Приказ Министерства по земельным и имущественным отношениям Республики Калмыкия от 25.03.2013 N 62-од "Об утверждении Правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве по земельным и имущественным отношениям Республики Калмыкия"
МИНИСТЕРСТВО ПО ЗЕМЕЛЬНЫМ И ИМУЩЕСТВЕННЫМ ОТНОШЕНИЯМ
РЕСПУБЛИКИ КАЛМЫКИЯ
ПРИКАЗ
от 25 марта 2013 г. № 62-од
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ
СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ПО ЗЕМЕЛЬНЫМ
И ИМУЩЕСТВЕННЫМ ОТНОШЕНИЯМ РЕСПУБЛИКИ КАЛМЫКИЯ
В соответствии с частью 3 статьи 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных" и постановлением Правительства Российской Федерации от 21.03.2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказываю:
Утвердить прилагаемые Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве по земельным и имущественным отношениям Республики Калмыкия.
Министр
Н.АНДРЕЕВ
Утверждены
Приказом
Министерства по земельным и
имущественным отношениям
Республики Калмыкия
от 25 марта 2013 г. № 62-од
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ПО ЗЕМЕЛЬНЫМ
И ИМУЩЕСТВЕННЫМ ОТНОШЕНИЯМ РЕСПУБЛИКИ КАЛМЫКИЯ
I. Общие положения
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных Министерстве по земельным и имущественным отношениям Республики Калмыкия (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
4. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
2. Процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации
в сфере персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Министерстве по земельным и имущественным отношениям Республики Калмыкия (далее - Министерство) организовывается проведение проверок условий обработки персональных данных.
2.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных в Министерстве (далее - проверки) осуществляются комиссией, образуемой приказом Министерства (далее - Комиссия по персональным данным).
2.3. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
2.4. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;
- соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
2.5. В случае выявления фактов:
- несоблюдения установленного порядка обработки персональных данных;
- несоблюдения условий хранения носителей персональных данных;
- использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
- нарушения заданного уровня безопасности персональных данных (конфиденциальность/целостность/доступность) в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
2.6. Комиссия по персональным данным имеет право:
- запрашивать у сотрудников Министерства информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить Министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных Данных при их обработке;
- вносить Министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.7. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
2.8. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
2.9. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется Министру за подписью председателя Комиссии по персональным данным.
2.10. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
2.11. В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
------------------------------------------------------------------
МИНИСТЕРСТВО ПО ЗЕМЕЛЬНЫМ И ИМУЩЕСТВЕННЫМ ОТНОШЕНИЯМ
РЕСПУБЛИКИ КАЛМЫКИЯ
ПРИКАЗ
от 25 марта 2013 г. № 62-од
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ
СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ПО ЗЕМЕЛЬНЫМ
И ИМУЩЕСТВЕННЫМ ОТНОШЕНИЯМ РЕСПУБЛИКИ КАЛМЫКИЯ
В соответствии с частью 3 статьи 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных" и постановлением Правительства Российской Федерации от 21.03.2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказываю:
Утвердить прилагаемые Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве по земельным и имущественным отношениям Республики Калмыкия.
Министр
Н.АНДРЕЕВ
Утверждены
Приказом
Министерства по земельным и
имущественным отношениям
Республики Калмыкия
от 25 марта 2013 г. № 62-од
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ПО ЗЕМЕЛЬНЫМ
И ИМУЩЕСТВЕННЫМ ОТНОШЕНИЯМ РЕСПУБЛИКИ КАЛМЫКИЯ
I. Общие положения
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных Министерстве по земельным и имущественным отношениям Республики Калмыкия (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
4. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
2. Процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации
в сфере персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Министерстве по земельным и имущественным отношениям Республики Калмыкия (далее - Министерство) организовывается проведение проверок условий обработки персональных данных.
2.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных в Министерстве (далее - проверки) осуществляются комиссией, образуемой приказом Министерства (далее - Комиссия по персональным данным).
2.3. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
2.4. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;
- соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
2.5. В случае выявления фактов:
- несоблюдения установленного порядка обработки персональных данных;
- несоблюдения условий хранения носителей персональных данных;
- использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
- нарушения заданного уровня безопасности персональных данных (конфиденциальность/целостность/доступность) в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
2.6. Комиссия по персональным данным имеет право:
- запрашивать у сотрудников Министерства информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить Министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных Данных при их обработке;
- вносить Министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.7. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
2.8. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
2.9. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется Министру за подписью председателя Комиссии по персональным данным.
2.10. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
2.11. В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
------------------------------------------------------------------