Правила
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных
(в ред. распоряжений администрации города Н.Н. от 23.08.2019 № 940-р; от 17.03.2021 № 181-р)
1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - правила), установленным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и правовыми актами администрации города Нижнего Новгорода, в отраслевых (функциональных) органов администрации города Нижнего Новгорода, не являющихся юридическими лицами (далее - органы администрации города Нижнего Новгорода), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Правила разработаны в соответствии c Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и правовыми актами администрации города Нижнего Новгорода.
3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных администрация города Нижнего Новгорода организует проведение проверок соответствия обработки персональных данных установленным требованиям к защите персональных данных (далее - проверки) в органах администрации города Нижнего Новгорода.
4. Проверки осуществляются постоянно действующей комиссией по контролю соответствия обработки персональных данных установленным требованиям в органах администрации города Нижнего Новгорода (далее - Комиссия), состав которой утверждается распоряжением администрации города Нижнего Новгорода.
5. Проверки проводятся на основании:
утвержденного ответственным за организацию обработки персональных данных в органах администрации города Нижнего Новгорода, назначенным в соответствии с постановлением администрации города Нижнего Новгорода от 04.02.2014 № 269 «Об организации обработки персональных данных в администрации города Нижнего Новгорода», ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (плановые проверки); (абзац второй в ред. распоряжения администрации города Н.Н. от 17.03.2021 № 181-р - см. предыдущую редакцию)
поступившего в администрацию города Нижнего Новгорода письменного заявления о нарушении выполнения требований к защите персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение 5 рабочих дней со дня регистрации соответствующего заявления.
6. В ходе проверки проводится полная, объективная и всесторонняя оценка:
6.1. Наличия и актуальности правовых и организационно-распорядительных документов, утверждаемых в соответствии с правовыми актами администрации города Нижнего Новгорода в области обработки персональных данных.
6.2. Информирования лиц, осуществляющих обработку персональных данных, о положениях законодательства Российской Федерации, правовых актах администрации города Нижнего Новгорода о порядке обработки персональных данных и требованиях к обеспечению безопасности персональных данных.
6.3. Соответствия перечня служащих, фактически осуществляющих обработку персональных данных и имеющих доступ к персональным данным, утвержденному перечню служащих, замещение должностей которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным в соответствии с правовым актом администрации города Нижнего Новгорода.
6.4. Мероприятий по размещению, специальному оборудованию, охране и организации доступа в помещения, где ведется работа с персональными данными, в том числе соблюдения установленного порядка доступа служащих органов администрации города Нижнего Новгорода в помещения, в которых ведется обработка персональных данных. (пп. 6.4 изложен в новой редакции распоряжением администрации города Н.Н. от 17.03.2021 № 181-р - см. предыдущую редакцию)
6.5. Соблюдения сроков обработки и хранения персональных данных.
6.6. Соответствия обрабатываемых персональных данных утвержденным перечням персональных данных, обрабатываемых в органах администрации города Нижнего Новгорода в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг, осуществлением муниципальных функций и исполнением отдельных государственных полномочий.
6.7. Соблюдения правил обработки персональных данных, осуществляемой без использования средств автоматизации, в том числе:
раздельного хранения персональных данных, обработка которых осуществляется в разных целях;
соответствия фактических мест хранения материальных носителей персональных данных местам хранения материальных носителей персональных данных, утвержденным правовым актом администрации города Нижнего Новгорода;
состояния учета машинных съемных носителей информации;
наличия условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним. (абзац введен распоряжением администрации города Н.Н. от 17.03.2021 № 181-р)
6.8. Соблюдения правил обработки персональных данных в информационных системах для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, в том числе применения технических мер:
использования сертифицированных средств защиты информации и соблюдения условий их использования лицами, осуществляющими обработку персональных данных;
наличия возможности незамедлительного восстановления персональных данных, модифицированных или уничтоженных в случае несанкционированного доступа.
7. Проверка должна быть завершена не позднее чем через 30 дней со дня начала проверки.
8. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений (в случае их наличия), в течение 10 рабочих дней со дня завершения проверки составляется акт. Акт направляется ответственному за организацию обработки персональных данных в органах администрации города Нижнего Новгорода и руководителю органов администрации города Нижнего Новгорода, в котором проводилась проверка.
9. Акт должен содержать описание нарушений, в случае их наличия, и рекомендации по их устранению. Акт подписывается членами Комиссии, проводившими проверку. (п. 9 в ред. распоряжения администрации города Н.Н. от 17.03.2021 № 181-р - см. предыдущую редакцию)
10. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений (в случае их наличия), главе города Нижнего Новгорода докладывает ответственный за организацию обработки персональных данных в органах администрации города Нижнего Новгорода. (п. 10 в ред. распоряжения администрации города Н.Н. от 23.08.2019 № 940-р - см. предыдущую редакцию)