Внутренний контроль персональных данных: три аргумента «за»

    Почему важно разрабатывать инструкцию работы с персональными данными и регламенты по контролю за обработкой персональных данных? На этот вопрос эксперты привели три довода «за»:
  • Первый – нужно снизить риски по административной ответственности в виде штрафов.
  • Второй – если даже штраф будет наложен, можно будет настаивать на добросовестности компании, так как в компании издавали локальные акты во исполнение требований закона.
  • Третий – в компании будет понимание, как поступать в различных ситуациях.
Подробнее о том, как в компании наладили внутренний контроль соответствия обработки персональных данных, читайте ниже наш кейс.

Запрос от компании: нам нужно наладить контроль персональных данных

К экспертам обратилась компания, в которой трудятся 15 000 медицинских представителей по разным регионам. Они подписывают с врачами согласия на обработку персональных данных, чтобы потом направлять им рекламу. В базу представители вносят персональные данные врачей.
НАШИ КЕЙСЫ

Оптимизация кадрового документооборота: исключение кадровых документов и риски для целей бухгалтерского учета

Подробнее


Когда врачи увольняются или меняют номера мобильных телефонов, медпредставители вносят в базу новые номера телефонов, а старые не уничтожают. Данные врачей, с которыми работа больше не ведется, также сохраняется в базе, эти данные не уничтожаются. 

Проблема в том, что медпредставителей много, за каждым не уследишь. Актуальность персональных данных никто не отслеживал. Из-за этого в базе образовался бардак из «мертвых душ», неактуальных телефонов и иных персональных данных. Объем персональных данных – гигантский. Если цель сбора персданных отпала, или данные изменились, нужно обязательно контролировать, чтобы не велась обработка этих персональных данных. Компания попросила помочь наладить внутренний контроль соответствия обработки персональных данных.

Эксперты предложили алгоритм, как организовать контроль за обработкой персональных данных - от регламентации процесса проверок во внутренних документах и автоматизации процесса проверки актуальности данных до назначения комиссию по контролю за сбором актуальных персданных и и уничтожению персданных в системе. 

Подробнее про каждый шаг читайте ниже.

Шаг 1. Регламентировать проверки актуальности данных во внутренних документах

Эксперты компании "Митрофанова и партнеры" предложили прописать алгоритм проверок актуальности персональных данных с учетом особенности бизнес-процессов компании. Это может быть Регламент проведения внутренних проверок в части соблюдения требований ФЗ № 152. Рекомендация связана с тем, что оператор должен осуществлять аудит и внутренний контроль соответствия обработки персональных данных ФЗ № 152.
ЧТО ГОВОРИТ ЗАКОН?

Обработка данных, по которым согласие отсутствует, а также обработка неактуальных персональных данных влечет риски для компании. Они могут быть квалифицированы как обработка персональных данных без согласия субъекта. Работодателя могут привлечь к ответственности по ч. 2 ст. 13.11 КоАП РФ. Штраф для юридических лиц – от 30 000 до 150 000 рублей. При этом сумму могут мультиплицировать

Закон не устанавливает требования к контролю за обработкой персональных данных. Прописаны только общие обязанности оператора по осуществлению внутреннего контроля соответствия обработки персональных данных ФЗ №152. Плюс и одновременно минус ситуации в том, что в соответствии с ч.1 ст.18.1 ФЗ № 152 оператор обязан принимать меры, необходимые для обеспечения выполнения обязанностей по выполнению требований закона.
ПЛЮСЫ И МИНУСЫ

Плюс: компания самостоятельно определяет состав и перечень указанных мер. Это значит, что организация может:

  • проводить внутренний контроль и/или аудит соответствия обработки персональных данных закону, Политике оператора в отношении обработки персональных данных, локальным актам оператора;
  • оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения закона;
  • соотносить указанный вред и принимаемые оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.

Таким образом, оператор обязан проводить контроль обрабатываемых персональных данных, мониторить вопросы их хранения, уничтожения любым способом, который позволит выполнить требования закона.

Минус: фактически все мероприятия нужно разработать, легализовать в локальных нормативных актах. Компания должна обеспечить их выполнение, а также организовать контроль за их выполнением. По требованию проверяющих органов организация должна подтвердить выполнение этих требований

ИНТЕРЕСНЫЕ СТАТЬИ

Подготовка к проверке Роскомнадзора помогла избежать многомиллионных штрафов

Подробнее

Шаг 2. Автоматизировать проверку актуальности данных

Эксперты рекомендовали компании провести проверку актуальности согласий и самих персональных данных в автоматизированном режиме. Для этого необходимо было поставить вопрос перед разработчиками программного обеспечения.

В качестве примера эксперты предложили следующий выход. Когда согласие заносят в программу, указывают срок действия. После истечения срока в программе приходит сигнал, что согласие прекратило действие.

Шаг 3. Конкретизировать ответственность в договорах и ДИ за внесение актуальных данных

Следующий шаг, который предложили эксперты, конкретизировать ответственность представителей за внесение актуальных персональных данных в базу в договорах с представителями или их должностных инструкциях. Также прописать в документах своевременное исключение из базы неактуальных персданных.
ИНТЕРЕСНЫЕ СТАТЬИ

Отзыв согласия на обработку персональных данных

Подробнее

В компании много медицинских представителей, каждый из которых собирает персональные данные, отвечает за «своих» врачей, за их актуальные персональные данные, поэтому назначить ответственного за всю эту работу – одного специалиста – будет затруднительно.

Эксперты рекомендовали в договорах всех представителей закрепить обязанность:

  • обновлять,
  • проверять актуальность;
  • уничтожать старые персональные данные.

Шаг 4. Назначить комиссию по контролю за сбором актуальных и уничтожению персональных данных в системе

Последний шаг в алгоритме действий – назначить комиссию, которая будет контролировать наличие согласий и исключительно тех персональных данных, на которые субъект дал свое согласие. Комиссия утверждает объем персональных данных к уничтожению, порядок уничтожения персональных данных и проводит уничтожение данных из системы и из других носителей.

Мы заверили компанию, что при выполнении вышеуказанных мероприятий, риски снижаются, но полностью их исключить нельзя. Контролировать 15 000 медпредставителей, которые постоянно работают с базой, все равно будет затруднительно. Однако, даже если контролирующие органы выявят нарушение, с учетом того, что компания предпринимает меры и может их доказать, образ добропорядочного оператора уже будет создан. Можно будет настаивать на снижении размера штрафа до нижней планки.
ПАМЯТКА

Как провести самопроверку по персональным данным 

  1. Сформируйте комиссию

  2. Изучите нормативную базу по персональным данным

  3. Выделите ключевые области риска, по которым могут быть максимальные санкции при проверке Роскомнадзора, в т.ч. внеплановой проверке, на основании мониторинга безопасности

  4. Проведите аудит, а в качестве помощи используйте проверочный лист, который применяет Роскомнадзор, с моими комментариями по вопросам (скачайте таблицу по ссылке ниже)

  5. Оформите результаты аудита официально, чтобы подтвердить требования ст. 18.1 Закона «О персональных данных»

  6. По итогам аудита (самопроверки) разработайте план корректировочных мероприятий для исключения рисков


Скачать Тестовые вопросы Проверочного листа по персональным данным

ЗАКАЖИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ!
Роскомнадзор проверяет, проводит ли компания аудит и внутренний контроль соответствия обработки персональных данных ФЗ № 152. Чтобы подготовиться к проверке и доказать, что компания выполняет требования закона, нужно выявить потенциальные риски. В этом поможет аудит персональных данных

Заказать аудит персональных данных

Заказать

Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»

Поделиться материалом
Скопировать ссылку