Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства экономического развития Республики Башкортостан от 6 февраля 2017 г. N 33 "Об организации работы с персональными данными в Министерстве экономического развития и инвестиционной политики Республики Башкортостан" (с изменениями и дополнениями)
- Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве экономического развития Республики Башкортостан
Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве экономического развития Республики Башкортостан
Приложение N 3
к приказу Министерства
экономического развития
Республики Башкортостан
от 6 февраля 2017 г. N 33
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве экономического развития Республики Башкортостан
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве экономического развития Республики Башкортостан (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве экономического развития Республики Башкортостан (далее - Министерство).
2. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".
3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным законодательством требованиям в Министерстве проводятся проверки условий обработки персональных данных.
4. Проверки проводятся:
ответственным за организацию обработки персональных данных в Министерстве;
администраторами безопасности информации в информационных системах персональных данных Министерства;
комиссией по проведению проверок, назначаемой министром экономического развития Республики Башкортостан (далее - Министр) в составе не менее 3 человек, из числа государственных гражданских служащих Республики Башкортостан в Министерстве (далее - гражданские служащие), в том числе из службы делопроизводства, юридической службы, уполномоченных на обработку персональных данных либо имеющих доступ к ним.
В проведении проверки не может участвовать гражданский служащий структурного подразделения Министерства, решения и действия которого подлежат проверке.
5. Ответственные за организацию обработки персональных данных в Министерстве, администраторы безопасности информации в информационных системах персональных данных Министерства и комиссия по проведению проверок по установлению соответствия обработки персональных данных установленным законодательством требованиям обязаны:
своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований в области персональных данных;
соблюдать законодательство Российской Федерации, права и законные интересы должностного лица, решения и действия которого проверяются;
учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов должностного лица Министерства, решения и действия которого проверялись.
6. При проведении проверки ответственный за организацию обработки персональных данных в Министерстве, администраторы безопасности информации в информационных системах персональных данных Министерства и комиссия по проведению проверок по установлению соответствия обработки персональных данных установленным законодательством требованиям не вправе:
требовать предоставления документов и информации, которые не относятся к предмету проверки;
распространять информацию, полученную в результате проведения проверки и составляющую государственную, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.
7. Должностное лицо Министерства, уполномоченное на обработку персональных данных (далее - должностное лицо по обработке персональных данных), решения и действия которого проверяются, имеет право непосредственно присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки, знакомиться с результатами проверки.
8. Проверка соответствия обработки персональных данных установленным законодательством требованиям в Министерстве проводится на основании ежегодных планов работы Министерства (плановая проверка) либо на основании поступившей жалобы субъекта персональных данных (его представителя) на решения, действия (бездействие) должностного лица Министерства, нарушающих правила обработки персональных данных (внеплановая проверка) по приказу Министерства. Проведение проверок организуется лицом, ответственным за организацию обработки персональных данных в Министерстве, в течение трех рабочих дней с момента поступления жалобы.
9. При проведении проверки соответствия обработки персональных данных установленным законодательством требованиям должны быть объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
мероприятия по обеспечению целостности персональных данных.
10. Ответственный за организацию обработки персональных данных в Министерстве, администратор безопасности информации в информационных системах персональных данных Министерства, комиссия по проведению проверок по установлению соответствия обработки персональных данных установленным законодательством требованиям имеют право:
запрашивать у сотрудников Министерства информацию и документы, необходимые для достижения целей внутреннего контроля;
требовать от должностных лиц по обработке персональных данных уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить Министру предложения по совершенствованию правового, технического и организационного регулирования в области обеспечения безопасности персональных данных при их обработке;
вносить Министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в области персональных данных.
11. В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность.
12. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения Министром о ее проведении, а в случае направления жалобы субъекта персональных данных (представителя) - не позднее срока рассмотрения жалобы. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, Министру докладывает ответственный за организацию обработки персональных данных в Министерстве, либо администратор безопасности информации в информационной системе персональных данных Министерства, либо председатель комиссии по проведению проверок в форме письменного заключения. Министр, назначивший внеплановую проверку, обязан контролировать ее проведение.
Ответственный за организацию обработки персональных данных в Министерстве, администратор по безопасности информации в информационных системах персональных данных Министерства, комиссия по проведению проверок по установлению соответствия обработки персональных данных установленным законодательством требованиям отвечают за своевременность и правильность проведения проверок.