Цели, задачи, предмет и порядок аудита персональных данных
Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов.Предмет аудита по Закону 152-ФЗ
В ходе аудита персональных данных определяют:
1. Соответствие нормативно-правовой базы требованиям закона:Что такое персональные данные
В законе не содержится исчерпывающего перечня сведений, которые можно отнести к персональным данным, поэтому они могут представлять любую информацию, с помощью которой возможно идентифицировать конкретное физическое лицо и которые принадлежат единственному лицу.
Выделяют три самостоятельных группы персональных данных, каждая из которых имеет ряд особенностей законодательного регулирования:
- личные данные (фамилия, имя, отчество, дата рождения, телефон, семейное положение, профессия, стаж работы, доходы и т.д.)
- специальные данные (расовая или национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, состояние интимной жизни)
- биометрические данные (рост, вес, дактилоскопические данные и т.д.)
- непосредственно работники компании или ИП, их родственники
- соискатели при приеме на работу
- стороны договоров гражданско-правового характера
- иные лица, чьи данные обрабатываются в компании (покупатели, посетители)
Чтобы определить, будут ли ли используемые в компании сведения о конкретном человеке его персональными данными, достаточно ответить на вопрос, возможно ли с помощью этих сведений идентифицировать данное лицо
Документы по использованию персональных данных
Законо 152-ФЗ «О персональных данных» предусматривает, что персданные нужно обрабатывать только с согласия гражданина.
Обрабатывать персональные данные без согласия субъекта можно только в случаях, перечисленных в ст. 6 Закона 152-ФЗ:
- обработка требуется для выполнения возложенных законодательством Российской Федерации на оператора (работодателя) функций, полномочий и обязанностей;
- обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения таких договоров по инициативе субъекта персональных данных;
- персональные данные раскрыты их субъектом самостоятельно неограниченному кругу лиц.
Требуется ли получение согласия субъекта персональных данных на их обработку в случаях их использования для направления сведений в Социальный фонд России или в налоговые органы?
Нет, не требуется, поскольку обязанность о направлении данных сведений возложена на работодателя законом
Требуется ли получение согласия субъекта персональных данных на их обработку в случаях заполнения анкет соискателями работы?
Да, требуется, поскольку законодательно на работодателя обязанность принять на работу конкретное лицо не возложена, а трудовой (или иной) договор с таким лицом ещё не заключен
- действия компании и уполномоченных лиц по обработке персональных данных должны определяться правоустанавливающими и организационно-распорядительными документами;
- разработанные документы должны отражать работу компании по полному циклу операций с персональными данными (сбор, хранение, систематизация, накопление, использование, защита и уничтожение);
- работу с персональными данными необходимо проводить только в целях, определенных в Политике по работе с такими данными, принятой в компании;
- работники должны быть ознакомлены с Политикой по обработке персональных данных в компании, которая должна быть общедоступна (например, размещена на сайте, информационном стенде);
- запрашивать нужно только те сведения как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить;
- обработка персданных возможна строго в сроки выданного Согласия, а по его окончании сведения с ними должны быть уничтожены (за исключением случаев законодательно предусмотренных обязанностей по хранению оператором данных, к примеру, документов бухгалтерского учета);
- база данных, содержащая персданные, должна находиться на территории России, а трансграничная передача возможна только с согласия работника.
При разработке организационно-распорядительных документов в области персональных данных надо учитывать, что они могут подготавливаться как для компании в целом, так и отдельно для каждого подразделения. При этом разбивка этих документов по структурным подразделениям наиболее предпочтительна, поскольку позволяет четко определить цели, для которых эти данные будут собираться, и виды их обработки.
Какие кадровые документы обязательны в компании с практической точки зрения
Вид документа |
Чем предусмотрено |
Как разработать |
Политику по обработке |
п. 2 ч. 1 ст. 18.1 Закона 152-ФЗ |
Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», размещенные на сайте Роскомнадзора 27.07.2017 |
Об организационных и технических мерах защиты |
ст. 19 Закона 152-ФЗ |
Постановление Правительства РФ от 01.11.2012 N 1119 Федеральный закон от 27.07.2006 № 149-ФЗ; Приказ ФСТЭК России от 18 февраля 2013 г. № 21; ПП РФ от 15.09.2008 № 687; Федеральный закон от 22.10.2004 № 125-ФЗ; |
Оценка вреда |
п. 5 ч. 1 ст. 18.1 Закона 152-ФЗ |
Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" |
Регламент допуска |
п. 3 ч. 1 ст. 18.1 Закона 152-ФЗ, ст. 88 ТК РФ |
Локальный акт |
Приказы о назначении ответственных лиц |
п. 1 ч. 1 ст. 18.1 Закона 152-ФЗ |
Общая форма приказа |
Согласие на обработку |
ст. 9 Закона 152-ФЗ |
Как ориентир возможно использовать приложение № 7 Приказа Роскомнадзора от 15.12.2022 N 201, разумно доработав его под цели компании |
Согласие на распространение |
ст. 10.1 Закона 152-ФЗ |
Приказ Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения" |
Уведомление Роскомнадзора |
ст. 22 Закона 152-ФЗ |
Приказ Роскомнадзора от 28.10.2022 N 180 |
Кроме перечисленных документов, в компании могут быть разработаны и иные локальные акты, регламентирующие порядок рассмотрения запросов работников об изменении, уничтожении персданных и отзыве согласия на их обработку, журналы доступа к персданным и т. п.
Цели и порядок аудита по 152-ФЗ
Аудит персональных данных помогает получить объективную оценку работы компании в этой сфере, выявить существующие недостатки и разработать рекомендации по их устранению.
Прежде всего, в ходе аудита:
- проверяют соответствие локальных нормативно-правовых актов требованиям Закона 152-ФЗ,
- проверяют соответствие фактической обработки персональных данных тем целям, что заявлены компанией в Политике по их обработке,
- выявляют факты нарушения прав субъектов персональных данных и принимают меры по их устранению.
Поскольку в соответствии с Законом 152-ФЗ проведение аудита – это право пработодателя (при условии наличия системы внутреннего контроля), в компании может отсутствовать документ, регламентирующий порядок и периодичность его проведения.
Чтобы минимизировать риски неправомерного доступа к персональным данным и выстроить прозрачную систему по работе с ними, мы рекомендуем разработать подобный документ и предусмотреть в нем:
- порядок разработки и утверждения графиков проведения аудита,
- упоминание лиц, ответственных за его проведение,
- общие положения о сроках проведения и составе проверяемых сведений.
Непосредственно сам аудит проводится на основании распоряжения руководителя, в котором эти пункты конкретизированы.
Некоторые компании проводят самоаудит, однако проведение внешнего аудита профилированной организацией позволит беспристрастно взглянуть на состояние дел в компании в данной сфере, а соответственно, и лучше подготовиться к проверке со стороны Роскомнадзора.
Оформление результатов аудита
По итогам проведения аудита, если он проводился компанией своими силами, ответственные лица составляют отчет, который должен содержать как описательную часть (установленные в ходе аудита обстоятельства), так и резолютивную (выводы, выявленные нарушения и предложения по их устранению).
Руководитель утверждает отчет, а для устранения выявленных нарушений издаются отдельные приказы, в которых даются конкретные поручения уполномоченным лицам.
Если компания выбирает формат внешнего аудита, со специализированным аудитором составляется договор на оказание услуг, в котором предусматриваются сроки проведения аудита, объем и порядок предоставления аудитору документов, стоимость услуг и порядок их оплаты.
По итогам внешнего аудита руководителю также предоставляется отчет о его результатах, на основании которого он издает приказы (распоряжения), направленные на устранение выявленных нарушений.
Ответственность по закону о персональных данных
Административная ответственность за нарушение законодательства в области персональных данных установлена ст. 13.11 КоАП РФ. Размер штрафов за совершение правонарушений в зависимости от их тяжести начинается от нескольких тысяч рублей на должностных лиц до 18 миллионов рублей на компанию. Это подчеркивает, насколько важно соблюдать требования, установленные Федеральным законом № 152-ФЗ.
Кроме этого, статьей 137 УК РФ установлена ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну. В данном случае негативные последствия уже могут исчисляться не в рублях, а в годах лишения свободы (до 4 лет). Поэтому своевременное проведение аудита, особенно специализированной организацией, позволит компаниям избегать многомиллионных штрафов.
Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов. Закажите аудит персональных данных прямо сейчас
Скачайте нашу презентацию внизу статьи и задайте нам дополнительные вопросы!