Внутренний аудит обработки персональных данных — обязательная мера по ст. 18.1 ФЗ-152. Его цель — проверить, насколько деятельность компании соответствует требованиям закона и локальных актов. Чтобы аудит был полным и его результаты можно было предъявить при проверке Роскомнадзора, важно подготовить пакет документов, подтверждающих порядок и результаты контроля.
Обязательные документы для внутреннего аудита ПДн:
- Приказ о проведении внутреннего аудита — утверждает периодичность, состав комиссии или назначение ответственного лица.
- План проведения аудита — содержит перечень проверяемых процессов (сбор, хранение, передача, уничтожение ПДн, работа с согласиями, защита данных).
- Программа проверки — описание методов контроля (опрос сотрудников, проверка журналов, анализ информационных систем).
- Чек-листы/анкеты аудитора — список контрольных вопросов и критериев соответствия.
- Акты и журналы по ПДн — обязательства сотрудников, журналы инструктажа, учёт согласий, регистрации инцидентов.
- Протокол аудита — отражает выявленные нарушения и замечания.
- Отчёт по результатам аудита — фиксирует выводы и рекомендации комиссии.
- Приказ о мерах по устранению нарушений — закрепляет корректирующие действия.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать меры по обеспечению выполнения обязанностей, включая внутренний контроль и аудит соответствия обработки ПДн требованиям законодательства.
- Ст. 19 ФЗ-152 — оператор обязан контролировать меры по предотвращению несанкционированного доступа к ПДн.
- Постановление Правительства РФ № 1119 — требует документального подтверждения выполнения организационных и технических мер защиты.
Практика и подход Роскомнадзора
РКН отмечает, что наличие формальных политик и положений без подтверждения внутреннего контроля считается нарушением. В одной организации была политика, но внутренние аудиты не проводились — это признали несоответствием ст. 18.1. В другой компании велись приказы, планы и отчёты по проверкам, что подтвердило соблюдение требований. Проверка завершилась без предписаний.
Что важно учитывать
- Внутренний аудит должен проводиться не реже одного раза в год.
- Документы должны быть подписаны руководителем или ответственным за ПДн.
- Особое внимание уделяется фиксации результатов аудита и мер по устранению нарушений.
- Отчёты и приказы по аудиту лучше хранить вместе с пакетом документов по ПДн.
Рекомендации и выводы
Да, внутренний аудит ПДн требует документального оформления. Чтобы пройти проверки Роскомнадзора без нарушений:
- Утвердите приказ о порядке проведения аудита.
- Разработайте план и программу проверок.
- Ведите чек-листы и протоколы аудита.
- Оформляйте отчёт с выводами и приказ о мерах по устранению нарушений.
Компания ICTech подготовит для вашей организации полный комплект документов для внутреннего аудита ПДн: приказы, планы, формы чек-листов, протоколы и отчёты. Это позволит соответствовать требованиям ФЗ-152 и показать проверяющим, что контроль действительно ведётся.
