Цели, задачи, предмет и порядок аудита персональных данных
Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов.Предмет аудита по Закону 152-ФЗ
В ходе аудита персональных данных определяют:
1. Соответствие нормативно-правовой базы требованиям закона:Что такое персональные данные
В законе не содержится исчерпывающего перечня сведений, которые можно отнести к персональным данным, поэтому они могут представлять любую информацию, с помощью которой возможно идентифицировать конкретное физическое лицо и которые принадлежат единственному лицу.
Выделяют три самостоятельных группы персональных данных, каждая из которых имеет ряд особенностей законодательного регулирования:
- личные данные (фамилия, имя, отчество, дата рождения, телефон, семейное положение, профессия, стаж работы, доходы и т.д.)
- специальные данные (расовая или национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, состояние интимной жизни)
- биометрические данные (рост, вес, дактилоскопические данные и т.д.)
- непосредственно работники компании или ИП, их родственники
- соискатели при приеме на работу
- стороны договоров гражданско-правового характера
- иные лица, чьи данные обрабатываются в компании (покупатели, посетители)
Чтобы определить, будут ли ли используемые в компании сведения о конкретном человеке его персональными данными, достаточно ответить на вопрос, возможно ли с помощью этих сведений идентифицировать данное лицо
Документы по использованию персональных данных
Законо 152-ФЗ «О персональных данных» предусматривает, что персданные нужно обрабатывать только с согласия гражданина.
Обрабатывать персональные данные без согласия субъекта можно только в случаях, перечисленных в ст. 6 Закона 152-ФЗ:
- обработка требуется для выполнения возложенных законодательством Российской Федерации на оператора (работодателя) функций, полномочий и обязанностей;
- обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения таких договоров по инициативе субъекта персональных данных;
- персональные данные раскрыты их субъектом самостоятельно неограниченному кругу лиц.
Требуется ли получение согласия субъекта персональных данных на их обработку в случаях их использования для направления сведений в Социальный фонд России или в налоговые органы?
Нет, не требуется, поскольку обязанность о направлении данных сведений возложена на работодателя законом
Требуется ли получение согласия субъекта персональных данных на их обработку в случаях заполнения анкет соискателями работы?
Да, требуется, поскольку законодательно на работодателя обязанность принять на работу конкретное лицо не возложена, а трудовой (или иной) договор с таким лицом ещё не заключен
- действия компании и уполномоченных лиц по обработке персональных данных должны определяться правоустанавливающими и организационно-распорядительными документами;
- разработанные документы должны отражать работу компании по полному циклу операций с персональными данными (сбор, хранение, систематизация, накопление, использование, защита и уничтожение);
- работу с персональными данными необходимо проводить только в целях, определенных в Политике по работе с такими данными, принятой в компании;
- работники должны быть ознакомлены с Политикой по обработке персональных данных в компании, которая должна быть общедоступна (например, размещена на сайте, информационном стенде);
- запрашивать нужно только те сведения как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить;
- обработка персданных возможна строго в сроки выданного Согласия, а по его окончании сведения с ними должны быть уничтожены (за исключением случаев законодательно предусмотренных обязанностей по хранению оператором данных, к примеру, документов бухгалтерского учета);
- база данных, содержащая персданные, должна находиться на территории России, а трансграничная передача возможна только с согласия работника.
При разработке организационно-распорядительных документов в области персональных данных надо учитывать, что они могут подготавливаться как для компании в целом, так и отдельно для каждого подразделения. При этом разбивка этих документов по структурным подразделениям наиболее предпочтительна, поскольку позволяет четко определить цели, для которых эти данные будут собираться, и виды их обработки.
Какие кадровые документы обязательны в компании с практической точки зрения
Памятка Основные документы по персональным данным Скачать
Кроме перечисленных документов, в компании могут быть разработаны и иные локальные акты, регламентирующие порядок рассмотрения запросов работников об изменении, уничтожении персданных и отзыве согласия на их обработку, журналы доступа к персданным и т. п.
Цели и порядок аудита по 152-ФЗ
Аудит персональных данных помогает получить объективную оценку работы компании в этой сфере, выявить существующие недостатки и разработать рекомендации по их устранению.
Прежде всего, в ходе аудита:
- проверяют соответствие локальных нормативно-правовых актов требованиям Закона 152-ФЗ,
- проверяют соответствие фактической обработки персональных данных тем целям, что заявлены компанией в Политике по их обработке,
- выявляют факты нарушения прав субъектов персональных данных и принимают меры по их устранению.
Поскольку в соответствии с Законом 152-ФЗ проведение аудита – это право пработодателя (при условии наличия системы внутреннего контроля), в компании может отсутствовать документ, регламентирующий порядок и периодичность его проведения.
Чтобы минимизировать риски неправомерного доступа к персональным данным и выстроить прозрачную систему по работе с ними, мы рекомендуем разработать подобный документ и предусмотреть в нем:
- порядок разработки и утверждения графиков проведения аудита,
- упоминание лиц, ответственных за его проведение,
- общие положения о сроках проведения и составе проверяемых сведений.
Непосредственно сам аудит проводится на основании распоряжения руководителя, в котором эти пункты конкретизированы.
Некоторые компании проводят самоаудит, однако проведение внешнего аудита профилированной организацией позволит беспристрастно взглянуть на состояние дел в компании в данной сфере, а соответственно, и лучше подготовиться к проверке со стороны Роскомнадзора.
Оформление результатов аудита
По итогам проведения аудита, если он проводился компанией своими силами, ответственные лица составляют отчет, который должен содержать как описательную часть (установленные в ходе аудита обстоятельства), так и резолютивную (выводы, выявленные нарушения и предложения по их устранению).
Руководитель утверждает отчет, а для устранения выявленных нарушений издаются отдельные приказы, в которых даются конкретные поручения уполномоченным лицам.
Если компания выбирает формат внешнего аудита, со специализированным аудитором составляется договор на оказание услуг, в котором предусматриваются сроки проведения аудита, объем и порядок предоставления аудитору документов, стоимость услуг и порядок их оплаты.
По итогам внешнего аудита руководителю также предоставляется отчет о его результатах, на основании которого он издает приказы (распоряжения), направленные на устранение выявленных нарушений.
Ответственность по закону о персональных данных
Административная ответственность за нарушение законодательства в области персональных данных установлена ст. 13.11 КоАП РФ. Размер штрафов за совершение правонарушений в зависимости от их тяжести начинается от нескольких тысяч рублей на должностных лиц до 18 миллионов рублей на компанию. Это подчеркивает, насколько важно соблюдать требования, установленные Федеральным законом № 152-ФЗ.
Кроме этого, статьей 137 УК РФ установлена ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну. В данном случае негативные последствия уже могут исчисляться не в рублях, а в годах лишения свободы (до 4 лет). Поэтому своевременное проведение аудита, особенно специализированной организацией, позволит компаниям избегать многомиллионных штрафов.
Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов. Закажите аудит персональных данных прямо сейчас
Скачайте нашу презентацию внизу статьи и задайте нам дополнительные вопросы!
Заказать аудит персональных данных