Вы на портале
Персональные данные

Организация внутреннего контроля за обработкой персональных данных

Назначение лица (структурного подразделения), ответственного за осуществление внутреннего контроля за обработкой персональных данных, — это обязательная мера, которая в соответствии со ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99) должна быть принята в любой организации (независимо от формы собственности).

Необходимо не просто назначить такое лицо (структурное подразделение) и определить его полномочия — обязанности и права, но и надлежаще организовать внутренний контроль за обработкой персональных данных.

В статье приведены рекомендации, как это сделать.

Лосев Владимир
Лосев Владимир

Юрист-лицензиат, к.ю.н., доцент, профессор кафедры государственно-правовых дисциплин факультета права БГЭУ, лектор Национального центра защиты персональных данных Республики Беларусь

901 Shape 1 copy 6Created with Avocode.

Содержание:


Положение об организации внутреннего контроля за обработкой персональных данных

Наряду с изданием Политики в отношении обработки персональных данных в организации должны быть реализованы и другие правовые и организационные меры, в том числе принято Положение об организации внутреннего контроля за обработкой персональных данных (далее — Положение).

В Положении необходимо регламентировать следующие вопросы осуществления внутреннего контроля за обработкой персональных данных (далее — внутренний контроль):

1) общие положения, в том числе определить цели осуществления внутреннего контроля;

2) полномочия лица, ответственного за осуществление внутреннего контроля*;

* Подробнее см.: Лосев В. Полномочия лица, ответственного за осуществление внутреннего контроля за обработкой данных

3) порядок организации внутреннего контроля;

4) порядок назначения и проведения служебных расследований по фактам нарушений обязательных требований об обработке персональных данных и их защите;

5) порядок рассмотрения жалоб и иных обращений по вопросам обработки персональных данных.

Можно определить следующие цели осуществления внутреннего контроля:

• обеспечение защиты персональных данных, соблюдения и реализации прав субъектов персональных данных;

• определение достаточности применяемых в организации, ее работниками мер по обеспечению защиты персональных данных;

• обеспечение выполнения всеми работниками требований законодательства, Политики, Положения и иных локальных правовых актов организации о защите персональных данных (далее — обязательные требования о защите персональных данных);

• оперативное разрешение конфликтных ситуаций с субъектами персональных данных и предотвращение жалоб при обработке персональных данных;

• объективное рассмотрение и разрешение жалоб и иных обращений субъектов персональных данных и юридических лиц по вопросам обработки персональных данных;

• восстановление нарушенных прав субъектов персональных данных;

• предупреждение, предотвращение, выявление и пресечение нарушений обязательных требований о защите персональных данных;

• устранение нарушений обязательных требований о защите персональных данных, их причин и условий;

• установление лиц, виновных в нарушении обязательных требований о защите персональных данных, и привлечение их к ответственности;

• профилактика нарушений обязательных требований о защите персональных данных.

Варианты осуществления внутреннего контроля

Внутренний контроль может быть реализован в следующих формах:

1) внеплановые проверки;

2) плановые проверки;

3) контрольные проверки;

4) текущий мониторинг соблюдения работниками обязательных требований законодательства о защите персональных данных.

Внеплановые проверки — это непроизвольные мероприятия по усмотрению лица, ответственного за осуществление внутреннего контроля. 

Справочно.
План внутреннего контроля на очередной год с определением сроков проведения плановых проверок, а также иных мероприятий необходимо формировать в декабре текущего года. Утвержденный директором организации план доводится до сведения руководителей структурных подразделений, подлежащих проверке.

Необходимо определить следующие основания для назначения внеплановой проверки:

• поступление жалоб, заявлений граждан, юридических лиц и их представителей о совершенном (совершаемом) в организации нарушении требований законодательства о защите персональных данных;

• непосредственное выявление лицом, ответственным за осуществление внутреннего контроля, нарушений обязательных требований о защите персональных данных;

• поступление иным образом информации о таких нарушениях.

Организация проверки

Решение о назначении внеплановой проверки принимается директором путем издания приказа, в котором определяются состав комиссии, срок проведения внеплановой проверки и ее вид — комплексная или целевая.

Проведение плановой и внеплановой проверок поручается комиссии в составе 3 работников, один из которых является председателем комиссии (далее — комиссия). 

Справочно.
В состав комиссии, как правило, включаются лицо, ответственное за осуществление внутреннего контроля (в качестве председателя или члена комиссии), и специалист в области информационной безопасности.

Важно определить полномочия членов комиссии, в том числе их право требовать от руководителя проверяемого структурного подразделения / работника:

— представления документов и сведений, связанных с обработкой персональных данных;

— обеспечения доступа в помещения, а также к информационным ресурсам и программно-техническим средствам, с помощью которых осуществляется обработка персональных данных;

— дачи объяснений по вопросам обработки персональных данных.

В ходе плановой и внеплановой проверок оцениваются меры, принятые работниками для обеспечения защиты персональных данных, а также их достаточность для защиты персональных данных.

Важно определить круг обстоятельств, подлежащих проверке:

— соответствие процессов в структурном подразделении, действий проверяемого(-ых) работника(-ов) (далее — проверяемые) обязательным требованиям о защите персональных данных;

— знание проверяемыми обязательных требований о защите персональных данных;

— достаточность принятых (принимаемых) проверяемыми мер для защиты персональных данных;

— допущены ли проверяемыми нарушения обязательных требований о защите персональных данных.

Результаты плановой и внеплановой проверок оформляются актом, в котором рекомендуется отразить следующее:

— на основании какого приказа и в каком составе комиссии проведена проверка;

— основание проведения проверки (план внутреннего контроля, заявление, жалоба, поступление информации о нарушении);

— даты начала и окончания проверки;

— деятельность какого структурного подразделения, какого(-их) работника(-ов) проверялась;

— проверенный в ходе настоящей проверки период;

— когда и за какой период были проведены предыдущие проверки, устранены ли на момент настоящей проверки ранее выявленные нарушения (либо проверки ранее не проводились);

— какие действия, процессы, документы, информационные ресурсы были проверены в ходе настоящей проверки;

— результаты проверки знания проверяемыми обязательных требований о защите персональных данных;

— соответствуют либо не соответствуют процессы, действия проверяемого обязательным требованиям о защите персональных данных;

— достаточны ли принятые (принимаемые) меры для защиты персональных данных;

— выявленные нарушения обязательных требований о защите персональных данных либо вывод об отсутствии таких нарушений;

— при установлении нарушений обязательных требований о защите персональных данных — предложения о проведении служебного расследования для решения вопроса о привлечении виновного (виновных) к установленной ответственности. Конкретные предложения об устранении нарушений, причин и условий, способствовавших нарушениям, сроке их устранения, об установлении даты проведения контрольной проверки принятых мер по устранению нарушений.

Справочно.
Решение о проведении служебного расследования, об устранении нарушений, причин и условий, способствовавших нарушениям, сроке устранения и об установлении даты проведения контрольной проверки принимается директором.

Текущий мониторинг соблюдения законодательства о защите персональных данных

Текущий мониторинг может осуществляться лицом, ответственным за осуществление внутреннего контроля, в виде наблюдения, анализа и оценки процессов в структурных подразделениях и деятельности работников, поступающей информации, периодического контроля процессов и деятельности в целях оперативной оценки фактического состояния обработки персональных данных и реализации прав субъектов персональных данных.

Выявление при текущем мониторинге нарушений обязательных требований о защите персональных данных может быть основанием для назначения внеплановой проверки или служебного расследования.

При выявлении нарушений (событий), которые привели или могут привести к утечке персональных данных, незаконным завладению ими, изменению, использованию, обезличиванию, блокированию, удалению, предоставлению (передаче), распространению персональных данных и нарушению тем самым прав субъектов персональных данных и интересов организации, важно установить следующую обязанность лица, ответственного за осуществление внутреннего контроля:

— доложить об этом директору;

— с разрешения / по указанию директора отстранить работника, допустившего нарушение, от обработки персональных данных;

— принять все возможные меры к предотвращению, локализации, пресечению угрожающих нарушений (событий), сохранению персональных данных, недопущению их утечки и совершения иных незаконных действий с ними (организовать принятие таких мер).

Выводы
Организация внутреннего контроля за обработкой персональных данных представляет собой совокупность мер, предусматривающих обеспечение защиты персональных данных.
С этой целью в организации наряду с назначением ответственного лица и возложением на него полномочий по внутреннему контролю должно быть принято Положение об организации внутреннего контроля за обработкой персональных данных, предусматривающее порядок и формы организации внутреннего контроля.
Формами организации внутреннего контроля могут являться проверки (внеплановые, плановые, контрольные), текущий мониторинг соблюдения законодательства о персональных данных.

901 Shape 1 copy 6Created with Avocode.