Аудит системы персональных данных
Аудит системы обработки и хранения персональных данных — это комплексная проверка организации на предмет соответствия требованиям законодательства о защите информации. В ходе аудита анализируются процессы сбора, учёта, хранения, использования и уничтожения персональных данных в соответствии с ФЗ-152 «О персональных данных» и ФЗ-149 «Об информации, информационных технологиях и о защите информации».
Организацию могут проверить контролирующий орган — Роскомнадзор (РКН), а также провести самостоятельный анализ для минимизации рисков административных штрафов. Срок давности привлечения к ответственности по ст. 13.11 КоАП РФ составляет один год со дня совершения правонарушения.
1. Организация документарной и операционной составляющей
Перед началом обработки персональных данных организация обязана утвердить политику в области защиты информации и положение об обработке ПДн. Политика должна содержать сведения о целях сбора, категориях ПДн, действиях с ними и мерах по их защите (ст. 18.1 ч. 1 ФЗ-152).
Положение должно предусматривать порядок назначения ответственных лиц, перечень технических средств защиты, сроки хранения и уничтожения документов. Согласно ст. 22 ФЗ-152, оператор обязан обеспечить безопасность ПДн при их обработке в соответствии с требованиями к защите, установленными уполномоченным органом. Срок действия локального акта — до внесения изменений в нормативные акты.
2. Проверка наличия разрешительной документации
При наличии обработки специальных категорий или биометрических данных либо автоматизированной обработки без бумажных носителей оператор обязан получить согласие субъекта (ст. 6 и ст. 10 ФЗ-152). В случае применения кадровых сервисов (кадровых HRM) допускается использование электронных согласий, подписанных усиленной квалифицированной электронной подписью.
Если обработка осуществляется на основании трудового или гражданско-правового договора — наличие отдельного согласия не требуется при условии информирования субъекта о целях и способах обработки. Проверяется соответствие формы согласия требованиям приказа Роскомнадзора № 139 от 2022 года: срок действия, перечень информации, возможность отзыва.
3. Анализ технических и организационных мер защиты
В соответствии с ч. 4 ст. 19 ФЗ-152, оператор обязан принимать меры по обеспечению безопасности ПДн, включая преобразование персональных данных в нечитаемую форму (шифрование), контроль доступа персонала и регистрацию действий с данными.
Сроки реализации: на основании требования Роскомнадзора о защите ПДн, оператор должен устранить нарушения в течение 10 рабочих дней. При угрозе утечки — в срок, согласованный с регулятором. Сумма штрафа по ч. 6 ст. 13.11 КоАП РФ для юрлиц при отсутствии специальных мер составляет от 300 до 600 тыс. руб.
4. Проверка процедур учёта и хранения
Организация обязана вести реестр обработки ПДн в электронной форме (ч. 7 ст. 22 ФЗ-152). В реестре указываются цели, категории субъектов, категории данных, перечень действий, сроки хранения, источники получения и меры защиты.
Срок актуализации реестра — не реже одного раза в год либо при изменении целей или способов обработки. При наличии договоров с третьими лицами (ОЦО, подрядчики) в реестре должны быть отражены сведения о заключённых соглашениях об обработке ПДн. Отсутствие реестров — основание для штрафа до 100 тыс. руб. по ст. 19.7 КоАП РФ.
5. Актуализация информации и работа с запросами
Оператор обязан уведомлять Роскомнадзор об изменении персональных сведений в реестре не позднее 15 рабочих дней со дня таких изменений (ч. 7 ст. 22 ФЗ-152). При прекращении обработки ПДн — уничтожить их в течение 30 календарных дней, но не более чем через год с момента прекращения отношений.
Сроки рассмотрения обращений субъектов ПДн: на предоставление информации — до 10 рабочих дней; на отзыв согласия или прекращение обработки — в срок, не превышающий 30 дней. Неисполнение требований влечёт штраф по ч. 8 ст. 13.11 КоАП РФ (от 60 тыс. до 1 млн руб.).
Что важно запомнить
- Система ПДн должна быть оформлена внутренними документами и зарегистрирована в РКН.
- Технические и организационные меры защиты — обязательны; отсутствие спецмер грозит штрафом до 600 тыс. руб.
- В реестре обработки указываются все ключевые параметры по каждой цели; актуализация — раз в год или при изменениях.
- Запросы субъектов обрабатываются строго в сроки: 10/30 рабочих дней.
- При утечке необходимо действовать по протоколу РКН и минимизировать ущерб; срок устранения нарушений для оператора определяется регулятором.