план внутреннего контроля соответствия обработки персональных данных образец
Приложение N 2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
Утверждены
приказом Министерства строительства
и жилищно-коммунального хозяйства
Российской Федерации
от 30.01.2019 г. N 61/пр
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных Требованиям к защите персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
3. Проверки проводятся в Минстрое России на основании ежегодного плана (плановые проверки) или на основании поступившего в Минстрой России письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
4. В плане по каждой проверке устанавливаются объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
5. Проверки проводятся Комиссией, создаваемой в соответствии с приказом Минстроя России. В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в ее результатах.
6. Основанием для проведения внеплановой проверки является поступившее в Минстрой России письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.
7. Проведение внеплановой проверки организуется в течение пяти рабочих дней с момента поступления обращения.
8. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
9. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
10. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом.
11. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
План внутреннего контроля соответствия обработки персональных данных образец
ДЕПАРТАМЕНТ ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
от 2 июля 2013 года N 909
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 ГОДА N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
Во исполнение Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Коллегии Администрации Кемеровской области от 14.03.2007 N 68 «Об утверждении Положения о департаменте охраны здоровья населения Кемеровской области», иных нормативных правовых актов, в целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных федеральным законодательством, а также локальными актами департамента охраны здоровья населения Кемеровской области, приказываю:
1. Утвердить прилагаемые правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента охраны здоровья населения Кемеровской области.
2. Ознакомить лиц, осуществляющих операции с использованием персональных данных в департаменте охраны здоровья населения Кемеровской области с утвержденными настоящим приказом правилами.
3. Назначить ответственного за организацию обработки персональных данных Гайворонского Д.В.
4. Контроль за исполнением приказа оставляю за собой.
И.о. начальника департамента
О.В.СЕЛЕДЦОВА
Приложение
к приказу
департамента охраны
здоровья населения
Кемеровской области
от 2 июля 2013 года N 909
ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 Г. N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
1. Общие положения
2. Тематика внутреннего контроля
1.3. Тематика проверок обработки персональных данных с использованием средств автоматизации.
1.3.1. Соблюдение пользователями информационных систем персональных данных ДОЗНКО парольной политики:
1.3.1.1. Правил формирования пароля;
1.3.1.2. Правил ввода пароля;
1.3.1.3. Правил хранение пароля.
1.3.2. Соблюдение пользователями информационных систем персональных данных ДОЗНКО антивирусной политики:
2.1.2.1. поддержка рабочего состояния антивирусного программного обеспечения;
2.1.2.2. своевременное обновление антивирусного программного обеспечения.
2.1.3. Соблюдение пользователями информационных систем персональных данных ДОЗНКО Правил работы со съемными носителями персональных данных:
2.1.3.1. хранение съемных носителей в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;
2.1.3.2. проверка съемного носителя на наличие вредоносных программ, перед каждым началом работы с ним;
2.1.3.3. исключение копирования с данного носителя файлов сомнительного содержания и установки нелицензионного программного обеспечения;
2.1.3.4. исключение передачи съемного носителя третьим лицам;
2.1.3.5. запрет на оставление съемного носителя включенным/выключенным без присмотра;
2.1.3.6. запрет на обработку информации, содержащейся на съемном носителе в присутствии третьих лиц;
2.1.3.7. запрет на вынос съемного носителя за пределы служебного помещения.
2.1.4. Соблюдение ответственными за криптографические средства защиты информации Правил работы с ними:
2.1.4.1. хранение криптографических средств в персональных шкафчиках пользователей, запирающихся на ключ, расположенных в кабинетах, доступ к которым ограничен соответствующим приказом ДОЗНКО;
2.1.4.2. исключение передачи криптографического средства третьим лицам;
2.1.4.3. запрет на оставление криптографического средства включенным/выключенным без присмотра;
2.1.4.4. запрет на вынос криптографического средства за пределы служебного помещения;
2.1.4.5. запрет на использование для электронной цифровой подписи открытых и закрытых ключей электронной цифровой подписи, если пользователю известно, что эти ключи используются или использовались ранее;
2.1.4.6. запрет на разглашение конфиденциальной информации, к которой пользователи допущены, средства ее защиты, в том числе сведения о криптографических средствах;
2.1.4.7. обязанность сообщать в орган криптографической защиты о ставших пользователям известными попытках третьих лиц получить сведения об используемых криптографических средствах;
2.1.4.8. обязанность немедленно уведомлять орган криптографической защиты о фактах утраты криптографического средства.
2.1.5. Соблюдение порядка доступа в ДОЗНКО, где расположены элементы информационных систем персональных данных:
2.1.5.1. все элементы информационных систем хранятся в индивидуальных ящиках каждого пользователя, запирающихся на ключ, расположенных в кабинетах;
2.1.5.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где используются элементы информационных систем.
2.1.6. Соблюдение порядка резервирования баз данных и хранения резервных копий:
2.1.6.1. наличие актуальных резервных копий;
2.1.6.2. поддержка рабочего состояния систем хранения резервных копий.
2.1.7. Знание пользователей информационных систем персональных данных алгоритма действий во внештатных ситуациях:
2.1.7.1. проведение анкетирования/опроса пользователя о порядке действий во внештатных ситуациях.
2.2. Тематика проверок обработки персональных данных без использования средств автоматизации.
2.2.1. Хранение бумажных носителей с персональными данными:
2.2.1.1. соблюдение хранения бумажных носителей, содержащих персональные данные, в закрываемых шкафах;
2.2.1.2. запрет передачи бумажных носителей, содержащих персональные данные, третьим лицам;
2.2.1.3. запрет выноса бумажных носителей, содержащих персональные данные, за пределы служебного помещения;
2.2.2. Доступ к бумажным носителям с персональными данными:
2.2.2.1. исключение возможности доступа к бумажным носителям, содержащим персональные данные, третьих лиц.
2.2.3. Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными:
2.2.3.1. все бумажные носители хранятся в индивидуальных ящиках каждого пользователя, расположенных в кабинетах;
2.2.3.2. соблюдение установленного соответствующим приказом ДОЗНКО ограничения в кабинеты, где хранятся бумажные носители персональных данных.
3. Порядок проведения проверок условий обработки персональных данных
3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ДОЗНКО организует раза в три месяца. План проверки утверждается начальником ДОЗНКО (приложение N 1).
3.2. Проверки проводятся по необходимости в соответствии с поручением начальника ДОЗНКО.
3.3. Проверки осуществляются комиссией, образуемой приказом департамента.
3.4. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.
3.5. Результаты каждой проверки заносятся в протокол (приложение N 2). Протокол подписывается всеми членами комиссии.
3.6. При выявлении в ходе проверки нарушений в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
3.7. Протоколы хранятся у ответственного за организацию обработки персональных данных в ДОЗНКО.
3.8. Ответственный за организацию обработки персональных данных докладывает начальнику ДОЗНКО о результатах проверки и мерах, необходимых для устранения нарушений.
4. Права и обязанности комиссии при проведении проверки
4.1. При проведении проверки председатель комиссии:
4.1.1. осуществляет руководство членами комиссии, а также распределяет между ними обязанности;
4.1.2. устанавливает порядок работы комиссии при проведении проверки;
дает членам комиссии указания, обязательные для исполнения;
4.1.3. взаимодействует с должностными лицами ДОЗНКО;
4.1.4. обеспечивает сохранность и возврат полученных оригиналов документов;
4.1.5. обеспечивает соблюдение членами комиссии установленного режима работы и условий функционирования;
4.1.6. докладывает руководству ДОЗНКО о выявленных фактах грубого нарушения законодательства и иных нормативных правовых актов в сфере защиты персональных данных, а также иных обстоятельствах, требующих немедленного реагирования;
4.1.7. отстраняет от участия в работе комиссии ее членов, недобросовестно относящихся к исполнению возложенных на них обязанностей либо допускающих в процессе проверки нарушения служебной дисциплины, о чем немедленно информирует руководство ДОЗНКО;
4.1.8. отчитывается перед начальником ДОЗНКО о ходе и результатах проведения проверки, о работе членов комиссии, об итогах работы по устранению выявленных комиссией нарушений и недостатков;
4.1.9. несет персональную ответственность за качество организации, подготовки и проведения проверки, объективность и обоснованность ее результатов, выводов и предложений, за осуществление контроля по устранению выявленных комиссией нарушений и недостатков в ходе проверки.
4.2. В случае отсутствия председателя его функции и полномочия в полном объеме выполняет заместитель председателя комиссии.
4.3. В рамках проверки председатель (проверяющий), члены комиссии имеют право:
4.3.1. доступа в кабинеты, при предъявлении соответствующего приказа ДОЗНКО;
4.3.2. требовать и получать все необходимые для достижения целей проверки документы (письменные объяснения и иные материалы);
4.3.3. требовать и получать устные разъяснения по существу проверяемых вопросов;
4.3.4. наблюдать за осуществлением деятельности сотрудников ДОЗНКО, с использованием персональных данных;
Распоряжение № 10 от 16.02.2021г. Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации сельского поселения Боринский сельсовет Липецкого муниципального
ЛИПЕЦКИЙ МУНИЦИПАЛЬНЫЙ РАЙОН
Администрация сельского поселения Боринский сельсовет
Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации сельского поселения Боринский сельсовет Липецкого муниципального района Липецкой области Российской Федерации
В целях исполнения требований Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», в целях обеспечения безопасности персональных данных при их обработке в Администрации сельского поселения Боринский сельсовет Липецкого муниципального района Липецкой области, администрация сельского поселения Боринский сельсовет Липецкого муниципального района Липецкой области
1. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации сельского поселения Боринский сельсовет Липецкого муниципального района Липецкой области (приложение 1).
2. Утвердить План внутренних проверок режима защиты персональных данных в Администрации сельского поселения Боринский сельсовет Липецкого муниципального района Липецкой области (приложение 2).
3. Настоящее постановление вступает в силу со дня его подписания, обнародования и размещения на официальном сайте администрации сельского поселения Боринский сельсовет.
Глава сельского поселения Боринский сельсовет
План внутреннего контроля соответствия обработки персональных данных образец
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
Правила осуществления внутреннего контроля соответствия обработки персональных данных в МБОУ «Золотухская ОШ» требованиям к защите персональных данных
1. Настоящими Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок проведения внутреннего контроля соответствия обработки персональных данных в МБОУ «Золотухская ОШ» требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»), принятыми в соответствии с ним правовыми актами.
2. Настоящие Правила разработаны в соответствии с Федеральным законом «О персональных данных», постановлениями Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и принятыми в соответствии с ними нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия в значениях, определенных статьей 3 Федерального закона «О персональных данных».
4. Внутренний контроль соответствия обработки персональных данных в МБОУ «Золотухская ОШ» требованиям к защите персональных данных (далее — внутренний контроль) осуществляется комиссией по проведению внутреннего контроля соответствия обработки персональных данных в МБОУ «Золотухская ОШ» требованиям к защите персональных данных (далее – комиссия) путем проведения проверок. Состав комиссии утверждается приказом директора школы.
5. Проверки по предметам контроля, указанным в акте внутреннего контроля, согласно приложению к настоящим Правилам, могут осуществляться как непосредственно на рабочих местах исполнителей, участвующих в обработке персональных данных, так и путем направления запросов и рассмотрения документов, необходимых для осуществления внутреннего контроля.
6. Проверки соответствия обработки персональных данных, установленных требованиям, проводятся один раз в год.
7. План проведения внутреннего контроля на очередной год формируется документоведом до 15 декабря и утверждается директором школы.
8. Утвержденный план очередности проведения внутреннего контроля доводится до филиалов МБОУ «Золотухская ОШ» Кушинская ОШ и Унежемская НШ.
9. Проведение внеплановой проверки организуется председателем комиссии, а в его отсутствие — заместителем председателя комиссии в течение 3-х рабочих дней с даты поступления письменного заявления субъекта персональных данных о нарушении правил обработки персональных данных.
10. Комиссия при проверке имеет право:
— запрашивать у зав.филиалом информацию и (или) документы, необходимые для осуществления внутреннего контроля;
— требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
11. В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность.
12. Проверка должна быть завершена не позднее чем через 15 дней с даты начала проверки.
13. Результаты проведенных проверок оформляются секретарем комиссии в виде акта внутреннего контроля, составленного по форме согласно Приложению к настоящим Правилам, который подписывается членами комиссии в количестве не менее 3-х человек и утверждается председателем комиссии, а в его отсутствие — заместителем председателя комиссии.
14. О результатах внутреннего контроля и мерах, необходимых для устранения выявленных нарушений, по мере необходимости председатель комиссии докладывает на очередном совещании при директоре школы.
Приложение. Акт проведения проверки соответствия обработки персональных данных требованиям к защите персональных данных
ГАРАНТ:
См. данную форму в редакторе MS-Word
к Правилам осуществления внутреннего контроля
соответствия обработки персональных данных
требованиям к защите персональных данных
Возможные нарушения требований к защите персональных данных (ПДн)
Соблюдение пользователями информационных систем ПДн антивирусной политики (работа с ПДн на рабочем месте, не защищенном антивирусной программой)
Обработка ПДн сотрудниками, не включенными в перечень допущенных к обработке ПДн
Отсутствие или неактуальность перечня сотрудников, допущенных к обработке ПДн
Обработка ПДн после достижения цели обработки ПДн
Отсутствие записей в журнале учета электронных носителей ПДн при использовании самих носителей
Отсутствие подписанных обязательств о неразглашении ПДн
Хранение файлов на рабочей станции сотрудника, содержащих ПДн
Соблюдение пользователями информационных систем персональных данных парольной политики (доступность логина, пароля для доступа в информационные системы ПДн для посторонних)
Возможность считывания информации с экрана монитора для посторонних
Соблюдение порядка доступа в помещение, в котором ведется обработка ПДн
Отсутствие записей в журнале учета уничтожения ПДн
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.