Аудит системы работы с персональными данными
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 ФЗ-152).
Штрафы за нарушение законодательства в этой сфере работы с персональными данными довольно суровые: для юрлиц — от 30 тыс. до 18 млн рублей (ст. 13.11 КоАП).
Работодателю грозит и уголовная ответственность: штрафы, исправительные, обязательные и принудительные работы, лишение права заниматься определенной деятельностью, арест и даже лишение свободы (ст. ст. 13.11, 13.12, 13.14 и 19.7 КоАП РФ, ст. ст. 137 и 272 УК РФ).
Новые штрафы за утечку персональных данных и другие нарушения при работе с ними: закон N 420-ФЗ от 30.11.2024 г. принят. С 30 мая 2025 года операторам персональных данных грозят крупные штрафы по КоАП РФ за действия (бездействие), из-за которых произошла незаконная передача этих сведений. Начнут применяться более строгие наказания за непредставление Роскомнадзору ряда уведомлений. Штрафы значительно увеличены.
Полный перечень штрафов вы можете скачать PDF здесь.
Аудит системы работы с персональными данными предполагает проверку соблюдения требований законодательства по сбору, передаче, записи, хранению, извлечению, изменению, обезличиванию, анализу, удалению персональных данных.
Перечень документов, включенных в аудит:
| Документы | Подробнее |
|---|---|
| 1. Политика об обработке и защите персональных данных (в части управления персоналом) | основополагающий документ, который объясняет принципы работы компании с личными данными клиентов, работников и других физлиц |
| 2. Положение о персональных данных работников | Устанавливает порядок обработки, а также права и обязанности работодателя, работника в сфере защиты персональных данных (ПД) |
| 3. Локальные акты по вопросам обработки персональных данных | Определяют для каждой цели обработки ПД: • категории и перечень ПД; • категории ПД; • способы обработки; • сроки обработки и хранения; • порядок уничтожения ПД |
| 4. Документированные процедуры по предотвращению и выявлению нарушений законодательства о ПД, устранению последствий нарушений (в части управления персоналом) | Устанавливают способы и средства защиты ПД, порядок действий при утечках личной информации и других инцидентах |
С 1 сентября 2022 г. внутренний контроль (аудит) персональных данных должен проводить каждый работодатель ((ст. 18.1 Закона № 152-ФЗ). Из рекомендательной данная норма превратилась в обязательную. Способ и порядок аудита работодатель выбирает самостоятельно.
Внутренний контроль (аудит) – это проверка обработки персональных данных на соответствие (п. 4 ч. 1 ст. 18.1 Закона № 152-ФЗ):
• Закону № 152-ФЗ и нормативным правовым актам, принятым во исполнение;
• требованиям к защите персональных данных;
• политике оператора в отношении обработки персональных данных;
• локальным актам оператора.
Следовательно, аудит (внутренний контроль) помогает оценить реальное положение дел в работе с ПД до прихода инспектора Роскомнадзора, исправить нарушения.
Аудит по закону 152-ФЗ «О персональных данных»: как провести
Аудит по 152-ФЗ подразумевает проверку (ч. 1 и 4 ст. 18.1 Закона № 152-ФЗ):
• количества и содержания документов: достаточно ли в компании принято актов по работе с персданным и насколько они отражают предъявленные к ним требования (Федеральный закон о персональных данных № 152-ФЗ);
• качества проводимых процедур: соответствует ли фактический процесс получения, обработки, распространения, хранения и защиты персданных законодательству Российской Федерации и локальным актам компании;
• ответственности и способов ее преодоления: какие нарушения выявлены, какой вред они могут причинить работникам (иным физлицам) и как их устранить (п. 5 – 6 ч. 1 ст. 18.1 Закона № 152-ФЗ).
Стоимость аудита системы персональных данных определяется индивидуально в зависимости от задач аудита.
Задать вопросы, получить консультацию и рассчитать стоимость аудита системы персональных данных можно по электронной почте info@hrhd.ru или по телефону +79301253135, подписывайтесь и читайте мой телеграмм канал https://t.me/HresHdev