 41
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Тверской городской Думе I. Общие положения
1.1.Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Тверской городской Думе (далее - Правила) разработаны на основании требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2.Целью Правил является определение порядка осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) в Тверской городской Думе.
1.3.В настоящих Правилах термины и определения применяются в том значении, в котором они применяются в Федеральном законе.
II.Предмет внутреннего контроля
2.1.В целях осуществления внутреннего контроля в Тверской городской Думе организовывается проведение плановых и внеплановых проверок.
2.2.Предметом внутреннего контроля являются:
1) документы, характер информации в которых предполагает или допускает включение в них персональных данных;
2) информационные системы персональных данных;
3) деятельность по обработке персональных данных.
III.Принятие решения о проведении внутреннего контроля
3.1.Внутренний контроль проводится на основании утвержденного распоряжением главы города Твери ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Правил обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющих для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Тверской городской Думе (плановые проверки) или на основании поступившего в Тверскую городскую Думу письменного заявления субъекта персональных данных о нарушениях Правил обработки персональных данных (внеплановые проверки).
3.2.Плановые проверки осуществляются муниципальным служащим, ответственным за организацию обработки персональных данных в Тверской городской Думе, внеплановые проверки осуществляются комиссией, образуемой распоряжением Главы города Твери.
3.3.Количественный состав комиссии должен быть не менее трех должностных лиц, в том числе представитель правового управления Тверской городской Думы.
3.4.Муниципальный служащий, ответственный за организацию обработки персональных данных в Тверской городской Думе, или комиссия при проведении проверки имеют право:
1) запрашивать у работников Тверской городской Думы информацию, необходимую для реализации полномочий;
2) уведомлять Главу города Твери о необходимости требования от уполномоченных на обработку персональных данных должностных лиц Тверской городской Думы уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
IV.Организация и проведение проверок
4.1.В проведении проверки не может участвовать муниципальный служащий, прямо или косвенно заинтересованный в ее результатах.
4.2.Плановые проверки проводятся не чаше чем один раз в полгода в соответствии с распоряжением Главы города Твери.
4.3.Проведение внеплановой проверки организуется указанной в п. 3.2 настоящих Правил комиссией в течение трех рабочих дней с момента поступления в Тверскую городскую Думу соответствующего заявления.
О проведении внеплановой проверки издается распоряжение Главы города Твери.
4.4.Сведения о проведении плановых и внеплановых проверок отражаются в соответствующем журнале, который ведется муниципальным служащим, ответственным за организацию обработки персональных данных.
4.5.При проведении проверок должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные федеральным законодательством уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер обеспечения их безопасности;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) осуществление мероприятий по обеспечению сохранности персональных данных.
4.6.В случае выявления нарушений обязательных требований соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законодательством, муниципальный служащий, ответственный за организацию обработки персональных данных в Тверской городской Думе, проводящий плановую проверку, обязан сообщить Главе города Твери о выявленных нарушениях в течение пяти рабочих дней со дня окончания проведения плановой проверки.
4.7.Срок проведения каждой из проверок не может превышать двадцать рабочих дней.
4.8.По результатам проверки издается распоряжение Главы города Твери.
4.9.Муниципальный служащий, ответственный за организацию обработки персональных данных в Тверской городской Думе, ведет журнал учета проверок.
4.10.В журнале учета проверок осуществляется запись, содержащая сведения о лицах, проводивших проверку, датах начала и окончания проведения проверки, времени ее проведения, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и принятых решениях, подписи лиц, проводивших проверку.