Организация внутреннего контроля за обработкой персональных данных в учреждении образования
+375 (17) 269-86-52
Подписка
Вход
Еще
    № 4 (136) 2023

    Организация внутреннего контроля за обработкой персональных данных в учреждении образования

    Назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, — это обязательная мера, которая в соответствии со ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99-З) должна быть принята в любом учреждении образования.

    Необходимо не просто назначить такое лицо и определить его полномочия — обязанности и права, но и надлежаще организовать внутренний контроль за обработкой персональных данных.

    В статье приведены рекомендации, как это сделать.

    Лосев Владимир

    юрист-лицензиат, кандидат юридических наук, доцент, профессор кафедры государственно-правовых дисциплин факультета права Белорусского государственного экономического университета, лектор Национального центра защиты персональных данных Республики Белару

    997 Shape 1 copy 6Created with Avocode.

    Положение об организации внутреннего контроля

    Наряду с изданием политики в отношении обработки персональных данных в учреждении должны быть реализованы и другие правовые и организационные меры, в т. ч. принято положение об организации внутреннего контроля за обработкой персональных данных (далее — Положение).

    В Положении необходимо регламентировать следующие вопросы осуществления внутреннего контроля за обработкой персональных данных (далее — внутренний контроль):

    1. общие положения, в т. ч. определить цели осуществления внутреннего контроля;
    2. полномочия лица, ответственного за осуществление внутреннего контроля;
    3. порядок организации внутреннего контроля;
    4. порядок назначения и проведения служебных расследований по фактам нарушений обязательных требований по обработке персональных данных и их защите;
    5. порядок рассмотрения жалоб и иных обращений по вопросам обработки персональных данных.

    Можно определить следующие цели осуществления внутреннего контроля:

    • обеспечение защиты персональных данных, соблюдения и реализации прав субъектов персональных данных;
    • определение достаточности применяемых в учреждении его работниками мер по обес­печению защиты персональных данных;
    • обеспечение выполнения всеми работниками требований законодательства, политики в отношении обработки персональных данных, Положения и иных локальных правовых актов учреждения о защите персональных данных (далее — обязательные требования о защите персональных данных);
    • оперативное разрешение конфликтных ситуаций с субъектами персональных данных и предотвращение жалоб при обработке персональных данных;
    • объективное рассмотрение и разрешение жалоб и иных обращений субъектов персональных данных и юридических лиц по вопросам обработки персональных данных;
    • восстановление нарушенных прав субъектов персональных данных;
    • предупреждение, выявление и пресечение нарушений обязательных требований о защите персональных данных;
    • устранение нарушений обязательных требований о защите персональных данных, их причин и условий;
    • установление лиц, виновных в нарушении обязательных требований о защите персональных данных, и привлечение их к ответственности.

    Варианты осуществления внутреннего контроля

    Внутренний контроль может быть реализован в следующих формах:

    • внеплановые проверки;
    • плановые проверки;
    • контрольные проверки;
    • текущий мониторинг соблюдения работниками требований законодательства о защите персональных данных.

    Внеплановые проверки — это непроизвольные мероприятия по усмотрению лица, ответственного за осуществление внутреннего контроля.

    Справочно: план внутреннего контроля на очередной год с определением сроков проведения плановых проверок, а также иных мероприятий необходимо формировать в декабре текущего года. Утвержденный руководителем план доводится до сведения руководителей структурных подразделений, подлежащих проверке.

    Необходимо определить следующие основания для назначения внеплановой проверки:

    • поступление жалоб, заявлений граждан, юридических лиц и их представителей о совершенном (совершаемом) в учреждении нарушении требований законодательства о защите персональных данных;
    • непосредственное выявление лицом, ответственным за осуществление внутреннего контроля, нарушений обязательных требований о защите персональных данных;
    • поступление иным образом информации о таких нарушениях.

    Организация проверки

    Решение о назначении внеплановой проверки принимается руководителем путем издания приказа, в котором определяются состав комиссии, срок проведения внеплановой проверки и ее вид — комплексная или целевая.

    Проведение плановой и внеплановой проверок поручается комиссии в составе трех работников, один из которых является председателем комиссии.

    Справочно: в состав комиссии, как правило, включается лицо, ответственное за осуществление внутреннего контроля (в качестве председателя или члена комиссии).

    Важно определить полномочия членов комиссии, в т. ч. их право требовать от руководителя проверяемого структурного подразделения (работника):

    • представления документов и сведений, связанных с обработкой персональных данных;
    • обеспечения доступа в помещения, а также к информационным ресурсам и программно-­техническим средствам, с помощью которых осуществляется обработка персональных данных;
    • дачи объяснений по вопросам обработки персональных данных.

    В ходе плановой и внеплановой проверок оцениваются меры, принятые работниками для обеспечения защиты персональных данных, а также их достаточность для защиты персональных данных.

    Важно определить круг обстоятельств, подлежащих проверке:

    • соответствие процессов в структурном подразделении, действий проверяемого(ых) работника(ов) (далее — проверяемые) обязательным требованиям о защите персональных данных;
    • знание проверяемыми обязательных требований о защите персональных данных;
    • достаточность принятых (принимаемых) проверяемыми мер для защиты персональных данных;
    • допущены ли проверяемыми нарушения обязательных требований о защите персональных данных.

    Результаты плановой и внеплановой проверок оформляются актом, в котором рекомендуется отразить следующее:

    • на основании какого приказа и в каком составе комиссии проведена проверка;
    • основание проведения проверки (план внутреннего контроля, заявление, жалоба, поступление информации о нарушении);
    • даты начала и окончания проверки;
    • деятельность какого структурного подразделения, какого(их) работника(ов) проверялась;
    • проверенный в ходе проверки период;
    • когда и за какой период были проведены предыдущие проверки, устранены ли на момент проверки ранее выявленные нарушения (либо проверки ранее не проводились);
    • какие действия, процессы, документы, информационные ресурсы были проверены в ходе проверки;
    • результаты проверки знания проверяемыми обязательных требований о защите персональных данных;
    • соответствуют либо не соответствуют процессы, действия проверяемого обязательным требованиям о защите персональных данных;
    • достаточны ли принятые (принимаемые) меры для защиты персональных данных;
    • выявленные нарушения обязательных требований о защите персональных данных либо вывод об отсутствии таких нарушений;
    • при выявлении нарушений обязательных требований о защите персональных данных — предложения о проведении служебного расследования для решения вопроса о привлечении виновного (виновных) к установленной ответственности. Конкретные предложения об устранении нарушений, причин и условий, способствовавших нарушениям, сроке их устранения, об установлении даты проведения контрольной проверки принятых мер по устранению нарушений.

    Справочно: решение о проведении служебного расследования, об устранении нарушений, причин и условий, способствовавших нарушениям, сроке устранения и об установлении даты проведения контрольной проверки принимается руководителем.

    Текущий мониторинг

    Текущий мониторинг соблюдения законодательства о защите персональных данных может осуществляться лицом, ответственным за осуществление внутреннего контроля, в виде наблюдения, анализа и оценки процессов в структурных подразделениях и деятельности работников, поступающей информации, периодического контроля процессов и деятельности в целях оперативной оценки фактического состояния обработки персональных данных и реализации прав субъектов персональных данных.

    Выявление при текущем мониторинге нарушений обязательных требований о защите персональных данных может быть основанием для назначения внеплановой проверки или служебного расследования.

    При выявлении нарушений (событий), которые привели или могут привести к утечке персональных данных, незаконным завладению ими, изменению, использованию, обезличиванию, блокированию, удалению, предоставлению (передаче), распространению персональных данных и нарушению тем самым прав субъектов персональных данных и интересов учреждения, важно установить следующие обязанности лица, ответственного за осуществление внутреннего контроля:

    • доложить об этом руководителю;
    • с разрешения (по указанию) руководителя отстранить работника, допустившего нарушение, от обработки персональных данных;
    • принять все возможные меры для предотвращения, локализации, пресечения угрожающих нарушений (событий), сохранения персональных данных, недопущения их утечки и совершения иных незаконных действий с ними (организовать принятие таких мер).

    Выводы

    Организация внутреннего контроля представляет собой совокупность мер, предусматривающих обеспечение защиты персональных данных.

    С этой целью в учреждении наряду с назначением ответственного лица и возложением на него полномочий по внутреннему контролю должно быть принято Положение, предусматривающее порядок и формы организации внутреннего контроля. Формами организации внутреннего контроля могут являться проверки (внеплановые, плановые, контрольные), текущий мониторинг соблюдения законодательства о персональных данных.

    От редакции

    Дополнительно по теме вы можете прочитать в материале:
    Лосев В.Обработка персональных данных: конкретизируем обязанности работников.

    997 Shape 1 copy 6Created with Avocode.
    Последнее
    по теме
    • • •

    Чаще диагностируется у мальчиков, чем у девочек. Психолог рассказала об опасностях СДВГ

    Многие считают синдром дефицита внимания и гиперактивности (СДВГ) выдумкой, мол, это просто слишком шустрые дети, само пройдет. С одной стороны, действительно, многие пер...
    Shape 1 copy 6Created with Avocode. 80
    • • •

    Организация питания в вопросах и ответах

    Статья подготовлена по материалам онлайн-семинара «Азбука питания в учреждениях образования, инструкции для руководителей», который редакция журнала провела в январе 2024...
    № 2 (146) 2024 Сороговец Елена,
    Shape 1 copy 6Created with Avocode. 692
    Очистить
    Везде
    в журнале
    на портале
    Все
    Не старше года
    Не старше 2-х месяцев
    Опубликовано с
    по
    Очистить
    Даты публикации
    Выберите номер
    Очистить
    Отсортировано:
    по релевантности
    по дате
    по популярности
    Спасибо за сообщение!
    В скором времени мы свяжемся с вами
    На главную
    Ваш тарифный план не предусматривает возможность использования продукта "Эталон-онлайн" из комплекта "Эталон. Система Юрист". Просим Вас войти под пользователем с соответствующими правами или приобрести соответствующий тарифный план.
    Я уже подписчик
    Нужна помощь?
    Задать вопрос в редакцию
    Заказать звонок