Как провести самопроверку по персональным данным
Чтобы провести самопроверку:
- Сформируйте комиссию
- Изучите нормативную базу по персональным данным
- Выделите ключевые области риска, по которым могут быть максимальные санкции при проверке Роскомнадзора, в т.ч. внеплановой проверке, на основании мониторинга безопасности
- Проведите аудит, а в качестве помощи используйте проверочный лист, который применяет Роскомнадзор, с моими комментариями по вопросам (см. таблицу ниже)
- Оформите результаты аудита официально, чтобы подтвердить требования ст. 18.1 Закона «О персональных данных»
- По итогам аудита (самопроверки) разработайте план корректировочных мероприятий для исключения рисков
(утв. Приказ Роскомнадзора от 24.12.2021 N 253
"Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами")
№ п/п | Список контрольных вопросов | Реквизиты нормативных правовых актов с указанием их структурных единиц, которыми установлены обязательные требования | Выписка из НПА | Комментарий от Митрофановой В.В. |
1 |
Соблюдаются ли контролируемым лицом обязательные требования при обработке персональных данных в части совместимости с целями сбора персональных данных? |
Часть 2 статьи 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" |
Статья 5. Принципы обработки персональных данных 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных
|
Соответствуют ли категории субъектов, их ПД и действия организации тем целям, что заявлены к обработке Важно! Обратите внимание, что каждое действие и ПД при необходимости нужно «объяснять» через указанные в ЛНА цели обработки
|
2 |
Соблюдаются ли контролируемым лицом обязательные требования к содержанию и объему персональных данных в части соответствия заявленным целям обработки? |
Часть 5 статьи 5 Закона о персональных данных |
Статья 5. Принципы обработки персональных данных
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки
|
Дополнительно проверят «избыточность». Важно доказать, что перечень ПД не является избыточным и данные необходимы для указанной цели |
3 |
Соблюдаются ли контролируемым лицом обязательные требования по обработке персональных данных в случаях, предусмотренных Федеральным законом "О персональных данных"? |
Часть 1 статьи 6 Закона о персональных данных |
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей и т.д.
|
Проверить, с каким обоснованием обрабатываются ПД Если такая обработка не попадает под разрешения, установленные ст. 6 Закона № 152-ФЗ, то всегда нужно согласие от субъекта. Правовым основанием обработки будет полученное согласие
|
Скачайте нашу презентацию по аудиту персональных данных в конце статьи. Мы с удовольствием ответим на ваши дополнительные вопросы
Заказать аудит персональных данных
эксперт по трудовому праву,
управляющий партнер компании «Митрофанова и партнеры»