Юридический аудит соблюдения законодательства о персональных данных
Проверка деятельности организации на предмет соблюдения законодательства о персональных данных
Ведение деятельности в области обработки персональных данных неразрывно связано с отслеживанием меняющегося законодательства в этой сфере. Несмотря на то, что проверки контролирующих органов проходят на основании уведомления (приказа) о проведении в отношении оператора персональных данных проверки, подготовится к такой проверке в короткий срок достаточно сложно. При этом осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству о персональных данных, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора предусмотрено статьей 18.1 Федерального закона «О персональных данных». Проведение аудита сторонней организацией позволяет посмотреть на весь блок работы организации в области персональных данных со стороны и обнаружить недочеты в работе. В связи с этим операторам персональных данных рекомендуется проводить сторонний юридический аудит соблюдения законодательства о персональных данных.
Юридический аудит соблюдения актуального законодательства о персональных данных включает в себя изучение всех процессов, связанных с персональными данными в организации или у индивидуального предпринимателя. Основными задачами юридического аудита являются анализ имеющихся локальных документов о персональных данных, проверка уровня защищенности персональных данных, разработка рекомендаций для соблюдения законодательства о персональных данных. Вместе с тем, юридический аудит позволяет разобраться руководству организации с реальным положением дел в области персональных данных, исправить имеющиеся нарушения и, как следствие, избежать ответственности. Как правило, внешний юридический аудит разделяют на несколько этапов:
- Проверка имеющихся документов в сфере обработки персональных данных. Все имеющие документы в организации должны соответствовать всем актуальным нормам законодательства в сфере персональных данных. Важно также, чтобы было назначено ответственное лицо, которое отвечает за соблюдение законодательство о персональных данных.
- Сбор информации и наблюдение за обработкой персональных данных. При получении информации и проведении наблюдения выясняются документы, места и процессы в которых используются персональные данные. А также проводится анализ соответствия имеющихся документов в совокупности с проводимыми процессами с использованием персональных данных.
- Анализ информационных систем, технических средств защиты с помощью которых обрабатываются персональные данные. На этом этапе определяются информационные системы, процесс защиты персональных данных, обрабатываемых с помощью информационных систем.
- Формирование рекомендаций, позволяющих исключить нарушения законодательства в области обработки персональных данных. На этом этапе, помимо формирования рекомендаций, руководство компании получает комплексную консультацию по соблюдению законодательства в области персональных данных.
Вместе с тем, аудит соблюдения законодательства в области персональных данных можно провести самостоятельно, это называется внутренним контролем, однако в этом случае необходимо составить отдельное соответствующее положение, утвердить его и ввести в действие. Несмотря на то, что законодательно не закреплена обязанность по разработке такого документа, но для формирования процедуры внутреннего контроля составить такой документ придется. Это связано с тем, что при проведении проверки необходимо показать контролирующему органу установленную в организации процедуру внутреннего контроля. Проведение юридического аудита сторонней организацией осуществляется на основании договора на оказание услуг, в котором прописывается формат проводимого аудита. Такой договор и полученные в ходе его исполнения рекомендации станут доказательством для Роскомнадзора о проведении аудита соответствия обработки персональных данных требованиям установленным законодательством.
По итогам проведения внутреннего контроля или стороннего аудита по соблюдению законодательства о персональных данных составляют отчетные документы (заключения, отчеты, акты, служебные записки, рекомендации). Для устранения обнаруженных недочетов, нарушений и несоответствий необходимо издать приказ, в котором отразить ответственных лиц за устранение обнаруженных нарушений и сроки их исполнения.
Рекомендации сторонней организации, проводящей аудит соблюдения законодательства о персональных данных, включают в себя:
- Общие рекомендации по ведению деятельности по обработке персональных данных.
- Необходимые внесения изменения в имеющие документы в сфере обработки персональных данных или формирование необходимых документов в этой сфере, если таковых документов в организации не было.
- Необходимые изменения в системе защите персональных данных, в том числе по защите информационных систем, с помощью которых происходит обработка персональных данных.
Проведение юридического аудита соблюдения законодательства о персональных данных сторонней организацией позволяет получить квалифицированное мнение опытных юристов, которое позволит минимизировать неблагоприятные последствия в случае нарушения законодательства при обработке персональных данных.
Юридические услуги
- Консультирование по вопросам обработки персональных данных
- Проверка имеющихся у организации документов на соответствие законодательства в области обработки персональных данных
- Составление отчета о проведении юридического аудита соблюдения законодательства о персональных данных
- Подготовка рекомендаций по устранению нарушений законодательства в области обработки персональных данных
- Подготовка необходимых документов в области обработки персональных данных