"Приложение N 7
к Приказу
Департамента строительства
Вологодской области
от 4 июня 2018 г. N 107
ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕПАРТАМЕНТЕ СТРОИТЕЛЬСТВА ВОЛОГОДСКОЙ ОБЛАСТИ (ДАЛЕЕ - ДЕПАРТАМЕНТ) ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА (ДАЛЕЕ - ПРАВИЛА)
1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и определяют основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Внутренний контроль соответствия обработки персональных данных установленным требованиям законодательства Российской Федерации и сфере персональных данных проводится в виде проверок условий обработки персональных данных в структурных подразделениях Департамента, обрабатывающих персональные данные (далее - проверки).
3. Проверки проводятся комиссией по защите информации в Департаменте (далее - Комиссия), состав которой утверждается правовым актом Департамента.
4. Проверки проводятся на основании ежегодного плана проверок соответствия обработки персональных данных в Департаменте установленным требованиям к защите персональных данных (плановые проверки).
Проверки проводятся также на основании поступившего в Департамент письменного заявления о нарушениях правил обработки персональных данных или решения лица, ответственного за организацию обработки персональных данных в департаменте, по результатам внутреннего расследования произошедшего инцидента (внеплановые проверки).
5. При организации плановых проверок в состав Комиссии могут быть включены уполномоченные лица бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" (далее - БУ ВО "ЦИТ"), осуществляющего сопровождение, администрирование и техническую поддержку инфраструктуры информационных систем персональных данных.
6. План проверок формируется Комиссией до 10 декабря года, предшествующего году проведения проверок, согласуется с БУ ВО "ЦИТ" и утверждается руководителем Департамента.
В срок, не превышающий трех рабочих дней после утверждения, но не позднее 20 декабря года, предшествующего году проведения проверок, план проверок направляется руководителям структурных подразделений Департамента, осуществляющих обработку персональных данных, подлежащих проверке в планируемом году.
7. Проведение внеплановой проверки организуется лицом, ответственным за организацию обработки персональных данных в Департаменте, в течение семи рабочих дней со дня поступления соответствующего заявления либо принятия решения о проведении внеплановой проверки с момента выявления произошедшего инцидента.
8. Проверка осуществляется непосредственно на месте обработки персональных данных путем изучения документов, опроса либо при необходимости путем осмотра служебных мест лиц, непосредственно осуществляющих обработку персональных данных, в пределах полномочий проверяющих.
9. Во время проверок устанавливается, в том числе:
соблюдение правил доступа к персональным данным;
соблюдение правил передачи (предоставления) персональных данных;