УТВЕРЖДЕНО
приказом ФСИН России
от 23 июня 2020 года N 417
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами в ФСИН России
1. Настоящие Правила устанавливают цели, виды и основания внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон) принятыми в соответствии с ним нормативными правовыми актами и локальными актами в уголовно-исполнительной системе Российской Федерации (далее - внутренний контроль).
2. Целями осуществления внутреннего контроля являются:
соблюдение в УИС законодательства Российской Федерации в области персональных данных;
оценка соблюдения условий применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, а также условий применения средств защиты информации;
проверка состояния электронных носителей персональных данных;
установление фактов несанкционированного доступа к персональным данным;
проведение мероприятий по восстановлению персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним.
3. В целях осуществления внутреннего контроля в учреждениях и органах УИС организуется проведение планового и внепланового внутреннего контроля.
4. Внутренний контроль осуществляется комиссией по организации обработки и защиты персональных данных (далее - Комиссия) либо должностным лицом, ответственным за обработку персональных данных в УИС.
5. В состав Комиссии включаются работники УИС, которые в соответствии со служебными (трудовыми, должностными) обязанностями обрабатывают персональные данные либо осуществляют доступ к персональным данным.
6. В состав Комиссии не может быть включен работник УИС, прямо или косвенно заинтересованный в результатах внутреннего контроля.
7. Плановый внутренний контроль проводится периодически (один раз в три года) на основании плана, утвержденного учреждением или органом УИС.
8. Внеплановый внутренний контроль проводится по решению должностного лица, ответственного за обработку персональных данных в УИС:
на основании поступившего в учреждение или орган УИС в письменной форме или в форме электронного документа заявления субъекта персональных данных о нарушении Федерального закона, а также устного обращения, подлежащего рассмотрению в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (Собрание законодательства Российской Федерации, 2006, N 19, ст.2060; 2018, N 53 (ч.I), ст.8454);
в связи с проведением федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи (его территориальным органом), в учреждении или органе УИС государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
9. Внеплановый внутренней контроль должен быть завершен не позднее чем через месяц со дня принятия решения о его проведении.
10. Результаты внутреннего контроля оформляются в виде справки.
11. При выявлении в ходе внутреннего контроля нарушений требований к защите персональных данных, установленных Федеральным законом, принятых в соответствии с ним нормативных правовых актов и локальных актов ФСИН России в справке отражаются перечень мероприятий по устранению выявленных нарушений и сроки их устранения.
12. О результатах внутреннего контроля и мерах, направленных на устранение выявленных нарушений, директору ФСИН России, руководителю учреждения УИС, территориального органа ФСИН России докладывает должностное лицо, ответственное за обработку персональных данных в УИС.