ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ПРАВИТЕЛЬСТВЕ ОБЛАСТИ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ПРАВИТЕЛЬСТВА ОБЛАСТИ (ДАЛЕЕ - ПРАВИЛА)
(в ред. постановлений Губернатора Вологодской области от 10.06.2015 N 354, от 12.04.2019 N 71, от 17.03.2021 N 33, от 19.09.2022 N 190)
1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и определяют основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Внутренний контроль соответствия обработки персональных данных установленным требованиям законодательства Российской Федерации в сфере персональных данных проводится в виде проверок условий обработки персональных данных в структурных подразделениях Правительства области, обрабатывающих персональные данные (далее - проверки).
(п. 2 в ред. постановления Губернатора Вологодской области от 19.09.2022 N 190)
3. Проверки проводятся комиссией, состав которой утверждается распоряжением Губернатора области.
4. Проверки проводятся на основании ежегодного плана проверок соответствия обработки персональных данных в Правительстве области установленным требованиям к защите персональных данных (плановые проверки).
Проверки проводятся также на основании поступившего в Правительство области письменного заявления о нарушениях правил обработки персональных данных или решения лица, ответственного за организацию обработки персональных данных в Правительстве области, по результатам внутреннего расследования произошедшего инцидента (внеплановые проверки).
(п. 4 в ред. постановления Губернатора Вологодской области от 19.09.2022 N 190)
5. При организации плановых проверок в состав комиссии в обязательном порядке включаются уполномоченные лица отдела по защите информации управления специальной документальной связи и защиты государственной тайны Правительства области (далее - отдел по защите информации) и бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" (далее - БУ ВО "ЦИТ"), осуществляющего сопровождение, администрирование и техническую поддержку инфраструктуры информационных систем персональных данных.
(в ред. постановления Губернатора Вологодской области от 10.06.2015 N 354)
6. План проверок формируется отделом по защите информации до 10 декабря года, предшествующего году проведения проверок, согласуется с БУ ВО "ЦИТ" и утверждается лицом, ответственным за организацию обработки персональных данных в Правительстве области в соответствии с распоряжением Губернатора области от 20 сентября 2019 года N 5085-р "О распределении обязанностей между членами Правительства области" (далее - лицо, ответственное за организацию обработки персональных данных в Правительстве области).
(в ред. постановлений Губернатора Вологодской области от 10.06.2015 N 354, от 17.03.2021 N 33)
В срок, не превышающий трех рабочих дней после утверждения, но не позднее 20 декабря года, предшествующего году проведения проверок, план проверок направляется руководителям структурных подразделений Правительства области, осуществляющих обработку персональных данных, подлежащих проверке в планируемом году.
7. Проведение внеплановой проверки организуется лицом, ответственным за организацию обработки персональных данных в Правительстве области, в течение семи рабочих дней со дня поступления соответствующего заявления либо принятия решения о проведении внеплановой проверки по результатам внутреннего расследования произошедшего инцидента.