Приложение 3. Правила осуществления в министерстве транспорта и дорожного хозяйства Краснодарского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным в области персональных данных. Приказ министерства транспорта и дорожного хозяйства Краснодарского края от 15.03.2019 N 139 "Об организации работы с персональными данными в министерстве транспорта и дорожного хозяйства Краснодарского края" (с изменениями и дополнениями)

Приложение 3
Утверждены
приказом министерства
транспорта и дорожного
хозяйства Краснодарского края
от 15.03.2019 N 139

Правила
осуществления в министерстве транспорта и дорожного хозяйства Краснодарского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным в области персональных данных

1. Общие положения

В целях осуществления в министерстве транспорта и дорожного хозяйства Краснодарского края (далее - министерство) внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным в области персональных данных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора (министерства), организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону "О персональных данных", принятым в соответствии с ним нормативным правовым актам и локальным актам министерства (далее - проверки).

2. Структура процессов по внутреннему контролю

2.1. Проверки проводятся в министерстве на основании плана проведения внутренних проверок (плановые проверки) или на основании поступившего в министерство письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

Плановые проверки проводятся не реже 1 раза в 3 года.

2.2. Проверки проводятся комиссией по организации обработки и защиты персональных данных в министерстве транспорта и дорожного хозяйства Краснодарского края для осуществления внутреннего контроля (далее - Комиссия), создаваемой приказом министерства.

В проведении проверки не может участвовать государственный гражданский служащий министерства, прямо или косвенно заинтересованный в ее результатах.

Плановые проверки структурных подразделений министерства проводятся на основании плана проведения внутренних проверок, разрабатываемого Комиссией согласно типовому плану проведения внутренних проверок соответствия обработки персональных данных требованиям к защите персональных данных (приложение к настоящим Правилам). План проведения внутренних проверок утверждается приказом министерства. Комиссией могут быть включены и иные положения в план проведения внутренних проверок.

2.3. Основанием для проведения внеплановой проверки является поступившее в министерство письменное обращение субъекта персональных данных или его представителя (далее - заявитель) о нарушении правил обработки персональных данных.

Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.

2.4. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.

2.5. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

2.6. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом. Заседание Комиссии правомочно в случае присутствия простого большинства членов Комиссии.

Протокол подписывается председателем и секретарем Комиссии или лицами, их замещающими.

2.7. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.

3. Порядок проведения проверок

3.1. Руководитель проверяемого структурного подразделения министерства обязан оказывать содействие Комиссии.

3.2. Общий порядок проведения проверки включает:

1) выявление государственных гражданских служащих, задействованных в обработке персональных данных;

2) проверку факта ознакомления государственных гражданских служащих проверяемого структурного подразделения министерства с нормативными документами, регламентирующими вопросы обработки и защиты персональных данных;

3) получение при содействии государственных гражданских служащих проверяемого структурного подразделения министерства документов, касающихся обработки и защиты персональных данных в данном структурном подразделении;

4) анализ полученной документации;

5) непосредственную проверку выполнения установленного порядка обработки и защиты персональных данных и требований законодательства Российской Федерации в области защиты персональных данных.

3.3. В ходе проведения проверки выполнения требований по защите персональных данных в структурном подразделении министерства рассматриваются следующие показатели работ по защите персональных данных:

1) наличие согласий на обработку персональных данных субъектов персональных данных, в случаях, предусмотренных законодательствам Российской Федерации;

2) соответствие состава и сроков обработки целям обработки персональных данных;

3) соответствие замещаемых должностей, осуществляющих обработку персональных данных Перечню должностей государственной гражданской службы, замещение которых в министерстве транспорта и дорожного хозяйства Краснодарского края предусматривает осуществление обработки персональных данных либо доступа к ним;

4) соблюдение Порядка доступа государственных гражданских служащих министерства транспорта и дорожного хозяйства Краснодарского края в помещения, в которых ведется обработка персональных данных;

5) наличие правовых актов и иных документов по защите персональных данных;

6) знание правовых актов и иных документов, а также уровень подготовки сотрудников, имеющих доступ к персональным данным;

7) полнота и правильность выполнения требований правовых актов государственными гражданскими служащими, имеющими доступ к персональным данным;

8) наличие документов, подтверждающих учет и сохранность материальных носителей персональных данных и иные, установленные законодательством в области персональных данных.

3.4. В ходе проведения проверки выполнения требований по защите персональных данных в структурном подразделении министерства дополнительно рассматриваются следующие показатели работ по защите персональных данных:

1) соответствие информации, указанной в уведомлении об обработке персональных данных, реальному положению дел;

2) наличие и корректность перечня информационных систем;

3) наличие документа, подтверждающего:

правильность определения уровня защищенности персональных данных, обрабатываемых в информационных системах, а также классов защищенности информационных систем;

наличие документа, подтверждающего факт определения угроз безопасности персональных данных, а также его актуальность (срок актуальности документа не может превышать 3 года);

соответствие состава средств вычислительной техники информационных систем указанному в документации на информационную систему;

соответствие требованиям по организации разграничения доступа пользователей к информационным ресурсам (в том числе сетевым);

порядок защиты персональных данных при передаче по сети;

оценка эффективности принимаемых мер по обеспечению безопасности персональных данных и иное, установленное законодательством в области персональных данных.

3.5. Во время проведения проверки, выявленные нарушения требований по обработке и защите персональных данных должны быть по возможности устранены. Комиссия может дать рекомендации по устранению на месте отмечаемых нарушений и недостатков.

Недостатки, которые не могут быть устранены на месте, включаются в протокол,

4. Оформление результатов проверки

Результаты проверки оформляются в соответствии с пунктом 2.6 настоящих Правил. О результатах проверки и мерах, необходимых для устранения выявленных нарушений министру транспорта и дорожного хозяйства Краснодарского края докладывает председатель Комиссии.

В случае выявления нарушений (недостатков) в протоколе указывается срок их устранения.

Протокол составляется в одном экземпляре и хранится у секретаря Комиссии.

5. Устранение выявленных нарушений (недостатков)

После истечения срока устранения нарушений (недостатков) Комиссия проверяет фактическое устранение нарушений (недостатков) и в случае устранения всех выявленных нарушений (недостатков) Комиссия оформляет протокол о завершении проверки.

В случае не устранения в установленный срок нарушений (недостатков) Комиссия устанавливает новый срок для их устранения.

Проверка считается оконченной после устранения всех нарушений (недостатков).

Заместитель начальника правового управления, начальник отдела правового обеспечения правового управления

А.В. Василенко