СОГЛАСОВАНО
Протокол заседания профсоюзного комитета
«03» января 2024 г. № 1
Председатель профкома
___________Н.В.Дыдышко
|
УТВЕРЖДАЮ
Директор государственного учреждения образования «Севрюковская базовая школа Барановичского района»
______М.В.Гордейко
«03» января 2024 г.
|
ПОЛОЖЕНИЕ
об организации внутреннего контроля за обработкой персональных данных в государственном учреждении образования «Севрюковская базовая школа Барановичского района»
Глава 1 Общие положения
1.1. Настоящее Положение определяет основания, порядок, формы и методы проведения внутреннего контроля за обработкой персональных данных в государственном учреждении образования «Севрюковская базовая школа Барановичского района» (далее – Оператор или Учреждение образование).
1.2. Настоящее Положение разработано в соответствии и в целях реализации норм Закона Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» (далее – Закон о защите персональных данных), иных принятых в его развитие нормативных правовых актов Республики Беларусь, а также в соответствии с локальными правовыми актами Оператора, в том числе документами, определяющими политику Оператора в отношении обработки персональных данных и порядка доступа в Организации к персональным данным (далее – локальные правовые акты).
1.3. Настоящее Положение может быть изменено, уточнено или дополнено в установленном Учреждением образования порядке, в соответствии с требованиями нормативных правовых документов в области защиты персональных данных, действующих в Республике Беларусь.
1.4. Основные термины, используемые в настоящем положении:
1.4.1. внутренний контроль за обработкой персональных данных – процедуры, направленные на выявление и упреждение нарушений требований законодательства Республики Беларусь в сфере персональных данных, а также локальных правовых актов, принятых в целях обеспечения защиты персональных данных (далее – внутренний контроль).
1.5. Целями осуществления внутреннего контроля в Учреждении образования являются:
проверка выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
оценка уровня осведомленности и знаний работников в области обработки и защиты персональных данных;
оценка необходимости и достаточности применяемых мер по обеспечению защиты персональных данных;
выявление и упреждение нарушений законодательства о персональных данных;
оказание методической помощи работникам по вопросам обработки персональных данных.
Глава 2 Правила осуществления внутреннего контроля
2.1. Внутренний контроль осуществляется лицом, ответственным за осуществление внутреннего контроля в Учреждении образования (далее – Ответственное лицо).
Ответственное лицо осуществляет внутренний контроль по направлениям:
- внутренний контроль в части организационных и правовых мер,
- внутренний контроль в части мер по технической и криптографической защите.
2.2. Внутренний контроль осуществляется путем проведения мониторинга и внеплановых проверок (далее, если не определено иное, – проверки).
2.3. Мониторинг в Учреждении образования проводится не реже одного раза в полугодие.
2.4. План проведения мониторинга ежегодно готовится Ответственным лицом по форме согласно приложению 1 к настоящему положению и представляется на утверждение руководителю Учреждения образования в срок не позднее 20 декабря года, предшествующего году проведения мониторинга. В плане проведения мониторинга определяются сроки проведения мониторинга.
2.5. Внеплановые проверки могут проводиться в следующих случаях:
- по результатам расследования выявленных нарушений требований законодательства в сфере персональных данных, инцидентов информационной безопасности;
- по результатам внешних контрольных мероприятий, проводимых уполномоченными органами.
2.6. В ходе подготовки к проведению проверки Ответственное лицо определяет:
- работников, деятельность которых подлежит проверке;
- объекты контроля (процессы обработки персональных данных; информационные ресурсы и системы, содержащие персональные данные);
- проверяемый период.
2.7. Проверка включает проведение мероприятий по:
анализу полноты выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
анализу ведения реестра обработки персональных данных (далее – реестр), его своевременной актуализации;
проверке соответствия сроков хранения персональных данных срокам, указанным в реестре согласно требованиям законодательства, и порядка удаления персональных данных;
анализу реализации порядка доступа в Организации к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
анализу параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;
анализу изменения угроз безопасности персональных данных в информационной системе Оператора, возникающих в ходе её эксплуатации;
контролю наличия или отсутствия фактов несанкционированного доступа к персональным данным;
проверке соблюдения сроков обучения работников Оператора по вопросам защиты персональных данных;
проверке наличия в договорах с третьими лицами положений, касающихся обеспечения конфиденциальности и безопасности персональных данных;
проверке соблюдения процедур и сроков подготовки ответов на обращения субъектов персональных данных;
контролю знаний законодательства о персональных данных и локальных правовых актов работниками Оператора;
иным вопросам, касающимся обработки персональных данных у Оператора.
2.8. Срок проверки не должен превышать десяти рабочих дней.
При необходимости срок проведения проверки может быть продлен не более чем на пять рабочих дней.
2.9. Ответственное лицо не позднее чем за пять рабочих дней до начала проведения мониторинга уведомляет руководителя и представляет ему для ознакомления план проведения мониторинга.
При проведении внеплановой проверки уведомление руководителя об этом не производится и план проведения проверки не составляется.
2.10. Проверки проводятся Ответственным лицом непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии. В ходе проверки работники обязаны по запросу Ответственного лица предъявить все материалы и документы, числящиеся за ними, дать устные или письменные объяснения по существу заданных вопросов, предоставить Ответственному лицу доступ к своему рабочему месту и компьютеру.
2.11. В случае отсутствия работника в период проведения проверки (болезнь, отпуск, командировка и т.п.) Ответственным лицом принимается решение о переносе срока проведения проверки или проведении проверки в отсутствие такого работника.
В случае проведения проверки в отсутствие работника осмотр документов, рабочего места и компьютера осуществляется в присутствии его непосредственного руководителя (лица, исполняющего его обязанности).
2.12. Ответственное лицо при осуществлении проверки имеет право рекомендовать руководителю (работникам), деятельность которого проверяется:
2.12.1. принять меры по устранению выявленных недостатков обработки персональных данных исходя из требований законодательства о персональных данных и локальных правовых актов;
2.12.2. актуализировать реестр, в том числе привести в соответствие его записи фактически складывающимся действиям по обработке персональных данных.
2.12.3. вносить предложения, направленные на упреждение нарушения законодательства о персональных данных и локальных правовых актов, в том числе о:
- совершенствовании правового, организационного и технического обеспечения защиты персональных данных при их обработке в Организации;
- поручении руководителяю (работникам) актуализировать реестр;
- привлечении к дисциплинарной ответственности работников, нарушивших законодательство о персональных данных или локальные правовые акты.
2.13. Не допускается вмешательство в деятельность Ответственного лица при осуществлении внутреннего контроля.
Глава 3 Оформление результатов внутреннего контроля
3.1. По итогам проведения проверки Ответственным лицом в течение пяти рабочих дней после ее завершения готовится отчет по форме согласно приложению 2 к настоящему Положению, в котором указываются:
- сроки проведения проверки,
- форма проведения проверки (мониторинг, внеплановая проверка),
- Ф.И.О. работников, деятельность которых проверена;
- проведенные мероприятия;
- выявленные недостатки (при их наличии);
- предложения по совершенствованию обработки персональных данных и сроки устранения выявленных недостатков (при их наличии).
3.2. По истечению сроков устранения выявленных недостатков Ответственное лицо проводит повторную проверку (при необходимости).
3.3. Отчеты хранятся у Ответственного лица до полного устранения недостатков, но не более трех лет.
Приложение 1
к ПОЛОЖЕНИЮ
об организации внутреннего контроля за обработкой персональных данных в государственном учреждении образования «Севрюковская базовая школа Барановичского района»
|
Форма плана проведения мониторинга
Плана проведения мониторинга на 20____ год
№
|
Проверяемый субъект (работник)
|
Срок проведения мониторинга
|
Объекты мониторинга
(процессы обработки персональных данных; информационные ресурсы и системы, содержащие персональные данные)
|
Проверяемый период
|
Ответственное лицо за проведение мониторинга
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 2
к ПОЛОЖЕНИЮ
об организации внутреннего контроля за обработкой персональных данных в государственном учреждении образования «Севрюковская базовая школа Барановичского района»
|
Форма отчета о проведении проверки
Отчет
о проведении внутреннего контроля
Настоящий отчет составлен в том, что в период с «__»_______20_ г. по
«__» _______20_ г. ответственным лицом за проведение внутреннего контроля за обработкой персональных данных в государственном учреждении образования «Севрюковская базовая школа Барановичского района»___________________________
указать ответственное лицо/подразделение
(далее – Ответственное лицо)
проведен(а )___________________________ (далее – проверка) процессов
мониторинг/внеплановая проверка
обработки персональных данных работником
__________________________________________________________________
указать проверяемого субъекта
Проверка осуществлялась в соответствии с требованиями:
__________________________________________________________________
(название документа)
Объекты проверки: ____________________________________________
__________________________________________________________________
В ходе проверки проведены мероприятия:
__________________________________________________________________
Выявленные недостатки (при их наличии): ________________________
__________________________________________________________________
Предложения по совершенствованию обработки персональных данных и сроки устранения выявленных недостатков (при их наличии): __________________________________________________________________
Отчет подготовлен ___________ _______________
____________ 20____ подпись расшифровка подписи ответственного лица
С отчетом ознакомлен:
___________ _______________
____________ 20____ подпись расшифровка подписи ответственного лица