Цели, задачи, предмет и порядок аудита персональных данных

 Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов.

Статья 18.1 Закона 152-ФЗ «О персональных данных» обязывает работодателя выполнять требования законодательства в области персональных данных, защищая тем самым права работников и иных лиц. К числу таких мер отнесен внутренний контроль и (или) аудит персональных данных (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ)

Предмет аудита по Закону 152-ФЗ

В ходе аудита персональных данных определяют:

1. Соответствие нормативно-правовой базы требованиям закона:

  • организационно-распорядительные документы в сфере обработки персональных данных;
  • приказы (распоряжения, должностные инструкции), устанавливающие обязанности конкретных лиц в рассматриваемой сфере.

    • Помимо основных кадровых документов о персданных, специалисты Роскомнадзора могут затребовать и дополнительные, список которых законом не установлен. Их перечень, содержание, типичные ошибки, а также порядок проведения фактической проверки вам подскажут специалисты при подготовке к проверке Роскомнадзора

    2. Степень реализации технических мер защиты персональных данных:

  • наличие локального акта, предусматривающего меры защиты;
  • уровень фактического внедрения мер защиты и их соответствие требованиям закона соответствие принятых мер защиты оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по их обработке.
    • Обратите внимание

    Аудит информационной безопасности систем по работе с персданными должен проводить специалист с лицензией ФСТЭК России на техническую защиту конфиденциальной информации

    3. Уровень квалификации ответственных лиц в вопросах, связанных с обработкой персональных данных, их готовность к встрече с инспекторами Роскомнадзора с учетом его типового плана проверки, а также опыта и практики по его прохождению.

    Что такое персональные данные

    В законе не содержится исчерпывающего перечня сведений, которые можно отнести к персональным данным, поэтому они могут представлять любую информацию, с помощью которой возможно идентифицировать конкретное физическое лицо и которые принадлежат единственному лицу.

    Выделяют три самостоятельных группы персональных данных, каждая из которых имеет ряд особенностей законодательного регулирования:

    • личные данные (фамилия, имя, отчество, дата рождения, телефон, семейное положение, профессия, стаж работы, доходы и т.д.)
    • специальные данные (расовая или национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, состояние интимной жизни)
    • биометрические данные (рост, вес, дактилоскопические данные и т.д.)
    ВАЖНО!

    Некоторые сведения по отдельности не являются персональными данными, однако при совместной обработке с другими сведениями их могут признать персональными данными. Например, идентификатор пользователя социальной сети при его обработке с фамилией и именем этого пользователя

    К субъектам персональных данных могут относиться:

    • непосредственно работники компании или ИП, их родственники
    • соискатели при приеме на работу
    • стороны договоров гражданско-правового характера
    • иные лица, чьи данные обрабатываются в компании (покупатели, посетители)
    РЕКОМЕНДАЦИЯ

    Чтобы определить, будут ли ли используемые в компании сведения о конкретном человеке его персональными данными, достаточно ответить на вопрос, возможно ли с помощью этих сведений идентифицировать данное лицо

    Документы по использованию персональных данных

    Законо 152-ФЗ «О персональных данных» предусматривает, что персданные нужно обрабатывать только с согласия гражданина.

    Выписка

    Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение

    Обрабатывать персональные данные без согласия субъекта можно только в случаях, перечисленных в ст. 6 Закона 152-ФЗ:

    • обработка требуется для выполнения возложенных законодательством Российской Федерации на оператора (работодателя) функций, полномочий и обязанностей;
    • обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения таких договоров по инициативе субъекта персональных данных;
    • персональные данные раскрыты их субъектом самостоятельно неограниченному кругу лиц.
    Вопрос

    Требуется ли получение согласия субъекта персональных данных на их обработку в случаях их использования для направления сведений в Социальный фонд России или в налоговые органы?

    Ответ

    Нет, не требуется, поскольку обязанность о направлении данных сведений возложена на работодателя законом

    Вопрос

    Требуется ли получение согласия субъекта персональных данных на их обработку в случаях заполнения анкет соискателями работы?

    Ответ

    Да, требуется, поскольку законодательно на работодателя обязанность принять на работу конкретное лицо не возложена, а трудовой (или иной) договор с таким лицом ещё не заключен

    При работе с персональными данными оператор должен соблюдать такие требования:

    • действия компании и уполномоченных лиц по обработке персональных данных должны определяться правоустанавливающими и организационно-распорядительными документами;
    • разработанные документы должны отражать работу компании по полному циклу операций с персональными данными (сбор, хранение, систематизация, накопление, использование, защита и уничтожение);
    • работу с персональными данными необходимо проводить только в целях, определенных в Политике по работе с такими данными, принятой в компании;
    • работники должны быть ознакомлены с Политикой по обработке персональных данных в компании, которая должна быть общедоступна (например, размещена на сайте, информационном стенде);
    • запрашивать нужно только те сведения как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить;
    • обработка персданных возможна строго в сроки выданного Согласия, а по его окончании сведения с ними должны быть уничтожены (за исключением случаев законодательно предусмотренных обязанностей по хранению оператором данных, к примеру, документов бухгалтерского учета);
    • база данных, содержащая персданные, должна находиться на территории России, а трансграничная передача возможна только с согласия работника.

    При разработке организационно-распорядительных документов в области персональных данных надо учитывать, что они могут подготавливаться как для компании в целом, так и отдельно для каждого подразделения. При этом разбивка этих документов по структурным подразделениям наиболее предпочтительна, поскольку позволяет четко определить цели, для которых эти данные будут собираться, и виды их обработки.

    ИНТЕРЕСНЫЕ СТАТЬИ

    Какие кадровые документы обязательны в компании с практической точки зрения

    Подробнее

    К основным документам по персональным данным относят:


    Вид документа

    Чем предусмотрено

    Как разработать

    Политику по обработке

    п. 2 ч. 1 ст. 18.1 Закона 152-ФЗ

    Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», размещенные на сайте Роскомнадзора 27.07.2017

    Об организационных и технических мерах защиты

    ст. 19 Закона 152-ФЗ

    Постановление Правительства РФ от 01.11.2012 N 1119


    Федеральный закон от 27.07.2006 № 149-ФЗ;


    Приказ ФСТЭК России от 18 февраля 2013 г. № 21;


    ПП РФ от 15.09.2008 № 687;


    Федеральный закон от 22.10.2004 № 125-ФЗ;

    Оценка вреда

    п. 5 ч. 1 ст. 18.1 Закона 152-ФЗ

    Приказ Роскомнадзора от 27.10.2022 N 178

    "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"

    Регламент допуска

    п. 3 ч. 1 ст. 18.1 Закона 152-ФЗ, ст. 88 ТК РФ

    Локальный акт

    Приказы о назначении ответственных лиц

    п. 1 ч. 1 ст. 18.1 Закона 152-ФЗ

    Общая форма приказа

    Согласие на обработку

    ст. 9 Закона 152-ФЗ

    Как ориентир возможно использовать приложение № 7 Приказа Роскомнадзора от 15.12.2022 N 201, разумно доработав его под цели компании

    Согласие на распространение

    ст. 10.1 Закона 152-ФЗ

    Приказ Роскомнадзора от 24.02.2021 N 18

    "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения"

    Уведомление Роскомнадзора

    ст. 22 Закона 152-ФЗ

    Приказ Роскомнадзора от 28.10.2022 N 180

    Кроме перечисленных документов, в компании могут быть разработаны и иные локальные акты, регламентирующие порядок рассмотрения запросов работников об изменении, уничтожении персданных и отзыве согласия на их обработку, журналы доступа к персданным и т. п.

    ИНТЕРЕСНЫЕ СТАТЬИ

    Аудит персональных данных - важная часть безопасности бизнеса

    Подробнее

    Цели и порядок аудита по 152-ФЗ

    Аудит персональных данных помогает получить объективную оценку работы компании в этой сфере, выявить существующие недостатки и разработать рекомендации по их устранению.

    Прежде всего, в ходе аудита:

    • проверяют соответствие локальных нормативно-правовых актов требованиям Закона 152-ФЗ,
    • проверяют соответствие фактической обработки персональных данных тем целям, что заявлены компанией в Политике по их обработке,
    • выявляют факты нарушения прав субъектов персональных данных и принимают меры по их устранению.

    Поскольку в соответствии с Законом 152-ФЗ проведение аудита – это право пработодателя (при условии наличия системы внутреннего контроля), в компании может отсутствовать документ, регламентирующий порядок и периодичность его проведения.

    Чтобы минимизировать риски неправомерного доступа к персональным данным и выстроить прозрачную систему по работе с ними, мы рекомендуем разработать подобный документ и предусмотреть в нем:

    • порядок разработки и утверждения графиков проведения аудита,
    • упоминание лиц, ответственных за его проведение,
    • общие положения о сроках проведения и составе проверяемых сведений.

    Непосредственно сам аудит проводится на основании распоряжения руководителя, в котором эти пункты конкретизированы.

    Некоторые компании проводят самоаудит, однако проведение внешнего аудита профилированной организацией позволит беспристрастно взглянуть на состояние дел в компании в данной сфере, а соответственно, и лучше подготовиться к проверке со стороны Роскомнадзора.

    ИНТЕРЕСНЫЕ СТАТЬИ

    Как провести самопроверку по персональным данным

    Подробнее


    Оформление результатов аудита

    По итогам проведения аудита, если он проводился компанией своими силами, ответственные лица составляют отчет, который должен содержать как описательную часть (установленные в ходе аудита обстоятельства), так и резолютивную (выводы, выявленные нарушения и предложения по их устранению).

    Руководитель утверждает отчет, а для устранения выявленных нарушений издаются отдельные приказы, в которых даются конкретные поручения уполномоченным лицам.

    Если компания выбирает формат внешнего аудита, со специализированным аудитором составляется договор на оказание услуг, в котором предусматриваются сроки проведения аудита, объем и порядок предоставления аудитору документов, стоимость услуг и порядок их оплаты. 

    По итогам внешнего аудита руководителю также предоставляется отчет о его результатах, на основании которого он издает приказы (распоряжения), направленные на устранение выявленных нарушений.

    ИНТЕРЕСНЫЕ СТАТЬИ

    7 шагов, как выявить нарушения ТК РФ в компании

    Подробнее


    Ответственность по закону о персональных данных

    Административная ответственность за нарушение законодательства в области персональных данных установлена ст. 13.11 КоАП РФ. Размер штрафов за совершение правонарушений в зависимости от их тяжести начинается от нескольких тысяч рублей на должностных лиц до 18 миллионов рублей на компанию. Это подчеркивает, насколько важно соблюдать требования, установленные Федеральным законом № 152-ФЗ.

    Кроме этого, статьей 137 УК РФ установлена ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну. В данном случае негативные последствия уже могут исчисляться не в рублях, а в годах лишения свободы (до 4 лет). Поэтому своевременное проведение аудита, особенно специализированной организацией, позволит компаниям избегать многомиллионных штрафов.

    Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов. Закажите аудит персональных данных прямо сейчас

    Скачайте нашу презентацию внизу статьи и задайте нам дополнительные вопросы!

    Материал подготовлен экспертами департамента трудового права компании "Митрофанова и партнеры"

    Поделиться материалом
    Скопировать ссылку
    PDF
    Скачать PDF
    6.0 MB
    Все статьи