Аудит персональных данных: как провести по новым правилам
Внутренний контроль (аудит) персональных данных должен осуществлять каждый работодатель. Способ и порядок его проведения – компания определяет самостоятельно в локальном нормативном акте (ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № № 152-ФЗ, далее – Закон № 152-ФЗ, Закон 152). Выясним, как делать это верно с учетом последних изменений Закона № 152-ФЗ (внесены Федеральным законом от 14.07.2022 № 266-ФЗ, далее – Закон № 266-ФЗ).
Узнайте новые требования к политике в отношении обработки ПД и согласиям на обработку и распространение персданных. Скорректируйте документы компании раньше визита Роскомнадзора, избегите многомиллионных штрафов.
|
Изменения в работе с персданными с 1 сентября 2022
Таблица штрафов за нарушения в работе с персональными данными |
Понятие и значение внутреннего контроля и аудита персональных данных
С помощью аудита персональных данных (далее – персданных, ПД) работодатель может проверить, как обрабатывают и защищают в компании личные сведения сотрудников и третьих лиц (п. 4 ч. 1 ст. 18.1 Закона 152).
Внутренний контроль (аудит) – это проверка обработки персональных данных на соответствие (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ):
-
Закону № 152-ФЗ и нормативным правовым актам, принятым во исполнение;
-
требованиям к защите персональных данных;
-
политике оператора в отношении обработки персональных данных;
-
локальным актам оператора.
Следовательно, аудит (внутренний контроль) помогает оценить реальное положение дел в работе с ПД (провести их правовую проверку) до прихода инспектора Роскомнадзора. И главное – вовремя исправить нарушения.
Иначе работодателю грозят не только административные санкции (крупные штрафы, приостановление деятельности, конфискация несертифицированных средств защиты информации и дисквалификация), но и уголовная ответственность: штрафы, исправительные, обязательные и принудительные работы, лишение права заниматься определенной деятельностью (занимать должности), арест и даже лишение свободы (ст. ст. 13.11, 13.12, 13.14 и 19.7 КоАП РФ, ст. ст. 137 и 272 УК РФ).
Скачайте таблицу штрафов за нарушения в работе с персональными данными здесь
Аудит персональных данных работника по новым требованиям
До 1 сентября 2022 года само проведение внутренней проверки работы с ПД в компании носило рекомендательный характер. Теперь оно – обязательно: из текста статьи удалено слово «могут» (ст. 18.1 Закона № 152-ФЗ).
Закон № 266-ФЗ внес изменения в Закон № 152-ФЗ, которые затрагивают многие правила работы с ПД, а значит – и предмет и порядок внутреннего контроля (аудита).
Теперь политика обработки ПД, вопросы защиты персданных и уведомлений Роскомнадзора, сроки предоставления информации, принципы при составлении согласий и другие требования по работе с ПД – происходят по новым правилам. Поэтому при контроле (аудите) нужно проверить соблюдение каждого из них, а также – отразить порядок и результаты проверки работы с ПД во внутренних документах компании (ч. 1 и 4 ст. 18.1 Закона № 152-ФЗ).
Перечень мер, направленных на выполнение обязанностей при работе с ПД, операторам – государственным и муниципальным органам определяет Правительство России (ч. 3 ст. 18.1 Закона № 152-ФЗ).
Список основных изменений с 1 сентября 2022 года в Законе № 152-ФЗ и комментарии к ним узнайте по ссылке
Понятие и значение внутреннего контроля и аудита персональных данных
В ходе внутренних проверок определяют (ст. 18.1, 19 Закона № 152-ФЗ «О персональных данных»):
-
правовую готовность работодателя перед встречей с инспекторами Роскомнадзора (наличие необходимых правоустанавливающих, организационно-распорядительных документов);
-
степень реализации технических мер защиты персональных данных (защищенность информационных систем работодателя).
Кроме того, аудит персданных включает в себя и третью часть – готовность к предстоящей встрече с сотрудниками Роскомнадзора с учетом его стандартизированного плана проверки, а также опыта и практики по ее прохождению.
Использование персональных данных: какие документы проверить
Документы по работе с персданными могут быть адресованы всей компании, ее подразделениям и отдельным сотрудникам. Аудит персданных затрагивает все уровни корпоративного нормотворчества, а значит, проверить нужно многие из них, начиная с правоустанавливающих.
Среди правоустанавливающих документов в первую очередь нужно изучить учредительные. Они дают возможность удостовериться в праве подписи (например, Устав ООО). Следом за учредительным проверяют иные, которые удостоверяют права и порядок труда: доверенности, положения, инструкции, регламенты и др. Они устанавливают правила работы с персданными «на местах», и кроме того – возможность уполномоченных сотрудников осуществлять весь цикл работы с ними, начиная с разработки и принятия.
Распорядительные документы обязательно быть в наличии у работодателя. Это приказы и иные письменные распоряжения. Многие из них утверждают как сами правоустанавливающие документы по работе с персданными, так и внесение в них изменений. Они закрепляют процедуру работы с ПД и регулируют труд сотрудников, в том числе, дают полномочия и распоряжения на выполнение конкретных действий: приказы о назначении ответственного за безопасность, об утверждении перечня и о порядке, видах и способах хранения персданных в компании и др.
К организационно-распорядительным и уведомительным документам относят (ст. 18. 1 Закона № 152-ФЗ):
-
положение о защите персональных данных работников;
-
политику по обработке персданных;
-
регламент допуска к персданным;
-
приказы (например, о назначении ответственных по работе с персданными, о работниках, имеющих доступ к ним, и др.), а также документы о неразглашении;
-
отдельные согласия работников и иных лиц на обработку и на распространение персданных;
-
уведомления в Роскомнадзор об обработке персданных (ст. 22 Закона № 152-ФЗ).
Помимо перечисленных документов, оформляют и иные, связанные с учетом и защитой персданных:
-
ЛНА (положения о порядке рассмотрения запросов работников о персданных, о правилах проведения внутреннего контроля, различные инструкции о правилах технической работы с персданными по обеспечению их законного хранения и т.д.). Сюда же относят документы учета: например, журналы, в которых отражают запросы работников и даты выдачи сведений;
-
документы по результатам работы с персданными (различные акты, например, об определении уровня защищенности персданных и др.).
|
Принципы работы с документами по персданным
1. Действия компании и уполномоченных лиц по обработке персданных должны быть определены правоустанавливающими и организационно-распорядительными документами (ст. 8 ТК РФ, ст. 18.1 Закона № 152-ФЗ);
2. Документы по персданным должны отражать требования закона не только по структуре и содержанию, но и при проведении операций с ними, хранении и защите (ст. ст. 4, 5, 10.1, глава 4 Закона № 152-ФЗ);
3. Политика по обработке персданных данных в компании должна быть известна и общедоступна для работников (например, размещена на страницах сайта, где происходит их сбор, – ст. ст. 3, 18, 18.1 Закона № 152-ФЗ);
4. Запрашивать нужно только те сведения, как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить (ст. 18 Закона № 152-ФЗ);
5. Обработка персданных возможна строго в сроки выданного разрешения, а по его окончании сведения с ними должны быть уничтожены (ст. 6 Закона № 152-ФЗ);
6. База данных о персданных должна находиться на территории России, а трансграничная передача возможна только с согласия работника (ст. 12 Закона № 152-ФЗ). |
Аудит по закону 152-ФЗ «О персональных данных»: как провести
Аудит по 152-ФЗ подразумевает проверку (ч. 1 и 4 ст. 18.1 Закона № 152-ФЗ):
-
количества и содержания документов: достаточно ли в компании принято актов по работе с персданным и насколько они отражают предъявленные к ним требования (Федеральный закон о персональных данных № 152-ФЗ);
-
качества проводимых процедур: соответствует ли фактический процесс получения, обработки, распространения, хранения и защиты персданных законодательству Российской Федерации и локальным актам компании;
-
ответственности и способов ее преодоления: какие нарушения выявлены, какой вред они могут причинить работникам (иным физлицам) и как их устранить (п. 5 – 6 ч. 1 ст. 18.1 Закона № 152-ФЗ).
|
Как провести аудит персональных данных
1. Изучите новое законодательство: Закон о персональных данных № 152-ФЗ, Закон № 266-ФЗ, Федеральный закон от 24.02.2021 № 19-ФЗ, Федеральный закон от 30.12.2020 № 519-ФЗ, Приказ Роскомнадзора от 24.02.2021 № 18, новую редакцию ст. 4.5. КоАП РФ и др.
2. Конкретизируйте перечень персданных с учетом специфики деятельности компании (с какими персданными вы работаете).
3. Определите перечень субъектов (чьи персданные вы обрабатываете).
4. Разработайте формы документов (принять и соблюдать правила получения, обработки, хранения, распространения и защиты персданных и всю сопутствующую документацию).
5. Приведите имеющиеся акты и процедуры в соответствии с законом, в том числе составьте уведомления в Роскомнадзор.
6. Выявите допущенные нарушения и по возможности их устраните. |
Как подготовиться к проверке Роскомнадзора, читайте в нашем экспертном материале.
Оформление аудита по 152-ФЗ «О персональных данных»
Порядок внутренней проверки и аудита персданных следует указать в локальном нормативном акте компании (ЛНА). Как правило, в отдельном Положении. В нем отражают:
предмет проверки: соблюдение требований законодательства, политики, ЛНА организации по защите ПД.
ее способ и процедуру (включая итоговые результаты, меры и действия по исправлению ошибок);
подтверждение его проведения (варианты оформления).
За составление положения и проведение аудита назначают ответственных. Сделать это следует в приказе.
Как утвердить ЛНА об аудите с помощью грифа или приказа, разъяснят наши опытные эксперты.
|
Важно! При проверке Роскомнадзора ЛНА об аудите, равно как и отчетные документы, будут свидетельствовать о соблюдении вами закона (ч. 1 и 4 ст. 18.1 Закона № 152-ФЗ). |
По результатам аудита принимают отчетные документы: заключения, отчеты, акты и т.д. Выявленные нарушения устраняют уполномоченные лица по поручению, которое оформляют в приказе. Эти работники так же отчитываются по итогам своей работы. Порядок и форму их отчета тоже устанавливают в ЛНА о проведении аудита.
В Положении об аудите вы вправе предусмотреть, что проверку вашей работы с ПД может проводить сторонняя экспертная организация. Об этом с ней дополнительно заключают гражданско-правовой договор (как правило, об оказании услуг). В таком договоре указывают: предмет и срок проверки, процедуру, объем предстоящих услуг, вид и порядок предоставления отчетности, стоимость услуг и порядок оплаты. По итогам аудита оказанные услуги и составленные документа принимают по акту (ст. 779 ГК РФ).