Правила внутреннего контроля обработки персональных данных: образец 2026

Как выглядит «Правила внутреннего контроля обработки персональных данных» и что важно в каждом пункте. Соберите свой вариант онлайн или скачайте бланк.

Правила внутреннего контроля обработки персональных данных — организационный документ оператора по выполнению требований 152-ФЗ (ст. 18.1 Федерального закона № 152-ФЗ).
Структура документа

Так выглядит документ: на месте ваших данных — прочерки «______». Заполните онлайн — подставятся ваши реквизиты.

Правила внутреннего контроля обработки персональных данных
1. Наименование и реквизиты
______
ИНН ______, ОГРН ______
______
УТВЕРЖДЕНО
Приказом ______
от ______ № [№]
ПРАВИЛА ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
______
2. Общие положения
1.1. Настоящие Правила внутреннего контроля и аудита обработки персональных данных (далее — Правила) разработаны в соответствии с п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Приказом ФСТЭК России от 18.02.2013 № 21 и устанавливают систему контроля за соблюдением требований законодательства в сфере персональных данных в ______ (далее — Организация).
1.2. Целью внутреннего контроля является своевременное выявление и устранение нарушений при обработке персональных данных (далее — ПДн), снижение правовых и репутационных рисков, соответствие требованиям ФЗ-152 и подзаконных актов.
1.3. Ответственным за организацию внутреннего контроля является ______ (Генеральный Директор).
3. Виды и периодичность контроля
2.1. Плановый контроль проводится не реже одного раза в год по утверждённому плану. План контроля на следующий год утверждается руководителем не позднее 1 декабря текущего года.
2.2. Внеплановый контроль проводится в случаях:
— поступления жалоб субъектов ПДн;
— выявления инцидентов безопасности ПДн;
— предписаний Роскомнадзора, ФСТЭК России или иных регуляторов;
— существенного изменения состава информационных систем или процессов обработки;
— обращений уполномоченных государственных органов.
2.3. Текущий мониторинг осуществляется ответственным за ПДн на постоянной основе посредством анализа журналов доступа, обработки запросов субъектов и контроля сроков хранения данных.
4. Порядок проведения планового аудита
3.1. Плановый аудит включает следующие этапы:
5. Предмет проверки
4.1. В ходе аудита проверяются:
— наличие и актуальность Политики обработки ПДн, Положений об обработке ПДн работников и клиентов, Перечня ИСПДн, Перечня ПДн, Модели угроз;
— наличие уведомления об обработке ПДн в Роскомнадзоре (ст. 22 ФЗ-152);
— соответствие фактического состава обрабатываемых ПДн задекларированному;
— соблюдение сроков хранения ПДн и порядка их уничтожения;
— наличие, актуальность и правильность оформления согласий субъектов ПДн;
— выполнение требований по защите ПДн (Приказ ФСТЭК № 21);
— состояние доступа к ИСПДн: актуальность матрицы доступа, отсутствие лишних учётных записей;
— порядок обработки запросов субъектов ПДн и соблюдение установленных сроков ответа;
— наличие и ведение журналов уничтожения, обращений, инцидентов, носителей.
6. Оформление результатов
5.1. По результатам каждой проверки (плановой или внеплановой) составляется Акт проверки, содержащий: дату, цель и объект проверки; перечень проверенных документов и систем; выявленные несоответствия; рекомендуемые меры по устранению; сроки устранения нарушений; подписи проверяющего и руководителя проверяемого подразделения.
5.2. Акт проверки хранится не менее 5 лет и регистрируется в Журнале проверок и аудитов ПДн.
7. Устранение выявленных нарушений
6.1. Руководитель проверяемого подразделения в течение 5 рабочих дней после получения акта разрабатывает и представляет ______ план устранения нарушений с указанием ответственных и сроков.
6.2. Контроль исполнения плана устранения нарушений осуществляет ______ в установленные сроки. По завершении исполнения план закрывается соответствующей отметкой в акте проверки.
6.3. Сведения о выявленных нарушениях и мерах по их устранению ежегодно докладываются руководителю Организации.
Генеральный директор                _________________   / ________________ /

Пояснения к пунктам

Общие положения
Документ входит в обязательный комплект оператора ПДн (ст. 18.1 152-ФЗ): поддерживайте его актуальность при изменении процессов — на проверке РКН устаревшие реквизиты и несуществующие подразделения читаются как формальный, неработающий комплаенс.

Похожие документы