ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ ОТ 27 ИЮЛЯ 2006 ГОДА N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ ИНЫМИ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ, А ТАКЖЕ ПРАВОВЫМИ АКТАМИ МИНИСТЕРСТВА ЖИЛИЩНОЙ ПОЛИТИКИ И ЭНЕРГЕТИКИ ИРКУТСКОЙ ОБЛАСТИ
1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и регламентируют вопросы осуществления проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом, принятыми в соответствии с ним иными нормативными правовыми актами, а также правовыми актами министерства жилищной политики и энергетики Иркутской области (далее соответственно - внутренний контроль, министерство).
2. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона.
3. В целях осуществления внутреннего контроля в министерстве организовывается проведение периодических проверок условий обработки персональных данных (далее - плановые проверки).
4. Плановые проверки проводятся на основании утвержденного министром жилищной политики и энергетики Иркутской области (далее - министр) ежегодного плана осуществления внутреннего контроля.
5. В целях формирования ежегодного плана осуществления внутреннего контроля с учетом положений пункта 6 настоящих Правил руководители структурных подразделений министерства не позднее 1 декабря текущего года направляют соответствующие предложения на следующий год секретарю комиссии, указанной в пункте 8 настоящих Правил.
С учетом поступивших от руководителей структурных подразделений министерства предложений секретарем комиссии, указанной в пункте 8 настоящих Правил, осуществляется формирование ежегодного плана осуществления внутреннего контроля, который передается для утверждения министру не позднее 25 декабря текущего года.
6. Плановые проверки проводятся не чаще чем один раз в полгода и не реже одного раза в год.
7. Основанием для проведения внеплановой проверки является наличие поступившего в министерство заявления о нарушениях правил обработки персональных данных и решение министра, оформляемое правовым актом министерства о проведении внеплановой проверки.
8. Плановые и внеплановые проверки (далее - проверки) осуществляются должностным лицом, ответственным за организацию обработки персональных данных в министерстве (далее - ответственный за организацию обработки персональных данных), либо комиссией по осуществлению внутреннего контроля за обработкой персональных данных в министерстве (далее - комиссия).
Вопросы, касающиеся определения ответственного за организацию обработки персональных данных, образования комиссии и непосредственной регламентации ее деятельности, регулируются соответствующим правовым актом министерства.
9. В проведении проверки не может участвовать государственный гражданский служащий Иркутской области, работник, замещающий должность, не являющуюся должностью государственной гражданской службы Иркутской области в министерстве (далее соответственно - гражданский служащий, работник), прямо или косвенно заинтересованный в ее результатах.
10. При проведении плановых и внеплановых проверок (далее - проверки) должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;