Содержание:
Положение об организации внутреннего контроля за обработкой персональных данных
Наряду с изданием Политики в отношении обработки персональных данных в организации должны быть реализованы и другие правовые и организационные меры, в том числе принято Положение об организации внутреннего контроля за обработкой персональных данных (далее — Положение).
В Положении необходимо регламентировать следующие вопросы осуществления внутреннего контроля за обработкой персональных данных (далее — внутренний контроль):
1) общие положения, в том числе определить цели осуществления внутреннего контроля;
2) полномочия лица, ответственного за осуществление внутреннего контроля*;
* Подробнее см.: Лосев В. Полномочия лица, ответственного за осуществление внутреннего контроля за обработкой данных
3) порядок организации внутреннего контроля;
4) порядок назначения и проведения служебных расследований по фактам нарушений обязательных требований об обработке персональных данных и их защите;
5) порядок рассмотрения жалоб и иных обращений по вопросам обработки персональных данных.
Можно определить следующие цели осуществления внутреннего контроля:
• обеспечение защиты персональных данных, соблюдения и реализации прав субъектов персональных данных;
• определение достаточности применяемых в организации, ее работниками мер по обеспечению защиты персональных данных;
• обеспечение выполнения всеми работниками требований законодательства, Политики, Положения и иных локальных правовых актов организации о защите персональных данных (далее — обязательные требования о защите персональных данных);
• оперативное разрешение конфликтных ситуаций с субъектами персональных данных и предотвращение жалоб при обработке персональных данных;
• объективное рассмотрение и разрешение жалоб и иных обращений субъектов персональных данных и юридических лиц по вопросам обработки персональных данных;
• восстановление нарушенных прав субъектов персональных данных;
• предупреждение, предотвращение, выявление и пресечение нарушений обязательных требований о защите персональных данных;
• устранение нарушений обязательных требований о защите персональных данных, их причин и условий;
• установление лиц, виновных в нарушении обязательных требований о защите персональных данных, и привлечение их к ответственности;
• профилактика нарушений обязательных требований о защите персональных данных.
Варианты осуществления внутреннего контроля
Внутренний контроль может быть реализован в следующих формах:
1) внеплановые проверки;
2) плановые проверки;
3) контрольные проверки;
4) текущий мониторинг соблюдения работниками обязательных требований законодательства о защите персональных данных.
Внеплановые проверки — это непроизвольные мероприятия по усмотрению лица, ответственного за осуществление внутреннего контроля.
Справочно.
План внутреннего контроля на очередной год с определением сроков проведения плановых проверок, а также иных мероприятий необходимо формировать в декабре текущего года. Утвержденный директором организации план доводится до сведения руководителей структурных подразделений, подлежащих проверке.
Необходимо определить следующие основания для назначения внеплановой проверки:
• поступление жалоб, заявлений граждан, юридических лиц и их представителей о совершенном (совершаемом) в организации нарушении требований законодательства о защите персональных данных;
• непосредственное выявление лицом, ответственным за осуществление внутреннего контроля, нарушений обязательных требований о защите персональных данных;
• поступление иным образом информации о таких нарушениях.
Организация проверки
Решение о назначении внеплановой проверки принимается директором путем издания приказа, в котором определяются состав комиссии, срок проведения внеплановой проверки и ее вид — комплексная или целевая.
Проведение плановой и внеплановой проверок поручается комиссии в составе 3 работников, один из которых является председателем комиссии (далее — комиссия).
Справочно.
В состав комиссии, как правило, включаются лицо, ответственное за осуществление внутреннего контроля (в качестве председателя или члена комиссии), и специалист в области информационной безопасности.
Важно определить полномочия членов комиссии, в том числе их право требовать от руководителя проверяемого структурного подразделения / работника:
— представления документов и сведений, связанных с обработкой персональных данных;
— обеспечения доступа в помещения, а также к информационным ресурсам и программно-техническим средствам, с помощью которых осуществляется обработка персональных данных;
— дачи объяснений по вопросам обработки персональных данных.
В ходе плановой и внеплановой проверок оцениваются меры, принятые работниками для обеспечения защиты персональных данных, а также их достаточность для защиты персональных данных.
Важно определить круг обстоятельств, подлежащих проверке:
— соответствие процессов в структурном подразделении, действий проверяемого(-ых) работника(-ов) (далее — проверяемые) обязательным требованиям о защите персональных данных;
— знание проверяемыми обязательных требований о защите персональных данных;
— достаточность принятых (принимаемых) проверяемыми мер для защиты персональных данных;
— допущены ли проверяемыми нарушения обязательных требований о защите персональных данных.
Результаты плановой и внеплановой проверок оформляются актом, в котором рекомендуется отразить следующее:
— на основании какого приказа и в каком составе комиссии проведена проверка;
— основание проведения проверки (план внутреннего контроля, заявление, жалоба, поступление информации о нарушении);
— даты начала и окончания проверки;
— деятельность какого структурного подразделения, какого(-их) работника(-ов) проверялась;
— проверенный в ходе настоящей проверки период;
— когда и за какой период были проведены предыдущие проверки, устранены ли на момент настоящей проверки ранее выявленные нарушения (либо проверки ранее не проводились);
— какие действия, процессы, документы, информационные ресурсы были проверены в ходе настоящей проверки;
— результаты проверки знания проверяемыми обязательных требований о защите персональных данных;
— соответствуют либо не соответствуют процессы, действия проверяемого обязательным требованиям о защите персональных данных;
— достаточны ли принятые (принимаемые) меры для защиты персональных данных;
— выявленные нарушения обязательных требований о защите персональных данных либо вывод об отсутствии таких нарушений;
— при установлении нарушений обязательных требований о защите персональных данных — предложения о проведении служебного расследования для решения вопроса о привлечении виновного (виновных) к установленной ответственности. Конкретные предложения об устранении нарушений, причин и условий, способствовавших нарушениям, сроке их устранения, об установлении даты проведения контрольной проверки принятых мер по устранению нарушений.
Справочно.
Решение о проведении служебного расследования, об устранении нарушений, причин и условий, способствовавших нарушениям, сроке устранения и об установлении даты проведения контрольной проверки принимается директором.
Текущий мониторинг соблюдения законодательства о защите персональных данных
Текущий мониторинг может осуществляться лицом, ответственным за осуществление внутреннего контроля, в виде наблюдения, анализа и оценки процессов в структурных подразделениях и деятельности работников, поступающей информации, периодического контроля процессов и деятельности в целях оперативной оценки фактического состояния обработки персональных данных и реализации прав субъектов персональных данных.
Выявление при текущем мониторинге нарушений обязательных требований о защите персональных данных может быть основанием для назначения внеплановой проверки или служебного расследования.
При выявлении нарушений (событий), которые привели или могут привести к утечке персональных данных, незаконным завладению ими, изменению, использованию, обезличиванию, блокированию, удалению, предоставлению (передаче), распространению персональных данных и нарушению тем самым прав субъектов персональных данных и интересов организации, важно установить следующую обязанность лица, ответственного за осуществление внутреннего контроля:
— доложить об этом директору;
— с разрешения / по указанию директора отстранить работника, допустившего нарушение, от обработки персональных данных;
— принять все возможные меры к предотвращению, локализации, пресечению угрожающих нарушений (событий), сохранению персональных данных, недопущению их утечки и совершения иных незаконных действий с ними (организовать принятие таких мер).
Выводы
Организация внутреннего контроля за обработкой персональных данных представляет собой совокупность мер, предусматривающих обеспечение защиты персональных данных.
С этой целью в организации наряду с назначением ответственного лица и возложением на него полномочий по внутреннему контролю должно быть принято Положение об организации внутреннего контроля за обработкой персональных данных, предусматривающее порядок и формы организации внутреннего контроля.
Формами организации внутреннего контроля могут являться проверки (внеплановые, плановые, контрольные), текущий мониторинг соблюдения законодательства о персональных данных.
