Аудит и выявление рисков процессов обработки персональных данных
Услуги юриста по приведению процессов компании в соответствие с требованиями закона
Если компания работает на российском рынке, мы поможем привести процессы обработки персональных данных в соответствие с Законом «О персональных данных» № 152-ФЗ. Для международных компаний мы дадим рекомендации по соблюдению GDPR, CCPA и других региональных законов в любой стране мира.
Общий подход к защите персональных данных в большинстве стран имеет много общего, но нередко встречаются и противоречия в законах разных государств. Наши юристы окажут помощь в разрешении противоречий и поиске решений, удовлетворяющих требованиям законов разных стран при трансграничной обработке персональных данных.
Детальная проработка соблюдения законов о защите персональных данных даёт нашим клиентам не только юридическую защиту, но и повышает лояльность пользователей, чьё внимание к безопасности персональных данных с каждым готов становится всё пристальней.
Что такое персональные данные и зачем нужен их аудит?
Персональные данные, согласно закону №152-ФЗ, — это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Соответственно с помощью аудита — или, говоря, простым языком, внутренней проверки — работодатель проверяет то, как организована работа с личными данными работников внутри компании, а также насколько хорошо обеспечена защита этих данных.
Как должен быть организован процесс аудита персональных данных?
Аудит персональных данных включает в себя следующие элементы:
-
проверка количества и содержания всех локальных документов организации по работе с личными данными — иными словами то, сколько их в принципе принято к моменту проведения проверки и насколько велико их соответствие требованиям Закона о персональных данных;
-
качество процедур, производимых с персональными данными — то есть то, каково обеспечение соответствия российскому законодательству фактического процесса сбора, обработки, хранения и распространения таковых;
-
выявление нарушений по соблюдению Закона № 152-ФЗ в области работы с персональными данными, вынесение соответствующих предписаний по их устранению, а также рекомендации согласно того, как организация может избежать подобных нарушений (и наказаний за них).
Аудиторы изучают все локальные акты вашей организации касательно работы с теми или иными личными данными внутри компании и в первую очередь проверяют их на соответствие нормам и правилам законодательства. Также они изучают все управленческие, финансовые и бизнес-процессы, которые так или иначе могут быть связаны с личными данными работников, их сбором, хранением, обработкой и передачей третьим лицам.
Способы и процедуры проведения проверки персональных данных могут варьироваться в зависимости от того, каким способом в компании организованы их защита и обработка, то есть, согласно Закону № 152-ФЗ «О персональных данных», любое действие с ними, включая сбор, запись, накопление, хранение, использование, обезличивание, передачу, удаление, изменение, уничтожение и т.д. — автоматизированным способом, или же вручную.
Кроме того, в ходе проверки анализируются все документы, содержащие личные данные работников — трудовые и гражданско-правовые договоры, анкеты, заявления, учетные карточки и т.д. Один из важнейших этапов — это анализ форм согласий на обработку персональных данных, а также изучение документов соискателей, претендующих на занятие тех или иных вакантных мест.
Еще одна важная часть аудита персональных данных — разработка форм документов по их получению, обработке, хранению, распространению и защите, а также всей сопутствующей этому процессу внутренней документации. Соответствие этих форм действующему законодательству также является одной из главных задач деятельности проверяющего.
В финале аудиторы составляют соответствующий отчет о результатах проведенной ими проверки. В нем они указывают, как построена в компании работа с личными данными и безопасность последних. В частности, там будет указано, какие из имеющихся в этой области документов организации нужно будет переделать, а какие — написать с нуля.
При необходимости результаты аудиторской проверки будут отправлены в Роскомнадзор, как курирующий эти вопросы орган исполнительной власти. Соответствующие документы при этом могут быть поданы также и в электронном виде.
Гарантии качества по проведению проверки личных данных при сотрудничестве с DRC
В Положении по проведению аудита персональных данных внутри вашей компании всегда можно записать требование о том, чтобы проверку производила сторонняя экспертная или специализированная организация. В этом случае с ней нужно заключить договор оказания услуг (статья 779 Гражданского кодекса РФ).
Чтобы этот процесс от начала и до конца прошел качественно и не вызвал вопросов со курирующих эту область госведомств и организаций, специалисты компании DRC готовы организовать процедуру аудита персональных данных любой компании или ИП «под ключ».
Юристы DRC от начала до конца организуют проверку личных данных всех участников вашего бизнеса, разработают полный комплект необходимых для этого документов, а также помогут избежать штрафов и иных проблем со стороны государства, если будет обнаружено, что работа с личными данными в вашей организации проходит с нарушениями Закона №152-ФЗ
Подготовленные нашими специалистами рекомендации по результатам аудиторской проверки персональных данных будут максимально индивидуально учитывать действующие у каждого предпринимателя бизнес-процессы, а также помогут оптимизировать особенности действующего корпоративного управления и соответствующего документооборота.