Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством в сфере защиты персональных данных, в министерстве промышленности, энергетики и торговли Красноярского края. Приказ министерства промышленности, энергетики и торговли Красноярского края от 05.10.2015 N 02-34Н "Об обработке и защите персональных данных в министерстве промышленности и торговли Красноярского края" (с изменениями и дополнениями)

Приложение N 3

к Приказу министерства

промышленности, энергетики

и торговли Красноярского края

от 5 октября 2015 г. N 02-34Н

Правила осуществления внутреннего контроля
соответствия обработки персональных данных требованиям к защите персональных данных,
установленных законодательством в сфере защиты персональных данных,
в министерстве промышленности, энергетики и торговли Красноярского края

1. Общие положения

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством в сфере защиты персональных данных в министерстве промышленности, энергетики и торговли Красноярского края (далее - Правила) определяют процедуры проведения внутреннего контроля соответствия обработки персональных данных в министерстве промышленности, энергетики и торговли Красноярского края (далее - министерство) требованиям к защите персональных данных, с целью выявления и предотвращения нарушений законодательства в сфере защиты персональных данных (далее - внутренний контроль).

1.2. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", иными нормативными правовыми актами.

1.3. Понятия и термины, используемые в Правилах, применяются в том же значении, что и в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Порядок осуществления внутреннего контроля

2.1. Основаниями для осуществления внутреннего контроля являются:

поручение министра промышленности, энергетики и торговли Красноярского края либо лица, исполняющего его обязанности (далее - министр);

поступившая в министерство информация о нарушениях правил обработки персональных данных.

2.2. Внутренний контроль осуществляется в форме проверки.

2.3. При возникновении оснований осуществления внутреннего контроля издается приказ министерства о проведении проверки, создании комиссии по контролю за соблюдением требований к защите персональных данных (далее - комиссия) и утверждении ее состава.

2.4. Приказ министерства о проведении проверки, создании комиссии и утверждении ее состава (далее - приказ) издается не позднее 5 рабочих дней со дня подписания поручения министра или регистрации информации о нарушениях правил обработки персональных данных.

2.5. В состав комиссии включаются ответственный за организацию обработки персональных данных, государственный гражданский служащий отдела правового обеспечения и финансового учета министерства, иные государственные гражданские служащие министерства.

2.6. В состав комиссии не может входить государственный гражданский служащий министерства, действия которого являются предметом проверки.

2.7. Поручение министра передается в комиссию не позднее 2 рабочих дней, следующих за днем издания приказа.

2.8. Информация о нарушениях правил обработки персональных данных регистрируется в министерстве и передается в комиссию не позднее 2 рабочих дней, следующих за днем издания приказа.

2.9. О поступлении в комиссию поручения министра или информации о нарушениях правил обработки персональных данных секретарь комиссии делает соответствующую отметку на указанных поручении и информации.

2.10. Осуществление внутреннего контроля проводится не позднее одного месяца со дня поступления в комиссию поручения министра или информации о нарушении правил обработки персональных данных.

2.11. При осуществлении внутреннего контроля должны быть полностью, объективно и всесторонне установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

соблюдение правил обработки персональных данных;

соблюдение правил работы с обезличенными персональными данными;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным;

наличие (отсутствие) фактов неправомерной обработки персональных данных.

2.12. Комиссия имеет право:

запрашивать у государственных гражданских служащих министерства информацию, необходимую для проведения проверки;

требовать от уполномоченных на обработку персональных данных государственных гражданских служащих уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

2.13. По результатам проверки составляется заключение, которое подписывается председателем комиссии, членами комиссии и руководителем проверяемого структурного подразделения.

Составление заключения осуществляется в срок, указанный в пункте 2.10 Правил. В заключении отражаются мероприятия, необходимые для устранения выявленных нарушений, определяется срок их исполнения и лицо, ответственное за реализацию мероприятий.

Заключение не позднее дня, следующего за днем завершения проверки, представляется министру.

2.14. С заключением комиссии под роспись подлежит ознакомлению государственный гражданский служащий министерства, действия которого являются предметом проверки.

К заключению прилагаются замечания указанного государственного гражданского служащего при их наличии.

2.15. По результатам проверки министр принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных лиц к установленной ответственности.

Первый заместитель министра

А.А.Климин