Чтобы провести самопроверку:
1. Сформируйте комиссию;
2. Изучите нормативную базу по персональным данным;
3. Выделите ключевые области риска, по которым могут быть максимальные санкции при проверке Роскомнадзора, в т.ч. внеплановой проверке, на основании мониторинга безопасности;
4. Проведите аудит, а в качестве помощи используйте проверочный лист, который применяет Роскомнадзор, с моими комментариями по вопросам (см. таблицу ниже);
5. Оформите результаты аудита официально, чтобы подтвердить требования ст. 18.1 Закона «О персональных данных»;
6. По итогам аудита (самопроверки) разработайте план корректировочных мероприятий для исключения рисков.
Тестовые вопросы проверочного листа
(утв. Приказ Роскомнадзора от 24.12.2021 N 253
"Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами")
| № п/п | Список контрольных вопросов | Реквизиты нормативных правовых актов с указанием их структурных единиц, которыми установлены обязательные требования | Выписка из НПА | Комментарий от Митрофановой В.В. |
|
1 |
Соблюдаются ли контролируемым лицом обязательные требования при обработке персональных данных в части совместимости с целями сбора персональных данных? |
Часть 2 статьи 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" |
Статья 5. Принципы обработки персональных данных 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
|
Соответствуют ли категории субъектов, их ПД и действия организации тем целям, что заявлены к обработке. Важно! Обратите внимание, что каждое действие и ПД при необходимости нужно «объяснять» через указанные в ЛНА цели обработки.
|
|
2 |
Соблюдаются ли контролируемым лицом обязательные требования к содержанию и объему персональных данных в части соответствия заявленным целям обработки? |
Часть 5 статьи 5 Закона о персональных данных |
Статья 5. Принципы обработки персональных данных
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
|
Дополнительно проверят «избыточность». Важно доказать, что перечень ПД не является избыточным и данные необходимы для указанной цели. |
|
3 |
Соблюдаются ли контролируемым лицом обязательные требования по обработке персональных данных в случаях, предусмотренных Федеральным законом "О персональных данных"? |
Часть 1 статьи 6 Закона о персональных данных |
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; И т.д.
|
Проверить, с каким обоснованием обрабатываются ПД. Если такая обработка не попадает под разрешения, установленные ст. 6 Закона № 152-ФЗ, то всегда нужно согласие от субъекта. Правовым основанием обработки будет полученное согласие.
|
Полную версию списка контрольных вопросов с комментариями В. Митрофановой вы можете получить по ссылке
Материал подготовила Валентина Митрофанова, эксперт по трудовому праву и профессиональным стандартам, управляющий партнер компании «Митрофанова и Партнеры».
|
Проведите аудит персональных данных в кадровых документах вашей компании с помощью тестовых вопросов проверочного листа Роскомнадзора или обратитесь за помощью к нашим экспертам. Профессиональный аудит поможет выявить нарушения в документах раньше инспекторов, а также разработать план корректировочных мероприятий для исключения рисков.
|
