Правила внутреннего контроля обработки персональных данных
г. Москва«13» июля 2026 г.
__________, __________ г.р., паспорт __________, выдан __________ __________, зарегистрирован(-а) по адресу: __________, именуемый(-ая) в дальнейшем «Оператор персональных данных», совместно именуемые «Стороны», заключили настоящий договор о нижеследующем:
1. Наименование и реквизиты
1.1. __________
ИНН __________, ОГРН __________
__________
УТВЕРЖДЕНО
Приказом __________
от __________ № [№]
ПРАВИЛА ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
__________
2. Общие положения
2.1. 1.1. Настоящие Правила внутреннего контроля и аудита обработки персональных данных (далее — Правила) разработаны в соответствии с п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Приказом ФСТЭК России от 18.02.2013 № 21 и устанавливают систему контроля за соблюдением требований законодательства в сфере персональных данных в __________ (далее — Организация).
1.2. Целью внутреннего контроля является своевременное выявление и устранение нарушений при обработке персональных данных (далее — ПДн), снижение правовых и репутационных рисков, соответствие требованиям ФЗ-152 и подзаконных актов.
1.3. Ответственным за организацию внутреннего контроля является __________ (Генеральный Директор).
3. Виды и периодичность контроля
3.1. 2.1. Плановый контроль проводится не реже одного раза в год по утверждённому плану. План контроля на следующий год утверждается руководителем не позднее 1 декабря текущего года.
2.2. Внеплановый контроль проводится в случаях:
— поступления жалоб субъектов ПДн;
— выявления инцидентов безопасности ПДн;
— предписаний Роскомнадзора, ФСТЭК России или иных регуляторов;
— существенного изменения состава информационных систем или процессов обработки;
— обращений уполномоченных государственных органов.
2.3. Текущий мониторинг осуществляется ответственным за ПДн на постоянной основе посредством анализа журналов доступа, обработки запросов субъектов и контроля сроков хранения данных.
4. Порядок проведения планового аудита
4.1. 3.1. Плановый аудит включает следующие этапы:
5. Предмет проверки
5.1. 4.1. В ходе аудита проверяются:
— наличие и актуальность Политики обработки ПДн, Положений об обработке ПДн работников и клиентов, Перечня ИСПДн, Перечня ПДн, Модели угроз;
— наличие уведомления об обработке ПДн в Роскомнадзоре (ст. 22 ФЗ-152);
— соответствие фактического состава обрабатываемых ПДн задекларированному;
— соблюдение сроков хранения ПДн и порядка их уничтожения;
— наличие, актуальность и правильность оформления согласий субъектов ПДн;
— выполнение требований по защите ПДн (Приказ ФСТЭК № 21);
— состояние доступа к ИСПДн: актуальность матрицы доступа, отсутствие лишних учётных записей;
— порядок обработки запросов субъектов ПДн и соблюдение установленных сроков ответа;
— наличие и ведение журналов уничтожения, обращений, инцидентов, носителей.
6. Оформление результатов
6.1. 5.1. По результатам каждой проверки (плановой или внеплановой) составляется Акт проверки, содержащий: дату, цель и объект проверки; перечень проверенных документов и систем; выявленные несоответствия; рекомендуемые меры по устранению; сроки устранения нарушений; подписи проверяющего и руководителя проверяемого подразделения.
5.2. Акт проверки хранится не менее 5 лет и регистрируется в Журнале проверок и аудитов ПДн.
7. Устранение выявленных нарушений
7.1. 6.1. Руководитель проверяемого подразделения в течение 5 рабочих дней после получения акта разрабатывает и представляет __________ план устранения нарушений с указанием ответственных и сроков.
6.2. Контроль исполнения плана устранения нарушений осуществляет __________ в установленные сроки. По завершении исполнения план закрывается соответствующей отметкой в акте проверки.
6.3. Сведения о выявленных нарушениях и мерах по их устранению ежегодно докладываются руководителю Организации.
Генеральный директор _________________ / ________________ /
8. Реквизиты и подписи сторон
Оператор персональных данных Оператор персональных данных: __________
Дата рождения: __________
Паспорт: __________, выдан __________ __________
Адрес места жительства: __________ | |
| Оператор персональных данных ____________ / ________ | |