ПОЛОЖЕНИЕ 1. Настоящее Положение разработано в соответствии с локальными правовыми актами Национального центра защиты персональных данных, в том числе: 2. Целями осуществления контроля в [”название организации“] являются: 3. Контроль осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, – [”наименование структурного подразделения или должности лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных“] (далее – специалист) путем проведения мониторинга и внеплановых проверок (далее, если не определено иное, – проверки). 4. Мониторинг каждого структурного подразделения [”название организации“] проводится не реже одного раза в полугодие в соответствии с планом проведения мониторинга на соответствующий год по форме согласно приложению 1. План проведения мониторинга на предстоящий год готовится специалистом и представляется на утверждение [”руководителя“] [”название организации“] (лицу, исполняющему его обязанности) на 2022 год не позднее 15 июня 2022 г. и не позднее 20 декабря на последующие годы. В плане проведения мониторинга определяются структурные подразделения [”название организации“] и сроки проведения мониторинга. 5. Внеплановые проверки проводятся по устному поручению [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) в течение трех рабочих дней с даты поступления соответствующего поручения. 6. В ходе подготовки к проведению проверки специалист определяет: 7. Проверка включает проведение мероприятий по: 8. Срок проверки не должен превышать трех рабочих дней. При необходимости и по устному распоряжению [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) срок проведения проверки может быть продлен не более чем на два рабочих дня. 9. Специалист не позднее чем за три рабочих дня до начала проведения мониторинга уведомляет руководителя проверяемого структурного подразделения и представляет ему для ознакомления план проведения мониторинга. При проведении внеплановой проверки уведомление руководителя проверяемого структурного подразделения об этом не производится и план проведения проверки не составляется. 10. Проверки проводятся специалистом непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии. При проведении проверки работник обязан предоставить специалисту доступ к своим документам, рабочему месту и компьютеру. В случае отсутствия работника в период проведения проверки (болезнь, отпуск, командировка и т.п.) решение о переносе срока проведения проверки или проведении проверки в отсутствие такого работника принимается на основании устного поручения [”руководителя“] [”название организации“] (лица, исполняющее его обязанности). В случае проведения проверки в отсутствие работника осмотр документов, рабочего места и компьютера осуществляется в присутствии его непосредственного руководителя (лица, исполняющего его обязанности). 11. Специалист при осуществлении проверки имеет право рекомендовать руководителю структурного подразделения (работнику), деятельность которого проверяется: совершенствовании правового, организационного и технического обеспечения защиты персональных данных при их обработке в [”название организации“]; поручении руководителям соответствующих структурных подразделений (работникам) актуализировать реестр; привлечении к дисциплинарной ответственности работников, нарушивших законодательство о персональных данных или локальные правовые акты. Не допускается вмешательство в деятельность специалиста при осуществлении контроля. 12. По итогам проведения проверки специалистом в течение трех рабочих дней после ее завершения готовится отчет по форме согласно приложению 2, в котором указываются: По истечению сроков устранения выявленных недостатков специалист проводит повторную проверку (при необходимости). Отчет представляется [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности). Отчеты хранятся у специалиста до полного устранения недостатков, но не более трех лет. 13. Специалист ежегодно не позднее 31 января представляет [”руководителю“] [”название организации“] сводный отчет о проведении проверок за предыдущий год.
о порядке осуществления внутреннего контроля за обработкой персональных данныхВнутренний контроль положение образец
Порядок осуществления внутреннего контроля за обработкой персональных данных
10.05.2022