Регламент проведения внутреннего контроля соответствия обработки персональных данных требованиям законодательства
1. Общие положения
1.1. Настоящий Регламент проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – Регламент) определяет порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ООО Клауд Ресеч (далее – Оператор).
1.2. Настоящий Регламент разработан на основании:
  • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3. Целью внутреннего контроля является:
  • обеспечение защиты прав и свобод субъектов персональных данных;
  • оценка соответствия процессов обработки персональных данных требованиям законодательства Российской Федерации;
  • выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
  • устранение последствий таких нарушений.
1.4. В настоящем Регламенте используются следующие основные понятия:
  • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • Внутренний контроль – комплекс мероприятий, проводимых Оператором в целях определения соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных и принятых в соответствии с ним нормативных правовых актов.

2. Организация внутреннего контроля
2.1. Внутренний контроль соответствия обработки персональных данных требованиям законодательства подразделяется на:
  • плановый контроль;
  • внеплановый контроль.
2.2. Плановый контроль проводится не реже одного раза в год в соответствии с утвержденным Планом внутренних проверок соответствия обработки персональных данных требованиям законодательства.
2.3. Внеплановый контроль проводится в следующих случаях:
  • при необходимости проверки исполнения результатов ранее проведенного внутреннего контроля;
  • при поступлении обращений и жалоб субъектов персональных данных, касающихся нарушений их прав при обработке персональных данных;
  • при наличии оснований предполагать, что при обработке персональных данных нарушаются требования законодательства Российской Федерации;
  • при изменении нормативных правовых актов, регулирующих отношения в области персональных данных;
  • при существенных изменениях в процессах и технологиях обработки персональных данных Оператором.
2.4. Для проведения внутреннего контроля формируется Комиссия по внутреннему контролю соответствия обработки персональных данных требованиям законодательства (далее – Комиссия). Состав Комиссии утверждается приказом руководителя Оператора.
2.5. В состав Комиссии включаются:
  • лицо, ответственное за организацию обработки персональных данных;
  • лицо, ответственное за обеспечение безопасности персональных данных в информационных системах персональных данных;
  • представители профильных подразделений, осуществляющих обработку персональных данных.
2.6. Председателем Комиссии назначается лицо, ответственное за организацию обработки персональных данных.

3. Планирование внутреннего контроля
3.1. Плановый внутренний контроль проводится в соответствии с ежегодным Планом внутренних проверок (далее – План).
3.2. План утверждается руководителем Оператора не позднее 31 января текущего года.
3.3. План должен содержать следующую информацию:
  • наименование подразделений и процессов, подлежащих проверке;
  • сроки проведения проверок;
  • состав Комиссии;
  • методы проведения проверки.
3.4. План может корректироваться в течение года руководителем Оператора по мотивированному представлению председателя Комиссии.

4. Порядок проведения внутреннего контроля
4.1. Основанием для проведения внутреннего контроля является приказ руководителя Оператора о проведении внутреннего контроля соответствия обработки персональных данных требованиям законодательства.
4.2. В приказе о проведении внутреннего контроля определяются:
  • состав Комиссии;
  • предмет проверки;
  • основание для проведения проверки;
  • сроки проведения проверки;
  • методы проверки.
4.3. Предметом внутреннего контроля является:
  • соблюдение в подразделениях Оператора законодательства Российской Федерации в области персональных данных, локальных нормативных актов Оператора;
  • выполнение требований по защите персональных данных.
4.4. При проведении внутреннего контроля Комиссия имеет право:
  • запрашивать у сотрудников Оператора информацию, необходимую для проведения проверки;
  • требовать от сотрудников Оператора давать устные и письменные объяснения по вопросам, относящимся к предмету проверки;
  • проводить опрос субъектов персональных данных в случае необходимости;
  • получать доступ к документам, информационным системам персональных данных, необходимым для проведения проверки;
  • проводить осмотр мест хранения и обработки персональных данных;
  • привлекать к проверке сотрудников Оператора (с согласия их непосредственных руководителей).
4.5. При проведении внутреннего контроля Комиссия обязана:
  • соблюдать законодательство Российской Федерации, права и законные интересы субъектов проверки;
  • проводить проверку на основании и в соответствии с приказом о проведении проверки;
  • не препятствовать текущей деятельности Оператора;
  • обеспечивать конфиденциальность персональных данных и иной информации, полученной в ходе проверки.
4.6. Методы проведения проверки:
  • анализ документов, регламентирующих обработку персональных данных;
  • опрос сотрудников, осуществляющих обработку персональных данных;
  • наблюдение за процессами обработки персональных данных;
  • тестирование информационных систем персональных данных;
  • аудит событий безопасности.
4.7. При проведении внутреннего контроля проверяются:
  • наличие и актуальность локальных нормативных актов по вопросам обработки и защиты персональных данных;
  • соблюдение принципов и правил обработки персональных данных;
  • соответствие целей обработки персональных данных заявленным;
  • наличие согласий на обработку персональных данных (в случаях, когда такое согласие необходимо);
  • соблюдение прав субъектов персональных данных;
  • выполнение технических и организационных мер по обеспечению безопасности персональных данных;
  • соблюдение порядка хранения, уничтожения, обезличивания персональных данных.

5. Оформление результатов внутреннего контроля
5.1. По результатам проведенного внутреннего контроля Комиссия в течение 5 рабочих дней с момента окончания проверки составляет Акт проверки соответствия обработки персональных данных (далее – Акт).
5.2. Акт должен содержать:
  • дату составления Акта;
  • номер и дату приказа о проведении проверки;
  • состав Комиссии;
  • период проведения проверки;
  • предмет проверки;
  • выявленные в ходе проверки нарушения;
  • предложения по устранению выявленных нарушений;
  • сроки устранения выявленных нарушений;
  • подписи членов Комиссии.
5.3. Акт составляется в двух экземплярах: один экземпляр для руководителя Оператора, второй экземпляр – для лица, ответственного за организацию обработки персональных данных.
5.4. В случае выявления нарушений Комиссия в течение 3 рабочих дней с даты подписания Акта разрабатывает План мероприятий по устранению выявленных нарушений (далее – План мероприятий).
5.5. План мероприятий должен содержать:
  • перечень мероприятий по устранению выявленных нарушений;
  • сроки выполнения мероприятий;
  • ответственных за выполнение мероприятий.
5.6. План мероприятий утверждается руководителем Оператора.
5.7. Контроль за исполнением Плана мероприятий возлагается на лицо, ответственное за организацию обработки персональных данных.
5.8. По истечении срока, установленного для устранения нарушений, указанных в Плане мероприятий, проводится повторная проверка устранения выявленных нарушений, по результатам которой составляется Отчет об устранении нарушений.
5.9. Отчет об устранении нарушений подписывается лицом, ответственным за организацию обработки персональных данных, и утверждается руководителем Оператора.

6. Ответственность
6.1. Сотрудники Оператора, осуществляющие обработку персональных данных, несут ответственность за нарушение порядка обработки и защиты персональных данных в соответствии с законодательством Российской Федерации.
6.2. Лицо, ответственное за организацию обработки персональных данных, несет ответственность за своевременное проведение внутреннего контроля и выполнение мероприятий по устранению выявленных нарушений.
6.3. Руководители структурных подразделений Оператора несут ответственность за невыполнение в установленные сроки мероприятий по устранению выявленных нарушений в подчиненных им подразделениях.

7. Заключительные положения
7.1. Настоящий Регламент вступает в силу с момента его утверждения руководителем Оператора.
7.2. Изменения и дополнения в настоящий Регламент вносятся приказом руководителя Оператора.
7.3. Настоящий Регламент подлежит пересмотру при изменении законодательства Российской Федерации в области персональных данных, но не реже одного раза в три года.