1. Настоящее Положение:

1.1. разработано в соответствии с локальными правовыми актами Национального центра защиты персональных данных, в том числе:

Положением о политике в отношении обработки персональных данных, утвержденными приказом государственного учреждения образования «Гимназия № 1 г. Жлобина» от 28.09.2022 № 438;

1.2. определяет порядок проведения внутреннего контроля за обработкой персональных данных (далее – контроль), направленного на выявление и упреждение нарушений:

требований законодательства о персональных данных в государственном учреждении образования «Гимназия № 1 г. Жлобина» (далее – гимназия);

локальных правовых актов, принятых в целях обеспечения защиты персональных данных (далее – локальные правовые акты), в том числе:

документов, определяющих политику гимназии в отношении обработки персональных данных;

порядка доступа в гимназии к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).

2. Целями осуществления контроля в гимназии являются:

проверка выполнения работниками требований законодательства о персональных данных и локальных правовых актов;

оценка уровня осведомленности и знаний работников в области обработки и защиты персональных данных;

оценка необходимости и достаточности применяемых мер по обеспечению защиты персональных данных;

выявление и упреждение нарушений законодательства о персональных данных;

оказание методической помощи работникам по вопросам обработки персональных данных.

3. Контроль осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, – заместителем директора(далее – специалист) путем проведения мониторинга и внеплановых проверок (далее, если не определено иное, – проверки).

4. Мониторинг гимназии проводится не реже одного раза в год  по форме согласно приложению 1.

5. В ходе подготовки к проведению проверки специалист определяет:

работника, деятельность которого подлежит проверке;

объекты контроля (процессы обработки персональных данных; информационные ресурсы и системы, содержащие персональные данные);

проверяемый период.

6. Проверка включает проведение мероприятий по:

анализу полноты выполнения работниками требований законодательства о персональных данных и локальных правовых актов;

анализу реализации порядка доступа в гимназии к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

контролю знаний работников гимназии законодательства о персональных данных и локальных правовых актов;

иным вопросам, касающимся обработки персональных данных в гимназии.

7. Срок проверки не должен превышать трех рабочих дней.

При необходимости и по устному распоряжению директора гимназии (лица, исполняющего его обязанности) срок проведения проверки может быть продлен не более чем на два рабочих дня.

9. Специалист не позднее чем за три рабочих дня до начала проведения мониторинга уведомляет работника и представляет ему для ознакомления план проведения мониторинга.

При проведении внеплановой проверки уведомление работника об этом не производится и план проведения проверки не составляется.

10. Проверки проводятся специалистом непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии.

При проведении проверки работник обязан предоставить специалисту доступ к своим документам, рабочему месту и компьютеру.

В случае отсутствия работника в период проведения проверки (болезнь, отпуск, командировка и т.п.) решение о переносе срока проведения проверки или проведении проверки в отсутствие такого работника принимается на основании устного поручения директора гимназии (лица, исполняющее его обязанности).

В случае проведения проверки в отсутствие работника осмотр документов, рабочего места и компьютера осуществляется в присутствии его непосредственного руководителя (лица, исполняющего его обязанности).

11. Специалист при осуществлении проверки имеет право:

11.1. рекомендовать руководителю структурного подразделения (работнику), деятельность которого проверяется:

принять меры по устранению выявленных недостатков обработки персональных данных исходя из требований законодательства о персональных данных и локальных правовых актов;

актуализировать реестр, в том числе привести в соответствие его записи фактически складывающемся действиям по обработке персональных данных.

11.2. вносить директору гимназии (лицу, исполняющему его обязанности) предложения, направленные на упреждение нарушения законодательства о персональных данных и локальных правовых актов, в том числе о:

совершенствовании правового, организационного и технического обеспечения защиты персональных данных при их обработке в гимназии;

привлечении к дисциплинарной ответственности работников, нарушивших законодательство о персональных данных или локальные правовые акты.

12. По итогам проведения проверки специалистом в течение трех рабочих дней после ее завершения готовится отчет по форме согласно приложению 2

Отчеты хранятся у специалиста до полного устранения недостатков, но не более трех лет.