Программа внутреннего контроля и или аудита соответствия обработки персональных данных

Содержание

С 1 сентября 2022 года внутренний контроль (аудит) персональных данных должен осуществлять каждый работодатель. Способ и порядок его проведения – компания определяет самостоятельно в локальном нормативном акте (ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № № 152-ФЗ , далее – Закон № 152-ФЗ, Закон 152). Выясним, как делать это верно с учетом последних изменений Закона № 152-ФЗ (внесены Федеральным законом от 14.07.2022 № 266-ФЗ, далее – Закон № 266-ФЗ ).

Узнайте новые требования к политике в отношении обработки ПД и согласиям на обработку и распространение персданных. Скорректируйте документы компании раньше визита Роскомнадзора, избегите многомиллионных штрафов.

Оцените готовность вашей компании к проверке Роскомнадзора по новым правилам благодаря новейшему кадровому курсу уже в этом сентябре. Убедитесь, что ваши действия и принятые ЛНА по работе с персданными соответствуют новым требованиям закона.

Скачайте образцы документов для работы:

Изменения в работе с персданными с 1 сентября 2022

Изменения в обработке персональных данных с 01 марта 2023 года

Таблица штрафов за нарушения в работе с персональными данными

Понятие и значение внутреннего контроля и аудита персональных данных

С помощью аудита персональных данных (далее – персданных, ПД) работодатель может проверить, как обрабатывают и защищают в компании личные сведения сотрудников и третьих лиц (п. 4 ч. 1 ст. 18.1 Закона 152).

Внутренний контроль (аудит) – это проверка обработки персональных данных на соответствие (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ ):

  • Закону № 152-ФЗ и нормативным правовым актам, принятым во исполнение;
  • требованиям к защите персональных данных;
  • политике оператора в отношении обработки персональных данных;
  • локальным актам оператора.

Следовательно, аудит (внутренний контроль) помогает оценить реальное положение дел в работе с ПД (провести их правовую проверку) до прихода инспектора Роскомнадзора. И главное – вовремя исправить нарушения.

Иначе работодателю грозят не только административные санкции (крупные штрафы, приостановление деятельности, конфискация несертифицированных средств защиты информации и дисквалификация), но и уголовная ответственность: штрафы, исправительные, обязательные и принудительные работы, лишение права заниматься определенной деятельностью (занимать должности), арест и даже лишение свободы (ст. ст. 13.11, 13.12, 13.14 и 19.7 КоАП РФ, ст. ст. 137 и 272 УК РФ).

Скачайте таблицу штрафов за нарушения в работе с персональными данными здесь

Аудит персональных данных работника по новым требованиям

До 1 сентября 2022 года само проведение внутренней проверки работы с ПД в компании носило рекомендательный характер. Теперь оно – обязательно: из текста статьи удалено слово «могут» (ст. 18.1 Закона № 152-ФЗ ).

Закон № 266-ФЗ внес изменения в Закон № 152-ФЗ, которые затрагивают многие правила работы с ПД, а значит – и предмет и порядок внутреннего контроля (аудита).

Межблогерский вебинар. Аудит процессов обработки и защиты персональных данных

Теперь политика обработки ПД, вопросы защиты персданных и уведомлений Роскомнадзора, сроки предоставления информации, принципы при составлении согласий и другие требования по работе с ПД – происходят по новым правилам. Поэтому при контроле (аудите) нужно проверить соблюдение каждого из них, а также – отразить порядок и результаты проверки работы с ПД во внутренних документах компании (ч. 1 и 4 ст. 18.1 Закона № 152-ФЗ).

Перечень мер, направленных на выполнение обязанностей при работе с ПД, операторам – государственным и муниципальным органам определяет Правительство России (ч. 3 ст. 18.1 Закона № 152-ФЗ).

Список основных изменений с 1 сентября 2022 года в Законе № 152-ФЗ и комментарии к ним узнайте по ссылке

Понятие и значение внутреннего контроля и аудита персональных данных

В ходе внутренних проверок определяют (ст. 18.1, 19 Закона № 152-ФЗ «О персональных данных»):

  • правовую готовность работодателя перед встречей с инспекторами Роскомнадзора (наличие необходимых правоустанавливающих, организационно-распорядительных документов);
  • степень реализации технических мер защиты персональных данных (защищенность информационных систем работодателя).
Читайте также:
Набрать программу text получить результат паскаль

Кроме того, аудит персданных включает в себя и третью часть – готовность к предстоящей встрече с сотрудниками Роскомнадзора с учетом его стандартизированного плана проверки, а также опыта и практики по ее прохождению.

Использование персональных данных: какие документы проверить

Документы по работе с персданными могут быть адресованы всей компании, ее подразделениям и отдельным сотрудникам. Аудит персданных затрагивает все уровни корпоративного нормотворчества, а значит, проверить нужно многие из них, начиная с правоустанавливающих.

Среди правоустанавливающих документов в первую очередь нужно изучить учредительные. Они дают возможность удостовериться в праве подписи (например, Устав ООО). Следом за учредительным проверяют иные, которые удостоверяют права и порядок труда: доверенности, положения, инструкции, регламенты и др. Они устанавливают правила работы с персданными «на местах», и кроме того – возможность уполномоченных сотрудников осуществлять весь цикл работы с ними, начиная с разработки и принятия.

Распорядительные документы обязательно быть в наличии у работодателя. Это приказы и иные письменные распоряжения. Многие из них утверждают как сами правоустанавливающие документы по работе с персданными, так и внесение в них изменений. Они закрепляют процедуру работы с ПД и регулируют труд сотрудников, в том числе, дают полномочия и распоряжения на выполнение конкретных действий: приказы о назначении ответственного за безопасность, об утверждении перечня и о порядке, видах и способах хранения персданных в компании и др.

К организационно-распорядительным и уведомительным документам относят (ст. 18. 1 Закона № 152-ФЗ ):

  • положение о защите персональных данных работников;
  • политику по обработке персданных;
  • регламент допуска к персданным;
  • приказы (например, о назначении ответственных по работе с персданными, о работниках, имеющих доступ к ним, и др.), а также документы о неразглашении;
  • отдельные согласия работников и иных лиц на обработку и на распространение персданных;
  • уведомления в Роскомнадзор об обработке персданных (ст. 22 Закона № 152-ФЗ).

Помимо перечисленных документов, оформляют и иные, связанные с учетом и защитой персданных :

Совет

При разработке внутренних документов о работе с персданными классифицируйте и группируйте их. Не нужно гнаться за количеством. Чем более емко и структурированно составлены требования, тем проще проводить их актуализацию и внутренний аудит .

Принципы работы с документами по персданным

1. Действия компании и уполномоченных лиц по обработке персданных должны быть определены правоустанавливающими и организационно-распорядительными документами (ст. 8 ТК РФ, ст. 18.1 Закона № 152-ФЗ );

2. Документы по персданным должны отражать требования закона не только по структуре и содержанию, но и при проведении операций с ними, хранении и защите (ст. ст. 4, 5, 10.1, глава 4 Закона № 152-ФЗ);

3. Политика по обработке персданных данных в компании должна быть известна и общедоступна для работников (например, размещена на страницах сайта, где происходит их сбор, – ст. ст. 3, 18, 18.1 Закона № 152-ФЗ);

4. Запрашивать нужно только те сведения, как сотрудников, так и третьих лиц, которые вам действительно необходимы для работы, и только с их согласия, когда его по закону нужно получить (ст. 18 Закона № 152-ФЗ);

5. Обработка персданных возможна строго в сроки выданного разрешения, а по его окончании сведения с ними должны быть уничтожены (ст. 6 Закона № 152-ФЗ);

6. База данных о персданных должна находиться на территории России, а трансграничная передача возможна только с согласия работника (ст. 12 Закона № 152-ФЗ).

Аудит по закону 152-ФЗ «О персональных данных»: как провести

Аудит по 152-ФЗ подразумевает проверку (ч. 1 и 4 ст. 18.1 Закона № 152-ФЗ ):

  • количества и содержания документов: достаточно ли в компании принято актов по работе с персданным и насколько они отражают предъявленные к ним требования (Федеральный закон о персональных данных № 152-ФЗ);
  • качества проводимых процедур: соответствует ли фактический процесс получения, обработки, распространения, хранения и защиты персданных законодательству Российской Федерации и локальным актам компании;
  • ответственности и способов ее преодоления: какие нарушения выявлены, какой вред они могут причинить работникам (иным физлицам) и как их устранить (п. 5 – 6 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Как провести аудит персональных данных

1. Изучите новое законодательство: Закон о персональных данных № 152-ФЗ, Закон № 266-ФЗ, Федеральный закон от 24.02.2021 № 19-ФЗ, Федеральный закон от 30.12.2020 № 519-ФЗ, Приказ Роскомнадзора от 24.02.2021 № 18, новую редакцию ст. 4.5. КоАП РФ и др.

Читайте также:
Как через программу обойти Гугл аккаунт на Андроид

2. Конкретизируйте перечень персданных с учетом специфики деятельности компании (с какими персданными вы работаете).

3. Определите перечень субъектов (чьи персданные вы обрабатываете).

4. Разработайте формы документов (принять и соблюдать правила получения, обработки, хранения, распространения и защиты персданных и всю сопутствующую документацию).

5. Приведите имеющиеся акты и процедуры в соответствии с законом, в том числе составьте уведомления в Роскомнадзор.

6. Выявите допущенные нарушения и по возможности их устраните.

Как подготовиться к проверке Роскомнадзора, читайте в нашем экспертном материале .

Оформление аудита по 152-ФЗ «О персональных данных»

Порядок внутренней проверки и аудита персданных следует указать в локальном нормативном акте компании (ЛНА). Как правило, в отдельном Положении. В нем отражают:

предмет проверки: соблюдение требований законодательства, политики, ЛНА организации по защите ПД.

ее способ и процедуру (включая итоговые результаты, меры и действия по исправлению ошибок);

подтверждение его проведения (варианты оформления).

За составление положения и проведение аудита назначают ответственных. Сделать это следует в приказе.

Как утвердить ЛНА об аудите с помощью грифа или приказа, разъяснят наши опытные эксперты .

Важно! При проверке Роскомнадзора ЛНА об аудите, равно как и отчетные документы, будут свидетельствовать о соблюдении вами закона (ч. 1 и 4 ст. 18.1 Закона № 152-ФЗ).

По результатам аудита принимают отчетные документы: заключения, отчеты, акты и т.д. Выявленные нарушения устраняют уполномоченные лица по поручению, которое оформляют в приказе. Эти работники так же отчитываются по итогам своей работы. Порядок и форму их отчета тоже устанавливают в ЛНА о проведении аудита.

В Положении об аудите вы вправе предусмотреть, что проверку вашей работы с ПД может проводить сторонняя экспертная организация . Об этом с ней дополнительно заключают гражданско-правовой договор (как правило, об оказании услуг). В таком договоре указывают: предмет и срок проверки, процедуру, объем предстоящих услуг, вид и порядок предоставления отчетности, стоимость услуг и порядок оплаты. По итогам аудита оказанные услуги и составленные документа принимают по акту (ст. 779 ГК РФ).

Персональные данные 1 сентября 2022 обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем курсе .

Источник: profkadrovik.ru

Аудит по 152-ФЗ «О персональных данных»

Закон о персональных данных требует, чтобы абсолютно каждый оператор осуществил правовую подготовку по статье 18.1 и техническую подготовку по статье 19 закона.

Также закон требует, чтобы каждый оператор проводил аудит соответствия обработки персональных данных требованиям закона, подзаконным нормативно-правовым актам, политике оператора в отношении обработки персональных данных и внутренним локальным актам оператора. Об этом гласит пункт 5) части 1 статьи 18.1.

В теории все просто: оператор должен открыть сам закон, внимательно вчитаться в статьи 18.1 и 19 закона и реализовать их в жизни. Но на практике все гораздо сложнее, потому что для реализации указанных статей закона нужно иметь понимание требований, а, столкнувшись с общими формулировками закона, неподготовленному (не опытному) читателю понять их совсем не просто.

В итоге без внешней помощи не обойтись. А тем, кто все же отважился реализовать требование статей закона самостоятельно, нужна перепроверка от компетентной организации.

Заказать обратный звонок и получить полное понимание за 10 минут

Что такое аудит по 152-ФЗ?

Под аудитом понимается обследование, анализ и оценка соответствия/готовности требованиям закона и(или) регулятора, проводимые внешней организацией. Аудит по 152-ФЗ делится на два направления: аудит соответствия требованиям закона (проверка правильности и объема выполнения требований закона) и аудит готовности к проверке Роскомнадзора (проверка готовности организации к проверке регулятора).

Если оператор провел подготовку по требованиям закона, то это не значит, что он готов пройти проверку уполномоченного регулятора (Роскомнадзора), так как на проверке запрашиваются дополнительные документы и сведения по предмету проверки. Поэтому любому оператору стоит обратиться за внешней помощью (к экспертной организации) для проверки соответствия/готовности требованиям закона и(или) регулятора.

Что входит в аудит по 152-ФЗ?

Сам аудит может проводиться как комплексом услуг, так и по отдельности:

  • аудит организационно-правовой готовности по статьям закона 18.1 и 19 закона (аудит состава и содержания организационно-распорядительной документации в части обработки и защиты персональных данных);
  • аудит реализации технических мер защиты по статье 19 закона (аудит защищенности информационных систем персональных данных или экспертиза результатов работ);
  • аудит готовности к проверке Роскомнадзора (проведение внутреннего контроля готовности к проверке Роскомнадзора: проверка оператора по типовому плану проверки Роскомнадзора, перепроверка наличия и подписания ОРД, инструктаж персонала, консультации).
Читайте также:
Программа чтобы ПК видел телефон

Как проводится аудит по 152-ФЗ?

Порядок проведения аудита правового соответствия 152-ФЗ следующий:

  1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
    • об организационной структуре организации;
    • бизнес-процессы организации, связанные с обработкой персональных данных;
    • имеющиеся организационно-распорядительные документы в части обработки персональных данных;
    • степень и правильность реализации технических мер защиты;
    • правильность неавтоматизированной (бумажной) обработки персональных данных;
    • взятие согласий с субъектов персональных данных;
    • соответствие договоров с контрагентами требованию закона.
    • Оформление отчета по результатам аудита, включая, среди прочего, следующее:
      • общая оценка выполнения оператором требований закона;
      • оценка выполнения требований статей 18.1 и 19 закона;
      • оценка соответствия подзаконным нормативно-правовым актам;
      • выводы по результатам аудита;
      • рекомендации и замечания по приведению в соответствие.

      Порядок проведения аудита реализации технических мер защиты следующий:

      1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
        • количественные характеристики ИСПДн (количество серверов, рабочих станций и др.);
        • качественные характеристики ИСПДн (операционные системы, СУБД, прикладное ПО и др.);
        • технологии обработки данных в ИСПДн (RDP, Wi-Fi, толстый клиент, тонкий клиент и др.);
        • применяемые средства защиты в ИСПДн;
        • инженерно-техническая защищенность ИСПДн.
        • Оформление отчета по результатам аудита, включая, среди прочего, следующее:
          • перечень законодательных актов, которым ИСПДн должна соответствовать;
          • подробное описание ИСПДн;
          • оценка выполнения оператором требований закона (статьи 19 закона);
          • оценка соответствия подзаконным нормативно-правовым актам;
          • описание реализации технических мер защиты информации;
          • выводы по результатам аудита;
          • рекомендации и замечания по приведению в соответствие.

          Порядок проведения аудита готовности к проверке Роскомнадзора следующий:
          Вы можете узнать стоимость работ по аудиту в рамках 152-ФЗ: 8(800) 550-44-71

          Аудит соответствия 152-ФЗ и аудит готовности к проверке Роскомнадзора: отличия.

          Главное отличие состоит в том, что при реализации оператором требований 152-ФЗ разрабатываются организационно-распорядительные документы в объеме, требуемом для соответствия законодательству, а при проверке Роскомнадзора, на самой проверке запрашиваются еще дополнительные документы и сведения по предмету проверки. Так как закон не содержит конкретный перечень документов для выполнения требований закона, в нем нет и перечня документов, необходимых для прохождения проверки Роскомнадзора. Поэтому операторы, не имеющие реальной практики, не могут однозначно сказать, соответствуют ли они закону и готовы ли они к проверке Роскомнадзора.

          Чтобы стало понятно, приведем цифры:
          Пакет документов для соответствия требованиям закона состоит примерно из 40 документов.
          Пакет документов для прохождения проверки Роскомнадзора — плюс еще около 20 документов.
          Итого полный пакет документов составляет около 60 документов.

          Аудит по 152-ФЗ: цена вопроса.

          Напомним, что аудит по 152-ФЗ делится на три направления:

          1. Аудит правовой готовности (аудит организационно-распорядительной документации по статьям 18.1 и 19 закона и подзаконным нормативно-правовым актам).
          2. Аудит реализации технических мер защиты (аудит защищенности информационных (компьютерных) систем по статье 19 закона).
          3. Аудит готовности к проверке Роскомнадзора (аудит готовности к проверке по типовому плану проверки Роскомнадзора и с учетом практики прохождения проверок).

          Оператор может провести аудит самостоятельно или обратиться за квалифицированной помощью к компетентной организации. Внимание: аудит реализации технических мер защиты может выполнять только лицензиат ФСТЭК России с лицензией на техническую защиту конфиденциальной информации.

          Цена аудита правовой подготовки варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от масштаба организации, которую проверяют (количества контрагентов у организации, количества и класса информационных систем, количества отделов и сотрудников и др.).

          Цена аудита реализации технических мер защиты варьируется в диапазоне от 150 тыс. руб. до 1,5 млн. руб.

          в зависимости от масштаба, класса защищенности, сложности и территориальной распределённости ИСПДн.

          Цена аудита готовности к прохождению проверки Роскомнадзора варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от срочности, т.е. в зависимости от того, сколько времени есть на подготовку. Сверхсрочные услуги, как правило, в два-три раза дороже чем с обычным сроком.

          Обычно при заказе комплексного аудита по 152-ФЗ, включающего правовой, технический аудит и аудит готовности к проверке Роскомнадзора, общая стоимость услуг ниже, чем при заказе каждого вида аудита по отдельности.

          Источник: xn--90ao1ar.xn--p1ai

          Документы по персональным данным необходимые в 2023 году

          Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

          Рейтинг
          ( Пока оценок нет )
          Комментарии0
          Загрузка ...
          Похожие материалы
          EFT-Soft.ru