Обязан ли работодатель проводить аудит персональных данных по 152-ФЗ
Аудит персональных данных проводят, чтобы проверить, правильно ли работодатель обрабатывает, защищает и передаёт сведения о работниках и третьих лицах. Его сроки и периодичность организации определяют сами, но рекомендуем проводить проверку не реже раза в год. Особенно актуально провести процедуру при смене ответственного лица за обработку и защиту персданных, назначении нового руководителя или собственника имущества, перед проверкой Роскомнадзора. Все работодатели обязаны проводить внутренний аудит персональных данных на соответствие требованиям ТК и Закона № 152. Эту обязанность закрепили в п. 4 ч. 1 ст. 18.1 Закона от 27.07.2006. Поэтому если инспектор из Роскомнадзора придёт с проверкой, предоставьте ему документы, которые подтвердят, что работодатель проводил аудит. Например, протоколы, планы аудита, правила внутреннего аудита, а также приказ о проведении аудита и отчет о его результатах.
Аудит персональных данных необходим, чтобы проверить, нет ли в локальных актах, образцов согласий на обработку или распространение ПД ошибок, которые приведут к штрафам от Роскомнадзора. С помощью процедуры также можно выяснить степень защищенности данных, порядок доступа третьих лиц к таким сведениям и т.д. По результатам проверки аудитор выявит не только ошибки, но подскажет, как можно улучшить шифрование сведений о сотрудниках, чтобы не допустить утечку данных. Напомним, что если работодатель утратит сведения, придется уведомлять об этом Роскомнадзор, проводить внутреннюю проверку. Затем ведомство привлечет к ответственности за передачу данных третьим лицам не только организацию в целом, но и ответственных ИТ-специалистов, юристов и кадровиков.
Есть два вида аудита персональных данных: внутренний и внешний. Во втором случае для проверки привлекают стороннюю организацию, которая проведёт независимую экспертизу документов и предоставят аудиторский отчёт. Когда будете выбирать компанию для аудита персональных данных, проверьте её стаж работы и учтите рекомендации коллег. Затем заключите с компанией договор об оказании услуг — это гражданско-правовой договор, в котором можете закрепить гарантии, что организация проведет качественную проверку документов по обработке и защите ПД в вашей компании. Внутренний аудит персональных данных компании проводят самостоятельно. Работодатель сам решает, как он будет проводить проверку, определяет её цели и сроки, а также назначает ответственных за проверку. Порядок и сроки проведения процедуры можете закрепить в локальном акте, например, в Положении о проведении кадрового аудита.
После того как определите объём и сроки аудита персональных данных, сформируете аудиторскую комиссию. В неё включите ответственных ИТ-специалистов, сотрудников кадрового и юридического отдела. Затем издайте приказ о проведении проверки. Документ составьте по форме, которую разработали сами. В нём укажите сроки процедуры, какой вид аудите будете проводить — внутренний и внешний, а также объём документов по обработке и защите персданных, которые предстоит проверить.
В процессе аудита вы должны проверить документы компании на соответствие законодательству. Условно все документы можно разделить на четыре группы: документы по организации обработки персональных данных; документы, которые определяют доступ сотрудников к персданным; согласия на обработку и распространение персональных данных; документы, которые определяют порядок хранения и уничтожения персданных.
Комментарии
Но чиновники же тоже рожают. Их детишкам тоже работа нужна. Не могут же ребенки управленца руками работать - не по чину. Вот и распирает бюрократию.
Вопрос: возьмет ли аудитор на себя материальную ответственность за результаты проверки (то есть обязательство компенсировать как минимум штрафы, если в период между аудитами они будут наложены на заказчика в связи с нарушениями, которые аудитор обязан выявить?
В стандарте BS-17799 предусмотрено, что после аудита дается время на устранение замечаний, после чего проводится повторный аудит для проверки результата.
Все эти системы, насколько я с ними сталкивался, ни за что не отвечают. Приду, посмотрят бумажки или даже дадут свои образцы. И все. Никакой ответственности я ни разу не встречал.
Так задумано так. Воровать без-божно и ни за что не отвечать. Так устроена либерастная бюрократия страны.
Об этом рассказывал Михалков в своем последнем Бесогоне.
50:04
Великобритании советского разведчика и почётного сотрудника госбезопасности Кима филби он работал в Великобритании в
50:13
ми 6 Под прикрытием сначала в должности заместителя начальника контрразведки а
50:18
потом руководителя девятого отдела Вот его Воспоминание благодаря
50:27
у КГБ ССР могли работать в Великобритании как говори в полный рост
50:33
так как работники контрразведки ми 6 были мной отвлечение никчемных бумажных справок и
50:42
отчётов когда мой сотрудник начинал активно вести работу вербовать агентуру
50:48
выявлять резидентов я завалил его никому не нужной бумажной
50:55
рутиной очень быстро сводилась на Нет я горжусь тем что лично разработал и ввёл
51:03
несколько новых форм отчётов это была диверсия нашего Великого разведчика
51:10
против наших врагов А разве мы сейчас не делаем то же самое только против себя
51:17
разве это не происходит у нас в наших системах образования
51:24
медицины промышленности армии и так далее Я просто хочу чтобы мы
51:29
вместе подумали о том где эта граница между добром и злом между
51:37
правдой и неправдой между диверсий и глупостью ведь это же наша жизнь в нашей стране и
51:45
мы должны ею руководить ею управлять мы должны видеть что происходит и принимать
51:53
меры не потом когда-то не отвечать а
51:59
предвидеть не отвечать а предвидеть иллюстрацией как раз именно к этому
52:06
является эта печальная Русская пословица что имеем не храним потерявши плачем