УТВЕРЖДЕНО
приказ Заведующего ГУО
«Дошкольный центр развития ребёнка г.Речицы»
31.12.2024 № 111
ПОЛОЖЕНИЕ
о порядке осуществления внутреннего контроля за обработкой персональных данных
1. Настоящее Положение:
1.1 разработано в соответствии с локальными правовыми актами Национального центра защиты персональных данных, в том числе:
Инструкцией по делопроизводству, утвержденной приказом заведующего государственного учреждения образования «Дошкольный центр развития ребёнка г.Речицы» (далее – ГУО «ДЦРР г.Речицы») от 31.12.2024 № 111;
Положением о политике в отношении обработки персональных данных, Положением о политике в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур, Положением о политике в отношении обработки куки, утвержденными приказом заведующего ГУО «ДЦРР г.Речицы» от 31.12.2024 № 111;
Положением об организации информационной безопасности, утвержденным приказом заведующего ГУО «ДЦРР г.Речицы» от 31.12.2024 № 111;
Положением о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), утвержденным приказом заведующего ГУО «ДЦРР г.Речицы» от 31.12.2024 № 111;
перечнем информационных ресурсов (систем), содержащих персональные данные и категории персональных данных, подлежащих включению в них, установленным приказом заведующего ГУО «ДЦРР г.Речицы» от 31.12.2024 № 111;
- определяет порядок проведения внутреннего контроля за обработкой персональных данных (далее – контроль), направленного на выявление и упреждение нарушений:
требований законодательства о персональных данных в ГУО «ДЦРР г.Речицы»;
локальных правовых актов, принятых в целях обеспечения защиты персональных данных (далее – локальные правовые акты), в том числе:
документов, определяющих политику ГУО «ДЦРР г.Речицы» в отношении обработки персональных данных;
порядка доступа в ГУО «ДЦРР г.Речицы» к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).
- Целями осуществления контроля в ГУО «ДЦРР г.Речицы» являются:
проверка выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
оценка уровня осведомленности и знаний работников в области обработки и защиты персональных данных;
оценка необходимости и достаточности применяемых мер по обеспечению защиты персональных данных;
выявление и упреждение нарушений законодательства о персональных данных;
оказание методической помощи работникам по вопросам обработки персональных данных.
- Контроль осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, – заместителем заведующего по основной деятельности (далее – специалист) путем проведения мониторинга и внеплановых проверок (далее, если не определено иное, – проверки).
- Мониторинг каждого структурного подразделения ГУО «ДЦРР г.Речицы» проводится не реже одного раза в полугодие в соответствии с планом проведения мониторинга на соответствующий год по форме согласно приложению 1.
План проведения мониторинга на предстоящий год готовится специалистом и представляется на утверждение заведующего ГУО «ДЦРР г.Речицы» (лицу, исполняющему его обязанности) на 2022 год не позднее 15 июня 2022 г. и не позднее 20 декабря на последующие годы. В плане проведения мониторинга определяются структурные подразделения ГУО «ДЦРР г.Речицы» и сроки проведения мониторинга.
- Внеплановые проверки проводятся по устному поручению заведующего ГУО «ДЦРР г.Речицы» (лица, исполняющего его обязанности) в течение трех рабочих дней с даты поступления соответствующего поручения.
- В ходе подготовки к проведению проверки специалист определяет:
структурное подразделение (работника), деятельность которого подлежит проверке;
объекты контроля (процессы обработки персональных данных; информационные ресурсы и системы, содержащие персональные данные);
проверяемый период.
- Проверка включает проведение мероприятий по:
анализу полноты выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
анализу ведения работниками ГУО «ДЦРР г.Речицы» реестра обработки персональных данных (далее – реестр), его своевременной актуализации;
проверке соответствия сроков хранения персональных данных срокам, указанным в реестре согласно требованиям законодательства;
анализу реализации порядка доступа в ГУО «ДЦРР г.Речицы» к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
проверке соблюдения сроков обучения работников ГУО «ДЦРР г.Речицы» по вопросам защиты персональных данных;
контролю знаний работников ГУО «ДЦРР г.Речицы» законодательства о персональных данных и локальных правовых актов;
иным вопросам, касающимся обработки персональных данных в ГУО «ДЦРР г.Речицы».
- Срок проверки не должен превышать трех рабочих дней.
При необходимости и по устному распоряжению заведующего ГУО «ДЦРР г.Речицы» (лица, исполняющего его обязанности) срок проведения проверки может быть продлен не более чем на два рабочих дня.
- Специалист не позднее чем за три рабочих дня до начала проведения мониторинга уведомляет руководителя проверяемого структурного подразделения и представляет ему для ознакомления план проведения мониторинга.
При проведении внеплановой проверки уведомление руководителя проверяемого структурного подразделения об этом не производится и план проведения проверки не составляется.
- Проверки проводятся специалистом непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии.
При проведении проверки работник обязан предоставить специалисту доступ к своим документам, рабочему месту и компьютеру.
В случае отсутствия работника в период проведения проверки (болезнь, отпуск, командировка и т.п.) решение о переносе срока проведения проверки или проведении проверки в отсутствие такого работника принимается на основании устного поручения заведующего ГУО «ДЦРР г.Речицы» (лица, исполняющее его обязанности).
В случае проведения проверки в отсутствие работника осмотр документов, рабочего места и компьютера осуществляется в присутствии его непосредственного руководителя (лица, исполняющего его обязанности).
- Специалист при осуществлении проверки имеет право:
- рекомендовать руководителю структурного подразделения (работнику), деятельность которого проверяется:
принять меры по устранению выявленных недостатков обработки персональных данных исходя из требований законодательства о персональных данных и локальных правовых актов;
актуализировать реестр, в том числе привести в соответствие его записи фактически складывающемся действиям по обработке персональных данных.
-
- вносить заведующему ГУО «ДЦРР г.Речицы» (лицу, исполняющему его обязанности) предложения, направленные на упреждение нарушения законодательства о персональных данных и локальных правовых актов, в том числе о:
совершенствовании правового, организационного и технического обеспечения защиты персональных данных при их обработке в ГУО «ДЦРР г.Речицы»;
поручении руководителям соответствующих структурных подразделений (работникам) актуализировать реестр;
привлечении к дисциплинарной ответственности работников, нарушивших законодательство о персональных данных или локальные правовые акты.
Не допускается вмешательство в деятельность специалиста при осуществлении контроля.
- По итогам проведения проверки специалистом в течение трех рабочих дней после ее завершения готовится отчет по форме согласно приложению 2, в котором указываются:
сроки проведения проверки, форма проведения проверки (мониторинг, внеплановая проверка), наименование структурного подразделения (работника), деятельность которого проверена;
проведенные мероприятия;
выявленные недостатки (при их наличии);
предложения по совершенствованию обработки персональных данных и сроки устранения выявленных недостатков (при их наличии).
По истечению сроков устранения выявленных недостатков специалист проводит повторную проверку (при необходимости).
Отчет представляется заведующему ГУО «ДЦРР г.Речицы» (лицу, исполняющему его обязанности).
Отчеты хранятся у специалиста до полного устранения недостатков, но не более трех лет.
- Специалист ежегодно не позднее 31 января представляет заведующему ГУО «ДЦРР г.Речицы» сводный отчет о проведении проверок за предыдущий год.
Приложение 1
к Положению о порядке осуществления внутреннего контроля за обработкой персональных данных
Форма
|
УТВЕРЖДАЮ Заведующий ГУО «Дошкольный центр развития ребёнка г.Речицы» |
|
|
______________________ |
С.В.Яковлева |
|
(подпись) |
|
|
______________________ |
|
|
(дата) |
|
ПЛАН
проведения мониторинга
обработки персональных данных
на ______ год
|
Структурное подразделение (лицо) |
Объект контроля |
Проверяемый период |
Приложение 2
к Положению о порядке осуществления внутреннего контроля за обработкой персональных данных
ОТЧЕТ № ____
о проведении проверки
Настоящий отчет составлен о том, что в период с ______ по ______
(дата) (дата)
________________________________________________________________
(должность, Ф.И.О. работника, проводившего проверку)
проведена проверка ______________ ______________________________.
(форма проверки) (наименование структурного подразделения)
В ходе проверки осуществлены следующие мероприятия:
________________________________________________________________________________________________________________________________
________________________________________________________________
Выявленные недостатки (при наличии):
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Предложения по совершенствованию обработки персональных данных:
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Срок устранения выявленных недостатков (при их наличии): ________________________________________________________________
|
Специалист |
_________________ (подпись) |
_______________________ (И.О.Фамилия) |
_____________
(дата)
