Приложение. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве имущественных отношений Амурской области. Приказ министерства имущественных отношений Амурской области от 03.04.2015 N 192-ОД "Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных"

Приложение
к приказу
министерства имущественных отношений
Амурской области
от 3 апреля 2015 г. N 192-ОД

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве имущественных отношений Амурской области

1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве имущественных отношений Амурской области (далее - Министерство) разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют последовательность действий, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, при осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве.

2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в министерстве (далее - внутренний контроль) осуществляется путем проведения проверок не реже одного раза в год.

3. Для проведения внутреннего контроля приказом Министерства образуется Комиссия министерства имущественных отношений Амурской области по проведению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Комиссия).

4. Комиссия состоит из председателя и членов Комиссии. Все члены Комиссии при принятии решений обладают равными правами.

5. Обращения и заявления, не позволяющие установить лицо, обратившееся в Министерство, а также обращения и заявления, не содержащие сведения о фактах нарушения законодательства Российской Федерации в области персональных данных, не могут служить основанием для проведения проверки.

6. Комиссия при проведении проверки вправе в пределах своей компетенции:

1) Выдавать обязательные для выполнения предписания государственным гражданским служащим Министерства, организующим и (или) осуществляющим обработку персональных данных (далее - операторы) об устранении выявленных нарушений в области персональных данных.

2) Запрашивать и получать необходимые документы (сведения) для достижения целей проведения внутреннего контроля.

3) Получать доступ к информационным системам персональных данных.

4) Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.

5) Требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконных путем персональных данных.

7. Члены Комиссии при проведении проверки обязаны:

- своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований в области персональных данных.

- соблюдать законодательство Российской Федерации, права и законные интересы оператора, проверка которого проводится.

- учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов оператора.

8. При проведении проверки члены Комиссии не вправе:

- требовать представления документов и информации, которые не относятся к предмету проверки;

- распространять информацию, полученную в результате проведения проверки и составляющую государственную, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.

9. Оператор должен обеспечить необходимые условия для проведения проверки и обязан организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.

10. Оператор при проведении проверки имеет право: непосредственно присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки, знакомиться с результатами проверки.

11. По результатам проверки составляется акт проверки, который подписывается членами комиссии и представляется министру имущественных отношений Амурской области для принятия соответствующего решения. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении.

В акте отражаются сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области персональных данных, об их характере и о лицах, допустивших указанные нарушения.

Акт должен содержать одно из следующих заключений:

- об отсутствии в деятельности оператора нарушений требований законодательства Российской Федерации в области персональных данных.

- о выявленных в деятельности оператора нарушениях требований законодательства Российской Федерации в области персональных данных, с указанием конкретных статей и (или) пунктов нормативных правовых актов Российской Федерации.