Акт внутреннего аудита по персональным данным — это документ, фиксирующий результаты проверки организации на соответствие требованиям ФЗ-152 и внутренних локальных актов. Он подтверждает, что оператор контролирует процессы обработки ПДн и своевременно выявляет нарушения.
Что должно быть в акте внутреннего аудита
- Реквизиты документа — дата составления, номер акта, наименование организации.
- Основание проведения — приказ о проведении аудита, годовой план или внутренний регламент.
- Состав комиссии или проверяющих — ФИО, должности, подписи.
- Период и объект проверки — подразделения, информационные системы, процессы обработки ПДн.
- Критерии проверки — соответствие требованиям ФЗ-152, подзаконных актов, внутренних регламентов.
- Описание выявленных фактов — сильные стороны, нарушения или несоответствия (например, отсутствие подписей сотрудников в журнале инструктажа, хранение данных без пароля, несвоевременное уничтожение черновиков).
- Заключение комиссии — вывод о степени соответствия организации требованиям закона.
- Рекомендации — перечень мер по устранению нарушений, сроки исполнения и ответственные лица.
- Подписи членов комиссии и утверждение руководителя.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать меры для соблюдения законодательства о ПДн, в том числе внутренний контроль и аудит.
- Ст. 19 ФЗ-152 — оператор должен обеспечивать безопасность ПДн, включая оценку эффективности принимаемых мер.
- ГОСТ Р 57580.1-2017 (рекомендательный) и методические материалы Роскомнадзора также указывают на необходимость периодического контроля.
Практика и позиция Роскомнадзора
Роскомнадзор на проверках часто запрашивает документы, подтверждающие проведение внутреннего контроля. В одной компании при аудите фиксировались все проверки, акты хранились вместе с приказами о проведении — это стало доказательством системного подхода и позволило избежать штрафа. В другом случае организация не смогла предоставить актов, и это было расценено как нарушение ст. 18.1 ФЗ-152.
Что важно учесть
- В акте не обязательно указывать все детали, достаточно зафиксировать ключевые нарушения и меры по их устранению.
- Проверка должна охватывать как организационные, так и технические меры (например, порядок уничтожения документов и защиту баз данных).
- Рекомендуется вести журнал аудитов и подшивать акты в папку с документами по ПДн.
Рекомендации и выводы
Акт внутреннего аудита — один из ключевых документов, подтверждающих, что организация не только разработала пакет документов по ФЗ-152, но и реально их применяет. Чтобы соответствовать закону:
- Утвердите план внутренних проверок.
- Оформляйте акт по каждой проверке и фиксируйте нарушения.
- Храните акты вместе с приказами и журналами проверок.
Компания ICTech поможет вашей организации выстроить систему внутреннего контроля, разработает шаблон акта внутреннего аудита и включит его в пакет документов по ФЗ-152. Это позволит подтвердить соблюдение требований и минимизировать риски при проверках Роскомнадзора.
