Организация внутреннего контроля за обработкой персональных данных в учреждении образования
История поискаИстория поискаИстория поискаИстория поискаИстория поиска

Организация внутреннего контроля за обработкой персональных данных в учреждении образования

Назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, — это обязательная мера, которая в соответствии со ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99-З) должна быть принята в любом учреждении образования.

Необходимо не просто назначить такое лицо и определить его полномочия — обязанности и права, но и надлежаще организовать внутренний контроль за обработкой персональных данных.

В статье приведены рекомендации, как это сделать.

Лосев Владимир

юрист-лицензиат, кандидат юридических наук, доцент, профессор кафедры государственно-правовых дисциплин факультета права Белорусского государственного экономического университета

1378 Shape 1 copy 6Created with Avocode.

Положение об организации внутреннего контроля

Наряду с изданием политики в отношении обработки персональных данных в учреждении должны быть реализованы и другие правовые и организационные меры, в т. ч. принято положение об организации внутреннего контроля за обработкой персональных данных (далее — Положение).

В Положении необходимо регламентировать следующие вопросы осуществления внутреннего контроля за обработкой персональных данных (далее — внутренний контроль):

  1. общие положения, в т. ч. определить цели осуществления внутреннего контроля;
  2. полномочия лица, ответственного за осуществление внутреннего контроля;
  3. порядок организации внутреннего контроля;
  4. порядок назначения и проведения служебных расследований по фактам нарушений обязательных требований по обработке персональных данных и их защите;
  5. порядок рассмотрения жалоб и иных обращений по вопросам обработки персональных данных.

Можно определить следующие цели осуществления внутреннего контроля:

  • обеспечение защиты персональных данных, соблюдения и реализации прав субъектов персональных данных;
  • определение достаточности применяемых в учреждении его работниками мер по обес­печению защиты персональных данных;
  • обеспечение выполнения всеми работниками требований законодательства, политики в отношении обработки персональных данных, Положения и иных локальных правовых актов учреждения о защите персональных данных (далее — обязательные требования о защите персональных данных);
  • оперативное разрешение конфликтных ситуаций с субъектами персональных данных и предотвращение жалоб при обработке персональных данных;
  • объективное рассмотрение и разрешение жалоб и иных обращений субъектов персональных данных и юридических лиц по вопросам обработки персональных данных;
  • восстановление нарушенных прав субъектов персональных данных;
  • предупреждение, выявление и пресечение нарушений обязательных требований о защите персональных данных;
  • устранение нарушений обязательных требований о защите персональных данных, их причин и условий;
  • установление лиц, виновных в нарушении обязательных требований о защите персональных данных, и привлечение их к ответственности.

Варианты осуществления внутреннего контроля

Внутренний контроль может быть реализован в следующих формах:

  • внеплановые проверки;
  • плановые проверки;
  • контрольные проверки;
  • текущий мониторинг соблюдения работниками требований законодательства о защите персональных данных.

Внеплановые проверки — это непроизвольные мероприятия по усмотрению лица, ответственного за осуществление внутреннего контроля.

Справочно: план внутреннего контроля на очередной год с определением сроков проведения плановых проверок, а также иных мероприятий необходимо формировать в декабре текущего года. Утвержденный руководителем план доводится до сведения руководителей структурных подразделений, подлежащих проверке.

Необходимо определить следующие основания для назначения внеплановой проверки:

  • поступление жалоб, заявлений граждан, юридических лиц и их представителей о совершенном (совершаемом) в учреждении нарушении требований законодательства о защите персональных данных;
  • непосредственное выявление лицом, ответственным за осуществление внутреннего контроля, нарушений обязательных требований о защите персональных данных;
  • поступление иным образом информации о таких нарушениях.

Организация проверки

Решение о назначении внеплановой проверки принимается руководителем путем издания приказа, в котором определяются состав комиссии, срок проведения внеплановой проверки и ее вид — комплексная или целевая.

Проведение плановой и внеплановой проверок поручается комиссии в составе трех работников, один из которых является председателем комиссии.

Справочно: в состав комиссии, как правило, включается лицо, ответственное за осуществление внутреннего контроля (в качестве председателя или члена комиссии).

Важно определить полномочия членов комиссии, в т. ч. их право требовать от руководителя проверяемого структурного подразделения (работника):

  • представления документов и сведений, связанных с обработкой персональных данных;
  • обеспечения доступа в помещения, а также к информационным ресурсам и программно-­техническим средствам, с помощью которых осуществляется обработка персональных данных;
  • дачи объяснений по вопросам обработки персональных данных.

В ходе плановой и внеплановой проверок оцениваются меры, принятые работниками для обеспечения защиты персональных данных, а также их достаточность для защиты персональных данных.

Важно определить круг обстоятельств, подлежащих проверке:

  • соответствие процессов в структурном подразделении, действий проверяемого(ых) работника(ов) (далее — проверяемые) обязательным требованиям о защите персональных данных;
  • знание проверяемыми обязательных требований о защите персональных данных;
  • достаточность принятых (принимаемых) проверяемыми мер для защиты персональных данных;
  • допущены ли проверяемыми нарушения обязательных требований о защите персональных данных.

Результаты плановой и внеплановой проверок оформляются актом, в котором рекомендуется отразить следующее:

  • на основании какого приказа и в каком составе комиссии проведена проверка;
  • основание проведения проверки (план внутреннего контроля, заявление, жалоба, поступление информации о нарушении);
  • даты начала и окончания проверки;
  • деятельность какого структурного подразделения, какого(их) работника(ов) проверялась;
  • проверенный в ходе проверки период;
  • когда и за какой период были проведены предыдущие проверки, устранены ли на момент проверки ранее выявленные нарушения (либо проверки ранее не проводились);
  • какие действия, процессы, документы, информационные ресурсы были проверены в ходе проверки;
  • результаты проверки знания проверяемыми обязательных требований о защите персональных данных;
  • соответствуют либо не соответствуют процессы, действия проверяемого обязательным требованиям о защите персональных данных;
  • достаточны ли принятые (принимаемые) меры для защиты персональных данных;
  • выявленные нарушения обязательных требований о защите персональных данных либо вывод об отсутствии таких нарушений;
  • при выявлении нарушений обязательных требований о защите персональных данных — предложения о проведении служебного расследования для решения вопроса о привлечении виновного (виновных) к установленной ответственности. Конкретные предложения об устранении нарушений, причин и условий, способствовавших нарушениям, сроке их устранения, об установлении даты проведения контрольной проверки принятых мер по устранению нарушений.

Справочно: решение о проведении служебного расследования, об устранении нарушений, причин и условий, способствовавших нарушениям, сроке устранения и об установлении даты проведения контрольной проверки принимается руководителем.

Текущий мониторинг

Текущий мониторинг соблюдения законодательства о защите персональных данных может осуществляться лицом, ответственным за осуществление внутреннего контроля, в виде наблюдения, анализа и оценки процессов в структурных подразделениях и деятельности работников, поступающей информации, периодического контроля процессов и деятельности в целях оперативной оценки фактического состояния обработки персональных данных и реализации прав субъектов персональных данных.

Выявление при текущем мониторинге нарушений обязательных требований о защите персональных данных может быть основанием для назначения внеплановой проверки или служебного расследования.

При выявлении нарушений (событий), которые привели или могут привести к утечке персональных данных, незаконным завладению ими, изменению, использованию, обезличиванию, блокированию, удалению, предоставлению (передаче), распространению персональных данных и нарушению тем самым прав субъектов персональных данных и интересов учреждения, важно установить следующие обязанности лица, ответственного за осуществление внутреннего контроля:

  • доложить об этом руководителю;
  • с разрешения (по указанию) руководителя отстранить работника, допустившего нарушение, от обработки персональных данных;
  • принять все возможные меры для предотвращения, локализации, пресечения угрожающих нарушений (событий), сохранения персональных данных, недопущения их утечки и совершения иных незаконных действий с ними (организовать принятие таких мер).

Выводы

Организация внутреннего контроля представляет собой совокупность мер, предусматривающих обеспечение защиты персональных данных.

С этой целью в учреждении наряду с назначением ответственного лица и возложением на него полномочий по внутреннему контролю должно быть принято Положение, предусматривающее порядок и формы организации внутреннего контроля. Формами организации внутреннего контроля могут являться проверки (внеплановые, плановые, контрольные), текущий мониторинг соблюдения законодательства о персональных данных.


От редакции

Дополнительно по теме вы можете прочитать в материале:
Лосев В.Обработка персональных данных: конкретизируем обязанности работников.

1378 Shape 1 copy 6Created with Avocode.
Последнее
по теме
• • •

Электронное пособие «Полное руководство: Инструкция по делопроизводству учреждения дошкольного образования, не являющегося источником комплектования государственного архива»

Индивидуально для учреждений дошкольного образования специалист Учреждения «Белорусский научно-исследовательский институт документоведения и архивного дела» подготовила э...
Shape 1 copy 6Created with Avocode. 841
4

Заседание педагогического совета: цели, задачи, структура

Накануне составления главного документа стратегического планирования — годового плана — перед многими заведующими встает проблема выбора тем заседаний педагогического сов...
№ 6 (150) 2024 Степанец Ольга,
Shape 1 copy 6Created with Avocode. 541
Задать вопрос в редакцию
Заказать звонок