Как правильно провести аудит персональных данных в компании по 152-ФЗ и для чего это нужно?

Ниже будет рассказано, всем ли компаниям нужно осуществлять эту процедуру в обязательном порядке, и рассмотрено, из каких этапов она состоит. Мы разберем, как правильно провести внутренний либо внешний аудит, а также на что следует обращать внимание при оформлении документов, чтобы не допустить нарушений и избежать штрафов от Роскомнадзора.

Должен ли работодатель проводить аудит персональных данных в обязательном порядке в соответствии с федеральным законом "О персональных данных" от 27.07.2006 № 152-ФЗ?

Аудит персональных данных (ПД) осуществляют, чтобы убедиться в том, что компания правильно взаимодействует с информацией о сотрудниках и третьих лицах, а также предпринимает необходимые меры по её защите. Работодатель имеет право самостоятельно устанавливать сроки и периодичность проверки. Однако, рекомендуется проводить аудит в организации как минимум один раз в год. Кроме того, советуем осуществлять данную процедуру при смене уполномоченного специалиста, занимающегося обработкой/защитой личных сведений, при трудоустройстве нового начальника либо назначении нового владельца имущества, а также перед проверкой Роскомнадзора.

Абсолютно все работодатели должны осуществлять внутренний аудит персональных данных на соответствие нормам Трудового кодекса и требованиям Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ (далее Закона №152). Данная обязанность установлена в п. 4 ч. 1 ст. 18.1 Закона от 27.07.2006. Таким образом, в случае проверки уполномоченными органами работодателю необходимо предоставить документацию, подтверждающую факт осуществления аудита ПД в компании. К такой документации могут относиться протоколы/планы аудита, его правила, отчет о результатах и сам приказ о проведении.

Для чего необходимо осуществлять аудит персональных данных в компании?

Аудит ПД нужен для того, чтобы определить, имеются ли в ЛНА и образцах согласий на обработку/распространение личных сведений нарушения, которые могут привести к наложению штрафов на компанию. Также данная проверка дает возможность установить уровень защищенности персональных данных, процедуру доступа третьих лиц к подобным данным и т.д. После завершения процедуры аудитор не только выявит недочёты, но и предоставит рекомендации по улучшению защиты личных данных сотрудников и предотвращению потенциальных утечек информации. Работодатель должен помнить, что в случае утраты данных необходимо направить соответствующее уведомление в Роскомнадзор и осуществить внутреннюю проверку. При этом за передачу ПД третьим лицам к ответственности привлекут не только компанию, но и уполномоченных сотрудников: юристов, специалистов отдела кадров и работников IT.