Аудит персональных данных: зачем проводить в компании
Внутренний контроль и аудит персональных данных позволяют работодателю проверить, на каком основании, каким способом и в каком порядке предоставляют, обрабатывают, распространяют, хранят и защищают в компании личные данные работников и третьих лиц (п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ, Закон 152).С помощью аудита работодатель уточняет, насколько принимаемые акты и действия соответствуют требованиям Закона 152 «О персональных данных», а также отражают политику компании по обработке персданных и способствуют их реальной защите. Благодаря такой внутренней проверке работодатели избегают ответственности, в том числе многомиллионных штрафов (ст. ст. 5.39, 13.11, 13.14, 19.7 КоАП РФ, 137, 272 УК РФ).
С одной стороны, аудит персданных дает возможность разобраться с реальным положением дел в компании по работе с персданными раньше инспектора Роскомнадзора, а главное – исправить нарушения. С другой стороны, благодаря ему работодатель исполняет нормы закона о контроле и аудите (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ).
- Предмет аудита по Закону 152-ФЗ
- Что такое персональные данные работника
- Использование персональных данных: документы
- Аудит по 152-ФЗ «О персональных данных»: цели и порядок
- Как оформить аудит персональных данных
Предмет аудита по Закону 152-ФЗ
В ходе внутренних проверок определяют (ст. 18.1, 19 Закона № 152-ФЗ «О персональных данных»):- правовую готовность работодателя перед встречей с инспекторами Роскомнадзора (наличие необходимых правоустанавливающих, организационно-распорядительных документов);
- степень реализации технических мер защиты персональных данных (защищенность информационных систем работодателя).
Помимо основных кадровых документов о персданных, специалисты Роскомнадзора могут затребовать и дополнительные, список которых законом не установлен. Их перечень, содержание, типичные ошибки, а также порядок проведения фактической проверки вам подскажут опытные эксперты компании "Митрофанова и партнеры" при подготовке к проверке Роскомнадзора
ОБРАТИТЕ ВНИМАНИЕ!
Аудит информационной безопасности систем по работе с персданными проводит специалист с лицензией ФСТЭК России на техническую защиту конфиденциальной информации
Что такое персональные данные работника
Персональные данные работника – это те сведения, которые прямо или косвенно к нему относятся и к которым он может предоставить доступ другим лицам (в том числе и неограниченному кругу лиц) по своему решению в виде двух согласий: на их обработку и на их распространение (п. 1, п. 1.1., ч. 1 ст. 3 Закона № 152-ФЗ).По закону к субъектам персданных могут быть отнесены:
- работники организации (и ИП), а также их родственники;
- кандидаты в приеме на работу;
- контрагенты по гражданско-правовым договорам;
- иные категории в зависимости от сферы деятельности компании (например, ее покупатели или посетители).
Использование персональных данных: документы
При работе с документами о персданных руководствуйтесь основными принципами:- действия компании и уполномоченных лиц по обработке персданных должны быть определены правоустанавливающими и организационно-распорядительными документами (ст. 8 ТК РФ, ст. 18.1 Закона № 152-ФЗ);
- эти документы должны отражать требования действующего закона не только по структуре и содержанию, но и при проведении операций с ними, хранении и защите (ст. ст. 4, 5, 10.1, глава 4 Закона № 152-ФЗ);
- политика по обработке персданных в компании должна быть известна и общедоступна для работников (например, размещена на сайте, – ст. ст. 3, 18, 18.1 Закона № 152-ФЗ);
- запрашивать нужно только те сведения, как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить (ст. 18 Закона № 152-ФЗ);
- обработка персданных возможна строго в сроки выданного разрешения, а по его окончании сведения с ними должны быть уничтожены (ст. 6 Закона № 152-ФЗ);
- база данных о персданных должна находиться на территории России, а трансграничная передача возможна только с согласия работника (ст. 12 Закона № 152-ФЗ).
В первую очередь изучают учредительные документы – для установления права подписи (например, Устав ООО). Следом за учредительным проверяют иные, которые удостоверяют права и порядок труда: доверенности, положения, инструкции, регламенты и др. Они устанавливают правила работы с персданными «на местах», и кроме того – возможность уполномоченных сотрудников осуществлять весь цикл работы с ними, начиная с разработки и принятия.
ИНТЕРЕСНЫЕ СТАТЬИ
Что важно знать каждой компании об информационной безопасности при обработке персональных данных?
К основным организационно-распорядительным м уведомительным документам по работе с персданными в компании относят (ст. 18. 1 Закона № 152-ФЗ):
- положение о защите персональных данных работников;
- политику по обработке персданных;
- регламент допуска к персданным;
- приказы (например, о назначении ответственных по работе с персданными, о работниках, имеющих доступ к ним, и др.), а также документы о неразглашении;
- отдельные согласия работников и иных лиц на обработку и на распространение персданных;
- уведомления в Роскомнадзор об обработке персданных (ст. 22 Закона № 152-ФЗ).
ИНТЕРЕСНЫЕ СТАТЬИ
Как скорректировать локальные акты по персональным данным с учетом новых требований?
- локальные акты (положения о порядке рассмотрения запросов работников о персданных, о правилах проведения внутреннего контроля, различные инструкции о правилах технической работы с персданными по обеспечению их законного хранения и т.д.). Сюда же относят документы учета: например, журналы, в которых отражают запросы работников и даты выдачи сведений;
- распорядительные документы (приказы о назначении ответственного за безопасность, об утверждении перечня и о порядке, видах и способах хранения персданных в компании и др.),
- документы по результатам работы с персданными (различные акты, например, об определении уровня защищенности персданных и др.).
РЕКОМЕНДАЦИЯ
При разработке внутренних документов о работе с персданными классифицируйте и группируйте их. Не нужно гнаться за количеством. Чем более емко и структурировано составлены требования, тем проще проводить их актуализацию и внутренний аудит
Аудит по 152-ФЗ «О персональных данных»: цели и порядок
Аудит по 152-ФЗ подразумевает проверку следующих основных вопросов (ч. 4 ст. 18.1 Закона № 152-ФЗ):- количества и содержания документов: достаточно ли в компании принято актов по работе с персданными и насколько они отражают предъявленные к ним требования (Федеральный закон о персональных данных № 152-ФЗ);
- качества проводимых процедур: соответствует ли фактический процесс получения, обработки, распространения, хранения и защиты персданных законодательству Российской Федерации и локальным актам компании;
- ответственности и способов ее преодоления: какие нарушения выявлены, какой вред они могут причинить работникам (иным физлицам) и как их устранить (п. 5 – 6 ч. 1 ст. 18.1 Закона № 152-ФЗ).
- изучить новое действующее законодательство: Закон о персональных данных 152-ФЗ, Федеральный закон от 24.02.2021 № 19-ФЗ, Федеральный закон от 30.12.2020 № 519-ФЗ, Приказ Роскомнадзора от 24.02.2021 № 18, новую редакцию ст. 4.5. КоАП РФ и др.;
- конкретизировать перечень персданных с учетом специфики деятельности компании (с какими персданными вы работаете);
- определить перечень субъектов (чьи персданные вы обрабатываете);
- разработать формы документов (принять и соблюдать правила получения, обработки, хранения, распространения и защиты персданных и всю сопутствующую документацию);
- привести имеющиеся акты и процедуры в соответствии с законом, в том числе составить уведомления в Роскомнадзор;
- выявить допущенные нарушения и по возможности их устранить.
Чек-лист обязательных положений Согласия на обработку персональных данных
Скачать
Как оформить аудит персональных данных
Аудит персданных можно провести самостоятельно. В этом случае нужно составить отдельное положение о порядке внутренних проверок и аудита персданных, утвердить его грифом либо ввести в действие приказом. Закон не обязывает компанию принимать такой документ. Однако для закрепления процедуры он вам необходим. Ответственных лиц как за составление положения, так и за проведение аудита также назначают приказом.По итогам аудита персональных данных составляют отчетные документы. Это могут быть заключения, отчеты и акты. Для устранения выявленных нарушений издают приказы, в которых дают конкретные поручения уполномоченным лицам. По итогам работы такие сотрудники также составляют письменные отчеты.
Если же работодатель заказывает услугу по проведению проверки и аудита персданных у специализированной компании, с ней заключают договор об оказании услуг. В этом договоре (и в приложениях к нему) отражают предмет проверки; всю ее процедуру, включая объем и порядок предоставления отчетности; сроки, стоимость услуг и порядок оплаты. По результатам составляют документы и оказанные услуги принимают по акту (ст. 779 ГК РФ).
При общении с Роскомнадзором положение об аудите, а также документы, которые приняты во исполнение него, подтвердят соблюдение организацией норм закона № 152-ФЗ.
ЗАКАЖИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ
Профессиональный аудит персональных данных от экспертов поможет конкретизировать перечень персональных данных, актуализировать их субъектов и принятые в компании акты, а также разработать формы по новым требованиям закона. Так работодатель сможет избежать тюрьмы, дисквалификации и многомиллионных штрафов. Будьте готовы к внеплановым проверкам Роскомнадзора!
Скачайте нашу презентацию по аудиту персональных данных внизу статьи. Мы с удовольствием ответим на ваши дополнительные вопросы
Скачайте нашу презентацию по аудиту персональных данных внизу статьи. Мы с удовольствием ответим на ваши дополнительные вопросы
Заказать аудит персональных данных