Услуги юриста по приведению процессов компании в соответствие с требованиями закона
Если компания работает на российском рынке, мы поможем привести процессы обработки персональных данных в соответствие с Законом «О персональных данных» № 152-ФЗ. Для международных компаний мы дадим рекомендации по соблюдению GDPR, CCPA и других региональных законов в любой стране мира.
Общий подход к защите персональных данных в большинстве стран имеет много общего, но нередко встречаются и противоречия в законах разных государств. Наши юристы окажут помощь в разрешении противоречий и поиске решений, удовлетворяющих требованиям законов разных стран при трансграничной обработке персональных данных.
Детальная проработка соблюдения законов о защите персональных данных даёт нашим клиентам не только юридическую защиту, но и повышает лояльность пользователей, чьё внимание к безопасности персональных данных с каждым готов становится всё пристальней.
Что такое персональные данные и зачем нужен их аудит?
Персональные данные, согласно закону №152-ФЗ, — это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Соответственно с помощью аудита — или, говоря, простым языком, внутренней проверки — работодатель проверяет то, как организована работа с личными данными работников внутри компании, а также насколько хорошо обеспечена защита этих данных.
В соответствии с Федеральным законом №152-ФЗ «О персональных данных», организации, которые собирают и обрабатывают личную информацию граждан, обязаны проводить аудит этих данных. Это необходимо для обеспечения безопасности и соблюдения прав субъектов.
Процесс аудита персональных данных включает в себя несколько ключевых этапов:
-
Инвентаризация всех категорий персональных данных, которые обрабатываются в организации. К таким данным могут относиться:
фамилия, имя, отчество;
дата и место рождения;
контактная информация (адрес, телефон, электронная почта);
данные документов, удостоверяющих личность;
сведения о доходах и имущественном положении;
информация о семейном положении и составе семьи. -
Анализ правовых оснований для обработки каждой категории данных. Необходимо убедиться, что обработка персональных данных происходит только при наличии согласия субъекта или других законных оснований, предусмотренных 152-ФЗ.
-
Оценка мер по обеспечению безопасности данных.
-
Разработка плана корректирующих действий.
Несоблюдение требований 152-ФЗ может привести к серьёзным правовым последствиям для организации и её руководства.
Статья 13.11 КоАП РФ предусматривает штрафы за нарушение законодательства о персональных данных:
для должностных лиц — от 10 000 до 20 000 рублей;
для юридических лиц — от 15 000 до 75 000 рублей.
В соответствии со статьёй 24 152-ФЗ, лица, чьи права были нарушены при обработке персональных данных, могут потребовать возмещения убытков и компенсации морального вреда.
Статья 137 УК РФ предусматривает наказание вплоть до лишения свободы на срок до 4 лет за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.
Таким образом, игнорирование требований 152-ФЗ может привести к серьёзным финансовым потерям и репутационным рискам для организации. Своевременный аудит персональных данных позволяет избежать подобных негативных последствий.
Как должен быть организован процесс аудита персональных данных?
Аудит персональных данных включает в себя следующие элементы:
-
проверка количества и содержания всех локальных документов организации по работе с личными данными — иными словами то, сколько их в принципе принято к моменту проведения проверки и насколько велико их соответствие требованиям Закона о персональных данных;
-
качество процедур, производимых с персональными данными — то есть то, каково обеспечение соответствия российскому законодательству фактического процесса сбора, обработки, хранения и распространения таковых;
-
выявление нарушений по соблюдению Закона № 152-ФЗ в области работы с персональными данными, вынесение соответствующих предписаний по их устранению, а также рекомендации согласно того, как организация может избежать подобных нарушений (и наказаний за них).
Аудиторы изучают все локальные акты вашей организации касательно работы с теми или иными личными данными внутри компании и в первую очередь проверяют их на соответствие нормам и правилам законодательства. Также они изучают все управленческие, финансовые и бизнес-процессы, которые так или иначе могут быть связаны с личными данными работников, их сбором, хранением, обработкой и передачей третьим лицам.
Способы и процедуры проведения проверки персональных данных могут варьироваться в зависимости от того, каким способом в компании организованы их защита и обработка, то есть, согласно Закону № 152-ФЗ «О персональных данных», любое действие с ними, включая сбор, запись, накопление, хранение, использование, обезличивание, передачу, удаление, изменение, уничтожение и т.д. — автоматизированным способом, или же вручную.
Кроме того, в ходе проверки анализируются все документы, содержащие личные данные работников — трудовые и гражданско-правовые договоры, анкеты, заявления, учетные карточки и т.д. Один из важнейших этапов — это анализ форм согласий на обработку персональных данных, а также изучение документов соискателей, претендующих на занятие тех или иных вакантных мест.
Еще одна важная часть аудита персональных данных — разработка форм документов по их получению, обработке, хранению, распространению и защите, а также всей сопутствующей этому процессу внутренней документации. Соответствие этих форм действующему законодательству также является одной из главных задач деятельности проверяющего.
В финале аудиторы составляют соответствующий отчет о результатах проведенной ими проверки. В нем они указывают, как построена в компании работа с личными данными и безопасность последних. В частности, там будет указано, какие из имеющихся в этой области документов организации нужно будет переделать, а какие — написать с нуля.
При необходимости результаты аудиторской проверки будут отправлены в Роскомнадзор, как курирующий эти вопросы орган исполнительной власти. Соответствующие документы при этом могут быть поданы также и в электронном виде.
Гарантии качества по проведению проверки личных данных при сотрудничестве с DRC
В Положении по проведению аудита персональных данных внутри вашей компании всегда можно записать требование о том, чтобы проверку производила сторонняя экспертная или специализированная организация. В этом случае с ней нужно заключить договор оказания услуг (статья 779 Гражданского кодекса РФ).
Чтобы этот процесс от начала и до конца прошел качественно и не вызвал вопросов со курирующих эту область госведомств и организаций, специалисты компании DRC готовы организовать процедуру аудита персональных данных любой компании или ИП «под ключ».
Юристы DRC от начала до конца организуют проверку личных данных всех участников вашего бизнеса, разработают полный комплект необходимых для этого документов, а также помогут избежать штрафов и иных проблем со стороны государства, если будет обнаружено, что работа с личными данными в вашей организации проходит с нарушениями Закона №152-ФЗ
Подготовленные нашими специалистами рекомендации по результатам аудиторской проверки персональных данных будут максимально индивидуально учитывать действующие у каждого предпринимателя бизнес-процессы, а также помогут оптимизировать особенности действующего корпоративного управления и соответствующего документооборота.