Аудит персональных данных в организации

Содержание
  1. Аудит персональных данных в организации
  2. Как проводится аудит по 152-ФЗ?
  3. Аудит по 152-ФЗ: цена вопроса
  4. Предоставление данных
  5. Комплексный проект по №152-ФЗ «О персональных данных»
  6. Что будет, если не выполнять требования 152-ФЗ?
  7. Кто попадает по требования закона?
  8. Чем мы можем вам помочь
  9. Узнайте подробнее о нюансах №152-ФЗ у экспертов по вашей отрасли
  10. Аудит защиты персональных данных | Аудит информационной системы персональных данных
  11. Что такое персональные данные
  12. Основные принципы использования персональных данных
  13. Защита персональных данных
  14. Государственные проверки
  15. Как избежать нарушений
  16. Порядок аудита
  17. Блог Главбух Ассистент » 10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор
  18. Ошибка № 2.Не назначили ответственного за обработку персональных данных
  19. Ошибка № 3. Неутвердили перечень лиц, которые имеют доступ к персональным данным
  20. Ошибка № 4. Собираетеи храните лишние документы
  21. Ошибка № 5. Не проводите внутренний аудит работы с персональными данными
  22. Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных
  23. Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных
  24. Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных
  25. Ошибка № 9. Не утвердили перечень мест хранения персональных данных
  26. Ошибка № 10.  Используете неверный бланк согласия на обработку персональных данных
  27. Аудит персональных данных в организации и оборудования, обрабатывающего ПДн
  28. Услуги по проведению Аудита соответствия требованиям законодательства о персональных данных
  29. Требования по обеспечению защиты ПДн и проведению проверок
  30. Что собой представляет аудит персональных данных в организации?
  31. Этапы аудита ПДн и оборудования, обрабатывающего персональные данные
  32. Сколько будет стоить аудит ПДн?
  33. Аудит соответствия 152-ФЗ – ООО
  34. Что такое аудит по 152-ФЗ?
  35. Что входит в аудит по 152-ФЗ?
  36. Аудит соответствия 152-ФЗ и аудит готовности к проверке Роскомнадзора: отличия

Аудит персональных данных в организации

Аудит персональных данных в организации

Закон о персональных данных требует, чтобы абсолютно каждый оператор осуществил правовую подготовку по статье 18.1 и техническую подготовку по статье 19 закона.

Также закон требует, чтобы каждый оператор проводил аудит соответствия обработки персональных данных требованиям закона, подзаконным нормативно-правовым актам, политике оператора в отношении обработки персональных данных и внутренним локальным актам оператора. Об этом гласит пункт 5) части 1 статьи 18.1.

В теории все просто: оператор должен открыть сам закон, внимательно вчитаться в статьи 18.1 и 19 закона и реализовать их в жизни. Но на практике все гораздо сложнее, потому что для реализации указанных статей закона нужно иметь понимание требований, а, столкнувшись с общими формулировками закона, неподготовленному (не опытному) читателю понять их совсем не просто.

В итоге без внешней помощи не обойтись. А тем, кто все же отважился реализовать требование статей закона самостоятельно, нужна перепроверка от компетентной организации.

Заказать обратный звонок и получить полное понимание за 10 минут ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Как проводится аудит по 152-ФЗ?

Порядок проведения аудита правового соответствия 152-ФЗ следующий:

  1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
    • об организационной структуре организации;
    • бизнес-процессы организации, связанные с обработкой персональных данных;
    • имеющиеся организационно-распорядительные документы в части обработки персональных данных;
    • степень и правильность реализации технических мер защиты;
    • правильность неавтоматизированной (бумажной) обработки персональных данных;
    • взятие согласий с субъектов персональных данных;
    • соответствие договоров с контрагентами требованию закона.
  2. Оформление отчета по результатам аудита, включая, среди прочего, следующее:
    • общая оценка выполнения оператором требований закона;
    • оценка выполнения требований статей 18.1 и 19 закона;
    • оценка соответствия подзаконным нормативно-правовым актам;
    • выводы по результатам аудита;
    • рекомендации и замечания по приведению в соответствие.

Порядок проведения аудита реализации технических мер защиты следующий:

  1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
    • количественные характеристики ИСПДн (количество серверов, рабочих станций и др.);
    • качественные характеристики ИСПДн (операционные системы, СУБД, прикладное ПО и др.);
    • технологии обработки данных в ИСПДн (RDP, Wi-Fi, толстый клиент, тонкий клиент и др.);
    • применяемые средства защиты в ИСПДн;
    • инженерно-техническая защищенность ИСПДн.
  2. Оформление отчета по результатам аудита, включая, среди прочего, следующее:
    • перечень законодательных актов, которым ИСПДн должна соответствовать;
    • подробное описание ИСПДн;
    • оценка выполнения оператором требований закона (статьи 19 закона);
    • оценка соответствия подзаконным нормативно-правовым актам;
    • описание реализации технических мер защиты информации;
    • выводы по результатам аудита;
    • рекомендации и замечания по приведению в соответствие.

Порядок проведения аудита готовности к проверке Роскомнадзора следующий:
Вы можете узнать стоимость работ по аудиту в рамках 152-ФЗ: 8(800) 550-44-71 ЗАКАЗАТЬ ЗВОНОК

Аудит по 152-ФЗ: цена вопроса

Напомним, что аудит по 152-ФЗ делится на три направления:

  1. Аудит правовой готовности (аудит организационно-распорядительной документации по статьям 18.1 и 19 закона и подзаконным нормативно-правовым актам).
  2. Аудит реализации технических мер защиты (аудит защищенности информационных (компьютерных) систем по статье 19 закона).
  3. Аудит готовности к проверке Роскомнадзора (аудит готовности к проверке по типовому плану проверки Роскомнадзора и с учетом практики прохождения проверок).

Оператор может провести аудит самостоятельно или обратиться за квалифицированной помощью к компетентной организации. Внимание: аудит реализации технических мер защиты может выполнять только лицензиат ФСТЭК России с лицензией на техническую защиту конфиденциальной информации.

Цена аудита правовой подготовки варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от масштаба организации, которую проверяют (количества контрагентов у организации, количества и класса информационных систем, количества отделов и сотрудников и др.).

Цена аудита реализации технических мер защиты варьируется в диапазоне от 150 тыс. руб. до 1,5 млн. руб. в зависимости от масштаба, класса защищенности, сложности и территориальной распределённости ИСПДн.

Цена аудита готовности к прохождению проверки Роскомнадзора варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от срочности, т.е. в зависимости от того, сколько времени есть на подготовку. Сверхсрочные услуги, как правило, в два-три раза дороже чем с обычным сроком.

Обычно при заказе комплексного аудита по 152-ФЗ, включающего правовой, технический аудит и аудит готовности к проверке Роскомнадзора, общая стоимость услуг ниже, чем при заказе каждого вида аудита по отдельности.

Заказать обратный звонок и получить полное понимание за 10 минут ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Предоставление данных

111 юристов сейчас на сайте 2745консультаций за 24 часа

Подвело любопытство, и на сейте ламода оставила свои данные для предоставления рассрочки, хотела узнать сумму.

Мне одобрили 20 000, но оформлять покупку я с данной услугой рассрочки я передумала, запрос на выпуск виртуальной карты не оформляла, соответственно, у меня нет никаких реквизитов.

Стоит ли волноваться, что мне уже пойдёт начисление каких-то процентов? Позже ещё заметила, что свои данные вбила с ошибкой в номере паспорта.

Если вы не получили денежные средства, то никакие проценты не начисляются, долга нет, волноваться не следует.

Здравствуйте! Можете не волноваться.

Нужно собрать подписи соседей, о том, что человек не проживает по данному адресу, для предоставления в суд! Как это оформить правильно?

Оформите актом о непроживании.

Анастасия, в данном случае можете привести в качестве свидетелей соседей и они дадут показания в суде согласно данным обстоятельствам ст. 56 ГПК РФ.

Добрый день! В свободной форме. Примерная форма: АКТ о непроживании Комиссия в составе: 1.___Ф.И.О,, паспорт гражданина РФ серии № выдан ___ г., код подразделения , проживающий по адресу: г. N, ул. ___, д. ___ кв. ; 2.___Ф.И.О,, паспорт гражданина РФ серии № выдан ___ г., код подразделения , проживающий по адресу: г. N, ул. ___, д. ___ кв. ; 3.___Ф.И.

О,, паспорт гражданина РФ серии № выдан ___ г., код подразделения , проживающий по адресу: г. N, ул. ___, д. ___ кв. ; 4. 5. являющиеся жителями дома №__ по улице ___ в г. N составили настоящий акт о нижеследующем: руководствуясь нормами жилищного и гражданского права, жильцы совершили осмотр квартиры №___ по улице ___ в г. N по инициативе жильца (ответственного квартиросъемщика) ___Ф.И.

О. В осматриваемой квартире №___, расположенной на ___ этаже, кирпичного __этажного дома по адресу: , г. N, где фактически не проживает, личных вещей указанных граждан не обнаружено, спальных мест и иных признаков, указывающих на фактическое жительство указанных граждан по данному адресу также не имеется. Настоящий акт составлен ___ февраля 2019 г. в __:___ по адресу: ул. ___, д. ___ кв.

__. Подпись / Подпись / Подпись /

Имеет ли право инн требовать паспортные данные при предоставлении платных услуг?

Кто такие они? Задавайте вопрос понятно и корректно.

У нас в семье сгорел дом в 2000 году, было подано заявление на предоставление жилья, но на данный момент, оказалось что я не стою вообще на учете, хотя до сих пор прописан где сгорел дом Как мне быть?

Снова подавать заявление и выяснять где ваше предыдущее. Собирать справки.

Администрация отказала в предоставлении в аренду земельного участка сформулировав отказ тем, что данный участок находится в шумозащитной зоне и зоне объектов дорожной инфраструктуры! Хотя рядом построены дома и размежёваны земельные участки!

Источник: https://iiotconf.ru/audit-personalnyh-dannyh-v-organizatsii/

Комплексный проект по №152-ФЗ «О персональных данных»

Аудит персональных данных в организации

Мы помогаем компаниям выполнить требования закона 152-ФЗ “О персональных данных”, которому уже 13 лет. За столь большой срок надзорные органы о нем не позабыли и также проводят проверки бизнеса, а количество штрафов и суммы по ним выросли. Надзорный орган, Роскомнадзор, проверяет организации каждые 2-3 года, в т.ч. путем анализа сайтов компаний.

Что будет, если не выполнять требования 152-ФЗ?

  • Штрафы до 300 000 рублей с мультипликатором (штрафы могут накладываться на каждое выявленное нарушение)
  • Блокировка сайта, мобильного ресурса и информационной системы
  • Приостановление обработки персональных данных

Кто попадает по требования закона?

Под требования закона попадают бюджетные организации, частные компании и предприниматели, обрабатывающие персональные данные физических лиц (например, работников, клиентов).

Если вы трудоустраиваете людей в свою организацию на работу, или у вашей компании есть форма заявок или форма подписки на сайте, или для регистрации на вашем сервисе нужно заполнить форму с данными, то вы попадаете под требования закона.

Попасть под требования закона может компания из любой отрасли: финансы, ИТ, стартапы, FMCG, производство, туризм и другие. Особое внимание уделяется международным организациям, у которых есть передача данных за рубеж.

Чем мы можем вам помочь

Уже 8 лет мы занимаемся исключительно вопросами защиты персональных данных. За это время нашими услугами и сервисами воспользовалось более 9 000 организаций со всей России, у многих из которых были проверки Роскомнадзора и мы помогли им их пройти.

Мы готовы помочь вам соответствовать 152-ФЗ “О персональных данных” комплексно или в какой-либо из отдельных частей (провести аудит, разработать документы или техническую защиту на вашу систему). Каждому клиенту мы также предоставляем финансовые гарантии на все наши услуги.

Готовы помочь вам соответствовать 152-ФЗ “О персональных данных” и избежать штрафов Роскомнадзора.

Ниже описаны этапы работ, выполняемых при комплексном проекте для клиентов.

Узнайте подробнее о нюансах №152-ФЗ
у экспертов по вашей отрасли

1

Проведение комплексного аудита процессов обработки персональных данных, документов и информационных систем персональных данных позволяет нам точно определить масштаб обработки персональных данных в организации не упустить ни одного риска для клиента.

2

Оцениваем правовую основу договоров, на которых персональные данные передаются контрагентам, и выявляем возможные риски.

3

Готовим комплект документов по персональным данным и уведомление в Роскомнадзор. Выявляем факт соответствия или несоответствия бизнес-процессов федеральному закону №152-ФЗ “О персональных данных” и даем рекомендации, какие исправления необходимы, чтобы свести риск несоответствия законодательству к минимуму.

4

Проектирование и внедрение недостающих средств защиты информации, их интеграция в существующую инфраструктуру компании.

5

Поддержка по вопросам сбора, хранения и обработки персональных данных в организации по телефону и у вас в офисе, обновление документов в случае внутренних изменений в организации, а также в случае изменения законодательства, позиции Роскомнадзора и появления новых случаев из юридической практики.

6

Заранее предупреждаем о предстоящей проверке Роскомнадзора, подготавливаем необходимые документы, оказываем консультационную поддержку и объясняем все тонкости и детали проверок.

Мы отвечаем за качество нашей работы, поэтому даем финансовые гарантии.

  • Для российского подразделения Philips очень важно соответствовать всем требованиям местного законодательства, включая закон №152-ФЗ “О персональных данных”. Крупный бизнес в области производства, дистрибуции и розничной торговли подразумевает обработку и хранение большого числа персональных данных, поэтому организация этого процесса в строгом соответствии с российским законодательством является важной задачей моего отдела. Спасибо экспертам команды Б-152, мы справились с этой задачей!
  • Специфика нашего бизнеса предполагает работу с большими объемами персональных данных, которые необходимо защищать. Мы рады, что обратились именно к Б-152 с просьбой привести наши бизнес-процессы в соответствие требованиям №152-ФЗ “О персональных данных” и избежали риска блокировки сайта. На мой взгляд, сервис Б-152 – лучший и экономичный способ подготовить документы по защите персональных данных и поддерживать их в актуальном состоянии!
  • Сервис Б-152 оказался незаменимым и удобным инструментом при подготовке документации по защите персональных данных. У представителей Роскомнадзора не было к нам вопросов, касающихся подготовленных с помощью сервиса Б-152. Специалисты Б-152 быстро и качественно, даже в ночное время, оказывали нам необходимые консультации. В следующий раз мы знаем, к кому обращаться за помощью
  • Из-за большого количества проверок в нашем сегменте задача соответствия российскому закону о персональных данных была исключительно важной. Благодаря помощи экспертов компании Б-152 персональная информация наших гостей защищена в строгом соответствии с требованиями закона. Результатом нашей совместной работы стало успешное прохождение проверки Роскомнадзора.
  • Благодарим Б-152 за оказанную помощь в подготовке документов по персональным данным. Проверка Роскомнадзора прошла, нас похвалили за разработанные документы по ПДн, работа ведётся по ним. Очень были удивлены объёму. Сказали, что ещё ни в одной проверяемой организации такого соответствия документов, отвечающих закону не встречали. Мы использовали онлайн-сервис Б-152 для организаций и заказывали верификацию подготовленных документов экспертам компании Б-152.
  • В связи с изменением законодательства о персональных данных и усилением контроля за микрофинансовыми компаниями, вопрос о приведение документов в соответствие законодательству был для МФК “Инвест-Проект” приоритетным. С помощью команды Б-152 нам удалось привести документы в соответствие закону №152-ФЗ “О персональных данных” и внести ООО МФК “Инвест-Проект” в реестр операторов персональных данных.
  • Мы обратились в компанию Б-152 накануне проверки Роскомнадзора. Выбрали Б-152 в связи с большим опытом успешного прохождения проверок. Эксперты компании осуществили: сбор информации; проработку вопроса относительно основных продуктов; формирование необходимых документов и подготовку к проверке. Эксперты компании Б-152 глубоко погружались в продукт, подготовили хорошую юридическую позицию относительно законности сбора информации из социальных сетей. Помощь и консультации в процессе работы предоставлялись оперативно. В случае проверки Роскомнадзора не только штрафы могут угрожать бизнесу, но и репутационные риски, требование уничтожения базы данных. Спасибо экспертам компании Б-152 за успешное прохождение проверки Роскомнадзора!
  • АО “Медицина” выражает благодарность компании “Б-152” за высокий уровень реализации крупного комплексного проекта по обеспечению информационной безопасности инфраструктуры и веб-приложений в соответствие с ФЗ “О персональных данных”. Для АО “Медицина”, ведущей и старейшей частной клиники России, в которую ежедневно обращается свыше 2000 пациентов, чрезвычайно важна надежность хранения персональных данных. Мы высоко ценим профессионализм сотрудников “Б-152”, реализовавших проект, который потребовал не только серьезных компетенций в сфере информационных технологий, но и педантичного учета строгих требований к медицинским учреждений. Благодаря сотрудничеству с компанией “Б-152” наши клиенты и данные защищены в соответствии с государственными нормативами и жёсткими правилами, принятыми в АО “Медицина”.
  • ООО «Русский АвтоМотоКлуб» выражает благодарность компании «Б-152» за оказанные услуги по приведению деятельности нашей организации в соответствие с требованиями Федерального закона №152-ФЗ «О персональных данных» и европейского General Data Protection Regulation (GDPR). По результатам сотрудничества мы получили не только детальные рекомендации, но и подготовленную документацию, как по российскому законодательству, так и по Европейскому. Понравилось, что консультанты из Б-152 вычитывали предоставленные нашей головной бельгийской компанией документы по GDPR и давали рекомендации в том числе по ним и на английском языке.

Источник: https://b-152.ru/152fz-audit

Аудит защиты персональных данных | Аудит информационной системы персональных данных

Аудит персональных данных в организации

Государственные и коммерческие организации хранят персональные данные своих сотрудников или клиентов, включая ФИО, паспортные и контактные данные, другие сведения. Эти данные могут использоваться злоумышленниками, поэтому для их защиты в России действует федеральный закон № 152 «О персональных данных».

Исходя из закона, каждая организация, которая хранит и обрабатывает персональные данные человека, должна заботиться об их защите. По требованиям, конфиденциальные данные должны обрабатываться в соответствии с определенными принципами. Они детально описываются в законе.

Что такое персональные данные

Персональные данные – это личная информация о конкретном человеке. К ней относят ФИО, ИНН, код паспорта, номер телефона, адрес электронной почты и любые другие данные, которые как-то связаны с гражданином.

Важно сделать уточнение, что персональными данные становятся только в связке, например, ФИО+телефон, адрес+ФИО. Такие пары являются конфиденциальными сведениями, их нельзя разглашать и обрабатывать без согласия владельца.

https://www.youtube.com/watch?v=Up1h8Jf4csU

Конфиденциальные данные человека защищаются не только Федеральным законом России, но и международными договорами. Это свидетельствует об актуальности проблемы.

Основные принципы использования персональных данных

В соответствии с законом, личные данные о человеке могут собираться только в том случае, если он дал на это свое согласие. При этом в любой момент лицо имеет право отменить свое согласие на обработку таких сведений. Любая организация, которая хранит и собирает такие данные, обязана иметь соответствующий документ, который подтверждает согласие человека.

Личную информацию о человеке нельзя разглашать третьим лицам или публиковать в свободном доступе, потому что это противоречит принципам конфиденциальности и запрещено законом.

Информация должна храниться в защищенном (зашифрованном) виде, при этом она должна передаваться только по надежным каналам связи. Персональные данные можно использовать только в тех целях, которые обозначены в договоре между субъектом (человеком, который дал согласие) и организацией.

Определить, сколько в файловой системе документов с персональными данными, поможет «СёрчИнформ FileAuditor».   

В согласии указываются сроки хранения персональных данных. После истечения определенной даты информация должна быть уничтожена или обезличена таким образом, чтобы никто не мог ею воспользоваться.

Защита персональных данных

Чтобы защитить персональные данные сотрудников и клиентов, организации обязаны выполнять требования Федерального закона. Организации создают собственную нормативно-правовую базу, в которой описываются регламентные требования хранения, обработки и передачи персональных данных.

В документации обязательно есть перечень лиц, которые обладают доступом к персональным данным и могут их обрабатывать. Люди, которые занимают соответствующие должности, отвечают за сохранность информации и контролируют ее использование.

Для защиты персональных данных организации хранят сведения в надежном месте, в электронном или бумажном виде. Для защиты иногда применяют шифрование данных на электронных носителях, безопасные средства связи, организацию локальной сети.

Государственные проверки

Частные и государственные организации могут подвергаться проверке на предмет соответствия Федеральному закону «О персональных данных». Проверками занимаются несколько организаций: Роскомнадзор, ФСТЭК, ФСБ, Государственная инспекция труда и другие ведомства.

Несоответствие порядка хранения и использования данных требованиям законодательства грозит организациям штрафами: до 75 тысяч рублей в случае административной ответственности и до 300 тысяч в случае уголовной. Регуляторы могут изъять персональные данные и наложить запрет на их дальнейший сбор и обработку. Кроме того, деятельность компании в Интернете может временно приостанавливаться. 

Под требования закона подпадают все организации, собирающие персональные данные. К примеру, магазины, которые выдают дисконтные карты, при их оформлении узнают имя и контактные данные человека. Это персональные данные, которые должны храниться и обрабатываться соответствующим закону образом.

Как избежать нарушений

Чтобы избежать штрафов и других видов наказаний за несоответствие Федеральному закону № 152 «О персональных данных», нужно правильно организовать управление данными в организации. Для этого следует проконсультироваться с экспертами, которые помогут найти проблему и решить ее.

Для того чтобы правильно обрабатывать персональные данные, нужно провести внутриорганизационный аудит. Во время него проверяется соответствие организации техническим и правовым требованиям. Если есть какие-то изъяны, они исправляются. Такой подход позволяет решить проблему еще до того, как она усугубится или попадет в поле зрения контролирующих органов.

Роскомнадзор и другие государственные ведомства могут проводить внеплановые проверки (например, в случае обращения пострадавших лиц), поэтому каждая организация должна быть к ним готова и соблюдать требованиям закона о персональных данных.

Порядок аудита

Первое, на что обращают внимание эксперты, которые проводят аудит, – правовая база организации. Проверяют не только внутриорганизационные акты, но и договоры с другими компаниями и контрагентами, контракты, которые заключают с сотрудниками и клиентами.

Если компания новая, а правовой базы для работы с данными нет, эксперты помогают ее подготовить. Кроме того, они отправляют соответствующий запрос в Роскомнадзор для регистрации организации в качестве оператора персданных. Правильно оформленные документы – первый этап аудита.

Между сотрудниками компании нужно правильно разделять полномочия. Рядовой персонал не должен обладать допуском к изучению личных данных о клиентах и сотрудниках. Лучше, если персональными данными будет заниматься специальный структурный отдел внутри организации.

Во время проведения аудита эксперты помогают организовать материально-техническую базу для соответствия закону о персональных данных: устанавливают программное обеспечение на компьютеры в компании, создают локальную сеть и помогают подготовить правовую базу для ее функционирования. В случае если сеть хранения данных уже существует, аудиторы находят проблемы в ней и корректируют ее работу.

Финальная стадия аудита – юридическая консультация. Аудиторы рассказывают обо всех тонкостях закона о персональных данных, юридической и судебной практике. Помогают разобраться в том, когда проходят и что включают проверки регулятора, как к ним подготовиться. 

Проблемой сбора персональных данных обеспокоено не только государство, но и рядовые граждане.

О ее важности свидетельствует факт, что за последние несколько лет в России дорабатывали старые законы о защите личных данных и принимали новые.

Европейский союз выдвинул новые требования к организациям, которые осуществляют сбор персональных данных. Аналогичная ситуация наблюдается и в других регионах мира.

13.12.2019

Источник: https://searchinform.ru/resheniya/kontrol-dostupa-k-nestrukturirovannym-dannym-dag/audit-dannykh/audit-zaschity-personalnykh-dannykh/

Блог Главбух Ассистент » 10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Аудит персональных данных в организации

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Что нужно сделать.Не только разработать политику обработки данных, но и опубликовать ее на сайтеили другим способом обеспечить неограниченный доступ к документу (ч. 2 ст.18.1 ФЗ от 27.07.2006 № 152-ФЗ).

Разработайте политику илиактуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйтеготовые формулировки, а отобразите в документе особенности именно вашейкомпании. За нарушение грозит штраф до 30 000 руб.

(ч.3 ст. 13.11 КоАП РФ).

Ошибка № 2.Не назначили ответственного за обработку персональных данных

Что нужно сделать.Назначить одного сотрудника, который будет отвечать за обработку персональных данных.Ответственный должен подчиняться непосредственно генеральному директору и унего должны быть полномочия давать указания руководителям подразделений (ч.2ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Неутвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать.С помощью приказа утвердите перечень сотрудников, которым может понадобитьсядоступ к персональным данным в связи с их должностными обязанностями.

Получатьони должны только те данные, которые им нужны в работе (ст. 88 ТК РФ).

В приказе можно указать ФИО, должности конкретных сотрудников, структурноеподразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираетеи храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Чек-лист: что можно хранить в личном делеСкачать

Как только вы оформили кадровые документы, предоставилисотруднику гарантии и компенсации и выполнили другие необходимые действияи процедуры, персональные данные больше не нужны.

Копии документовверните сотруднику или уничтожьте. Если в личном деле сотрудника, другихдокументах и папках будете хранить данные, которые уже обработалии которые больше не нужны, компанию оштрафуютна 50 тыс.

 руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать.Разработайте процедуру внутреннего контроля или аудита и периодически егопроводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006№ 152-ФЗ). Для этого создайте комиссию, которая будет анализироватьдокументы, изучать процессы обработки персональных данных и даватьрекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать.Оформите лист ознакомления работников с положениями законодательствао персональных данных и внутренними документами по вопросам обработкиперсональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006№ 152-ФЗ). Другой вариант — включите положения в трудовойдоговор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать.Ваша задача – уведомить территориальный орган Роскомнадзора о том, чтобудете обрабатывать персональные данные. Для этого используйте Методическиерекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94.Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могутбыть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать.Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневныйсрок в Роскомнадзор информационное письмо.  Форма информационного письмаесть в Приложении № 2 к Рекомендациям № 94. Заполнитете поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать.Издайте приказ, которым утвердите перечень мест хранения материальных носителейперсональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв.

постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах,где обрабатываете персональные данные на бумаге, определите местахранения — например, сейфы.

Местом хранения может быть и само помещение,например архив организации.

Ошибка № 10.  Используете неверный бланк согласия на обработку персональных данных

Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Согласие на обработку персональных данных должно содержать:

  1. 1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
  2. 2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).
  3. 3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.
  4. 4. Цель обработки персональных данных.
  5. 5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.
  6. 6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.
  7. 7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.
  8. 8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.
  9. 9. Подпись субъекта персональных данных.

Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.

Презентация РоскомнадзораСкачать

Источник: https://blog.gba.guru/10-oshibok-pri-rabote-s-personalnymi-dannymi/

Аудит персональных данных в организации и оборудования, обрабатывающего ПДн

Аудит персональных данных в организации

Компании многих сфер деятельности, связанных с обработкой персональных данных, в том числе кредитные и микрофинансовые организации, страховые компании, медицинские центры и учреждения здравоохранения, кадровые агентства, колл-центры и т.п. обязаны соблюдать требования Федерального закона № 152-ФЗ «О персональных данных» в части их обработки и защиты.

Под действие ФЗ подпадают все компании, ИП и физические лица, а также бюджетные структуры, которые получают, хранят и используют сведения о гражданах.

Например, соблюдать установленные нормативы касательно СЗПДн необходимо туристическим фирмам, банкам и кредитным организациям, интернет магазинам, производственным корпорациям, стартапам и т.д.

Нанимая на работу персонал, собирая данные для электронной или смс рассылки или просто размещая на своем сайте виртуальную форму заказа, вам необходимо позаботиться о внедрении эффективных средств защиты.

Определить, действительно ли ИСПДн защищена от несанкционированного доступа, изменения, удаления или использования третьими лицами, позволяет аудит персональный данных на предприятии, а также оборудования, которое задействовано в их обработке.

В дальнейшем успешное прохождение проверки позволит пройти аттестацию ФЗ-152 и избежать претензий со стороны ФСТЭК и Роскомнадзора. Наш центр предлагает услуги по экспертной оценке СЗПДн для индивидуальных предпринимателей и предприятий всех форм собственности с составлением детального отчета и предоставлением конкретных рекомендаций по оптимизации системы безопасности.

Позвоните или напишите нам через сайт, чтобы обсудить детали выполнения работ и получить ответы на интересующие вопросы.

С целью подтверждения соответствия обработки персональных данных в вашей организации требованиям законодательства и нормативных документов проводится аудит, по результатам которого выдается официальное Заключение и Свидетельство.

Услуги по проведению Аудита соответствия требованиям законодательства о персональных данных

Специалисты Центра безопасности данных имеют большой опыт в области обработки и защиты персональных данных.

Наши юристы и технические специалисты проведут для вашей компании анализ внутренней документации и существующих организационно-технических мер по защите персональных данных и выдадут официальное заключение и рекомендации.

При положительном результате мы оформим Свидетельство о соответствии обработки персональных данных в вашей организации требованиям законодательства и нормативных актов, которое вы сможете предоставить своим партнерам и клиентам для подтверждения должного уровня защиты персональных данных.

По результатам аудита вы получите:

  • официальное Заключение по результатам аудита и рекомендации по приведению существующей системы обработки и защиты персональных данных в соответствие необходимым требованиям (в случае несоответствия);
  • консультации по вопросам приведения в соответствие обработки персональных данных требованиям 152-ФЗ;
  • Свидетельство о соответствии обработки персональных данных при положительном решении в результате аудита.

Подготовка к проведению аудита на соответствие требованиям 152-ФЗ

При необходимости мы подготовим вас к проведению аудита: разработаем для вашей компании комплект организационно-распорядительных документов и рекомендации по внедрению необходимых административных и технических мер. Выполнив наши рекомендации вы со 100%-ной уверенностью получите защищенную систему обработки персональных данных, соответствующую всем требованиям, а также официальные подтверждающие документы.

Требования по обеспечению защиты ПДн и проведению проверок

В обязанности всех без исключения операторов входит подготовка документации, подбор и интеграция технических средств обеспечения конфиденциальности и сохранность личной информации о гражданах.

Кроме того, в законе четко прописана необходимость регулярно осуществлять аудит защиты персональных данных для выявления (или подтверждения отсутствия) отклонений от актуальных требований ФЗ-152, подзаконных актов, а также прописанной в регламентирующей документации политике обработки ПДн.

Ввиду сложности понимания правовых формулировок, а также из-за периодических изменений законодательства и отсутствия у рядовых сотрудников понимания специфики процесса при экспертном анализе часто выявляются различные нарушения.

Проверка специалистов позволяет своевременно исправить ошибки и добиться результативности работы СЗПДн. Прежде всего, мы изучаем не состояние технических средства, а качество проработки документов, регулирующих сбор и обработку ПДн.

То есть после завершения аудита и выполнения наших рекомендаций, вам не придется сталкиваться со сложностями при проверке Роскомнадзора, ведь у вас будут правовые обоснования:

  • целей сбора и сохранения персональной информации;
  • получения только необходимого для реализации поставленный задач объема данных;
  • длительности хранения ПДн;
  • наличия четкого регламента обработки полученных сведений;
  • получения согласия на выполнение тех или иных операций с собранными ПДн.

При изучении интегрированных средств и организационных мероприятий по безопасности ИСПДн эксперты определяют, насколько они соответствуют вероятным угрозам, особенностям деятельности оператора и техническим параметрам используемых автоматизированных систем.

Что собой представляет аудит персональных данных в организации?

В зависимости от типа систем, законодательных требований и желания оператора, аудит соответствия требованиям обработки персональных данных может включать исследование, анализ и составление экспертного заключения в отношении:

  1. Выполнения положений ФЗ-152.
  2. Готовности к прохождению проверки Роскомнадзора.

Осуществление всех, предусмотренных законом подготовительных мероприятий, не является гарантией того, что у предприятия, ИП или физического лица не возникнет сложностей при контроле уполномоченного регулятора.

Во избежание ненужных задержек и финансовых затрат есть смысл изначально привлечь сотрудников нашего центра, которые выполнят необходимые мероприятия для оценки организационно-правовой готовности по соответствующим статьям ФЗ-152, эффективности внедрения технических мер защиты ПДн, а также способности оператора успешно пройти проверку Роскомнадзора. Последняя разновидность аудита предполагает отслеживание выполнения типового плана, присутствия ОРД с подписями и проведения инструктажа работников. Если потребуется, мы проконсультируем дополнительно, как исправить недочеты в кратчайшие сроки с учетом особенностей деятельности и имеющихся финансовых ресурсов.

Этапы аудита ПДн и оборудования, обрабатывающего персональные данные

Как компетентная организация в сфере технической и правовой безопасности ПДн, мы придерживаемся определенного порядка осуществления аудиторской проверки персональных данных на предмет соответствия статьям ФЗ-152:

  1. Собираем, изучаем исходную информацию об организационной структуре, порядке обработки ПДн, разработанной документации и текущего уровня защиты. Помимо этого наши сотрудники устанавливают, берут ли согласие у субъектов на операции с их данными, отвечают ли нормативам законодательства соглашения с контрагентами и насколько грамотно выстроена бумажная работа с ПДн.
  2. Составляем отчет, где прописывается, насколько соблюдены статьи 19 и 18.1 Федерального закона, положения подзаконных нормативно-правовых актов, есть ли какие-либо замечания и рекомендации для достижения стопроцентного соответствия с установленным списком требований.
  3. Осуществляем аудит реализации технической части СЗПДн, который начинается со сбора и исследования количественных и качественных параметров информационных систем персональных данных, используемых технологий обработки ПДн, степени защищенности ИС и активных мерах безопасности. Проанализировав исходные сведения, эксперты составляют отчет с детальным отображением характеристик ИСПДн, законодательных актов, пунктам которых она должна отвечать, оценкой текущего соответствия, выводами, замечаниями и рекомендациями.
  4. Проводим аудит организационно-распорядительных документов согласно типовому плану Роскомнадзора для операторов ПДн, полноту их утверждения и соответствие заявленной в реестре и фактической информации.

Сколько будет стоить аудит ПДн?

Цена аудиторской проверки устанавливается после обсуждения спектра предоставляемых услуг (комплексный сервис или осуществление отдельных работ), типа ИСПДн, степени срочности получения отчетов и состояния системы защиты персональных данных на предприятии. Как финансовые моменты, так и сроки прописываются в договоре на обслуживание, поэтому вы можете быть стопроцентно уверенными в том, что аудит будет выполнен в полном объеме и без задержек.

Источник: https://data-sec.ru/services/personal-data/audit/

Аудит соответствия 152-ФЗ – ООО

Аудит персональных данных в организации

Закон о персональных данных требует, чтобы абсолютно каждый оператор осуществил правовую подготовку по статье 18.1 и техническую подготовку по статье 19 закона.

Также закон требует, чтобы каждый оператор проводил аудит соответствия обработки персональных данных требованиям закона, подзаконным нормативно-правовым актам, политике оператора в отношении обработки персональных данных и внутренним локальным актам оператора. Об этом гласит пункт 5) части 1 статьи 18.1.

В теории все просто: оператор должен открыть сам закон, внимательно вчитаться в статьи 18.1 и 19 закона и реализовать их в жизни. Но на практике все гораздо сложнее, потому что для реализации указанных статей закона нужно иметь понимание требований, а, столкнувшись с общими формулировками закона, неподготовленному (не опытному) читателю понять их совсем не просто.

В итоге без внешней помощи не обойтись. А тем, кто все же отважился реализовать требование статей закона самостоятельно, нужна перепроверка от компетентной организации.

Что такое аудит по 152-ФЗ?

Под аудитом понимается обследование, анализ и оценка соответствия/готовности требованиям закона и(или) регулятора, проводимые внешней организацией.

Аудит по 152-ФЗ делится на два направления: аудит соответствия требованиям закона (проверка правильности и объема выполнения требований закона) и аудит готовности к проверке Роскомнадзора (проверка готовности организации к проверке регулятора).

Если оператор провел подготовку по требованиям закона, то это не значит, что он готов пройти проверку уполномоченного регулятора (Роскомнадзора), так как на проверке запрашиваются дополнительные документы и сведения по предмету проверки. Поэтому любому оператору стоит обратиться за внешней помощью (к экспертной организации) для проверки соответствия/готовности требованиям закона и(или) регулятора.

Что входит в аудит по 152-ФЗ?

Сам аудит может проводиться как комплексом услуг, так и по отдельности:

  • аудит организационно-правовой готовности по статьям закона 18.1 и 19 закона (аудит состава и содержания организационно-распорядительной документации в части обработки и защиты персональных данных);
  • аудит реализации технических мер защиты по статье 19 закона (аудит защищенности информационных систем персональных данных или экспертиза результатов работ);
  • аудит готовности к проверке Роскомнадзора (проведение внутреннего контроля готовности к проверке Роскомнадзора: проверка оператора по типовому плану проверки Роскомнадзора, перепроверка наличия и подписания ОРД, инструктаж персонала, консультации).

Аудит соответствия 152-ФЗ и аудит готовности к проверке Роскомнадзора: отличия

Главное отличие состоит в том, что при реализации оператором требований 152-ФЗ разрабатываются организационно-распорядительные документы в объеме, требуемом для соответствия законодательству, а при проверке Роскомнадзора, на самой проверке запрашиваются еще дополнительные документы и сведения по предмету проверки.

Так как закон не содержит конкретный перечень документов для выполнения требований закона, в нем нет и перечня документов, необходимых для прохождения проверки Роскомнадзора. Поэтому операторы, не имеющие реальной практики, не могут однозначно сказать, соответствуют ли они закону и готовы ли они к проверке Роскомнадзора.

Чтобы стало понятно, приведем цифры:Пакет документов для соответствия требованиям закона состоит примерно из 40 документов.Пакет документов для прохождения проверки Роскомнадзора — плюс еще около 20 документов.

Итого полный пакет документов составляет около 60 документов.

Об успешном бизнесе
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: