Проверка Роскомнадзора: как оценить правовые риски компании
Начиная с 2023 года ужесточили законодательство о персональных данных. Роскомнадзор обновил форму уведомления о намерении обрабатывать персональные данные, установил новые требования к их уничтожению и правилам по трансграничной передаче персональных данных. Правовые риски каждой компании в связи с этими изменениями выросли в разы. В статье разберем, какие нарушения компании могут стать объектом проверки Роскомнадзора, и как внутренний аудит документов поможет избежать штрафных санкций.
- Правовые риски компании при обработке персональных данных: что изменилось
- Внутренний аудит: что проверить в документах компании
- Локальные акты по обработке персональных данных: рекомендации и чек-лист для экспресс-аудита
Правовые риски компании при обработке персональных данных: что изменилось
В этом году требований к обработке персональных данных стало еще больше, а значит, компании должны применять более строгие меры безопасности, чтобы избежать внеплановой проверки Роскомнадзора и ответственности за правонарушения.
ОСНОВНЫЕ ФАКТОРЫ, ПОВЛИЯВШИЕ НА ПОВЫШЕНИЕ ПРАВОВЫХ РИСКОВ КОМПАНИЙ ЗА ПОСЛЕДНЕЕ ВРЕМЯ
- С 1 сентября 2022 года внесли значительные изменения в Закон «О персональных данных». Теперь организациям необходимо пересмотреть свои процессы обновить локальные нормативные акты и согласия по защите персональных данных. Убедиться, что все работники ознакомлены с ними под подпись.
- С 1 марта 2023 года ввели новый порядок трансграничной передачи персональных данных, уничтожения данных, оценки угроз безопасности и т.д. Теперь Роскомнадзор будет рассматривать уведомления, и решать, разрешить, ограничить или запретить трансграничную передачу персональных данных.
- Ожидается появление реестра учета инцидентов в области персональных данных. Теперь на основании уведомлений о произошедшем инциденте, Роскомнадзор будет вносить запись в специальный реестр.
- В этом году Роскомнадзор будет все чаще привлекать к ответственности за нарушения при обработке персональных данных. Чтобы выявить такие нарушения не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488)
Внутренний аудит: что проверить в документах компании
Внутренний аудит персональных данных поможет выявить нарушения в документах раньше Роскомнадзора, а также выполнить требования п. 4. ч. 1 ст. 18.1 Закона «О персональных данных». Риски административных санкций за нарушения достаточно высокие (ст. 13.11 и 19.7 КоАП РФ). Кроме того, могут выписать отдельный штраф за каждое правонарушение в соглашениях. Поэтому важно вовремя проводить аудит документов об обработке персональных данных.
РЕКОМЕНДАЦИЯ
Обращайте внимание на содержание уведомлений Роскомнадзора, согласий на обработку и на распространение ПД, а также – на порядок их оформления. Именно по ним Роскомнадзор применяет отдельный штраф за каждый документ или его отсутствие
Локальные акты по обработке персональных данных: рекомендации и чек-лист для экспресс-аудита
Разработайте и утвердите несколько специализированных ЛНА для исполнения отдельных требований законодательства по работе с ПД в зависимости от процессов, которые они будут регламентировать. Среди таких ЛНА могут быть:- Положение о порядке обработки персональных данных на бумажных носителях;
- Положение о порядке обработки персональных данных в информационных системах;
- Регламент по порядку хранения персональных данных;
- Инструкция по порядку доступа в помещения с персональными данными;
- Иные локальные нормативные акты в зависимости от особенностей бизнес-процессов и специфики компании.
РЕКОМЕНДАЦИЯ
Разработайте положение о внутреннем аудите, в котором определите перечень мер по предотвращению правовых рисков. Ознакомьте с ним работников по подпись
№ п/п | Нарушение | Основание (НПА) | Рекомендации по исправлению |
1 |
Отсутствует локальный нормативный акт, устанавливающий порядок обработки ПД работников, а также – закрепляющий их права и обязанности в этой области |
Ст. 86, 88 ТК РФ | Разработать локальный нормативный акт, ознакомить с ним всех работников текущей датой. |
2 | Отсутствует письменная форма согласия на обработку ПД либо – указанная форма не соответствует требованиям законодательства |
Ст. 6, ст. 9 ФЗ №152 |
Разработать/доработать письменную форму согласия на обработку персональных данных. Получить согласие/ несогласие на обработку указанных форме персональных данных от работника |
3 | Не подается уведомление о намерении осуществлять обработку персональных данных |
Ст. 22 ФЗ №152 |
Подать уведомление в Роскомнадзор |
4 | Отсутствует приказ о назначении ответственного за организацию обработки ПД | Ст. 22.1 ФЗ №152 | Назначить лицо, ответственное за организацию обработки персональных данных |
5 | Документ, определяющий политику в отношении обработки персональных данных не опубликован или к нему не обеспечен неограниченный доступ к документу | Ч. 2 ст. 18.1 ФЗ №152 | Опубликовать Политику (например, на сайте организации) либо иным способом обеспечить к нему неограниченный доступ (например, на информационном стенде). |
6 | Отсутствует акт об уничтожении персональных данных | Ч. 7 ст. 21 ФЗ №152 | Фиксировать факт уничтожения персональных данных по новой форме |
7 | Отсутствует уведомление о трансграничной передаче персональных данных | Ст. 12 ФЗ №152 | Направлять уведомление в Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян |
ЗАКАЖИТЕ ЭКСПЕРТНЫЙ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ
Чтобы снизить риск проверок и штрафов, проведите аудит персданных в кадровых документах вашей компании самостоятельно с помощью нашего чек-листа или обратитесь за помощью к нашим экспертам. Профессиональный аудит не только выявит нарушения раньше проверки Роскомнадзора и позволит избежать высоких штрафов, но и даст рекомендации с пошаговым алгоритмом для устранения ошибок