Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства природных ресурсов и экологии Республики Хакасия от 1 декабря 2023 г. N 010-473-пр "О реализации мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"
- Приложение 1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Министерства природных ресурсов и экологии Республики Хакасия
Приложение 1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Министерства природных ресурсов и экологии Республики Хакасия
Приложение 1
к приказу
Минприроды Хакасия
от 1 декабря 2023 N 010-473-пр
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Министерства природных ресурсов и экологии Республики Хакасия
1. Общие положения
1.1. Настоящие Правила определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, основания, порядок, формы и методы проведения в Министерстве природных ресурсов и экологии Республики Хакасия (далее - Министерство) внутреннего контроля процесса обработки и обеспечения безопасности персональных данных.
Понятия, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
1.2. Внутренний контроль процесса обработки и обеспечения безопасности персональных данных заключается в проверке выполнения установленных законодательством Российской Федерации и правовыми актами Министерства требований к процессам обработки (в том числе хранения) персональных данных и соблюдения требований по обеспечению безопасности персональных данных при их обработке. Целью проведения внутренних проверок является выявление и своевременное устранение нарушений правил обработки персональных данных и требований по обеспечению безопасности персональных данных, в том числе путем принятия дополнительных мер по обеспечению безопасности персональных данных.
1.3. Мероприятия по осуществлению внутреннего контроля процесса обработки и обеспечения безопасности персональных данных направлены на решение следующих задач:
обеспечение соблюдения государственными гражданскими служащими Министерства и работниками, замещающими должности, не являющиеся должностями государственной гражданской службы в Министерстве (далее - сотрудники), требований нормативных правовых актов, правовых актов Министерства, регулирующих сферу обработки персональных данных;
оценка компетентности сотрудников, участвующих в процессе обработки и (или) обеспечения безопасности персональных данных, и определение необходимости их обучения по вопросам обработки персональных данных и (или) обеспечения безопасности персональных данных;
обеспечение соответствия условий эксплуатации технических средств, участвующих в обработке персональных данных, и средств защиты информации требованиям технической и эксплуатационной документации;
выявление изменений технологического процесса обработки персональных данных, новых угроз безопасности персональных данных и их источников, иных факторов, влияющих на оценку угроз безопасности персональных данных, обрабатываемых в Министерстве;
сбор информации, необходимой для анализа выявленных нарушений требований по обработке (в том числе хранению) и обеспечению безопасности персональных данных, выработки предложений и принятия решений по совершенствованию порядка обработки и обеспечения безопасности персональных данных.
2. Формы проведения внутреннего контроля
2.1. Внутренний контроль процесса обработки и обеспечения безопасности персональных данных проводится в следующих формах:
текущий контроль;
периодические проверки (плановые и внеплановые).
2.2. Текущий контроль направлен на обеспечение соблюдения:
порядка доступа в помещения, в которых установлены технические средства, участвующие в обработке персональных данных, либо хранятся материальные носители персональных данных;
правил эксплуатации технических средств, участвующих в обработке персональных данных, и правил работы с материальными носителями персональных данных, а также порядка доступа к ним;
порядка обращения с паролями (парольной информацией), материальными носителями аутентификационной и ключевой информации;
порядка реагирования на нештатные ситуации в целях недопущения их игнорирования;
установленных правил обработки персональных данных в Министерстве.
2.3. Периодические проверки направлены на:
выявление фактов обработки персональных данных, не регламентированных правовыми актами Министерства;
выявление изменений технологического процесса обработки персональных данных, новых угроз безопасности персональных данных и их источников, иных факторов, влияющих на оценку угроз безопасности персональных данных, обрабатываемых в Министерстве;
оценку актуальности документов, регламентирующих порядок обработки персональных данных в Министерстве, доступ к ним и необходимость их корректировки;
оценку соответствия принятых мер по обеспечению безопасности персональных данных в Министерстве требованиям законодательства Российской Федерации;
обеспечение соблюдения условий эксплуатации средств защиты информации, предусмотренных технической и эксплуатационной документацией.
3. Порядок осуществления контроля
3.1. Текущий контроль соблюдения правил обработки персональных данных и требований по обеспечению их безопасности осуществляется руководителями структурных подразделений Министерства, сотрудники которых участвуют в процессе обработки персональных данных.
3.2. Текущий контроль осуществляется на постоянной основе. Лица, осуществляющие текущий контроль соблюдения правил обработки персональных данных и требований по обеспечению их безопасности, самостоятельно обеспечивают соблюдение установленных правил и требований.
3.3. Периодические проверки проводятся на основании утвержденного министром природных ресурсов и экологии Республики Хакасия (далее - министр) ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки) или на основании поступившего в Министерство письменного обращения субъекта персональных данных или его представителя о нарушении порядка обработки персональных данных (внеплановые проверки).
3.4. Периодические проверки условий обработки персональных данных и принимаемых мер по их защите установленным требованиям проводятся лицом, ответственным за организацию обработки персональных данных в структурном подразделении Министерства (далее - ответственный за организацию обработки персональных данных).
3.5. Проведение внеплановой проверки организуется в течение трех дней с момента поступления обращения.
3.6. Проверки проводятся непосредственно на месте обработки персональных данных.
3.7. Срок проведения проверки не может превышать двадцати дней со дня начала проверки, указанного в правовом акте о назначении проверки.
3.8. При проведении проверки должны быть полностью, объективно и всесторонне рассмотрены следующие вопросы:
1) соблюдение правил обработки персональных данных в Министерстве;
2) соблюдение порядка доступа сотрудников Министерства в помещения, в которых ведется обработка персональных данных;
3) наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
4) наличие (отсутствие) фактов неправомерной обработки персональных данных;
5) соблюдение требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
3.9. В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
3.10. При проведении проверки ответственный за организацию обработки персональных данных имеет право:
1) запрашивать у государственных гражданских служащих, сотрудников Министерства информацию по вопросам проверки;
2) требовать от лиц, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения неполных, устаревших, неточных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить министру предложения о:
совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
привлечении к ответственности лиц, виновных в нарушении требований законодательства об обработке персональных данных.
3.11. О результатах проведенной проверки составляется письменное заключение, в котором указываются обстоятельства, установленные при проведении проверки, сведения о нарушении требований законодательства об обработке персональных данных и меры, необходимые для их устранения. Заключение подписывается ответственным за организацию обработки персональных данных и представляется министру.
3.12. По результатам проверки условий обработки персональных данных ответственный за организацию обработки персональных данных разрабатывает комплекс мер, направленных на устранение нарушений в сфере персональных данных.
3.13. Ответственный за организацию обработки персональных данных должен обеспечивать конфиденциальность персональных данных, ставших ему известными в ходе проведения мероприятий внутреннего контроля.
3.14. В случае проведения внеплановой проверки на основании письменного обращения субъекта персональных данных или его представителя, заявителю в течение трех дней со дня окончания проверки ответственный за организацию обработки персональных данных в Министерстве готовит письменный ответ по существу поставленных в обращении вопросов.