Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Аудит персональных данных

Над статьей работали:
редактор: Александр Чепенко

Юридическое лицо намерено соблюдать все требования законодательства
в области защиты персональных данных. Оно осведомлено о том, что закон обязывает организации проводить внутренний контроль и (или) аудит в указанной сфере.
В нашей статье расскажем, на какие моменты компании стоит обратить внимание при проведении такой процедуры, как аудит.

Содержание

  1. Аудит персональных данных в организации
  2. Основные направления аудита персональных данных
  3. Проведение аудита персональных данных
  4. Акт внутреннего аудита персональных данных

Аудит персональных данных в организации

Персональные данные (далее — ПД) – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Фамилия, имя, отчество, номер телефона, электронная почта становятся персональными данными тогда, когда они могут быть соотнесены с личностью конкретного человека. То есть если гражданин заполнял анкету в магазине для получения бонусной карты с указанием своих имени, фамилии и отчества и отразил там информацию о номере телефона и (или) адресе, такие сведения становятся персональными данными.

Персональные данные можно обрабатывать (собирать, записывать, хранить, систематизировать, обезличивать, блокировать, удалять, уничтожать). Но делать это можно только с соблюдением законодательства в сфере защиты прав и свобод человека и гражданина при обработке его персональных данных. Основным нормативным актом является Федеральный закон от 27.07.2006 № 152-ФЗ (далее – закон № 152).

Оператором ПД называется лицо, которое осуществляет любые из перечисленных действий по их обработке.

Уполномоченным органом государственной власти в указанной сфере является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Закон № 152 предписывает оператору ПД предпринимать меры по защите персональных данных. Одной из них является внутренний контроль и (или) аудит обработки персональных данных.

В рамках такого мероприятия проверяется деятельность по обработке ПД на предмет ее соответствия требованиям законодательства, локальным данным оператора и его политики в области обработки персональных данных (п. 4 ч. 1 ст. 18.1 закона № 152). Аудит в том числе позволяет оценить риски привлечения организации к ответственности за нарушения в указанной сфере при проведении проверок контролирующим ведомством (Роскомнадзором).

Оператор может провести аудит самостоятельно (внутренний) или обратиться за помощью к компетентной организации (внешний).

Закон не содержит предписаний о порядке проведения процедуры. Возьмем в основу нормативные положения о порядке обработки ПД, письма Роскомнадзора и размещенную в свободном доступе информацию о часто выявляемых ошибках и расскажем о том, на что стоит обратить внимание при проведении внутреннего аудита персональных данных. Для удобства восприятия — на примере.

ООО «Сочное фрикасе» занимается ресторанным бизнесом и предоставляет услуги по доставке готовых блюд. В компании действует бонусная система для граждан, заказывающих услуги доставки еды домой (в офис) на сайте. В компании трудится 300 человек, имеется бухгалтерия и отдел кадров (5 специалистов и начальник). В «Сочном фрикасе» есть сотрудник (из числа кадровых работников), ответственный за организацию обработки и защиты в компании (data protection officers, DPO). В его должностные обязанности входит проведение внутренних проверок безопасной обработки ПД в компании.

ООО «Сочное фрикасе» является оператором персональных данных. ПД, которые обрабатывает компания, можно разделить на два вида:

1. Данные о своих клиентах — гражданах, заказывающих еду на сайте и участвующих в бонусной системе (фамилия, имя, отчество, сотовый телефон, адрес электронной почты, почтовый адрес).

2. Данные о своих сотрудниках, кандидатах на работу в компании (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование).
«Сочное фрикасе» хранит личные дела работников на бумажном носителе, на каждого сотрудника – в отдельной папке. Туда помещают анкету, трудовой договор, личную карточку, заявления работника и приказы по нему, а также согласие на обработку персональных.
В компании установлены следующие виды программного обеспечения, которое задействовано в обработке ПД:
— платформа «1С» и дополнительная прикладная программа для расчета заработной платы и управления персоналом. В ней персональные данные формируются в виде отчетности из базы данных программы «1С». Затем эта информация, содержащая отчетные формы с персональными данными, шифруется, подписывается и передается в Социальный фонд России;
— сервисы для автоматизации процесса доставки;
— автоматизированная программа для участия клиентов в бонусной программе.
Приведенные исходные данные имеет значение для планируемого аудита.

Основные направления аудита персональных данных

Итак, ООО «Сочное фрикасе» запланировало провести в своей компании комплексную внутреннюю проверку (аудит) соблюдения законодательства в сфере защиты ПД.

Если в компании есть документ, который закрепляет порядок проведения периодического аудита (рационально не реже 1 раза в год), в котором прописаны его цели, направления проверки, ответственные за процесс аудита лица, — это большой плюс для нее перед контролирующим ведомством. Если такого документа нет, аудит проводить все равно придется. А с направлениями проверки ориентироваться, как говорится, на ходу.

На что стоит обратить внимание:

1. Подавало ли ООО «Сочное фрикасе» в Роскомнадзор уведомление о сборе и обработке персональных данных (ст. 22 закона № 152)?
Закон обязывает подавать такое уведомление в случаях, когда обработка персональных данных осуществляется автоматизированным способом.
В Постановлении Правительства РФ от 15.09.2008 № 687 указано, что если обработка производится в информационных системах, но при этом в ней участвует человек, она считается осуществленной без средств автоматизации.
Здесь возникают споры. Организации считают, что программы используются людьми, значит, это подпадает под обработку неавтоматизированным способом, и уведомление в Роскомнадзор не направляют. Контролирующее ведомство и суды подходят к вопросу более скрупулезно: если одна программа извлекает сведения из другой, формирует файлы и передает персональные данные работников по телекоммуникационным каналам связи без непосредственного участия пользователя, такие действия являются обработкой ПД автоматизированным способом. Стало быть, уведомлять Роскомнадзор необходимо (Постановление ФАС Восточно-Сибирского округа от 05.04.2011 по делу № А19-25289/09).

2. Есть ли в компании необходимый минимум локальных организационно-распорядительных документов в сфере обработки ПД? Перечень следует из п. 2 ч. 1 ст. 18 закона № 152.

Приведем список документов, которые следовало бы иметь «Сочному фрикасе»:

       Вид необходимого документа и норма закона На что обратить внимание
Политика в области обработки персональных данных
(п. 2 ч. 1, ч. 2 ст. 18.1 закона
№ 152)
1. Закреплены ли в ней:
— цели обработки ПД и принципы;
— все категории обрабатываемых данных по субъектам в зависимости от цели обработки.
Например, должно быть указано, что адреса электронной почты клиентов берутся для отправки электронных писем о статусе заказа, информационных рассылок, адрес – для доставки еды, телефон – для подтверждения заказа.
2. Опубликована ли она на сайте, ведь сбор ПД клиента осуществляется через Интернет
Положение о работе с ПД,
порядке их хранения, уничтожения и способах защиты
(ст. 87 Трудового кодекса РФ, п. 2 ч. 1 ст. 18.1 закона № 152)
Может быть один документ или отдельные по каждому вопросу
В документе должен быть:
— конкретный состав ПД, обрабатываемых в организации,
— перечень сведений, которые он обрабатывать не вправе (национальная принадлежность, религиозные убеждения, интимная жизнь);
— способы обработки;
— уполномоченные на обработку лица (кто может иметь к ним доступ);
— случаи, когда на обработку согласие не требуется (передача сведений в СФР, налоговые органы, военкомат).
— прописаны ли места и способ хранения документов на бумаге (личные дела), меры по обеспечению несанкционированного доступа к ним;
— перечень программных продуктов, с помощью которых обрабатываются ПД и способ доступа к ним;
— предусмотрено ли удаление сведений о соискателях, не поступивших на работу (способом удаления конфиденциальных документов – просто выбросить их в урну нельзя);
— включен ли порядок действий, если клиент захотел удалить свои ПД из организации;
— меры по защите (уведомление Роскомнадзора при утечке);
— права субъекта на доступ к своим ПД, исправление недостоверных данных, на обжалование действий оператора в суде
Приказ о назначении сотрудника, ответственного за выполнение законодательства в сфере защиты ПД
(п. 1 ч. 1 ст. 18.1 закона № 152)
Соответствует ли назначенное лицо сведениям, которые передавались в Роскомнадзор. Нарушением является, если прежний ответственный уволился, а нового назначить забыли
Актуальный перечень сотрудников, допущенных к персональным данным Есть ли там фамилия, имя, отчество сотрудника и перечень ПД, которые он обрабатывает. Не упустила ли организация работника, который имеет доступ к ПД при обработке заявок на доставку
Журнал учета лиц, допущенных к обработке
(документ необязательный, но для Роскомнадзора будет плюсом)
Журнал учета лиц, допущенных к обработке
(документ необязательный, но для Роскомнадзора будет плюсом)
Обязательство о неразглашении ПД Может быть взято у всех сотрудников, которые имеют доступ к ПД, либо включено в их должностную инструкцию или трудовой договор
Согласие на обработку персональных данных от каждого сотрудника
(ч. 1 ст. 6, ст. 9 закона № 152)
Является ли текст согласия понятным, конкретным и содержит ли он цель обработки ПД

3. Ознакомлены ли сотрудники с документами, устанавливающими порядок обработки их персональных данных, а также об их правах и обязанностях в этой области (п. 6 ч. 1 ст. 18.1 закона № 152, п. 8 ст. 86 ТК РФ).
Недостаточно, чтобы начальник отдела кадров был включен в перечень сотрудников, которые имеют доступ к персональным данным. Нужно, чтобы он был ознакомлен с соответствующим приказом под подпись.

4. Не обрабатывает ли организация лишние персональные данные (ч. 2,5 ст. 5 закона № 152)?
Например, «Сочному фрикасе» точно не требуются паспортные данные клиентов для организации доставки готовых блюд. Для кадрового подразделения являются излишними паспортные данные членов семьи курьера и фактах его биографии.
Вопросы проверяющего ведомства может вызвать наличие в организации экземпляров резюме кандидатов, которые не оказались трудоустроены в «Сочном фрикасе».
Отдельно стоит обратить внимание на состав личных дел. Излишним будет хранение в них кадровым подразделением копий паспортов, военных билетов, свидетельств о браке и рождении детей.

5. Нет ли у сотрудников излишнего доступа к персональным данным?
У каждого работника должен быть доступ только к тем данным, которые требуются для выполнения именно его обязанностей. Так, специалист, который обрабатывает заказы, не должен иметь доступ к персональным данным сотрудников. А кадровому работнику не требуется доступ к персональным данным клиентов.

6. Ограничен ли несанкционированный доступ в помещения, где хранятся персональные данные на бумажном носителе (запирается ли кабинет с личными делами)?
Мы упоминали, что у ООО «Сочное фрикасе» есть специальный сайт для сбора заказов на доставку, а также установлено программное обеспечение для сотрудников отдела кадров и бухгалтерии, а также сервисы для работников, обрабатывающих заказ на доставку на сайте. Проверка указанных средств обработки должна быть необходимым направлением аудита.
На что здесь стоит обратить внимание:

  • имеются ли на автоматизированном рабочем месте (компьютере) сотрудников, которые обрабатывают ПД, антивирусные программы;
  • соблюдаются ли правила генерации и смены паролей, заведения и удаления учетных записей. Разграничен ли доступ сотрудников в программное обеспечение в соответствии с целями обработки персональных данных. Например, не может ли специалист, обрабатывающий заявки на доставку, зайти в кадровую программу и посмотреть персональные данные сотрудников;
  • соблюдаются ли правила использования съемных носителей (флешек) кадровыми работниками и бухгалтером;
  • соответствует ли сайт ООО «Сочное фрикасе» установленным требованиям.
    — размещен ли он на российском хостинге (ч. 5 ст. 18 закона № 152).
    — подписано ли с разработчиком сайта соглашение о неразглашении персональных данных, полученных в ходе технического сопровождения сайта;
    — размещена ли на сайте политика обработки ПД в ООО «Сочное фрикасе» и обеспечена ли возможность клиенту ознакомиться с ней и выразить свое согласие (кликабельная ссылка и окно для галочки);
    — может ли клиент обратиться за удалением персональных данных о себе и отслеживаются ли эти запросы (в ООО «Сочное фрикасе» на сайте указан адрес электронной почты, куда можно обратиться с этим вопросом, и назначено лицо, которое следит за электронной почтой);
    — не используется ли на сайте метрические системы сбора данных без уведомления об этом пользователей (п. 1 ч. 4 ст. 12 закона № 152). Например, Google Analytics,  аналитический сервис, который собирает статистику о посетителях сайта. Сервер программы расположен за пределами РФ;
  • соответствует ли программное обеспечение, которое использует отдел кадров, бухгалтерия, и программа, которая автоматизирует службу доставки и бонусную систему, требованиям в области защиты персональных данных:
    — регулярно ли оно обновляется;
    — имеют ли к нему доступ только уполномоченные сотрудники;
    — реализуются ли правила разграничения доступа, определены ли полномочия пользователя.

Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены Постановлением Правительства РФ от 01.11.2012 № 1119.

Проведение аудита персональных данных

Процедура проведения аудита включает в себя следующие действия:

1. Издание приказа о проведении аудита. В нем нужно указать лиц, участвующих в проверке, и даты его проведения.
Утверждение плана проверочных мероприятий по направлениям аудита в зависимости от того, какие персональные данные компания собирает и в каких целях.

2. Непосредственное проведение проверки: анализ документов, осмотр состояния помещений, где хранятся персональные данные, проверка программ и оборудования, обрабатывающего персональные данные, анализ содержания сайта.

3. Подготовка итогового документа о результатах.

Акт внутреннего аудита персональных данных

Результаты проведенного аудита следует оформить документально.

В вводной части необходимо указать реквизиты приказа о проведении аудита и цель, с которой он проводился.

В основной части надо проанализировать соблюдение требований безопасности обработки персональных данных в организации. Удобно сделать это в виде таблицы. В качестве примера для ООО «Сочное фрикасе» приведем возможный фрагмент.

Направление проверки из плана
и норма закона (при наличии)
Результат проверки Возможные способы устранения
Отсутствие в личных делах излишних документов В некоторых личных делах обнаружены копии паспортов сотрудников Убрать лишние документы
Отсутствие избыточных сведений при приеме заказа на сайте Форма заказа на сайте предусматривает указание фамилии, имени, отчества.
Однако для заказа достаточно только имени
Доработать сайт и убрать лишние поля для заполнения клиентом
Наличие на сайте документа об обработке ПД На сайте пользователю найти политику непросто. Он находится во вкладке «Конфиденциальность», на которую нужно перейти через 4 шага.
При оформлении заказа после граф для ввода телефона, адреса и имени на странице имеется ссылка на политику обработку ПД и есть возможность выразить посетителю сайта согласие или отказаться от него
Предлагается доработать сайт таким образом, чтобы политика стала легкодоступной

В заключительной части следует:
— сформулировать результат проверки;
— указать сроки устранения недостатков (план устранения нарушений можно вынести в отдельный документ);
— обозначить дату проведения мероприятия по контролю за ликвидацией нарушений.

эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь