Сверху под шапкой
+7 (800) 350-51-32
Войти
119002, Москва г, Калошин пер, дом 4, строение 1,этаж 1, помещение I-Кз
Mip-expert.ru
⚡️ Суды ⚡️
Услуги
Эксперты
Кейсы и статьи
Компания
  • О компании
  • Эксперты
  • Реквизиты
  • Клиенты
  • Отзывы клиентов
Контакты
ИПК
Курсы для HR
    Mip-expert.ru
    ⚡️ Суды ⚡️
    Услуги
    Эксперты
    Кейсы и статьи
    Компания
    • О компании
    • Эксперты
    • Реквизиты
    • Клиенты
    • Отзывы клиентов
    Контакты
    ИПК
    Курсы для HR
      Аудит персональных данных: зачем проводить в компании
      • ⚡️ Суды ⚡️
      • Услуги
      • Эксперты
      • Кейсы и статьи
      • Компания
        • Назад
        • Компания
        • О компании
        • Эксперты
        • Реквизиты
        • Клиенты
        • Отзывы клиентов
      • Контакты
      • ИПК
      • Курсы для HR
      • Мой кабинет
      • +7 (800) 350-51-32
      119002, Москва г, Калошин пер, дом 4, строение 1,этаж 1, помещение I-Кз
      mip@mip-expert.ru
      Все кейсы
      Аудиты
      Аудиты

      Аудит персональных данных: зачем проводить в компании

      • Главная
      • Кейсы
      • Аудиты
      • Аудит персональных данных: зачем проводить в компании

      Внутренний контроль и аудит персональных данных позволяют работодателю проверить, на каком основании, каким способом и в каком порядке предоставляют, обрабатывают, распространяют, хранят и защищают в компании личные данные работников и третьих лиц (п. 4 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ, Закон 152).

      С помощью аудита работодатель уточняет, насколько принимаемые акты и действия соответствуют требованиям Закона 152 «О персональных данных», а также отражают политику компании по обработке персданных и способствуют их реальной защите. Благодаря такой внутренней проверке работодатели избегают ответственности, в том числе многомиллионных штрафов (ст. ст. 5.39, 13.11, 13.14, 19.7 КоАП РФ, 137, 272 УК РФ).

      С одной стороны, аудит персданных дает возможность разобраться с реальным положением дел в компании по работе с персданными раньше инспектора Роскомнадзора. И главное – исправить нарушения. С другой стороны, благодаря нему, работодатель исполняет нормы закона о контроле и аудите (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ).

      Содержание:
      • Предмет аудита по Закону 152-ФЗ
      • Что такое персональные данные работника
      • Использование персональных данных: документы
      • Аудит по 152-ФЗ «О персональных данных»: цели и порядок
      • Как оформить аудит персональных данных
      • Закон о персональных данных: ответственность 2021–2022

      Предмет аудита по Закону 152-ФЗ

      В ходе внутренних проверок определяют (ст. 18.1, 19 Закона № 152-ФЗ «О персональных данных»):

      • правовую готовность работодателя перед встречей с инспекторами Роскомнадзора (наличие необходимых правоустанавливающих, организационно-распорядительных документов);
      • степень реализации технических мер защиты персональных данных (защищенность информационных систем работодателя).

      Кроме того, аудит персданных включает в себя и третью часть – готовность к предстоящей встрече с сотрудниками Роскомнадзора с учетом его стандартизированного плана проверки, а также опыта и практики по ее прохождению.

      Помимо основных кадровых документов о персданных, специалисты Роскомнадзора могут затребовать и дополнительные, список которых законом не установлен Их перечень, содержание, типичные ошибки, а также порядок проведения фактической проверки вам подскажут специалисты при подготовке к проверке Роскомнадзора. 

       

      Обратите внимание! Аудит информационной безопасности систем по работе с персданными проводит специалист с лицензией ФСТЭК России на техническую защиту конфиденциальной информации. 

      Что такое персональные данные работника

      Персональные данные работника – это те сведения, которые прямо или косвенно к нему относятся и к которым он может предоставить доступ другим лицам (в том числе и неограниченному кругу лиц) по своему решению в виде двух согласий: на их обработку и на их распространение (п. 1, п. 1.1., ч. 1 ст. 3 Закона № 152-ФЗ).

      По закону к субъектам персданных могут быть отнесены:

      • работники организации (и ИП), а также их родственники;
      • кандидаты в приеме на работу;
      • контрагенты по гражданско-правовым договорам;
      • иные категории в зависимости от сферы деятельности компании (например, ее покупатели или посетители).

      ВЫПИСКА

       

      Обработка персональных данных – любое действие (операция) или их совокупность, совершаемые с использованием средств автоматизации (или без них) с персданными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ч. 1 ст. 3 Закона № 152-ФЗ).

       

      Автоматизированная обработка персональных данных – их обработка с помощью средств вычислительной техники (п. 4 ч. 1 ст. 3 Закона № 152-ФЗ).

       

      Распространение персональных данных – действия, направленные на их раскрытие неопределенному кругу лиц (п. 5 ч. 1 ст. 3 Закона № 152-ФЗ).

       

      Предоставление персональных данных – действия, направленные на их раскрытие определенному лицу или кругу лиц (п. 6 ч. 1 ст. 3 Закона № 152-ФЗ).

      Использование персональных данных: документы

      При работе с документами о персданных руководствуйтесь основными принципами:

      • действия компании и уполномоченных лиц по обработке персданных должны быть определены правоустанавливающими и организационно-распорядительными документами (ст. 8 ТК РФ, ст. 18.1 Закона № 152-ФЗ);
      • эти документы должны отражать требования действующего закона не только по структуре и содержанию, но и при проведении операций с ними, хранении и защите (ст. ст. 4, 5, 10.1, глава 4 Закона № 152-ФЗ);
      • политика по обработке персданных данных в компании должна быть известна и общедоступна для работников (например, размещена на сайте, – ст. ст. 3, 18, 18.1 Закона № 152-ФЗ);
      • запрашивать нужно только те сведения, как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить (ст. 18 Закона № 152-ФЗ);
      • обработка персданных возможна строго в сроки выданного разрешения, а по его окончании сведения с ними должны быть уничтожены (ст. 6 Закона № 152-ФЗ);
      • база данных о персданных должна находиться на территории России, а трансграничная передача возможна только с согласия работника (ст. 12 Закона № 152-ФЗ).

      Важно! Не нужно получать согласие сотрудника, если вы работаете с его персданными в рамках трудового договора (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).

      Документы по работе с персданными могут быть адресованы всей компании, ее подразделениям и отдельным сотрудникам. Аудит персданных затрагивает все уровни корпоративного нормотворчества, а значит, проверить нужно многие из них, начиная с правоустанавливающих.

      В первую очередь изучают учредительные документы – для установления права подписи (например, Устав ООО). Следом за учредительным проверяют иные, которые удостоверяют права и порядок труда: доверенности, положения, инструкции, регламенты и др. Они устанавливают правила работы с персданными «на местах», и кроме того – возможность уполномоченных сотрудников осуществлять весь цикл работы с ними, начиная с разработки и принятия.

      Также у работодателя обязательно должны быть в наличии распорядительные документы: приказы и иные письменные распоряжения. Многие из них утверждают как сами правоустанавливающие документы по работе с персданными, так и внесение в них изменений. Они закрепляют процедуру работы с ними и регулируют труд сотрудников, в том числе, дают полномочия и распоряжения на выполнение конкретных действий.

      К основным организационно-распорядительным м уведомительным документам по работе с персданными в компании относят (ст. 18. 1 Закона № 152-ФЗ):

      • положение о защите персональных данных работников;
      • политику по обработке персданных;
      • регламент допуска к персданным;
      • приказы (например, о назначении ответственных по работе с персданными, о работниках, имеющих доступ к ним, и др.), а также документы о неразглашении;
      • отдельные согласия работников и иных лиц на обработку и на распространение персданных;
      • уведомления в Роскомнадзор об обработке персданных (ст. 22 Закона № 152-ФЗ).

      Помимо перечисленных документов, оформляют и иные, связанные с учетом и защитой персданных:

      • локальные акты (положения о порядке рассмотрения запросов работников о персданных, о правилах проведения внутреннего контроля, различные инструкции о правилах технической работы с персданными по обеспечению их законного хранения и т.д.). Сюда же относят документы учета: например, журналы, в которых отражают запросы работников и даты выдачи сведений;
      • распорядительные документы (приказы о назначении ответственного за безопасность, об утверждении перечня и о порядке, видах и способах хранения персданных в компании и др.),
      • документы по результатам работы с персданными (различные акты, например, об определении уровня защищенности персданных и др.).

      Совет

       

      При разработке внутренних документов о работе с персданными классифицируйте и группируйте их. Не нужно гнаться за количеством. Чем более емко и структурировано составлены требования, тем проще проводить их актуализацию и внутренний аудит. 

       

      При работе с персданными важно проверять все правоустанавливающие документы, систематизировать и актуализировать их, а также устранять нарушения. Даже в сложной ситуации можно грамотно и оперативно провести аудит и спасти работодателя от многомиллионных штрафов. Подробнее об этом читайте здесь.

      Аудит по 152-ФЗ «О персональных данных»: цели и порядок

      Аудит по 152-ФЗ подразумевает проверку следующих основных вопросов (ч. 4 ст. 18.1 Закона № 152-ФЗ):

      • количества и содержания документов: достаточно ли в компании принято актов по работе с персданным и насколько они отражают предъявленные к ним требования (Федеральный закон о персональных данных № 152-ФЗ);
      • качества проводимых процедур: соответствует ли фактический процесс получения, обработки, распространения, хранения и защиты персданных законодательству Российской Федерации и локальным актам компании;
      • ответственности и способов ее преодоления: какие нарушения выявлены, какой вред они могут причинить работникам (иным физлицам) и как их устранить (п. 5 – 6 ч. 1 ст. 18.1 Закона № 152-ФЗ).
      • Чтобы провести аудит персданных вам необходимо:
      • изучить новое действующее законодательство: Закон о персональных данных 152-ФЗ, Федеральный закон от 24.02.2021 № 19-ФЗ, Федеральный закон от 30.12.2020 № 519-ФЗ, Приказ Роскомнадзора от 24.02.2021 № 18, новую редакцию ст. 4.5. КоАП РФ и др.;
      • конкретизировать перечень персданных с учетом специфики деятельности компании (с какими персданными вы работаете);
      • определить перечень субъектов (чьи персданные вы обрабатываете);
      • разработать формы документов (принять и соблюдать правила получения, обработки, хранения, распространения и защиты персданных и всю сопутствующую документацию);
      • привести имеющиеся акты и процедуры в соответствии с законом, в том числе составить уведомления в Роскомнадзор;
      • выявить допущенные нарушения и по возможности их устранить.

      Обратите внимание! Вы обязаны предоставить своим сотрудникам по их просьбе информацию о работе с персданными: о целях, способах, видах и др. (ч. 1 ст. 18 Закона № 152-ФЗ).

      Распространенные вопросы при работе с персданными

      Вопрос
      Норма
      Как составить согласие на обработку персданных  Ст. 9 Закона № 152-ФЗ

      Как составить согласие на распространение персданных 

      Ст. 10.1 Закона № 152-ФЗ;

       

      Приказ Роскомнадзора от 24.02.2021 № 18

      Как составить уведомление Роскомнадзору 

      Ст. 22 Закона № 152-ФЗ;

       

      Методические рекомендации, утвержденные Приказом Роскомнадзора от 30.05.2017 № 94

      Как урегулировать порядок и способы хранения персданных на бумажных и электронных носителя и обеспечить их защиту

      ПП РФ от 01.11.2012 № 1119;

       

      Федеральный закон от 27.07.2006 № 149-ФЗ;

       

      Приказ ФСТЭК России от 18 февраля 2013 г. № 21;

       

      ПП РФ от 15.09.2008 № 687;

       

      Федеральный закон от 22.10.2004 № 125-ФЗ;

       

      Правила, утвержденные Приказом Минкультуры России от 31.03.2015 № 526;

       

      Приказ Роскомнадзора от 05.09.2013 № 996 и Методические рекомендации к ним

      Как узнать виды, сроки и правила проведения проверок Роскомнадзора:

       

      – инспекционного визита;

       

      – документарной проверки;

       

      – выездной проверки

      На сайте Роскомнадзора или Генпрокуратуры;

       

      ПП РФ от 29.06.2021 № 1046

      Как оформить аудит персональных данных

      Аудит персданных можно провести самостоятельно. В этом случае нужно составить отдельное положение о порядке внутренних проверок и аудита персданных, утвердить его грифом либо ввести в действие приказом. Закон не обязывает компанию принимать такой документ. Однако, для закрепления процедуры он вам необходим. Ответственных лиц как за составление положения, так и за проведение аудита также назначают приказом.

      По итогам аудита персональных данных составляют отчетные документы. Это могут быть заключения, отчеты и акты. Для устранения выявленных нарушений издают приказы, в которых дают конкретные поручения уполномоченным лицам. По итогам работы такие сотрудники также составляют письменные отчеты.

      Если же работодатель заказывает услугу по проведению проверки и аудита персданных у специализированной компании, с ней заключают договор об оказании услуг. В этом договоре (и в приложениях к нему) отражают предмет проверки; всю ее процедуру, включая объем и порядок предоставления отчетности; сроки, стоимость услуг и порядок оплаты. По результатам составляют документы и оказанные услуги принимают по акту (ст. 779 ГК РФ).

      При общении с Роскомнадзором положение об аудите, а также документы, которые приняты во исполнение него, подтвердят ваше соблюдение норм закона № 152-ФЗ.

      Закон о персональных данных: ответственность 2021–2022

      Каждому работодателю важно проводить внутренний аудит документов о персданных. В этой области ожесточили ответственность работодателя. Если в каком-либо документе по работе с персданными на любом его этапе (от разработки до хранения и защиты) выявят ошибки, компанию ждут крупные штрафы, которые в 2021 году увеличены в разы (ст. 13.11 КоАП РФ). Поэтому допущенные нарушения закона о персональных данных на практике стоят компании миллионы рублей.

      Административную ответственность за нарушение персональных данных найдете по ссылке.

      Материал подготовлен департаментом трудового права компании «Митрофанова и партнеры»

      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      Подписывайтесь на новости:
      Компания
      О компании
      Эксперты
      Реквизиты
      Клиенты
      Отзывы клиентов
      Услуги
      Консультант по трудовому праву 24/7
      Профстандарты: отчетные документы
      Кадровый аудит
      Аудит охраны труда
      Аудит оплаты труда
      Наши контакты

      +7 (800) 350-51-32
      Будни: с 9:00 до 18:00
      119002, Москва г, Калошин пер, дом 4, строение 1,этаж 1, помещение I-Кз
      mip@mip-expert.ru