.svg)
Правила внутреннего контроля за соответствием обработки персональных данных требованиям к защите
Помимо непосредственно осуществления самой обработки персональных данных в соответствии с законодательством, на Оператора Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» возлагается и обязательства по осуществлению «самоконтроля» за обработкой. В условиях возрастающей значимости данных их защита становится важным делом, а как известно, любой инцидент в области информационной безопасности всегда проще и дешевле предупредить, чем справляться с его последствиями. И своевременные и методичные мероприятия внутреннего контроля здесь будут как нельзя кстати. Конкретные мероприятия и сроки их проведения определяются планом, утверждаемым руководителем Оператора.
Данный план содержит скорее общие и наиболее часто производимые мероприятия, и в случае возникновения необходимости, могут быть проведены мероприятия, не описанные в том документе.
Непосредственно внутренний контроль осуществляет лицо, ответственное за организацию обработки персональных данных.
Помимо мероприятий, внутренний контроль зачастую включает в себя опрос сотрудников Оператора и осмотр их рабочих мест, для установления обстоятельств обработки данных и соблюдения требований к процессам их обработки.
При проведении внутреннего контроля устанавливаются следующие обстоятельства:
- то, как применяются организационные и технические меры, предусмотренные для выполнения требований к защите данных;
- то, как используются средства защиты информации;
- как осуществляется доступ в помещения, итд.
| (Полное наименование оператора) | ||||||||||||||||||
Приказ об утверждении Правил внутреннего контроля за соответствием обработки персональных данных требованиям к защите персональных данных в
| № |
Руководствуясь пунктами 2, 4 ч.1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"
ПРИКАЗЫВАЮ:
Утвердить прилагаемые «Правила внутреннего контроля за соответствием обработки персональных данных требованиям к защите персональных данных в ».
Обязать сотрудников, ответственных за обработку персональных данных, в своей работе руководствоваться вышеназванными Правилами.
Контроль за исполнением настоящего приказа возложить на Ответственного за организацию обработки персональных данных.
| Руководитель | |||||
| (должность) | (личная подпись) | (расшифровка подписи) |
УТВЕРЖДЕНЫ
приказом
от №
Правила внутреннего контроля за соответствием обработки персональных данных требованиям к защите персональных данных в
Целью осуществления внутреннего контроля соответствия обработки персональных данных в требованиям к защите персональных данных (далее - внутренний контроль) является соблюдение законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных.
Исполнение данных Правил обязательно для всех работников, осуществляющих обработку персональных данных (далее - ПДн), как без использования средств автоматизации, так и в информационных системах обработки персональных данных (далее - ИСПДн).
Внутренний контроль осуществляется лицом, ответственным за организацию обработки персональных данных, в сроки и в соответствие с планом, утвержденным руководителем .
Возможно внеплановое проведение любых целесообразных мероприятий по внутреннему контролю в случае принятия соответствующего решения лицом, ответственным за организацию обработки персональных данных:
- на основании поступившего в письменной форме или в форме электронного документа заявления субъекта персональных данных (его представителя) о нарушении законодательства в области персональных данных, а также устного обращения;
- в связи с результатами работы Группы реагирования на инциденты информационной безопасности по расследованию причин инцидентов информационной безопасности.
Внеплановый внутренний контроль может проводиться на основании решения руководителя .
Внеплановый внутренний контроль должен быть завершен не позднее чем через со дня принятия решения о его проведении.
Результаты внутреннего контроля оформляются в виде докладной записки на имя руководителя .
Проверки проводятся непосредственно на месте обработки персональных данных путем опроса сотрудников, участвующих в процессе обработки персональных данных либо, при необходимости, путем осмотра их рабочих мест.
Субъекты, осуществляющие проверки, указанные в п.3 настоящих Правил, имеют право:
- запрашивать у сотрудников информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных сотрудников уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить руководителю предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить руководителю предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных и локальных нормативных актов.
При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
- состояние учета носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
При выявлении в ходе внутреннего контроля нарушений в докладной записке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.
В отношении персональных данных, ставших известными лицу, ответственному за организацию обработки персональных данных в ходе проведения внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.