Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ министерства транспорта и дорожного хозяйства Краснодарского края от 15 марта 2019 г. N 139 "Об организации работы с персональными данными в министерстве транспорта и дорожного хозяйства Краснодарского края" (с изменениями и дополнениями)
- Приложение 3. Правила осуществления в министерстве транспорта и дорожного хозяйства Краснодарского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным в области персональных данных
Приложение 3. Правила осуществления в министерстве транспорта и дорожного хозяйства Краснодарского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным в области персональных данных
Приложение 3
Утверждены
приказом министерства
транспорта и дорожного
хозяйства Краснодарского края
от 15.03.2019 N 139
Правила
осуществления в министерстве транспорта и дорожного хозяйства Краснодарского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным в области персональных данных
1. Общие положения
В целях осуществления в министерстве транспорта и дорожного хозяйства Краснодарского края (далее - министерство) внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным в области персональных данных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора (министерства), организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону "О персональных данных", принятым в соответствии с ним нормативным правовым актам и локальным актам министерства (далее - проверки).
2. Структура процессов по внутреннему контролю
2.1. Проверки проводятся в министерстве на основании плана проведения внутренних проверок (плановые проверки) или на основании поступившего в министерство письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
Плановые проверки проводятся не реже 1 раза в 3 года.
2.2. Проверки проводятся комиссией по организации обработки и защиты персональных данных в министерстве транспорта и дорожного хозяйства Краснодарского края для осуществления внутреннего контроля (далее - Комиссия), создаваемой приказом министерства.
В проведении проверки не может участвовать государственный гражданский служащий министерства, прямо или косвенно заинтересованный в ее результатах.
Плановые проверки структурных подразделений министерства проводятся на основании плана проведения внутренних проверок, разрабатываемого Комиссией согласно типовому плану проведения внутренних проверок соответствия обработки персональных данных требованиям к защите персональных данных (приложение к настоящим Правилам). План проведения внутренних проверок утверждается приказом министерства. Комиссией могут быть включены и иные положения в план проведения внутренних проверок.
2.3. Основанием для проведения внеплановой проверки является поступившее в министерство письменное обращение субъекта персональных данных или его представителя (далее - заявитель) о нарушении правил обработки персональных данных.
Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.
2.4. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
2.5. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
2.6. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом. Заседание Комиссии правомочно в случае присутствия простого большинства членов Комиссии.
Протокол подписывается председателем и секретарем Комиссии или лицами, их замещающими.
2.7. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
3. Порядок проведения проверок
3.1. Руководитель проверяемого структурного подразделения министерства обязан оказывать содействие Комиссии.
3.2. Общий порядок проведения проверки включает:
1) выявление государственных гражданских служащих, задействованных в обработке персональных данных;
2) проверку факта ознакомления государственных гражданских служащих проверяемого структурного подразделения министерства с нормативными документами, регламентирующими вопросы обработки и защиты персональных данных;
3) получение при содействии государственных гражданских служащих проверяемого структурного подразделения министерства документов, касающихся обработки и защиты персональных данных в данном структурном подразделении;
4) анализ полученной документации;
5) непосредственную проверку выполнения установленного порядка обработки и защиты персональных данных и требований законодательства Российской Федерации в области защиты персональных данных.
3.3. В ходе проведения проверки выполнения требований по защите персональных данных в структурном подразделении министерства рассматриваются следующие показатели работ по защите персональных данных:
1) наличие согласий на обработку персональных данных субъектов персональных данных, в случаях, предусмотренных законодательствам Российской Федерации;
2) соответствие состава и сроков обработки целям обработки персональных данных;
3) соответствие замещаемых должностей, осуществляющих обработку персональных данных Перечню должностей государственной гражданской службы, замещение которых в министерстве транспорта и дорожного хозяйства Краснодарского края предусматривает осуществление обработки персональных данных либо доступа к ним;
4) соблюдение Порядка доступа государственных гражданских служащих министерства транспорта и дорожного хозяйства Краснодарского края в помещения, в которых ведется обработка персональных данных;
5) наличие правовых актов и иных документов по защите персональных данных;
6) знание правовых актов и иных документов, а также уровень подготовки сотрудников, имеющих доступ к персональным данным;
7) полнота и правильность выполнения требований правовых актов государственными гражданскими служащими, имеющими доступ к персональным данным;
8) наличие документов, подтверждающих учет и сохранность материальных носителей персональных данных и иные, установленные законодательством в области персональных данных.
3.4. В ходе проведения проверки выполнения требований по защите персональных данных в структурном подразделении министерства дополнительно рассматриваются следующие показатели работ по защите персональных данных:
1) соответствие информации, указанной в уведомлении об обработке персональных данных, реальному положению дел;
2) наличие и корректность перечня информационных систем;
3) наличие документа, подтверждающего:
правильность определения уровня защищенности персональных данных, обрабатываемых в информационных системах, а также классов защищенности информационных систем;
наличие документа, подтверждающего факт определения угроз безопасности персональных данных, а также его актуальность (срок актуальности документа не может превышать 3 года);
соответствие состава средств вычислительной техники информационных систем указанному в документации на информационную систему;
соответствие требованиям по организации разграничения доступа пользователей к информационным ресурсам (в том числе сетевым);
порядок защиты персональных данных при передаче по сети;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных и иное, установленное законодательством в области персональных данных.
3.5. Во время проведения проверки, выявленные нарушения требований по обработке и защите персональных данных должны быть по возможности устранены. Комиссия может дать рекомендации по устранению на месте отмечаемых нарушений и недостатков.
Недостатки, которые не могут быть устранены на месте, включаются в протокол,
4. Оформление результатов проверки
Результаты проверки оформляются в соответствии с пунктом 2.6 настоящих Правил. О результатах проверки и мерах, необходимых для устранения выявленных нарушений министру транспорта и дорожного хозяйства Краснодарского края докладывает председатель Комиссии.
В случае выявления нарушений (недостатков) в протоколе указывается срок их устранения.
Протокол составляется в одном экземпляре и хранится у секретаря Комиссии.
5. Устранение выявленных нарушений (недостатков)
После истечения срока устранения нарушений (недостатков) Комиссия проверяет фактическое устранение нарушений (недостатков) и в случае устранения всех выявленных нарушений (недостатков) Комиссия оформляет протокол о завершении проверки.
В случае не устранения в установленный срок нарушений (недостатков) Комиссия устанавливает новый срок для их устранения.
Проверка считается оконченной после устранения всех нарушений (недостатков).
|
Заместитель начальника правового |
А.В. Василенко |