Процессы обработки персональных данных на предприятии, обеспечение их конфиденциальности должны быть задокументированы.

Внутренний аудит персональных данных позволит определить, насколько эти процессы соответствуют требованиям законодательства и своевременно подготовиться к проверкам соблюдений требования закона о персональных данных.

Требования к обработке персональных данных

Меры по защите доверенных компании персональных данных клиентов и сотрудников определяются нормами Федерального закона «О персональных данных». 

Они призваны обеспечить:

• конфиденциальность данных;
• обязательное уведомление субъекта персональных данных о целях и порядке их обработки;
• соблюдение условий передачи данных третьим лицам;
• блокировку, изменение и уничтожение данных по требованию правообладателя.

Регламенты проведения этих действий с данными прописываются во внутренних регламентах компании по работе с персональными данными, которые утверждаются на уровне руководства. Требования к программным продуктам и аппаратным средствам, обеспечивающим защиту персональных данных (брандмауэрам, антивирусам, средствам криптографической защиты), устанавливаются рекомендациями и другими нормативными актами ФСТЭК и ФСБ РФ. Несоблюдение требований может привести к проблемам. Так, при проверке работы с данными Роскомнадзором или ФСТЭК РФ компании может быть вынесено предписание об устранении нарушений и наложен административный штраф.

Организация системы внутреннего аудита обработки данных

Крупные компании имеют в своей структуре подразделение, на которое возлагается обязанность по внутреннему аудиту всех бизнес-процессов организации. В его обязанности вменяется и проверка соблюдения условий обработки персональных данных. 

Если подразделения по контролю работы с данными нет, то приказом руководителя создается рабочая группа по контролю обработки данных, в состав которой входят сотрудники административного отдела, юридического подразделения, службы безопасности и ИТ-подразделения.

Объем и сроки проведения аудита работы с данными определяются в том же приказе руководства, которым утверждается состав рабочей группы. Руководителем рабочей группы назначается один из заместителей директора компании, имеющий властные полномочия и возможность отдавать сотрудникам распоряжения, обязательные для выполнения. 

Внутренняя проверка соблюдения регламентов по обработке персональных данных включает:

• аудит ИТ-инфраструктуры, в рамках которого изучаются программные и аппаратные средства защиты безопасности персональных данных;
• анализ организационно-распорядительной документации, устанавливающий факт ее наличия и исполнения. На предприятии должен быть внедрен регламент обработки персональных данных, разграничен доступ пользователей к конфиденциальной информации, утверждены приказы, назначающие лиц, отвечающих за качество обработки данных;
• бизнес-процессы, связанные с обработкой персональных данных.

Итогом работы внутренних аудиторов работы с данными должны стать рекомендации, описывающие достоинства и недостатки существующей системы и предлагающие решения по ее оптимизации как с кадровой, так и с организационно-технической точки зрения. Проведение аудита должно предшествовать плановым проверкам соблюдения законодательства. Узнать о том, включена ли компания в план проверок ФСТЭК РФ на следующий год, можно на сайте Генпрокуратуры, Роскомнадзор дублирует информацию на своем сайте.

17.12.2019