1.Общие положения
1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
2. Процедуры, направленные на выявление и предотвращение нарушений
законодательства Российской Федерации в сфере персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в управлении социальной защиты населения муниципального образования «Цимлянский район» (далее - УСЗН) организовывается проведение проверок условий обработки персональных данных.
2.2. Проверки условий обработки персональных данных на соответствие требованиям по защите персональных данных, в УСЗН (далее - проверки) осуществляются Комиссией по проверке условий обработки персональных данных, назначенной приказом УСЗН (далее – Комиссия).
Комиссия создается из сотрудников УСЗН, ответственных за защиту информации и обработку персональных данных.
2.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях УСЗН, в которых ведется обработка персональных данных.
2.4. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным приказом УСЗН.
2.5. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных совместно с лицом, ответственным за безопасность информации в министерстве.
2.6. Внеплановые проверки проводятся на основании поступившего в УСЗН письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.
2.7. В течение трех рабочих дней с момента поступления в УСЗН заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется приказом УСЗН.
2.8. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления приказа по УСЗН о проведении внеплановой проверки.
2.9. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в УСЗН, а именно:
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора персональных данных;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
- 10.В случае выявления фактов:
несоблюдения установленного порядка обработки персональных данных;
несоблюдения условий хранения носителей персональных данных;
использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
нарушения заданного уровня безопасности персональных данных (конфиденциальность/ целостность/доступность);
в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
- 11.Комиссия имеет право: запрашивать у сотрудников УСЗН учреждений информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить начальнику УСЗН предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить начальнику УСЗН предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.12. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
2.13. В случаях выявления нарушенийобработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
2.14. Плановая проверка должна быть завершена не позднее чем через месяц со дня её назначения.
2.15. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
2.16. В отношении персональных данных, ставших известными Комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.