Внутренний контроль персональных данных: три аргумента «за»

Почему важно разрабатывать инструкцию работы с персональными данными и регламенты по контролю за обработкой персональных данных? На этот вопрос эксперты привели три довода «за». Первый – снизите риски по административной ответственности в виде штрафов. Второй – если даже штраф будет наложен, можно будет настаивать на добросовестности компании, так как в компании издавали локальные акты во исполнение требований закона. Третий – в компании будет понимание, как поступать в различных ситуациях. Подробнее о том, как в компании наладили внутренний контроль соответствия обработки персональных данных, читайте ниже.

Запрос от компании: нам нужно наладить контроль персональных данных

К экспертам обратилась компания, в которой трудятся 15 000 медпредставителей по разным регионам. Они подписывают с врачами согласия на обработку персональных данных, чтобы потом им направлять рекламу. В базу представители вносят персональные данные врачей.

Когда врачи увольняются или меняют номера мобильных телефонов, медпредставители вносят в базу новые номера телефонов, а старые не уничтожают. Не удаляют и персональные данные врачей, с которыми больше не работают.

Проблема в том, что медпредставителей реально много, за каждым не уследишь. Актуальность персональных данных никто не отслеживал. Из-за этого в базе образовался бардак из «мертвых душ», не актуальных телефонов и иных персональных данных. Объем персональных данных – гигантский. Если цель сбора персданных отпала, или данные изменились, нужно контролировать, чтобы не велась обработка этих персональных данных. Компания попросила помочь наладить внутренний контроль соответствия обработки персональных данных.

Эксперты предложили, как организовать контроль за обработкой персональных данных

Эксперты предложили алгоритм, как действовать:

Шаг 1. Регламентировать процесс проверок во внутренних документах

Шаг 2. Автоматизировать процесс проверок актуальности данных

Шаг 3. Конкретизировать ответственность в договорах и/или должностных инструкциях за внесение актуальных данных

Шаг 4. Назначить комиссию по контролю за сбором актуальных и уничтожению  персональных данных в системе.

Подробнее про каждый шаг читайте ниже.

Шаг 1. Регламентировать проверки актуальности данных во внутренних документах

Эксперты предложили прописать алгоритм проверок актуальности персональных данных с учетом особенности бизнес-процессов компании. Это может быть Регламент проведения внутренних проверок в части соблюдения требований ФЗ № 152. Рекомендация связана с тем, что оператор должен осуществлять аудит и внутренний контроль соответствия обработки персональных данных ФЗ № 152.

Обработка данных, по которым согласие отсутствует, а также обработка не актуальных персональных данных влечет риски для компании. Это будет квалифицироваться как обработка персональных данных без согласия субъекта. Работодателя могут привлечь к ответственности по ч. 2 ст. 13.11 КоАП РФ. Штраф для юридических лиц – от 30 000 до 150 000 рублей. При этом сумму могут мультиплицировать.

Закон не устанавливает требования к контролю за обработкой персональных данных. Прописаны только общие обязанности оператора по осуществлению внутреннего контроля соответствия обработки персональных данных ФЗ №152. Плюс и одновременно минус ситуации в том, что в соответствии с ч.1 ст.18.1 ФЗ № 152 оператор обязан принимать меры, необходимые для обеспечения выполнения обязанностей по выполнению требований закона.

Плюс: компания самостоятельно определяет состав и перечень указанных мер. Это значит, что организация может:   проводить внутренний контроль и/или аудит соответствия обработки персональных данных закону, Политике оператора в отношении обработки персональных данных, локальным актам оператора; оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения закона; соотносить указанный вред и принимаемые оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.   Таким образом, оператор обязан проводить контроль обрабатываемых персональных данных, мониторить вопросы их хранения, уничтожения любым способом, который позволит выполнить требования закона.   Минус: фактически все мероприятия нужно разработать, легализовать в локальных нормативных актах. Компания должна обеспечить их выполнение, а также организовать контроль за их выполнением. По требованию проверяющих органов организация должна подтвердить выполнение этих требований.

 

Как компания избежала многомиллионных штрафов, потому что подготовилась к проверке Роскомнадзора и провела аудит персданных, читайте здесь.

Шаг 2. Автоматизировать поверку актуальности данных

Эксперты рекомендовали компании провести проверку актуальности согласий и самих персональных данных в автоматизированном режиме. Для этого необходимо было поставить вопрос перед разработчиками программного обеспечения.

В качестве примера эксперты предложили такой выход. Когда согласие заносят в программу, указывают срок действия. После истечения срока в программе приходит сигнал, что согласие прекратило действие.

Шаг 3. Конкретизировать ответственность в договорах и ДИ за внесение актуальных данных

Следующий шаг, который предложили эксперты, конкретизировать ответственность представителей за внесение актуальных персональных данных в базу в договорах с представителями или их должностных инструкциях. Также прописать в документах своевременное исключение из базы неактуальных персданных.

В компании много медицинских представителей, каждый из которых собирает персональные данные, отвечает за «своих» врачей, за их актуальные персональные данные, поэтому назначить ответственного за всю эту работу – одного специалиста – будет затруднительно.

Эксперты рекомендовали в договорах всех представителей закрепить обязанность:   обновлять, проверять актуальность; уничтожать старые персональные данные.

Шаг 4. Назначить комиссию по контролю за сбором актуальных и уничтожению персональных данных в системе

Последний шаг в алгоритме действий – назначить комиссию, которая будет контролировать наличие согласий и исключительно тех персональных данных, на которые субъект дал свое согласие. Комиссия утверждает объем персональных данных к уничтожению, порядок уничтожения персональных данных и проводит уничтожение данных из системы и из других носителей.

Эксперты заверили компанию, что при выполнении вышеуказанных мероприятий, риски снижаются, но полностью их исключить нельзя. Контролировать 15 000 медпредставителей, которые постоянно работают с базой, все равно будет затруднительно. Однако, даже если контролирующие органы выявят нарушение, с учетом того, что компания предпринимает меры и может их доказать, образ добропорядочного оператора уже будет создан. Можно будет настаивать на снижении размера штрафа до нижней планки.

Материал подготовила Ульяна Малкович, руководитель направления «Аудит» и «Персональные данные», старший юрист компании «Митрофанова и партнеры»

Роскомнадзор проверяет, проводит ли компания аудит и внутренний контроль соответствия обработки персональных данных ФЗ № 152. Чтобы подготовиться к проверке и доказать что компания выполняет требования закона, нужно выявить потенциальные риски. В этом поможет аудит персональных данных.

Оставить заявку на аудит персданных