Результаты внутреннего аудита по персональным данным должны быть оформлены официально, так как это подтверждает выполнение оператором обязанностей по ст. 18.1 ФЗ-152. Роскомнадзор при проверках всегда запрашивает документы, подтверждающие проведение аудита, выявленные несоответствия и меры по их устранению.
Какие документы оформляются по результатам внутреннего аудита:
- Протокол внутреннего аудита — фиксирует ход проверки, перечень выявленных несоответствий, предложения комиссии или ответственного.
- Отчёт по итогам аудита — основной документ, включающий:
- цель и сроки проверки;
- список проверенных процессов (сбор, хранение, передача, уничтожение ПДн, работа с согласиями, защита);
- выявленные нарушения и риски;
- рекомендации по устранению нарушений;
- заключение о соответствии или несоответствии требованиям ФЗ-152.
- Приказ руководителя — на основании отчёта утверждается перечень корректирующих мероприятий и назначаются ответственные лица.
- Акт об устранении нарушений — оформляется после выполнения мероприятий, чтобы подтвердить исправление ситуации.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан проводить внутренний контроль и аудит обработки ПДн.
- Ст. 19 ФЗ-152 — оператор обязан документировать действия по предотвращению и устранению нарушений.
- Постановление Правительства РФ № 1119 — требует подтверждения выполнения организационных мер защиты ПДн.
Практика Роскомнадзора
В одной организации был проведён внутренний аудит, но результаты не оформлены в виде отчёта. РКН посчитал, что обязанность по внутреннему контролю не выполнена. В другой компании имелись отчёты, приказы и акты об устранении нарушений. Проверка подтвердила, что требования ст. 18.1 выполнены в полном объёме.
Что важно учитывать
- Результаты аудита должны быть оформлены в письменной форме — бумажной или электронной.
- Документы должны подписываться ответственным за ПДн и утверждаться руководителем.
- В отчёте важно указывать не только выявленные проблемы, но и принятые меры.
- Отчёт и сопутствующие документы должны храниться вместе с основным пакетом документов по ПДн.
Рекомендации и выводы
Да, результаты внутреннего аудита ПДн должны фиксироваться документально. Чтобы пройти проверку Роскомнадзора без нарушений:
- Составьте протокол и отчёт по итогам проверки.
- Утвердите приказ руководителя о мерах по устранению нарушений.
- Подготовьте акты об устранении несоответствий.
- Храните все документы как часть пакета по ФЗ-152.
Компания ICTech подготовит для вашей организации шаблоны протоколов, отчётов и приказов по внутреннему аудиту ПДн. Это поможет выстроить систему контроля и показать проверяющим, что организация реально исполняет требования закона.
