Аудит персональных данных: зачем проводить в компании

Внутренний контроль и аудит персональных данных позволяют работодателю проверить, на каком основании, каким способом и в каком порядке предоставляют, обрабатывают, распространяют, хранят и защищают в компании личные данные работников и третьих лиц (п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ, Закон 152).

С помощью аудита работодатель уточняет, насколько принимаемые акты и действия соответствуют требованиям Закона 152 «О персональных данных», а также отражают политику компании по обработке персданных и способствуют их реальной защите. Благодаря такой внутренней проверке работодатели избегают ответственности, в том числе многомиллионных штрафов (ст. ст. 5.39, 13.11, 13.14, 19.7 КоАП РФ, 137, 272 УК РФ).

С одной стороны, аудит персданных дает возможность разобраться с реальным положением дел в компании по работе с персданными раньше инспектора Роскомнадзора, а  главное – исправить нарушения. С другой стороны, благодаря ему работодатель исполняет нормы закона о контроле и аудите (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Предмет аудита по Закону 152-ФЗ

В ходе внутренних проверок определяют (ст. 18.1, 19 Закона № 152-ФЗ «О персональных данных»):

  • правовую готовность работодателя перед встречей с инспекторами Роскомнадзора (наличие необходимых правоустанавливающих, организационно-распорядительных документов);
  • степень реализации технических мер защиты персональных данных (защищенность информационных систем работодателя).
Кроме того, аудит персданных включает в себя и третью часть – готовность к предстоящей встрече с сотрудниками Роскомнадзора с учетом его стандартизированного плана проверки, а также опыта и практики по ее прохождению.
Помимо основных кадровых документов о персданных, специалисты Роскомнадзора могут затребовать и дополнительные, список которых законом не установлен Их перечень, содержание, типичные ошибки, а также порядок проведения фактической проверки вам подскажут опытные эксперты компании "Митрофанова и партнеры" при подготовке к проверке Роскомнадзора
ОБРАТИТЕ ВНИМАНИЕ!

Аудит информационной безопасности систем по работе с персданными проводит специалист с лицензией ФСТЭК России на техническую защиту конфиденциальной информации

Что такое персональные данные работника

Персональные данные работника – это те сведения, которые прямо или косвенно к нему относятся и к которым он может предоставить доступ другим лицам (в том числе и неограниченному кругу лиц) по своему решению в виде двух согласий: на их обработку и на их распространение (п. 1, п. 1.1., ч. 1 ст. 3 Закона № 152-ФЗ).

По закону к субъектам персданных могут быть отнесены:

  • работники организации (и ИП), а также их родственники;
  • кандидаты в приеме на работу;
  • контрагенты по гражданско-правовым договорам;
  • иные категории в зависимости от сферы деятельности компании (например, ее покупатели или посетители).
ВЫПИСКА

Обработка персональных данных – любое действие (операция) или их совокупность, совершаемые с использованием средств автоматизации (или без них) с персданными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ч. 1 ст. 3 Закона № 152-ФЗ)

Автоматизированная обработка персональных данных – их обработка с помощью средств вычислительной техники (п. 4 ч. 1 ст. 3 Закона № 152-ФЗ)

Распространение персональных данных – действия, направленные на их раскрытие неопределенному кругу лиц (п. 5 ч. 1 ст. 3 Закона № 152-ФЗ)

Предоставление персональных данных – действия, направленные на их раскрытие определенному лицу или кругу лиц (п. 6 ч. 1 ст. 3 Закона № 152-ФЗ)

Использование персональных данных: документы

При работе с документами о персданных руководствуйтесь основными принципами:

  • действия компании и уполномоченных лиц по обработке персданных должны быть определены правоустанавливающими и организационно-распорядительными документами (ст. 8 ТК РФ, ст. 18.1 Закона № 152-ФЗ);
  • эти документы должны отражать требования действующего закона не только по структуре и содержанию, но и при проведении операций с ними, хранении и защите (ст. ст. 4, 5, 10.1, глава 4 Закона № 152-ФЗ);
  • политика по обработке персданных в компании должна быть известна и общедоступна для работников (например, размещена на сайте, – ст. ст. 3, 18, 18.1 Закона № 152-ФЗ);
  • запрашивать нужно только те сведения, как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить (ст. 18 Закона № 152-ФЗ);
  • обработка персданных возможна строго в сроки выданного разрешения, а по его окончании сведения с ними должны быть уничтожены (ст. 6 Закона № 152-ФЗ);
  • база данных о персданных должна находиться на территории России, а трансграничная передача возможна только с согласия работника (ст. 12 Закона № 152-ФЗ).
ВАЖНО!

Не нужно получать согласие сотрудника, если вы работаете с его персданными в рамках трудового договора (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ)

Документы по работе с персданными могут быть адресованы всей компании, ее подразделениям и отдельным сотрудникам. Аудит персданных затрагивает все уровни корпоративного нормотворчества, а значит, проверить нужно многие из них, начиная с правоустанавливающих.

В первую очередь изучают учредительные документы – для установления права подписи (например, Устав ООО). Следом за учредительным проверяют иные, которые удостоверяют права и порядок труда: доверенности, положения, инструкции, регламенты и др. Они устанавливают правила работы с персданными «на местах», и кроме того – возможность уполномоченных сотрудников осуществлять весь цикл работы с ними, начиная с разработки и принятия.
ИНТЕРЕСНЫЕ СТАТЬИ

Что важно знать каждой компании об информационной безопасности при обработке персональных данных?

Подробнее

Также у работодателя обязательно должны быть в наличии распорядительные документы: приказы и иные письменные распоряжения. Многие из них утверждают как сами правоустанавливающие документы по работе с персданными, так и внесение в них изменений. Они закрепляют процедуру работы с ними и регулируют труд сотрудников, в том числе, дают полномочия и распоряжения на выполнение конкретных действий.

К основным организационно-распорядительным м уведомительным документам по работе с персданными в компании относят (ст. 18. 1 Закона № 152-ФЗ):

  • положение о защите персональных данных работников;
  • политику по обработке персданных;
  • регламент допуска к персданным;
  • приказы (например, о назначении ответственных по работе с персданными, о работниках, имеющих доступ к ним, и др.), а также документы о неразглашении;
  • отдельные согласия работников и иных лиц на обработку и на распространение персданных;
  • уведомления в Роскомнадзор об обработке персданных (ст. 22 Закона № 152-ФЗ).
ИНТЕРЕСНЫЕ СТАТЬИ

Как скорректировать локальные акты по персональным данным с учетом новых требований?

Подробнее

Помимо перечисленных документов, оформляют и иные, связанные с учетом и защитой персданных:

  • локальные акты (положения о порядке рассмотрения запросов работников о персданных, о правилах проведения внутреннего контроля, различные инструкции о правилах технической работы с персданными по обеспечению их законного хранения и т.д.). Сюда же относят документы учета: например, журналы, в которых отражают запросы работников и даты выдачи сведений;
  • распорядительные документы (приказы о назначении ответственного за безопасность, об утверждении перечня и о порядке, видах и способах хранения персданных в компании и др.),
  • документы по результатам работы с персданными (различные акты, например, об определении уровня защищенности персданных и др.).
РЕКОМЕНДАЦИЯ

При разработке внутренних документов о работе с персданными классифицируйте и группируйте их. Не нужно гнаться за количеством. Чем более емко и структурировано составлены требования, тем проще проводить их актуализацию и внутренний аудит

При работе с персданными важно проверять все правоустанавливающие документы, систематизировать и актуализировать их, а также устранять нарушения. Даже в сложной ситуации можно грамотно и оперативно провести аудит и спасти работодателя от многомиллионных штрафов.
НАШИ КЕЙСЫ

Аудит персональных данных спас руководителя от тюрмы и дисквалификации

Подробнее


Аудит по 152-ФЗ «О персональных данных»: цели и порядок

Аудит по 152-ФЗ подразумевает проверку следующих основных вопросов (ч. 4 ст. 18.1 Закона № 152-ФЗ):

  • количества и содержания документов: достаточно ли в компании принято актов по работе с персданными и насколько они отражают предъявленные к ним требования (Федеральный закон о персональных данных № 152-ФЗ);
  • качества проводимых процедур: соответствует ли фактический процесс получения, обработки, распространения, хранения и защиты персданных законодательству Российской Федерации и локальным актам компании;
  • ответственности и способов ее преодоления: какие нарушения выявлены, какой вред они могут причинить работникам (иным физлицам) и как их устранить (п. 5 – 6 ч. 1 ст. 18.1 Закона № 152-ФЗ).
ИНТЕРЕСНЫЕ СТАТЬИ

Персональные данные: что изменилось в 2023 году и что будет в 2024 году

Подробнее

 Чтобы провести аудит персданных, вам необходимо:

  • изучить новое действующее законодательство: Закон о персональных данных 152-ФЗ, Федеральный закон от 24.02.2021 № 19-ФЗ, Федеральный закон от 30.12.2020 № 519-ФЗ, Приказ Роскомнадзора от 24.02.2021 № 18, новую редакцию ст. 4.5. КоАП РФ и др.;
  • конкретизировать перечень персданных с учетом специфики деятельности компании (с какими персданными вы работаете);
  • определить перечень субъектов (чьи персданные вы обрабатываете);
  • разработать формы документов (принять и соблюдать правила получения, обработки, хранения, распространения и защиты персданных и всю сопутствующую документацию);
  • привести имеющиеся акты и процедуры в соответствии с законом, в том числе составить уведомления в Роскомнадзор;
  • выявить допущенные нарушения и по возможности их устранить.
ОБРАТИТЕ ВНИМАНИЕ!

Вы обязаны предоставить своим сотрудникам по их просьбе информацию о работе с персданными: о целях, способах, видах и др. (ч. 1 ст. 18 Закона № 152-ФЗ)

Распространенные вопросы при работе с персданными

Вопрос
 		Норма
Как составить согласие на обработку персданных  Ст. 9 Закона № 152-ФЗ
Как составить согласие на распространение персданных  Ст. 10.1 Закона № 152-ФЗ;
Приказ Роскомнадзора от 24.02.2021 № 18
Как составить уведомление Роскомнадзору  Ст. 22 Закона № 152-ФЗ;
Методические рекомендации, утвержденные Приказом Роскомнадзора от 30.05.2017 № 94
Как урегулировать порядок и способы хранения персданных на бумажных и электронных носителя и обеспечить их защиту ПП РФ от 01.11.2012 № 1119;
Федеральный закон от 27.07.2006 № 149-ФЗ;
Приказ ФСТЭК России от 18 февраля 2013 г. № 21;
ПП РФ от 15.09.2008 № 687;
Федеральный закон от 22.10.2004 № 125-ФЗ;
Правила, утвержденные Приказом Минкультуры России от 31.03.2015 № 526;
Приказ Роскомнадзора от 05.09.2013 № 996 и Методические рекомендации к ним
Как узнать виды, сроки и правила проведения проверок Роскомнадзора:

– инспекционного визита;
– документарной проверки;
– выездной проверки 		На сайте Роскомнадзора или Генпрокуратуры;
ПП РФ от 29.06.2021 № 1046

Как оформить аудит персональных данных

Аудит персданных можно провести самостоятельно. В этом случае нужно составить отдельное положение о порядке внутренних проверок и аудита персданных, утвердить его грифом либо ввести в действие приказом. Закон не обязывает компанию принимать такой документ. Однако для закрепления процедуры он вам необходим. Ответственных лиц как за составление положения, так и за проведение аудита также назначают приказом.
ИНТЕРЕСНЫЕ СТАТЬИ

Как провести самопроверку по персональным данным

Подробнее

ИНТЕРЕСНЫЕ СТАТЬИ

Внутренний контроль персональных данных: три аргумента "за"

Подробнее

По итогам аудита персональных данных составляют отчетные документы. Это могут быть заключения, отчеты и акты. Для устранения выявленных нарушений издают приказы, в которых дают конкретные поручения уполномоченным лицам. По итогам работы такие сотрудники также составляют письменные отчеты.

Если же работодатель заказывает услугу по проведению проверки и аудита персданных у специализированной компании, с ней заключают договор об оказании услуг. В этом договоре (и в приложениях к нему) отражают предмет проверки; всю ее процедуру, включая объем и порядок предоставления отчетности; сроки, стоимость услуг и порядок оплаты. По результатам составляют документы и оказанные услуги принимают по акту (ст. 779 ГК РФ).

При общении с Роскомнадзором положение об аудите, а также документы, которые приняты во исполнение него, подтвердят соблюдение организацией норм закона № 152-ФЗ.
ЗАКАЖИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ!
Профессиональный аудит персональных данных от экспертов поможет конкретизировать перечень персональных данных, актуализировать их субъектов и принятые в компании акты, а также разработать формы по новым требованиям закона. Так работодатель сможет избежать тюрьмы, дисквалификации и многомиллионных штрафов. Будьте готовы к внеплановым проверкам Роскомнадзора!

Скачайте нашу презентацию по аудиту персональных данных внизу статьи. Мы с удовольствием ответим на ваши дополнительные вопросы
Материал подготовлен департаментом трудового права компании «Митрофанова и партнеры»
Поделиться материалом
Скопировать ссылку
PDF
Скачать PDF
6.0 MB
Все статьи