1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и регламентируют вопросы осуществления проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом, принятыми в соответствии с ним иными нормативными правовыми актами, а также правовыми актами министерства жилищной политики, энергетики и транспорта Иркутской области (далее соответственно - внутренний контроль, министерство).
2. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона.
3. В целях осуществления внутреннего контроля в министерстве организовывается проведение периодических проверок условий обработки персональных данных (далее - плановые проверки).
4. Плановые проверки проводятся на основании утвержденного министром жилищной политики, энергетики и транспорта Иркутской области (далее - министр) ежегодного плана осуществления внутреннего контроля.
5. В целях формирования ежегодного плана осуществления внутреннего контроля с учетом положений пункта 6 настоящих Правил руководители структурных подразделений министерства не позднее 1 декабря текущего года направляют соответствующие предложения на следующий год секретарю комиссии, указанной в пункте 8 настоящих Правил.
С учетом поступивших от руководителей структурных подразделений министерства предложений секретарем комиссии, указанной в пункте 8 настоящих Правил, осуществляется формирование ежегодного плана осуществления внутреннего контроля, который передается для утверждения министру не позднее 25 декабря текущего года.
6. Плановые проверки проводятся не чаще чем один раз в полгода и не реже одного раза в год.
7. Основанием для проведения внеплановой проверки является наличие поступившего в министерство заявления о нарушениях правил обработки персональных данных и решение министра, оформляемое правовым актом министерства о проведении внеплановой проверки.
8. Плановые и внеплановые проверки (далее - проверки) осуществляются должностным лицом, ответственным за организацию обработки персональных данных в министерстве (далее - ответственный за организацию обработки персональных данных), либо комиссией по осуществлению внутреннего контроля за обработкой персональных данных в министерстве (далее - комиссия).
Вопросы, касающиеся определения ответственного за организацию обработки персональных данных, образования комиссии и непосредственной регламентации ее деятельности, регулируются соответствующим правовым актом министерства.
9. В проведении проверки не может участвовать государственный гражданский служащий Иркутской области, работник, замещающий должность, не являющуюся должностью государственной гражданской службы Иркутской области, в министерстве (далее соответственно - гражданский служащий, работник), прямо или косвенно заинтересованный в ее результатах.
10. При проведении плановых и внеплановых проверок (далее - проверки) должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) осуществление мероприятий по обеспечению целостности персональных данных.
11. Ответственный за организацию обработки персональных данных в министерстве или комиссия имеет право:
1) запрашивать у гражданских служащих, работников информацию, необходимую для осуществления внутреннего контроля;
2) требовать от уполномоченных на обработку персональных данных должностных лиц министерства уточнения, блокирования, прекращения неправомерной обработки или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) вносить предложения о рассмотрении вопроса о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в области персональных данных.
12. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в министерстве либо комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность в соответствии с законодательством.
13. Результаты проведения проверки оформляются актом проверки условий обработки персональных данных в министерстве согласно прилагаемой форме (далее - акт проверки), который подписывается ответственным за организацию обработки персональных данных или членами комиссии, в случае проведения проверки комиссионно.