Внутренний контроль персональных данных: три аргумента «за»
-
Почему важно разрабатывать инструкцию работы с персональными данными и регламенты по контролю за обработкой персональных данных? На этот вопрос эксперты привели три довода «за»:
- Первый – нужно снизить риски по административной ответственности в виде штрафов.
- Второй – если даже штраф будет наложен, можно будет настаивать на добросовестности компании, так как в компании издавали локальные акты во исполнение требований закона.
- Третий – в компании будет понимание, как поступать в различных ситуациях.
- Запрос от компании: нам нужно наладить контроль персональных данных
- Шаг 1. Регламентировать проверки актуальности данных во внутренних документах
- Шаг 2. Автоматизировать поверку актуальности данных
- Шаг 3. Конкретизировать ответственность в договорах и ДИ за внесение актуальных данных
- Шаг 4. Назначить комиссию по контролю за сбором актуальных и уничтожению персональных данных в системе
Запрос от компании: нам нужно наладить контроль персональных данных
К экспертам обратилась компания, в которой трудятся 15 000 медицинских представителей по разным регионам. Они подписывают с врачами согласия на обработку персональных данных, чтобы потом направлять им рекламу. В базу представители вносят персональные данные врачей.Оптимизация кадрового документооборота: исключение кадровых документов и риски для целей бухгалтерского учета
Когда врачи увольняются или меняют номера мобильных телефонов, медпредставители вносят в базу новые номера телефонов, а старые не уничтожают. Данные врачей, с которыми работа больше не ведется, также сохраняется в базе, эти данные не уничтожаются.
Проблема в том, что медпредставителей много, за каждым не уследишь. Актуальность персональных данных никто не отслеживал. Из-за этого в базе образовался бардак из «мертвых душ», неактуальных телефонов и иных персональных данных. Объем персональных данных – гигантский. Если цель сбора персданных отпала, или данные изменились, нужно обязательно контролировать, чтобы не велась обработка этих персональных данных. Компания попросила помочь наладить внутренний контроль соответствия обработки персональных данных.
Эксперты предложили алгоритм, как организовать контроль за обработкой персональных данных - от регламентации процесса проверок во внутренних документах и автоматизации процесса проверки актуальности данных до назначения комиссию по контролю за сбором актуальных персданных и и уничтожению персданных в системе.
Подробнее про каждый шаг читайте ниже.
Шаг 1. Регламентировать проверки актуальности данных во внутренних документах
Эксперты компании "Митрофанова и партнеры" предложили прописать алгоритм проверок актуальности персональных данных с учетом особенности бизнес-процессов компании. Это может быть Регламент проведения внутренних проверок в части соблюдения требований ФЗ № 152. Рекомендация связана с тем, что оператор должен осуществлять аудит и внутренний контроль соответствия обработки персональных данных ФЗ № 152.Закон не устанавливает требования к контролю за обработкой персональных данных. Прописаны только общие обязанности оператора по осуществлению внутреннего контроля соответствия обработки персональных данных ФЗ №152. Плюс и одновременно минус ситуации в том, что в соответствии с ч.1 ст.18.1 ФЗ № 152 оператор обязан принимать меры, необходимые для обеспечения выполнения обязанностей по выполнению требований закона.
Плюс: компания самостоятельно определяет состав и перечень указанных мер. Это значит, что организация может:
- проводить внутренний контроль и/или аудит соответствия обработки персональных данных закону, Политике оператора в отношении обработки персональных данных, локальным актам оператора;
- оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения закона;
- соотносить указанный вред и принимаемые оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.
Таким образом, оператор обязан проводить контроль обрабатываемых персональных данных, мониторить вопросы их хранения, уничтожения любым способом, который позволит выполнить требования закона.
Минус: фактически все мероприятия нужно разработать, легализовать в локальных нормативных актах. Компания должна обеспечить их выполнение, а также организовать контроль за их выполнением. По требованию проверяющих органов организация должна подтвердить выполнение этих требований
Подготовка к проверке Роскомнадзора помогла избежать многомиллионных штрафов
Шаг 2. Автоматизировать проверку актуальности данных
Эксперты рекомендовали компании провести проверку актуальности согласий и самих персональных данных в автоматизированном режиме. Для этого необходимо было поставить вопрос перед разработчиками программного обеспечения.В качестве примера эксперты предложили следующий выход. Когда согласие заносят в программу, указывают срок действия. После истечения срока в программе приходит сигнал, что согласие прекратило действие.
Шаг 3. Конкретизировать ответственность в договорах и ДИ за внесение актуальных данных
Следующий шаг, который предложили эксперты, конкретизировать ответственность представителей за внесение актуальных персональных данных в базу в договорах с представителями или их должностных инструкциях. Также прописать в документах своевременное исключение из базы неактуальных персданных.В компании много медицинских представителей, каждый из которых собирает персональные данные, отвечает за «своих» врачей, за их актуальные персональные данные, поэтому назначить ответственного за всю эту работу – одного специалиста – будет затруднительно.
Эксперты рекомендовали в договорах всех представителей закрепить обязанность:
- обновлять,
- проверять актуальность;
- уничтожать старые персональные данные.
Шаг 4. Назначить комиссию по контролю за сбором актуальных и уничтожению персональных данных в системе
Последний шаг в алгоритме действий – назначить комиссию, которая будет контролировать наличие согласий и исключительно тех персональных данных, на которые субъект дал свое согласие. Комиссия утверждает объем персональных данных к уничтожению, порядок уничтожения персональных данных и проводит уничтожение данных из системы и из других носителей.Мы заверили компанию, что при выполнении вышеуказанных мероприятий, риски снижаются, но полностью их исключить нельзя. Контролировать 15 000 медпредставителей, которые постоянно работают с базой, все равно будет затруднительно. Однако, даже если контролирующие органы выявят нарушение, с учетом того, что компания предпринимает меры и может их доказать, образ добропорядочного оператора уже будет создан. Можно будет настаивать на снижении размера штрафа до нижней планки.
Как провести самопроверку по персональным данным
-
Сформируйте комиссию
-
Изучите нормативную базу по персональным данным
-
Выделите ключевые области риска, по которым могут быть максимальные санкции при проверке Роскомнадзора, в т.ч. внеплановой проверке, на основании мониторинга безопасности
-
Проведите аудит, а в качестве помощи используйте проверочный лист, который применяет Роскомнадзор, с моими комментариями по вопросам (скачайте таблицу по ссылке ниже)
-
Оформите результаты аудита официально, чтобы подтвердить требования ст. 18.1 Закона «О персональных данных»
-
По итогам аудита (самопроверки) разработайте план корректировочных мероприятий для исключения рисков
Скачать Тестовые вопросы Проверочного листа по персональным данным
Заказать аудит персональных данных