Аудит системы защиты персональных данных – это способ для компании проверить, как обрабатываются и защищаются личные данные сотрудников и клиентов. Речь идет о том, на каком основании данные собираются, как они хранятся и передаются, и все ли соответствует требованиям закона (Федеральный закон от 27.07.2006 №152-ФЗ, Закон 152).
Оценка эффективности защиты персональных данных важна, поскольку, проведя такой аудит, компания может убедиться, что все ее действия и внутренние документы соответствуют Закону о персональных данных, а также внутренней политике компании по их защите. Это помогает избежать крупных штрафов и проблем с законом (ст. 5.39, 13.11, 13.14, 19.7 КоАП РФ и ст. 137, 272 УК РФ).
По сути, аудит позволяет компании увидеть, что происходит с персональными данными на практике, и выявить возможные нарушения до того, как это сделает Роскомнадзор. Таким образом, можно не только избежать штрафов, но и вовремя устранить любые недочеты, выполнив требования закона по контролю и аудиту (п. 4 ч. 1 ст. 18.1 Закона №152-ФЗ).
Предмет аудита по Закону 152-ФЗ
Во время аудита персональных данных, согласно ст. 18.1 и 19 Закона №152-ФЗ «О персональных данных», проверяются несколько ключевых аспектов:
- Правовая готовность. Это означает, что проверяется наличие у компании всех необходимых документов, которые могут понадобиться при проверке Роскомнадзора. Это правоустанавливающие документы, организационно-распорядительные акты и другие бумаги, подтверждающие соответствие компании требованиям закона.
- Технические меры защиты. Важная часть аудита – оценка того, насколько информационные системы компании защищены от утечек и несанкционированного доступа. Это включает в себя проверку наличия и качества реализованных технических мер по защите персональных данных.
- Готовность к проверке Роскомнадзора. Аудит также включает подготовку компании к возможной проверке инспекторами Роскомнадзора. Это подразумевает наличие стандартного плана проверки и понимание того, как его проходить на практике.
Важно
Аудит информационной безопасности систем, работающих с персональными данными, должен проводить специалист, имеющий лицензию ФСТЭК России на техническую защиту конфиденциальной информации.
Персональные данные работника
Персональные данные работника – это любая информация, которая прямо или косвенно относится к сотруднику. Важно, что доступ к этим данным сотрудник может предоставить другим лицам, и это осуществляется через два согласия: на обработку данных и на их распространение (п. 1, п. 1.1, ч. 1 ст. 3 Закона №152-ФЗ). Именно из-за строгости контроля защита данных в информационных системах так важна.
К субъектам персональных данных могут относиться:
- Сами работники компании или индивидуального предпринимателя, а также их родственники.
- Кандидаты на работу.
- Контрагенты, работающие с компанией по гражданско-правовым договорам.
- Другие категории людей, в зависимости от специфики работы компании, например, клиенты или посетители.
Основные понятия по Закону №152-ФЗ:
- Обработка персональных данных – это любое действие с данными: их сбор, хранение, запись, систематизация, изменение, удаление и т. д. Это может быть как автоматизированная обработка (с использованием компьютерной техники), так и без нее (п. 3 ч. 1 ст. 3 Закона №152-ФЗ).
- Автоматизированная обработка – это обработка данных с использованием вычислительных систем и средств автоматизации (п. 4 ч. 1 ст. 3 Закона №152-ФЗ).
- Распространение персональных данных – это действия, направленные на раскрытие данных неопределенному кругу лиц (п. 5 ч. 1 ст. 3 Закона №152-ФЗ).
- Предоставление персональных данных – это действия, направленные на раскрытие данных определенному лицу или группе лиц (п. 6 ч. 1 ст. 3 Закона №152-ФЗ).
Соблюдение этих норм помогает защитить права субъектов персональных данных и избежать нарушений, связанных с их обработкой и распространением.
Использование персональных данных: основные документы и принципы
При работе с персональными данными сотрудников и третьих лиц важно соблюдать несколько ключевых принципов, закрепленных в законодательстве. Эти требования помогают защитить данные и избежать нарушений, связанных с их обработкой.
- Правовые и организационные документы
Все действия компании и уполномоченных лиц по обработке персональных данных должны быть подкреплены соответствующими документами, такими как правоустанавливающие и организационно-распорядительные акты (ст. 8 ТК РФ, ст. 18.1 Закона №152-ФЗ). Это обеспечивает законность всех операций с данными. - Соответствие требованиям законодательства
Документы должны не только соответствовать закону по своей структуре и содержанию, но и учитывать все требования при операциях с данными, их хранении и защите (ст. ст. 4, 5, 10.1, глава 4 Закона №152-ФЗ). Это поможет избежать возможных нарушений и санкций. - Доступность политики обработки данных
Политика по обработке персональных данных должна быть известна всем сотрудникам компании. Она может быть размещена на сайте компании или в другом общедоступном месте (ст. ст. 3, 18, 18.1 Закона №152-ФЗ). Это важно для обеспечения прозрачности обработки данных. - Запрос только необходимых данных
Важно запрашивать и обрабатывать только те данные, которые действительно необходимы для работы, и делать это только с согласия владельца данных, если такое согласие требуется по закону (ст. 18 Закона №152-ФЗ). Это снижает риски избыточного сбора данных. - Сроки обработки данных
Обработка персональных данных должна осуществляться только в рамках срока, указанного в разрешении. По его окончании данные должны быть уничтожены (ст. 6 Закона №152-ФЗ). - Хранение данных на территории России
Базы данных, содержащие персональные данные, должны находиться на территории России. Трансграничная передача данных возможна только с согласия сотрудника (ст. 12 Закона №152-ФЗ).
Важно
Не требуется получать согласие на обработку персональных данных, если они используются в рамках трудового договора (п. 5 ч. 1 ст. 6 Закона №152-ФЗ).
Документы по работе с персональными данными: что нужно проверить
Документы, касающиеся работы с персональными данными, могут быть адресованы как всей компании, так и ее подразделениям или отдельным сотрудникам. Аудит персональных данных охватывает все уровни корпоративного документооборота, начиная с правоустанавливающих документов.
Первым шагом аудита является проверка учредительных документов компании, таких как Устав ООО. Они важны для установления права подписи и полномочий руководства. Далее проверяются документы, удостоверяющие порядок работы с персональными данными, такие как доверенности, положения, инструкции и регламенты. Эти документы закрепляют правила работы с персональными данными на местах, а также полномочия сотрудников на осуществление всех этапов обработки данных.
У работодателя обязательно должны быть распорядительные документы, такие как приказы и письменные распоряжения. Эти документы утверждают правоустанавливающие акты по работе с персональными данными и могут вносить в них изменения. Приказы регулируют трудовую деятельность сотрудников, определяя, кто имеет доступ к данным, и кто несет ответственность за их защиту.
Основные организационно-распорядительные и уведомительные документы:
- Положение о защите персональных данных работников. Документ, который регламентирует все действия, связанные с защитой данных сотрудников.
- Политика по обработке персональных данных. Этот документ описывает, как и на каких условиях в компании осуществляется сбор, хранение и использование данных.
- Регламент допуска к персональным данным. Определяет, кто из сотрудников имеет право доступа к персональным данным и на каких условиях.
- Приказы. Например, о назначении ответственных лиц по работе с персональными данными и о сотрудниках, имеющих доступ к этим данным. Также сюда относятся документы о неразглашении данных.
- Согласия работников и других лиц. Например, согласие на обработку персональных данных и на их распространение.
- Уведомления в Роскомнадзор. Компании, обрабатывающие персональные данные, обязаны уведомлять Роскомнадзор о начале их обработки (ст. 22 Закона №152-ФЗ).
Эти документы формируют основу системы защиты персональных данных в компании и должны регулярно пересматриваться, чтобы соответствовать актуальным требованиям законодательства.
Дополнительные документы по учету и защите персональных данных
Помимо основных организационно-распорядительных документов, компании должны оформить и ряд других документов, связанных с учетом и защитой персональных данных. Вот что еще может понадобиться:
- Локальные акты. Это внутренние документы, которые регулируют порядок работы с персональными данными в компании. К ним относятся:
- Положения о порядке рассмотрения запросов работников касательно их персональных данных.
- Положения о правилах проведения внутреннего контроля.
- Инструкции по техническим аспектам работы с персональными данными, включая их законное хранение и защиту.
- Журналы учета запросов сотрудников и записи дат предоставления данных.
- Распорядительные документы. Это приказы и распоряжения, связанные с организацией защиты данных в компании:
- Приказы о назначении ответственного за безопасность персональных данных.
- Документы, определяющие перечень данных, которые обрабатываются в компании, а также способы и порядок их хранения.
- Документы по результатам работы с персональными данными. Они фиксируют состояние и уровень защиты данных. Это:
- Акты по результатам проверок уровня защищенности персональных данных.
- Отчеты по внутренним аудитам или контролю за соблюдением требований законодательства.
При создании внутренних документов важно придерживаться структурированного подхода. Все документы должны быть логично классифицированы и сгруппированы. Не стоит стремиться к количеству: лучше сосредоточиться на четких и емких формулировках требований. Это облегчит их актуализацию, регулярные проверки и аудит.
Важно
Регулярная проверка и систематизация документов по работе с персональными данными позволяет компании оперативно выявлять и устранять нарушения. Это не только снижает риски утечки данных, но и помогает избежать крупных штрафов, предусмотренных за несоблюдение требований законодательства.
Аудиторские процедуры
Оценка соответствия внутренних документов требованиям законодательства о персональных данных
Процесс оценки соответствия внутренних нормативных документов (ВНД) требованиям нормативно-правовых актов (НПА) в части работы с персональными данными может быть выполнен с использованием чек-листа. Такой чек-лист включает:
- Нормативно-правовые требования. В этом разделе перечисляются все актуальные требования законодательства, касающиеся обработки персональных данных.
- Ссылки на внутренние документы. Здесь указываются ссылки на соответствующие ВНД компании, в которых закреплены эти нормативные требования. Это помогает понять, какие именно документы компании регулируют работу с персональными данными.
- Комментарии и заключения аудитора. В этой части аудитор дает свою оценку соответствия внутренних документов компании требованиям законодательства, а также вносит предложения по устранению возможных недостатков.
Оценка соблюдения требований НПА, ВНД и ОРД при работе с персональными данными
Процедура оценки соблюдения нормативно-правовых актов (НПА), внутренних нормативных документов (ВНД) и организационно-распорядительных документов (ОРД), регулирующих порядок обращения с персональными данными (ПДн), может быть реализована через формирование чек-листа. Этот чек-лист должен содержать информацию о соблюдении оператором ПДн всех установленных требований в области обработки данных.
Этапы оценки:
- Оценка контрольных процедур оператора ПДн
На этом этапе проверяется, насколько эффективно оператор ПДн организовал работу с персональными данными. Это включает:- Перечень лиц и подразделений с доступом к ПДн. Проверяется, кто из сотрудников и отделов имеет доступ к персональным данным для выполнения своих служебных обязанностей.
- Должностные инструкции и положения о подразделениях. Запрашиваются документы, которые определяют обязанности лиц, работающих с ПДн, и регулируют порядок их взаимодействия с информационными системами.
- Приказы о назначении администраторов информационных систем. Эти документы закрепляют ответственность за поддержание и защиту информационных систем, в которых обрабатываются персональные данные.
- Оценка соблюдения информационной безопасности
Информационная безопасность играет ключевую роль в защите персональных данных. Процедура оценки безопасности может быть проведена через составление чек-листа, в котором будут указаны нормативные требования и заключения аудитора.- Соответствию федеральным законам и требованиям по защите данных.
- Использованию стандартов информационной безопасности, таких как ГОСТ Р ИСО/МЭК 27007-2014 «Руководство по аудиту системы менеджмента информационной безопасности». Этот стандарт описывает подходы к аудиту систем безопасности.
- Анализу результатов аудитов информационной безопасности, которые могли быть проведены как внешними органами, так и внутренними подразделениями (например, отделом информационной безопасности).
Основные элементы чек-листа для оценки:
- Нормативные требования: указание конкретных законодательных и внутренних нормативных актов, которые регламентируют обработку и защиту ПДн.
- Закрепленные обязанности: права и обязанности лиц, имеющих доступ к ПДн, должны быть четко определены и закреплены в документах, таких как должностные инструкции и приказы.
- Комментарий или заключение аудитора: аудитор делает вывод о том, насколько процедуры работы с ПДн соответствуют нормативным требованиям, и дает рекомендации по устранению выявленных несоответствий.
Оценка возможного ущерба от распространения персональных данных
Распространение или утрата персональных данных может привести к значительным убыткам для оператора данных, включая штрафы и возмещение морального вреда пострадавшим лицам. В настоящее время законодательство устанавливает требования для оценки возможного ущерба в зависимости от уровня угрозы, который может быть высоким, средним или низким.
Размер штрафов
Законодательство предусматривает различные штрафы за утечку или несанкционированное использование персональных данных. Размер штрафов зависит от тяжести нарушения:
- Высокий уровень ущерба подразумевает значительные финансовые потери для компании и может включать крупные штрафы, назначенные Роскомнадзором, а также гражданские иски пострадавших лиц.
- Средний уровень ущерба может предусматривать штрафы и иные санкции, связанные с нарушением условий обработки данных, но без значительного ущерба для лиц.
- Низкий уровень ущерба: незначительные нарушения, которые могут быть исправлены без серьезных последствий для оператора и пострадавших.
Возмещение морального вреда
Кроме штрафов, оператор ПДн может быть обязан возместить моральный вред лицам, чьи данные были утеряны или неправомерно использованы. Размер компенсации может варьироваться в зависимости от тяжести последствий для пострадавших и определяется судом.
Система оценки соблюдения требований к работе с ПДн
В рамках аудиторских процедур возможно использование рейтинговой системы для оценки того, насколько компания соблюдает требования по защите персональных данных. Пример шкалы оценки:
- 5 – соблюдается: требования законодательства полностью выполнены, документы оформлены, меры по защите данных внедрены.
- 4 – скорее соблюдается: требования в основном выполняются, но могут быть мелкие недостатки или риски, которые требуют устранения.
- 3 – скорее не соблюдается: частичное выполнение требований, имеются значительные пробелы в документации или защите данных.
- 2 – не соблюдается: требования законодательства не выполнены, меры по защите данных отсутствуют или несоответствующие.
- 1 – требование не закреплено во внутренних нормативных документах: нормативные документы отсутствуют или не соответствуют законодательным нормам.
Оценка ущерба от утечки персональных данных и проверка соответствия внутренних процедур требованиям законодательства – это важный элемент аудита. Применение рейтинговой системы помогает формализовать процесс проверки и выявить зоны риска, которые требуют немедленного исправления, чтобы избежать серьезных последствий для компании, таких как штрафы и возмещение ущерба пострадавшим лицам.
Аудит по 152-ФЗ «О персональных данных»: цели и порядок
Аудит по Федеральному закону №152-ФЗ «О персональных данных» необходим для того, чтобы проверить, насколько корректно в компании осуществляется работа с персональными данными. Основные задачи аудита включают:
- Анализ документов
Проверяется наличие и содержание актов по работе с персональными данными, таких как политика обработки ПДн, приказы о назначении ответственных лиц и др. Аудит выявляет, достаточно ли документов в компании и насколько они соответствуют требованиям Закона №152-ФЗ. - Оценка качества процедур
Проверяется, соответствуют ли фактические процессы по получению, обработке, хранению и защите персональных данных требованиям законодательства Российской Федерации и локальным актам компании. Важно удостовериться, что все этапы обработки данных происходят в соответствии с утвержденными процедурами. - Выявление нарушений и их устранение
На основе результатов аудита выявляются нарушения, которые могут нанести ущерб работникам или другим физическим лицам. Необходимо оценить возможный вред и определить меры для устранения этих нарушений.
Согласно статье 19 Федерального закона «О персональных данных», обеспечение безопасности персональных данных достигается через оценку эффективности мер защиты перед вводом информационной системы в эксплуатацию.
Оценка может проводиться в различных формах, таких как:
- Аттестация по требованиям ФСТЭК – проводится для более строгой проверки.
- Тестирование информационной системы – проверка работы системы защиты с участием представителей разработчика и заказчика.
Основные этапы оценки:
- Проверка соответствия требованиям
- Анализ информационной системы на соответствие организационно-техническим требованиям безопасности.
- Испытания средств защиты данных для выявления уязвимостей.
- Разработка программы и методики оценки
- Описание объекта оценки.
- Перечень процедур проверки.
- Установление критериев для оценки успешного выполнения проверок.
- Испытания системы
- Проверка технической документации.
- Тестирование подсистемы управления доступом, защиты каналов связи, антивирусной защиты и других компонентов системы безопасности.
Если система защиты персональных данных не соответствует требованиям, необходимо внести корректировки:
- Доработка документации.
- Настройка средств защиты.
- Введение дополнительных мер безопасности.
После завершения проверки составляется заключение, в которое включаются протоколы испытаний, подписанные членами комиссии. При необходимости проводится добровольная аттестация по стандартам безопасности, что добавляет юридическую значимость проведенной оценке.
Как оформить аудит персональных данных
Проведение аудита персональных данных – важная процедура, которая помогает компании убедиться в соответствии работы с ПДн требованиям законодательства. Оформить аудит можно самостоятельно или с помощью специализированной компании.
Как происходит самостоятельное проведение аудита
- Разработка положения об аудите
Для проведения аудита самостоятельно необходимо разработать положение о порядке внутренних проверок и аудита персональных данных. Этот документ не является обязательным по закону, но он нужен для регламентации процедуры внутри компании. Положение утверждается с помощью приказа или грифа руководителя. - Назначение ответственных лиц
Ответственных за составление положения и проведение самого аудита сотрудников нужно назначить приказом. Эти лица будут нести ответственность за организацию и проведение проверки. - Отчетные документы
По результатам аудита составляются документы, такие как заключения, отчеты, акты, фиксирующие выявленные несоответствия или нарушения. Для устранения нарушений издаются приказы, которые содержат конкретные задачи для ответственных сотрудников. После выполнения этих поручений также составляются письменные отчеты.
Особенности аудита с привлечением специализированной компании
- Заключение договора
Если компания решает заказать аудит у сторонней организации, необходимо заключить договор об оказании услуг. В договоре должны быть отражены следующие моменты:- Предмет аудита – что именно проверяется.
- Процедура аудита, включая объем и порядок предоставления отчетов.
- Сроки, стоимость и порядок оплаты.
- Отчетность по результатам
По завершении аудита сторонняя компания предоставляет отчетные документы. Компания-заказчик принимает оказанные услуги по акту.
Положение об аудите и другие внутренние документы, принятые по итогам аудита, помогут подтвердить перед Роскомнадзором соблюдение норм Закона №152-ФЗ «О персональных данных». Это снизит риски получения штрафов и других санкций за нарушения в обработке персональных данных.