ИВАНОВСКАЯ ОБЛАСТЬ
АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ
"РОДНИКОВСКИЙ МУНИЦИПАЛЬНЫЙ РАЙОН"
ПОСТАНОВЛЕНИЕ
от 19 октября 2012 г. № 1161
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ
СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО
ОБРАЗОВАНИЯ "РОДНИКОВСКИЙ МУНИЦИПАЛЬНЫЙ РАЙОН"
В соответствии с Федеральным законом
от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом
от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлением
Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", Постановлением
Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением
Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", Приказом
ФСТЭК РФ от 05.02.2010 № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" постановляю:
1. Утвердить Правила
работы с обезличенными персональными данными администрации муниципального образования "Родниковский муниципальный район".
2. Настоящее постановление подлежит официальному опубликованию в сборнике нормативных актов Родниковского района.
3. Контроль за исполнением настоящего постановления возложить на заместителя Главы администрации, управляющего делами Главы администрации муниципального образования "Родниковский муниципальный район" Горохова Р.В.
Глава администрации
МО "Родниковский
муниципальный район"
А.В.ПАХОЛКОВ
Приложение
к постановлению
администрации
МО "Родниковский
муниципальный район"
от 19.10.2012 № 1161
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ
"РОДНИКОВСКИЙ МУНИЦИПАЛЬНЫЙ РАЙОН"
1. Общие положения
1.1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования "Родниковский муниципальный район" (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2. Настоящие Правила разработаны в соответствии с Федеральным законом
от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом
от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлением
Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", Постановлением
Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением
Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", Приказом
ФСТЭК РФ от 05.02.2010 № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и другими нормативными правовыми актами.
1.3. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
1.4. В Правилах используются основные понятия, определенные в статье 3
Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
2. Процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации
в сфере персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации муниципального образования "Родниковский муниципальный район" (далее - Администрация) организовывается проведение проверок условий обработки персональных данных.
2.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных в Администрации (далее - проверки), осуществляются комиссией, утвержденной Распоряжением Администрации (далее - Комиссия по персональным данным).
2.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях Администрации, в которых ведется обработка персональных данных.
2.4. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным Распоряжением Администрации.
2.5. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Администрации.
2.6. Внеплановые проверки проводятся на основании поступившего в Администрацию на имя Главы Администрации письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.
2.7. В течение трех рабочих дней с момента поступления в Администрацию заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется Распоряжением Администрации.
2.8. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления Распоряжения Администрации о проведении внеплановой проверки.
2.9. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в Администрации, а именно:
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора персональных данных;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
2.10. В случае выявления фактов:
несоблюдения установленного порядка обработки персональных данных;
несоблюдения условий хранения носителей персональных данных;
использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
нарушения заданного уровня безопасности персональных данных (конфиденциальность/целостность/доступность),
в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
2.11. Комиссия по персональным данным имеет право:
запрашивать у сотрудников Администрации информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить Главе администрации муниципального образования предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить Главе администрации муниципального образования предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.12. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
2.13. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
2.14. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется Главе муниципального образования за подписью председателя Комиссии по персональным данным.
2.15. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
2.16. В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
