Обоснование по законодательству
- ФЗ-152, ст. 18.1, ч. 1, п. 7 — оператор обязан принимать меры по предотвращению нарушений законодательства в области ПДн.
- ФЗ-152, ст. 19, ч. 1 — внутренний контроль и аудит эффективности принимаемых мер защиты должны быть обеспечены.
- Приказ ФСТЭК № 21 от 18.02.2013 — предписывает фиксировать результаты контроля и проверок в организации.
Как оформлять внеплановую проверку
- Основание — указывается, что явилось причиной проверки (инцидент, жалоба субъекта, предписание Роскомнадзора, выявленное несоответствие).
- Приказ о проведении внеплановой проверки — утверждает состав комиссии и задачи.
- Акт внеплановой проверки — фиксирует дату, объект проверки, выявленные несоответствия и предложенные меры.
- План корректирующих действий — оформляется по итогам акта для устранения нарушений.
Практика проверок Роскомнадзора
Инспекторы часто обращают внимание на то, как компания реагирует на инциденты. Если оператор может предъявить акты внеплановых проверок, это рассматривается как доказательство реальной работы системы защиты ПДн. Отсутствие актов может быть расценено как формальный подход.
Что важно учитывать
Внеплановые проверки оформляются отдельно, даже если они проводятся теми же лицами, что и плановые.
- Акт должен содержать ссылки на выявленные факты и конкретные предложения по устранению нарушений.
- Хранить такие акты нужно в составе документации по внутреннему контролю ПДн.
Рекомендации и выводы
Да, внеплановые проверки фиксируются отдельными актами. Это обязательный элемент документирования внутреннего контроля, подтверждающий выполнение требований ст. 19 ФЗ-152. Для минимизации рисков при проверках Роскомнадзора организациям рекомендуется иметь шаблон акта внеплановой проверки и журнал учёта всех проверок.
Компания IC-TECH поможет разработать шаблон акта внеплановой проверки и включить его в полный пакет документов по ФЗ-152.
