Аудит соответствия обработки персональных данных

Оценка соответствия оператора персональных данных, обработки персональных данных или информационной системы требования законодательства

Требования законодательства

Регулярный аудит обработки персональных данных — основа соответствия оператора требованиям законодательства.

Статья 18.1 152-ФЗ определяет необходимость проведения аудита соответствия:

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:


4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. 152-ФЗ «О персональных данных»

Виды аудитов

Аудиторское задание

Аудит соответствия проводится в соответствии с аудиторским заданием, которое утверждается совместно заказчиком и исполнителем. Аудиторское задание определяет:

  • цели;
  • критерии;
  • объекты;
  • сроки;
  • методику проведения аудита.

По результатам выполнения работ готовится отчёт о проведенном аудите соответствия, содержащий:

  • информацию о проведенном аудите,
  • перечень свидетельств,
  • оценку степени выполнения требований,
  • аудиторское заключение о степени соответствия требованиям и
  • рекомендации по повышению степени соответствия.

Отчёт о проведённом аудите может использоваться для планирования деятельности по улучшению организации обработки персональных данных. Результаты аудита представляются заинтересованным лицам Заказчика.

Аудит соответствия организации общим требованиям

Аудит соответствия организации общим требованиям законодательства о персональных данных выполняется в соответствии с 152-ФЗ, 1119-ПП, 687-ПП, и не предусматривает выполнения аудита отдельных процессов и информационных систем. Подобный аудит включает исследование информации о Заказчике по общедоступным источникам, запрос и анализ организационно-распорядительной документации, интервьюирование сотрудников Заказчика и сбор других свидетельств выполнения требований законодательства. Анализу подлежат следующие свидетельства выполнения возложенных на оператора обязанностей:

  1. реагирование на обращения субъектов персональных данных, уполномоченного органа по защите прав субъектов и других третьих лиц;
  2. назначение ответственного лица за организацию обработки персональных данных;
  3. издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  4. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  5. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных;
  6. оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых оператором мер;
  7. ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с требованиями по законной обработке персональных данных.

Аудит соответствия отдельных процессов требованиям к обработке персональных данных

Обработка персональных данных в рамках отдельных бизнес-процессов оценивается с точки зрения выполнения:

  1. принципов;
  2. условий обработки, наличия законных оснований для обработки;
  3. законной передачи (в т.ч. трансграничной) или поручения обработки персональных данных третьим лицам;
  4. выполнение обязанностей, предусмотренных 152-ФЗ и 687-ПП, при сборе или получении персональных данных;
  5. выполнение требований к обеспечению безопасности персональных данных при их обработке.

Аудит соответствия отдельных процессов производится опросом ответственного подразделения (владельца процесса) и непосредственным наблюдением процедур обработки персональных данных.

Аудит соответствия информационных систем

Соответствие информационных систем требованиям законодательства о персональных данных производится в несколько этапов:

  1. Сбор информации об обрабатываемых в системе персональных данных.
  2. Изучение структуры системы, месторасположения компонентов.
  3. Оценка корректности определения требуемого уровня защищенности и проведенной оценки вреда субъектам персональных данных.
  4. Анализ реализуемых мероприятий обеспечения безопасности персональных данных при их обработке в информационной системе.
  5. Подготовка заключения.

Обратитесь к нам

Вы можете распечатать эту страницу и использовать её в качестве справочного материала.

Мы проводим презентации по практике прохождения проверок Роскомнадзора, во время которых раскрываем секреты успешного прохождения проверок, рассказываем об особенностях выполнения требований законодательства и минимизации расходов на техническую защиту персональных данных.