Алексей Ветров
Эксперт по защите данных IC-TECH
Плановые проверки обработки и защиты персональных данных — это элемент внутреннего контроля, который обязан организовывать оператор. Проверки фиксируют, что компания действительно выполняет требования ФЗ-152, а не ограничивается формальным наличием документов. Для подтверждения проведения таких проверок необходимо вести определённый комплект документов.
Обоснование по законодательству
- ФЗ-152, ст. 18.1, ч. 1, п. 7 — оператор обязан принимать меры, направленные на предотвращение нарушений законодательства о ПДн.
- ФЗ-152, ст. 19 — предусматривает контроль за принимаемыми мерами защиты ПДн.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует организовывать внутренний контроль эффективности мер защиты ПДн.
Документы, которые подтверждают проведение проверок
- Приказ о проведении проверки — утверждает состав комиссии, сроки и объекты проверки.
- Программа или план проверки — определяет, что именно будет проверяться (документы, процессы, технические меры).
- Акты проверки — фиксируют фактические результаты: что проверено, какие нарушения выявлены, какие меры предложены.
- Журнал учёта проверок — может вестись для систематизации информации о проведённых мероприятиях.
- Отчёт о результатах проверки — подводит итоги, оформляется ответственным или комиссией, содержит выводы и предложения по устранению нарушений.
- План корректирующих мероприятий — разрабатывается по итогам проверки для исправления выявленных несоответствий.
Практика проверок Роскомнадзора
При визите инспекторы обычно запрашивают акты внутренних проверок и планы мероприятий по устранению нарушений. Если оператор не ведёт документацию по внутреннему контролю, Роскомнадзор делает вывод о формальном подходе к защите данных и выносит предписание.
Что важно для компании
- Проверки должны быть регулярными (например, раз в год или чаще).
- В акте проверки нужно фиксировать не только нарушения, но и положительные результаты.
- Документы должны храниться и предъявляться при внешних проверках как подтверждение системного контроля.
Рекомендации и выводы
Плановые проверки обработки ПДн должны быть подтверждены приказами, актами и отчётами. Ведение журнала проверок и планов корректирующих мероприятий повышает уровень документальной защиты компании. Это снижает риски претензий Роскомнадзора и демонстрирует добросовестность оператора.
Компания IC-TECH поможет подготовить полный пакет документов для соответствия ФЗ-152, включив в него документы по внутренним проверкам.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
