Что включить в внутренний аудит перед проверкой Роскомнадзора

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Внутренний аудит перед проверкой Роскомнадзора должен охватывать все ключевые аспекты обработки персональных данных в организации. Во-первых, необходимо проверить пакет документов: политику обработки персональных данных, внутренние регламенты, должностные инструкции ответственного за ПДн, журналы учёта и согласия субъектов данных. Во-вторых, аудит должен включать проверку реестра обработки персональных данных: все операции обработки должны быть корректно зарегистрированы, а цели и правовые основания — соответствовать требованиям 152-ФЗ. В-третьих, следует оценить внедрение технических и организационных мер защиты данных, включая разграничение доступа, шифрование, резервное копирование, антивирусную защиту и процедуры реагирования на инциденты. Также необходимо проверить обучение сотрудников, работающих с персональными данными, и наличие доказательств их ознакомления с правилами и инструкциями. По итогам аудита составляется отчёт с выявленными недостатками, планом корректирующих мер и сроками исполнения, что позволяет подготовиться к визиту инспекторов и снизить риск штрафов.

Обоснование по законодательству

— Федеральный закон №152-ФЗ «О персональных данных» — ст. 24 (обеспечение мер по защите персональных данных), ст. 19 (права субъектов данных).
— Приказ Роскомнадзора от 1 июня 2017 г. №136 — регламентирует формы проверочных документов и требования к внутренней документации.
— Методические рекомендации Роскомнадзора по проведению проверок и подготовке пакета документов по 152-ФЗ.

Типичные ошибки организаций

— Проведение формального аудита без проверки фактического соблюдения процессов.
— Отсутствие реестра обработки данных или несоответствие его содержимого реальной деятельности.
— Неучтенные процедуры передачи персональных данных третьим лицам или за границу.
— Отсутствие доказательств обучения сотрудников и ознакомления их с внутренними инструкциями.

Практические особенности

Аудит должен быть комплексным: важно не только проверять документы, но и соответствие фактических процессов требованиям закона. Полезно моделировать вопросы, которые может задать инспектор Роскомнадзора, и проверять, как организация готова на них ответить. Также важно фиксировать все выявленные недостатки и меры по их устранению, чтобы при повторной проверке можно было подтвердить добросовестность.

Рекомендации и выводы

1. Проведите комплексную проверку всех документов и процессов, связанных с персональными данными.

2. Убедитесь, что реестр обработки данных актуален и корректен.

3. Проверьте внедрение технических и организационных мер защиты информации.

4. Обеспечьте обучение сотрудников и наличие доказательств ознакомления с правилами.

5. Составьте отчёт с выявленными недостатками и планом корректирующих мер.

6. Для максимальной уверенности и снижения рисков штрафов воспользуйтесь услугой ICTech «Разработка комплекта документов по защите персональных данных 152-ФЗ для организаций», которая включает внутренний аудит и подготовку всех процессов к проверке Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге