Аудит персональных данных: зачем проводить в компании

Внутренний контроль и аудит персональных данных позволяют работодателю проверить, на каком основании, каким способом и в каком порядке предоставляют, обрабатывают, распространяют, хранят и защищают в компании личные данные работников и третьих лиц (п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ, Закон 152).

С помощью аудита работодатель уточняет, насколько принимаемые акты и действия соответствуют требованиям Закона 152 «О персональных данных», а также отражают политику компании по обработке персданных и способствуют их реальной защите. Благодаря такой внутренней проверке работодатели избегают ответственности, в том числе многомиллионных штрафов (ст. ст. 5.39, 13.11, 13.14, 19.7 КоАП РФ, 137, 272 УК РФ).
ПОМОЖЕМ СНИЗИТЬ РИСКИ ПО ПЕРСОНАЛЬНЫМ ДАННЫМ
Профессиональный аудит персональных данных от экспертов поможет конкретизировать перечень персональных данных, актуализировать их субъектов и принятые в компании акты, а также разработать формы по новым требованиям закона. Так работодатель сможет избежать тюрьмы, дисквалификации и многомиллионных штрафов. Будьте готовы к внеплановым проверкам Роскомнадзора!

С одной стороны, аудит персданных дает возможность разобраться с реальным положением дел в компании по работе с персданными раньше инспектора Роскомнадзора, а  главное – исправить нарушения. С другой стороны, благодаря ему работодатель исполняет нормы закона о контроле и аудите (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Что является предметом аудита по Закону 152-ФЗ

В ходе внутренних проверок определяют (ст. 18.1, 19 Закона № 152-ФЗ «О персональных данных»):

  • правовую готовность работодателя перед встречей с инспекторами Роскомнадзора (наличие необходимых правоустанавливающих, организационно-распорядительных документов);
  • степень реализации технических мер защиты персональных данных (защищенность информационных систем работодателя).
Кроме того, аудит персданных включает в себя и третью часть – готовность к предстоящей встрече с сотрудниками Роскомнадзора с учетом его стандартизированного плана проверки, а также опыта и практики по ее прохождению.
Помимо основных кадровых документов о персданных, специалисты Роскомнадзора могут затребовать и дополнительные, список которых законом не установлен. Их перечень, содержание, типичные ошибки, а также порядок проведения фактической проверки вам подскажут опытные эксперты компании "Митрофанова и партнеры" при подготовке к проверке Роскомнадзора
ОБРАТИТЕ ВНИМАНИЕ!

Аудит информационной безопасности систем по работе с персданными проводит специалист с лицензией ФСТЭК России на техническую защиту конфиденциальной информации

Какие данные работника являются персональными

Персональные данные работника – это те сведения, которые прямо или косвенно к нему относятся и к которым он может предоставить доступ другим лицам (в том числе и неограниченному кругу лиц) по своему решению в виде двух согласий: на их обработку и на их распространение (п. 1, п. 1.1., ч. 1 ст. 3 Закона № 152-ФЗ).

По закону к субъектам персданных могут быть отнесены:

  • работники организации (и ИП), а также их родственники;
  • кандидаты в приеме на работу;
  • контрагенты по гражданско-правовым договорам;
  • иные категории в зависимости от сферы деятельности компании (например, ее покупатели или посетители).
ВЫПИСКА

Обработка персональных данных – любое действие (операция) или их совокупность, совершаемые с использованием средств автоматизации (или без них) с персданными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ч. 1 ст. 3 Закона № 152-ФЗ)

Автоматизированная обработка персональных данных – их обработка с помощью средств вычислительной техники (п. 4 ч. 1 ст. 3 Закона № 152-ФЗ)

Распространение персональных данных – действия, направленные на их раскрытие неопределенному кругу лиц (п. 5 ч. 1 ст. 3 Закона № 152-ФЗ)

Предоставление персональных данных – действия, направленные на их раскрытие определенному лицу или кругу лиц (п. 6 ч. 1 ст. 3 Закона № 152-ФЗ)

Документы, в которых используются персональные данные

При работе с документами о персданных руководствуйтесь основными принципами:

  • действия компании и уполномоченных лиц по обработке персданных должны быть определены правоустанавливающими и организационно-распорядительными документами (ст. 8 ТК РФ, ст. 18.1 Закона № 152-ФЗ);
  • эти документы должны отражать требования действующего закона не только по структуре и содержанию, но и при проведении операций с ними, хранении и защите (ст. ст. 4, 5, 10.1, глава 4 Закона № 152-ФЗ);
  • политика по обработке персданных в компании должна быть известна и общедоступна для работников (например, размещена на сайте, – ст. ст. 3, 18, 18.1 Закона № 152-ФЗ);
  • запрашивать нужно только те сведения, как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить (ст. 18 Закона № 152-ФЗ);
  • обработка персданных возможна строго в сроки выданного разрешения, а по его окончании сведения с ними должны быть уничтожены (ст. 6 Закона № 152-ФЗ);
  • база данных о персданных должна находиться на территории России, а трансграничная передача возможна только с согласия работника (ст. 12 Закона № 152-ФЗ).
ВАЖНО!

Не нужно получать согласие сотрудника, если вы работаете с его персданными в рамках трудового договора (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ)

Документы по работе с персданными могут быть адресованы всей компании, ее подразделениям и отдельным сотрудникам. Аудит персданных затрагивает все уровни корпоративного нормотворчества, а значит, проверить нужно многие из них, начиная с правоустанавливающих.

В первую очередь изучают учредительные документы – для установления права подписи (например, Устав ООО). Следом за учредительным проверяют иные, которые удостоверяют права и порядок труда: доверенности, положения, инструкции, регламенты и др. Они устанавливают правила работы с персданными «на местах», и кроме того – возможность уполномоченных сотрудников осуществлять весь цикл работы с ними, начиная с разработки и принятия.
ИНТЕРЕСНЫЕ СТАТЬИ

Что важно знать каждой компании об информационной безопасности при обработке персональных данных?

Подробнее

Также у работодателя обязательно должны быть в наличии распорядительные документы: приказы и иные письменные распоряжения. Многие из них утверждают как сами правоустанавливающие документы по работе с персданными, так и внесение в них изменений. Они закрепляют процедуру работы с ними и регулируют труд сотрудников, в том числе, дают полномочия и распоряжения на выполнение конкретных действий.

К основным организационно-распорядительным м уведомительным документам по работе с персданными в компании относят (ст. 18. 1 Закона № 152-ФЗ):

  • положение о защите персональных данных работников;
  • политику по обработке персданных;
  • регламент допуска к персданным;
  • приказы (например, о назначении ответственных по работе с персданными, о работниках, имеющих доступ к ним, и др.), а также документы о неразглашении;
  • отдельные согласия работников и иных лиц на обработку и на распространение персданных;
  • уведомления в Роскомнадзор об обработке персданных (ст. 22 Закона № 152-ФЗ).
ИНТЕРЕСНЫЕ СТАТЬИ

Как скорректировать локальные акты по персональным данным с учетом новых требований?

Подробнее

Помимо перечисленных документов, оформляют и иные, связанные с учетом и защитой персданных:

  • локальные акты (положения о порядке рассмотрения запросов работников о персданных, о правилах проведения внутреннего контроля, различные инструкции о правилах технической работы с персданными по обеспечению их законного хранения и т.д.). Сюда же относят документы учета: например, журналы, в которых отражают запросы работников и даты выдачи сведений;
  • распорядительные документы (приказы о назначении ответственного за безопасность, об утверждении перечня и о порядке, видах и способах хранения персданных в компании и др.),
  • документы по результатам работы с персданными (различные акты, например, об определении уровня защищенности персданных и др.).
РЕКОМЕНДАЦИЯ

При разработке внутренних документов о работе с персданными классифицируйте и группируйте их. Не нужно гнаться за количеством. Чем более емко и структурировано составлены требования, тем проще проводить их актуализацию и внутренний аудит

При работе с персданными важно проверять все правоустанавливающие документы, систематизировать и актуализировать их, а также устранять нарушения. Даже в сложной ситуации можно грамотно и оперативно провести аудит и спасти работодателя от многомиллионных штрафов.
НАШИ КЕЙСЫ

Аудит персональных данных спас руководителя от тюрмы и дисквалификации

Подробнее

Цели и порядок аудита по 152-ФЗ «О персональных данных»

Аудит по 152-ФЗ подразумевает проверку следующих основных вопросов (ч. 4 ст. 18.1 Закона № 152-ФЗ):

  • количества и содержания документов: достаточно ли в компании принято актов по работе с персданными и насколько они отражают предъявленные к ним требования (Федеральный закон о персональных данных № 152-ФЗ);
  • качества проводимых процедур: соответствует ли фактический процесс получения, обработки, распространения, хранения и защиты персданных законодательству Российской Федерации и локальным актам компании;
  • ответственности и способов ее преодоления: какие нарушения выявлены, какой вред они могут причинить работникам (иным физлицам) и как их устранить (п. 5 – 6 ч. 1 ст. 18.1 Закона № 152-ФЗ).
ИНТЕРЕСНЫЕ СТАТЬИ

Персональные данные: какие изменения важно учесть в работе

Подробнее

 Чтобы провести аудит персданных, вам необходимо:

  • изучить новое действующее законодательство: Закон о персональных данных 152-ФЗ, Федеральный закон от 24.02.2021 № 19-ФЗ, Федеральный закон от 30.12.2020 № 519-ФЗ, Приказ Роскомнадзора от 24.02.2021 № 18, новую редакцию ст. 4.5. КоАП РФ и др.;
  • конкретизировать перечень персданных с учетом специфики деятельности компании (с какими персданными вы работаете);
  • определить перечень субъектов (чьи персданные вы обрабатываете);
  • разработать формы документов (принять и соблюдать правила получения, обработки, хранения, распространения и защиты персданных и всю сопутствующую документацию);
  • привести имеющиеся акты и процедуры в соответствии с законом, в том числе составить уведомления в Роскомнадзор;
  • выявить допущенные нарушения и по возможности их устранить.
ОБРАТИТЕ ВНИМАНИЕ!

Вы обязаны предоставить своим сотрудникам по их просьбе информацию о работе с персданными: о целях, способах, видах и др. (ч. 1 ст. 18 Закона № 152-ФЗ)

Чек-лист нарушений для экспресс-аудита
Чек-лист обязательных положений Согласия на обработку персональных данных

 Скачать

Оформление аудита персональных данных

Аудит персданных можно провести самостоятельно. В этом случае нужно составить отдельное положение о порядке внутренних проверок и аудита персданных, утвердить его грифом либо ввести в действие приказом. Закон не обязывает компанию принимать такой документ. Однако для закрепления процедуры он вам необходим. Ответственных лиц как за составление положения, так и за проведение аудита также назначают приказом.
ИНТЕРЕСНЫЕ СТАТЬИ

Как провести самопроверку по персональным данным

Подробнее

ИНТЕРЕСНЫЕ СТАТЬИ

Внутренний контроль персональных данных: три аргумента "за"

Подробнее

По итогам аудита персональных данных составляют отчетные документы. Это могут быть заключения, отчеты и акты. Для устранения выявленных нарушений издают приказы, в которых дают конкретные поручения уполномоченным лицам. По итогам работы такие сотрудники также составляют письменные отчеты.

Если же работодатель заказывает услугу по проведению проверки и аудита персданных у специализированной компании, с ней заключают договор об оказании услуг. В этом договоре (и в приложениях к нему) отражают предмет проверки; всю ее процедуру, включая объем и порядок предоставления отчетности; сроки, стоимость услуг и порядок оплаты. По результатам составляют документы и оказанные услуги принимают по акту (ст. 779 ГК РФ).

При общении с Роскомнадзором положение об аудите, а также документы, которые приняты во исполнение него, подтвердят соблюдение организацией норм закона № 152-ФЗ.

Заказать аудит персональных данных

Заказать

Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»
Поделиться материалом
Скопировать ссылку
PDF
Скачать PDF
3.3 MB
Все статьи
Этот сайт использует файлы cookie для хранения данных. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами.
Хорошо, принимаю