Положение о внутреннем контроле работы с персональными данными

УТВЕРЖДАЮ:

Управляющий партнер

АДВОКАТСКОМУ БЮРО "BETROZOFF И ЗАКОНЪ"

ПОЛОЖЕНИЕ
о внутреннем контроле работы с персональными данными

1. Настоящее положение о внутреннем контроле соответствия работы с персональными данными требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Адвокатского бюро Самарской области “Антонов и партнеры” (далее – Положение), устанавливает порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных АДВОКАТСКОМУ БЮРО "BETROZOFF И ЗАКОНЪ" (далее – Бюро).

2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в Бюро осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и другими нормативными правовыми актами, касающимися обработки персональных данных.

3. Основные понятия и термины, используемые в настоящем Положении, применяются в том же значении, что и в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

4. Целью настоящего Положения является обеспечение защиты персональных данных физических лиц, поименованных в Политике Бюро в отношении защиты и обработки персональных данных от несанкционированного доступа, неправомерного их использования или утраты, определение порядка и правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

5. Настоящее Положение устанавливает и определяет:

виды и периодичность внутреннего контроля;
порядок создания комиссии для осуществления внутреннего контроля;
порядок проведения внутренней проверки.
6. Внутренний контроль соответствия обработки персональных данных делится на текущий и комиссионный.

7. Текущий внутренний контроль осуществляется на постоянной основе ответственным за организацию обработки персональных данных в Бюро.

Ответственный за организацию обработки персональных данных в Бюро имеет право:

запрашивать у сотрудников Бюро информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства РФ;
вносить руководителю Бюро предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства РФ в отношении обработки персональных данных.
8. Комиссионный внутренний контроль осуществляется комиссией, образуемой приказом руководителя Бюро из числа сотрудников Бюро, допущенных к обработке персональных данных. Периодичность проверки – не реже одного раза в год.

Комиссионные проверки соответствия обработки персональных данных установленным требованиям в Бюро проводятся на основании утвержденного руководителем Бюро плана осуществления комиссионного внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии, или на основании поступившего в Бюро письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

Внеплановые проверки организуются в течение трех рабочих дней с момента поступления соответствующего заявления.

В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.

9. При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям комиссией должно быть полностью, объективно и всесторонне установлено соответствие по следующим положениям:

наличие, учет, порядок хранения и обезличивания персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
10. В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки персональных данных в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

11. Срок проведения проверки комиссией не может составлять более 20 рабочих дней со дня принятия решения о ее проведении.

12. Результаты проверки оформляются в виде протокола проведения внутренней проверки.

13. При выявлении в ходе проверки нарушений ответственным за организацию обработки персональных данных в Бюро либо председателем комиссии в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

14. Протоколы хранятся у ответственного за организацию обработки персональных данных в течение текущего года. Уничтожение протоколов проводится ответственным за организацию обработки персональных данных самостоятельно в январе года, следующего за проверочным годом.

15. О результатах проверки и мерах, необходимых для устранения нарушений, руководителю Бюро докладывает ответственный за организацию обработки персональных данных в Бюро либо председатель комиссии.