Приложение N 3

Утверждено

приказом ФСИН России

от 23 июня 2020 г. N 417

ПРАВИЛА

ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ

ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ

2006 Г. N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ", ПРИНЯТЫМИ

В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ

И ЛОКАЛЬНЫМИ АКТАМИ В ФСИН РОССИИ

1. Настоящие Правила устанавливают цели, виды и основания внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон) принятыми в соответствии с ним нормативными правовыми актами и локальными актами в уголовно-исполнительной системе Российской Федерации (далее - внутренний контроль).

2. Целями осуществления внутреннего контроля являются:

соблюдение в УИС законодательства Российской Федерации в области персональных данных;

оценка соблюдения условий применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, а также условий применения средств защиты информации;

проверка состояния электронных носителей персональных данных;

установление фактов несанкционированного доступа к персональным данным;

проведение мероприятий по восстановлению персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним.

3. В целях осуществления внутреннего контроля в учреждениях и органах УИС организуется проведение планового и внепланового внутреннего контроля.

4. Внутренний контроль осуществляется комиссией по организации обработки и защиты персональных данных (далее - Комиссия) либо должностным лицом, ответственным за обработку персональных данных в УИС.

5. В состав Комиссии включаются работники УИС, которые в соответствии со служебными (трудовыми, должностными) обязанностями обрабатывают персональные данные либо осуществляют доступ к персональным данным.

6. В состав Комиссии не может быть включен работник УИС, прямо или косвенно заинтересованный в результатах внутреннего контроля.

7. Плановый внутренний контроль проводится периодически (один раз в три года) на основании плана, утвержденного учреждением или органом УИС.

8. Внеплановый внутренний контроль проводится по решению должностного лица, ответственного за обработку персональных данных в УИС:

на основании поступившего в учреждение или орган УИС в письменной форме или в форме электронного документа заявления субъекта персональных данных о нарушении Федерального закона, а также устного обращения, подлежащего рассмотрению в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (Собрание законодательства Российской Федерации, 2006, N 19, ст. 2060; 2018, N 53 (ч. I), ст. 8454);

в связи с проведением федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи (его территориальным органом), в учреждении или органе УИС государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

9. Внеплановый внутренний контроль должен быть завершен не позднее чем через месяц со дня принятия решения о его проведении.

10. Результаты внутреннего контроля оформляются в виде справки.

11. При выявлении в ходе внутреннего контроля нарушений требований к защите персональных данных, установленных Федеральным законом, принятых в соответствии с ним нормативных правовых актов и локальных актов ФСИН России в справке отражаются перечень мероприятий по устранению выявленных нарушений и сроки их устранения.

12. О результатах внутреннего контроля и мерах, направленных на устранение выявленных нарушений, директору ФСИН России, руководителю учреждения УИС, территориального органа ФСИН России докладывает должностное лицо, ответственное за обработку персональных данных в УИС.