Обоснование по законодательству
Федеральный закон № 152-ФЗ «О персональных данных»:
-
ст. 22.1 ч. 3 — ответственное лицо должно обеспечивать соблюдение законодательства и информировать работников;
-
ст. 18.1 ч. 1 — оператор обязан принимать меры по обеспечению выполнения обязанностей, включая контроль.
Это означает, что внутренние проверки — прямой инструмент выполнения функций ответственного.
Типичные ошибки организаций
— Проверки не проводятся вовсе, ответственность существует «на бумаге».
— Нет плана проверок и актов по результатам.
— Проверяют только кадровые документы, игнорируя обработку ПДн клиентов, подрядчиков и посетителей.
— Проверяют формально, без выявления нарушений и предложений по их устранению.
Особенности применения на практике
На практике ответственный должен организовывать:
-
Проверку документации: наличие приказов, согласий, политик, актов об уничтожении ПДн, журналов.
-
Проверку доступа сотрудников: кто и какие персональные данные может использовать, как ведётся учёт доступа.
-
Проверку хранения данных: бумажные носители (сейфы, архивы), электронные базы (пароли, резервное копирование).
-
Проверку запросов субъектов ПДн: регистрация запросов и предоставление ответов в срок.
-
Проверку подрядчиков: наличие договоров с организациями, которым передаются ПДн.
-
Проверку инцидентов: фиксируются ли случаи утечек, есть ли акты реагирования.
Форма фиксации — план проверок и акты/отчёты по результатам, с предложениями по устранению нарушений.
Рекомендации и выводы
Ответственный за ПДн должен проводить регулярные внутренние проверки: документов, процессов обработки, систем хранения и работы сотрудников. Проверки нужно планировать, оформлять актами и докладывать руководителю. Это позволит выявлять и устранять нарушения до проверки Роскомнадзора.
Если вы хотите, чтобы проверки внутри вашей компании проходили системно, а документы были оформлены правильно и без лишних рисков, закажите в ICTech разработку полного пакета документов по обработке персональных данных в организации. Мы подготовим регламенты, формы актов и план проверок, чтобы ваш ответственный имел все инструменты для работы, а компания была полностью готова к контролю со стороны надзорных органов.
