УТВЕРЖДЕНО
приказ заведующего ГУО «Детский сад №26 г.Мозыря»
11.04.2022 № 42
ПОЛОЖЕНИЕ
о порядке осуществления внутреннего контроля за обработкой персональных данных
- Настоящее Положение:
- разработано в соответствии с локальными правовыми актами Национального центра защиты персональных данных, в том числе:
- определяет порядок проведения внутреннего контроля за обработкой персональных данных (далее – контроль), направленного на выявление и упреждение нарушений:
требований законодательства о персональных данных в ГУО «Детский сад №26 г.Мозыря»;
локальных правовых актов, принятых в целях обеспечения защиты персональных данных (далее – локальные правовые акты), в том числе:
документов, определяющих политику ГУО «Детский сад №26 г.Мозыря» в отношении обработки персональных данных;
порядка доступа в ГУО «Детский сад №26 г.Мозыря» к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).
- Целями осуществления контроля в ГУО «Детский сад №26 г.Мозыря» являются:
проверка выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
оценка уровня осведомленности и знаний работников в области обработки и защиты персональных данных;
оценка необходимости и достаточности применяемых мер по обеспечению защиты персональных данных;
выявление и упреждение нарушений законодательства о персональных данных;
оказание методической помощи работникам по вопросам обработки персональных данных.
- Контроль осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, – ГУО «Детский сад №26 г.Мозыря» Сивакова Т.Е., заместитель заведующего по основной работе лицо, ответственного за осуществление внутреннего контроля за обработкой персональных данных“] (далее – специалист) путем проведения мониторинга и внеплановых проверок (далее, если не определено иное, – проверки).
- Мониторинг каждого структурного подразделения ГУО «Детский сад №26 г.Мозыря» проводится не реже одного раза в полугодие в соответствии с планом проведения мониторинга на соответствующий год по форме согласно приложению 1.
План проведения мониторинга на предстоящий год готовится специалистом и представляется на утверждение заведующего ГУО «Детский сад №26 г.Мозыря» (лицу, исполняющему его обязанности) на 2022 год и не позднее 20 декабря на последующие годы. В плане проведения мониторинга определяются структурные подразделения ГУО «Детский сад №26 г.Мозыря» и сроки проведения мониторинга.
- Внеплановые проверки проводятся по устному поручению заведующего ГУО «Детский сад №26 г.Мозыря» (лица, исполняющего его обязанности) в течение трех рабочих дней с даты поступления соответствующего поручения.
- В ходе подготовки к проведению проверки специалист определяет:
структурное подразделение (работника), деятельность которого подлежит проверке;
объекты контроля (процессы обработки персональных данных; информационные ресурсы и системы, содержащие персональные данные);
проверяемый период.
- Проверка включает проведение мероприятий по:
анализу полноты выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
анализу ведения работниками ГУО «Детский сад №26 г.Мозыря» реестра обработки персональных данных (далее – реестр), его своевременной актуализации;
проверке соответствия сроков хранения персональных данных срокам, указанным в реестре согласно требованиям законодательства;
анализу реализации порядка доступа в ГУО «Детский сад №26 г.Мозыря» к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
проверке соблюдения сроков обучения работников ГУО «Детский сад №26 г.Мозыря» по вопросам защиты персональных данных;
контролю знаний работников ГУО «Детский сад №26 г.Мозыря» законодательства о персональных данных и локальных правовых актов;
иным вопросам, касающимся обработки персональных данных в ГУО «Детский сад №26 г.Мозыря»
- Срок проверки не должен превышать трех рабочих дней.
При необходимости и по устному распоряжению заведующего ГУО «Детский сад №26 г.Мозыря» (лица, исполняющего его обязанности) срок проведения проверки может быть продлен не более чем на два рабочих дня.
- Специалист не позднее чем за три рабочих дня до начала проведения мониторинга уведомляет руководителя проверяемого структурного подразделения и представляет ему для ознакомления план проведения мониторинга.
При проведении внеплановой проверки уведомление руководителя проверяемого структурного подразделения об этом не производится и план проведения проверки не составляется.
- Проверки проводятся специалистом непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии.
При проведении проверки работник обязан предоставить специалисту доступ к своим документам, рабочему месту и компьютеру.
В случае отсутствия работника в период проведения проверки (болезнь, отпуск, командировка и т.п.) решение о переносе срока проведения проверки или проведении проверки в отсутствие такого работника принимается на основании устного поручения заведующего ГУО «Детский сад №26 г.Мозыря» (лица, исполняющее его обязанности).
В случае проведения проверки в отсутствие работника осмотр документов, рабочего места и компьютера осуществляется в присутствии его непосредственного руководителя (лица, исполняющего его обязанности).
- Специалист при осуществлении проверки имеет право:
- рекомендовать руководителю структурного подразделения (работнику), деятельность которого проверяется:
принять меры по устранению выявленных недостатков обработки персональных данных исходя из требований законодательства о персональных данных и локальных правовых актов;
актуализировать реестр, в том числе привести в соответствие его записи фактически складывающемся действиям по обработке персональных данных.
-
- Вносить заведующему ГУО «Детский сад №26 г.Мозыря» (лицу, исполняющему его обязанности) предложения, направленные на упреждение нарушения законодательства о персональных данных и локальных правовых актов, в том числе о:
совершенствовании правового, организационного и технического обеспечения защиты персональных данных при их обработке в ГУО «Детский сад №26 г.Мозыря» поручении руководителям соответствующих структурных подразделений (работникам) актуализировать реестр;
привлечении к дисциплинарной ответственности работников, нарушивших законодательство о персональных данных или локальные правовые акты.
Не допускается вмешательство в деятельность специалиста при осуществлении контроля.
- По итогам проведения проверки специалистом в течение трех рабочих дней после ее завершения готовится отчет по форме согласно приложению 2, в котором указываются:
сроки проведения проверки, форма проведения проверки (мониторинг, внеплановая проверка), наименование структурного подразделения (работника), деятельность которого проверена;
проведенные мероприятия;
выявленные недостатки (при их наличии);
предложения по совершенствованию обработки персональных данных и сроки устранения выявленных недостатков (при их наличии).
По истечению сроков устранения выявленных недостатков специалист проводит повторную проверку (при необходимости).
Отчет представляется заведующему ГУО «Детский сад №26 г.Мозыря» (лицу, исполняющему его обязанности).
Отчеты хранятся у специалиста до полного устранения недостатков, но не более трех лет.
- Специалист ежегодно не позднее 31 января представляет заведующему ГУО «Детский сад №26 г.Мозыря» сводный отчет о проведении проверок за предыдущий год.
Заместитель заведующего
по
основной деятельности Т.Е.Сивакова
Приложение 1
к Положению о порядке осуществления внутреннего контроля за обработкой персональных данных
Форма
|
УТВЕРЖДАЮ _____________________________________ |
|
|
(наименование должности) |
|
|
_____________ |
________________ |
|
(подпись) |
(И.О.Фамилия) |
|
_____________ |
|
|
(дата) |
|
ПЛАН
проведения мониторинга
обработки персональных данных
на ______ год
|
Структурное подразделение (лицо) |
Объект контроля |
Проверяемый период |
Приложение 2
к Положению о порядке осуществления внутреннего контроля за обработкой персональных данных
ОТЧЕТ № ____
о проведении проверки
Настоящий отчет составлен о том, что в период с ________ по _______
(дата) (дата)
_________________________________________________________________
(должность, Ф.И.О. работника, проводившего проверку)
проведена проверка ______________ ________________________________.
(форма проверки) (наименование структурного подразделения)
В ходе проверки осуществлены следующие мероприятия:
__________________________________________________________________________________________________________________________________
_________________________________________________________________
Выявленные недостатки (при наличии):
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Предложения по совершенствованию обработки персональных данных:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Срок устранения выявленных недостатков (при их наличии): _________________________________________________________________
|
Специалист |
_________________ (подпись) |
_______________________ (И.О.Фамилия) |
_____________
(дата)
