Как провести самопроверку по персональным данным

Чтобы провести самопроверку:

1. Сформируйте комиссию
2. Изучите нормативную базу по персональным данным
3. Выделите ключевые области риска, по которым могут быть максимальные санкции при проверке Роскомнадзора, в т.ч. внеплановой проверке, на основании мониторинга безопасности
4. Проведите аудит, а в качестве помощи используйте проверочный лист, который применяет Роскомнадзор, с моими комментариями по вопросам (см. таблицу ниже)
5. Оформите результаты аудита официально, чтобы подтвердить требования ст. 18.1 Закона «О персональных данных»
6. По итогам аудита (самопроверки) разработайте план корректировочных мероприятий для исключения рисков

ИНТЕРЕСНЫЕ СТАТЬИ

Самые важные изменения в законе о персональных данных

Подробнее

Тестовые вопросы проверочного листа
(утв. Приказ Роскомнадзора от 24.12.2021 N 253

"Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами")

№ п/п	Список контрольных вопросов	Реквизиты нормативных правовых актов с указанием их структурных единиц, которыми установлены обязательные требования	Выписка из НПА	Комментарий от Митрофановой В.В.
1	Соблюдаются ли контролируемым лицом обязательные требования при обработке персональных данных в части совместимости с целями сбора персональных данных?	Часть 2 статьи 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"	Статья 5. Принципы обработки персональных данных 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных	Соответствуют ли категории субъектов, их ПД и действия организации тем целям, что заявлены к обработке Важно! Обратите внимание, что каждое действие и ПД при необходимости нужно «объяснять» через указанные в ЛНА цели обработки
2	Соблюдаются ли контролируемым лицом обязательные требования к содержанию и объему персональных данных в части соответствия заявленным целям обработки?	Часть 5 статьи 5 Закона о персональных данных	Статья 5. Принципы обработки персональных данных 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки	Дополнительно проверят «избыточность». Важно доказать, что перечень ПД не является избыточным и данные необходимы для указанной цели
3	Соблюдаются ли контролируемым лицом обязательные требования по обработке персональных данных в случаях, предусмотренных Федеральным законом "О персональных данных"?	Часть 1 статьи 6 Закона о персональных данных	Статья 6. Условия обработки персональных данных 1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей и т.д.	Проверить, с каким обоснованием обрабатываются ПД Если такая обработка не попадает под разрешения, установленные ст. 6 Закона № 152-ФЗ, то всегда нужно согласие от субъекта. Правовым основанием обработки будет полученное согласие

ЗАКАЖИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ!

Проведите аудит персональных данных в кадровых документах вашей компании с помощью тестовых вопросов проверочного листа Роскомнадзора или обратитесь за помощью к нашим экспертам. Профессиональный аудит поможет выявить нарушения в документах раньше инспекторов, а также разработать план корректировочных мероприятий для исключения рисков.

Скачайте нашу презентацию по аудиту персональных данных в конце статьи. Мы с удовольствием ответим на ваши дополнительные вопросы

Материал подготовила Валентина Митрофанова, эксперт по трудовому праву и профессиональным стандартам, управляющий партнер компании «Митрофанова и партнеры»