Над статьей работали:
Автор: Елена Хребтиевская; редактор: Александр Чепенко
Юридическое лицо намерено соблюдать все требования законодательства
в области защиты персональных данных. Оно осведомлено о том, что закон обязывает организации проводить внутренний контроль и (или) аудит в указанной сфере.
В нашей статье расскажем, на какие моменты компании стоит обратить внимание при проведении такой процедуры, как аудит.
Содержание
- Аудит персональных данных в организации
- Основные направления аудита персональных данных
- Проведение аудита персональных данных
- Акт внутреннего аудита персональных данных
Аудит персональных данных в организации
Персональные данные (далее — ПД) – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Фамилия, имя, отчество, номер телефона, электронная почта становятся персональными данными тогда, когда они могут быть соотнесены с личностью конкретного человека. То есть если гражданин заполнял анкету в магазине для получения бонусной карты с указанием своих имени, фамилии и отчества и отразил там информацию о номере телефона и (или) адресе, такие сведения становятся персональными данными.
Персональные данные можно обрабатывать (собирать, записывать, хранить, систематизировать, обезличивать, блокировать, удалять, уничтожать). Но делать это можно только с соблюдением законодательства в сфере защиты прав и свобод человека и гражданина при обработке его персональных данных. Основным нормативным актом является Федеральный закон от 27.07.2006 № 152-ФЗ (далее – закон № 152).
Оператором ПД называется лицо, которое осуществляет любые из перечисленных действий по их обработке.
Уполномоченным органом государственной власти в указанной сфере является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Закон № 152 предписывает оператору ПД предпринимать меры по защите персональных данных. Одной из них является внутренний контроль и (или) аудит обработки персональных данных.
В рамках такого мероприятия проверяется деятельность по обработке ПД на предмет ее соответствия требованиям законодательства, локальным данным оператора и его политики в области обработки персональных данных (п. 4 ч. 1 ст. 18.1 закона № 152). Аудит в том числе позволяет оценить риски привлечения организации к ответственности за нарушения в указанной сфере при проведении проверок контролирующим ведомством (Роскомнадзором).
Оператор может провести аудит самостоятельно (внутренний) или обратиться за помощью к компетентной организации (внешний).
Закон не содержит предписаний о порядке проведения процедуры. Возьмем в основу нормативные положения о порядке обработки ПД, письма Роскомнадзора и размещенную в свободном доступе информацию о часто выявляемых ошибках и расскажем о том, на что стоит обратить внимание при проведении внутреннего аудита персональных данных. Для удобства восприятия — на примере.
ООО «Сочное фрикасе» занимается ресторанным бизнесом и предоставляет услуги по доставке готовых блюд. В компании действует бонусная система для граждан, заказывающих услуги доставки еды домой (в офис) на сайте. В компании трудится 300 человек, имеется бухгалтерия и отдел кадров (5 специалистов и начальник). В «Сочном фрикасе» есть сотрудник (из числа кадровых работников), ответственный за организацию обработки и защиты в компании (data protection officers, DPO). В его должностные обязанности входит проведение внутренних проверок безопасной обработки ПД в компании.
ООО «Сочное фрикасе» является оператором персональных данных. ПД, которые обрабатывает компания, можно разделить на два вида:
1. Данные о своих клиентах — гражданах, заказывающих еду на сайте и участвующих в бонусной системе (фамилия, имя, отчество, сотовый телефон, адрес электронной почты, почтовый адрес).
2. Данные о своих сотрудниках, кандидатах на работу в компании (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование).
«Сочное фрикасе» хранит личные дела работников на бумажном носителе, на каждого сотрудника – в отдельной папке. Туда помещают анкету, трудовой договор, личную карточку, заявления работника и приказы по нему, а также согласие на обработку персональных.
В компании установлены следующие виды программного обеспечения, которое задействовано в обработке ПД:
— платформа «1С» и дополнительная прикладная программа для расчета заработной платы и управления персоналом. В ней персональные данные формируются в виде отчетности из базы данных программы «1С». Затем эта информация, содержащая отчетные формы с персональными данными, шифруется, подписывается и передается в Социальный фонд России;
— сервисы для автоматизации процесса доставки;
— автоматизированная программа для участия клиентов в бонусной программе.
Приведенные исходные данные имеет значение для планируемого аудита.
Основные направления аудита персональных данных
Итак, ООО «Сочное фрикасе» запланировало провести в своей компании комплексную внутреннюю проверку (аудит) соблюдения законодательства в сфере защиты ПД.
Если в компании есть документ, который закрепляет порядок проведения периодического аудита (рационально не реже 1 раза в год), в котором прописаны его цели, направления проверки, ответственные за процесс аудита лица, — это большой плюс для нее перед контролирующим ведомством. Если такого документа нет, аудит проводить все равно придется. А с направлениями проверки ориентироваться, как говорится, на ходу.
На что стоит обратить внимание:
1. Подавало ли ООО «Сочное фрикасе» в Роскомнадзор уведомление о сборе и обработке персональных данных (ст. 22 закона № 152)?
Закон обязывает подавать такое уведомление в случаях, когда обработка персональных данных осуществляется автоматизированным способом.
В Постановлении Правительства РФ от 15.09.2008 № 687 указано, что если обработка производится в информационных системах, но при этом в ней участвует человек, она считается осуществленной без средств автоматизации.
Здесь возникают споры. Организации считают, что программы используются людьми, значит, это подпадает под обработку неавтоматизированным способом, и уведомление в Роскомнадзор не направляют. Контролирующее ведомство и суды подходят к вопросу более скрупулезно: если одна программа извлекает сведения из другой, формирует файлы и передает персональные данные работников по телекоммуникационным каналам связи без непосредственного участия пользователя, такие действия являются обработкой ПД автоматизированным способом. Стало быть, уведомлять Роскомнадзор необходимо (Постановление ФАС Восточно-Сибирского округа от 05.04.2011 по делу № А19-25289/09).
2. Есть ли в компании необходимый минимум локальных организационно-распорядительных документов в сфере обработки ПД? Перечень следует из п. 2 ч. 1 ст. 18 закона № 152.
Приведем список документов, которые следовало бы иметь «Сочному фрикасе»:
Вид необходимого документа и норма закона | На что обратить внимание |
Политика в области обработки персональных данных (п. 2 ч. 1, ч. 2 ст. 18.1 закона № 152) |
1. Закреплены ли в ней: — цели обработки ПД и принципы; — все категории обрабатываемых данных по субъектам в зависимости от цели обработки. Например, должно быть указано, что адреса электронной почты клиентов берутся для отправки электронных писем о статусе заказа, информационных рассылок, адрес – для доставки еды, телефон – для подтверждения заказа. 2. Опубликована ли она на сайте, ведь сбор ПД клиента осуществляется через Интернет |
Положение о работе с ПД, порядке их хранения, уничтожения и способах защиты (ст. 87 Трудового кодекса РФ, п. 2 ч. 1 ст. 18.1 закона № 152) Может быть один документ или отдельные по каждому вопросу |
В документе должен быть: — конкретный состав ПД, обрабатываемых в организации, — перечень сведений, которые он обрабатывать не вправе (национальная принадлежность, религиозные убеждения, интимная жизнь); — способы обработки; — уполномоченные на обработку лица (кто может иметь к ним доступ); — случаи, когда на обработку согласие не требуется (передача сведений в СФР, налоговые органы, военкомат). — прописаны ли места и способ хранения документов на бумаге (личные дела), меры по обеспечению несанкционированного доступа к ним; — перечень программных продуктов, с помощью которых обрабатываются ПД и способ доступа к ним; — предусмотрено ли удаление сведений о соискателях, не поступивших на работу (способом удаления конфиденциальных документов – просто выбросить их в урну нельзя); — включен ли порядок действий, если клиент захотел удалить свои ПД из организации; — меры по защите (уведомление Роскомнадзора при утечке); — права субъекта на доступ к своим ПД, исправление недостоверных данных, на обжалование действий оператора в суде |
Приказ о назначении сотрудника, ответственного за выполнение законодательства в сфере защиты ПД (п. 1 ч. 1 ст. 18.1 закона № 152) |
Соответствует ли назначенное лицо сведениям, которые передавались в Роскомнадзор. Нарушением является, если прежний ответственный уволился, а нового назначить забыли |
Актуальный перечень сотрудников, допущенных к персональным данным | Есть ли там фамилия, имя, отчество сотрудника и перечень ПД, которые он обрабатывает. Не упустила ли организация работника, который имеет доступ к ПД при обработке заявок на доставку |
Журнал учета лиц, допущенных к обработке (документ необязательный, но для Роскомнадзора будет плюсом) |
Журнал учета лиц, допущенных к обработке (документ необязательный, но для Роскомнадзора будет плюсом) |
Обязательство о неразглашении ПД | Может быть взято у всех сотрудников, которые имеют доступ к ПД, либо включено в их должностную инструкцию или трудовой договор |
Согласие на обработку персональных данных от каждого сотрудника (ч. 1 ст. 6, ст. 9 закона № 152) |
Является ли текст согласия понятным, конкретным и содержит ли он цель обработки ПД |
3. Ознакомлены ли сотрудники с документами, устанавливающими порядок обработки их персональных данных, а также об их правах и обязанностях в этой области (п. 6 ч. 1 ст. 18.1 закона № 152, п. 8 ст. 86 ТК РФ).
Недостаточно, чтобы начальник отдела кадров был включен в перечень сотрудников, которые имеют доступ к персональным данным. Нужно, чтобы он был ознакомлен с соответствующим приказом под подпись.
4. Не обрабатывает ли организация лишние персональные данные (ч. 2,5 ст. 5 закона № 152)?
Например, «Сочному фрикасе» точно не требуются паспортные данные клиентов для организации доставки готовых блюд. Для кадрового подразделения являются излишними паспортные данные членов семьи курьера и фактах его биографии.
Вопросы проверяющего ведомства может вызвать наличие в организации экземпляров резюме кандидатов, которые не оказались трудоустроены в «Сочном фрикасе».
Отдельно стоит обратить внимание на состав личных дел. Излишним будет хранение в них кадровым подразделением копий паспортов, военных билетов, свидетельств о браке и рождении детей.
5. Нет ли у сотрудников излишнего доступа к персональным данным?
У каждого работника должен быть доступ только к тем данным, которые требуются для выполнения именно его обязанностей. Так, специалист, который обрабатывает заказы, не должен иметь доступ к персональным данным сотрудников. А кадровому работнику не требуется доступ к персональным данным клиентов.
6. Ограничен ли несанкционированный доступ в помещения, где хранятся персональные данные на бумажном носителе (запирается ли кабинет с личными делами)?
Мы упоминали, что у ООО «Сочное фрикасе» есть специальный сайт для сбора заказов на доставку, а также установлено программное обеспечение для сотрудников отдела кадров и бухгалтерии, а также сервисы для работников, обрабатывающих заказ на доставку на сайте. Проверка указанных средств обработки должна быть необходимым направлением аудита.
На что здесь стоит обратить внимание:
- имеются ли на автоматизированном рабочем месте (компьютере) сотрудников, которые обрабатывают ПД, антивирусные программы;
- соблюдаются ли правила генерации и смены паролей, заведения и удаления учетных записей. Разграничен ли доступ сотрудников в программное обеспечение в соответствии с целями обработки персональных данных. Например, не может ли специалист, обрабатывающий заявки на доставку, зайти в кадровую программу и посмотреть персональные данные сотрудников;
- соблюдаются ли правила использования съемных носителей (флешек) кадровыми работниками и бухгалтером;
- соответствует ли сайт ООО «Сочное фрикасе» установленным требованиям.
— размещен ли он на российском хостинге (ч. 5 ст. 18 закона № 152).
— подписано ли с разработчиком сайта соглашение о неразглашении персональных данных, полученных в ходе технического сопровождения сайта;
— размещена ли на сайте политика обработки ПД в ООО «Сочное фрикасе» и обеспечена ли возможность клиенту ознакомиться с ней и выразить свое согласие (кликабельная ссылка и окно для галочки);
— может ли клиент обратиться за удалением персональных данных о себе и отслеживаются ли эти запросы (в ООО «Сочное фрикасе» на сайте указан адрес электронной почты, куда можно обратиться с этим вопросом, и назначено лицо, которое следит за электронной почтой);
— не используется ли на сайте метрические системы сбора данных без уведомления об этом пользователей (п. 1 ч. 4 ст. 12 закона № 152). Например, Google Analytics, аналитический сервис, который собирает статистику о посетителях сайта. Сервер программы расположен за пределами РФ; - соответствует ли программное обеспечение, которое использует отдел кадров, бухгалтерия, и программа, которая автоматизирует службу доставки и бонусную систему, требованиям в области защиты персональных данных:
— регулярно ли оно обновляется;
— имеют ли к нему доступ только уполномоченные сотрудники;
— реализуются ли правила разграничения доступа, определены ли полномочия пользователя.
Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены Постановлением Правительства РФ от 01.11.2012 № 1119.
Проведение аудита персональных данных
Процедура проведения аудита включает в себя следующие действия:
1. Издание приказа о проведении аудита. В нем нужно указать лиц, участвующих в проверке, и даты его проведения.
Утверждение плана проверочных мероприятий по направлениям аудита в зависимости от того, какие персональные данные компания собирает и в каких целях.
2. Непосредственное проведение проверки: анализ документов, осмотр состояния помещений, где хранятся персональные данные, проверка программ и оборудования, обрабатывающего персональные данные, анализ содержания сайта.
3. Подготовка итогового документа о результатах.
Акт внутреннего аудита персональных данных
Результаты проведенного аудита следует оформить документально.
В вводной части необходимо указать реквизиты приказа о проведении аудита и цель, с которой он проводился.
В основной части надо проанализировать соблюдение требований безопасности обработки персональных данных в организации. Удобно сделать это в виде таблицы. В качестве примера для ООО «Сочное фрикасе» приведем возможный фрагмент.
Направление проверки из плана и норма закона (при наличии) |
Результат проверки | Возможные способы устранения |
Отсутствие в личных делах излишних документов | В некоторых личных делах обнаружены копии паспортов сотрудников | Убрать лишние документы |
Отсутствие избыточных сведений при приеме заказа на сайте | Форма заказа на сайте предусматривает указание фамилии, имени, отчества. Однако для заказа достаточно только имени |
Доработать сайт и убрать лишние поля для заполнения клиентом |
Наличие на сайте документа об обработке ПД | На сайте пользователю найти политику непросто. Он находится во вкладке «Конфиденциальность», на которую нужно перейти через 4 шага. При оформлении заказа после граф для ввода телефона, адреса и имени на странице имеется ссылка на политику обработку ПД и есть возможность выразить посетителю сайта согласие или отказаться от него |
Предлагается доработать сайт таким образом, чтобы политика стала легкодоступной |
В заключительной части следует:
— сформулировать результат проверки;
— указать сроки устранения недостатков (план устранения нарушений можно вынести в отдельный документ);
— обозначить дату проведения мероприятия по контролю за ликвидацией нарушений.
Вы можете оставить первый комментарий