Новому бизнесу —
год бесплатно!
Попробовать bizkub.ru
Реклама ООО «1С-СОФТ» ИНН 7730643014
Рубрики:

Строго конфиденциально: как компании провести внутренний аудит соответствия требованиям по защите персональных данных

Прочтёте за 5 мин.

Пошаговая инструкция от бизнес-юриста Елизаветы Вороновой

IT-инструменты, которые использует Елизавета Воронова

  • Битрикс24
  • Privacy Box
  • Гарант

В 2025 году государство ужесточило нормы регулирования в области защиты персональных данных. Нарушение установленных правил грозит коммерческим компаниям серьёзными штрафами – от 30 тысяч до 500 миллионов рублей. Исключить возможные риски бизнесу поможет проведение внутреннего аудита. О том, какие шаги он должен в себя включать, порталу Biz360.ru рассказала консультант по защите персональных данных в компании «Б-152» Елизавета Воронова.

Досье

Елизавета Воронова – консультант по защите персональных данных в компании «Б-152». Получила высшее юридическое образование. Компания «Б-152» с 2011 года помогает клиентам защищать персональные данные по российским и международным законам, разрабатывает собственное ПО для конфиденциальности данных. В зону ответственности Елизаветы Вороновой входит консалтинг клиентов, а также разработка и внедрение локальных актов, регулирующих работу с конфиденциальной информацией в организациях.

Елизавета Воронова

Шаг 1. Обзор имеющейся документации

Первым этапом подготовки к внутреннему аудиту является сбор всех имеющихся документов компании, связанных с обработкой персональных данных. Чем полнее набор документов, тем объективнее будут результаты аудита. В таблице представлен полный перечень. 

Персональные данные
Чтобы посмотреть таблицу в большем размере - кликните на неё 

Если весь этот список в вашей компании есть, вам крупно повезло. Остаётся периодически проверять актуальность документов и их обновление.

Шаг 2. Составление и поддержание актуальности реестра процессов обработки персональных данных

Реестр или перечень процессов – основополагающий документ, необходимый для правильного ведения учёта обработки персональных данных. 

Для его составления и поддержания в актуальном состоянии необходимо проводить опрос ответственных сотрудников по процессу (таких как, например, трудоустройство, расчёт заработной платы, проверка контрагентов, оформление корпоративных SIM-карт и так далее). В реестре должна быть отражена вся информация по процессу:

  • цели сбора персональных данных;

  • способы их обработки;

  • категории субъектов, чьи персональные данные вы собираете;

  • категории и перечень персональных данных;

  • действия, совершаемые с персональными данными;

  • правовые основания для обработки;

  • используемые для этих целей информационные системы;

  • сроки обработки;

  • и так далее. 

Поддерживать реестр в актуальном виде важно не только ради соответствия нормам закона (статья 18.1 ФЗ №152), но и для повышения общего уровня информированности о процессе обработки персональных данных внутри компании.

Шаг 3. Анализ соблюдения законодательных требований

Важно оценить, насколько деятельность организации соответствует требованиям законодательства, в первую очередь 152-ФЗ. Проверьте пять ключевых аспектов: 

  1. Есть ли у вас действующие согласия субъектов или иные законные основания для сбора, обработки и хранения персональных данных? Не запрашиваете ли вы избыточные данные, не связанные с заявленными целями обработки?

  2. Вы подали уведомление в Роскомнадзор о том, что работаете с персональными данными? Соблюдаете установленные сроки хранения персональных данных?

  3. Если данные передаются третьим лицам, есть ли для этого правовые основания? Ваши соглашения с принимающей стороной гарантируют защиту данных?

  4. Ваши базы данных физически находятся на территории РФ? Если передаёте данные за границу, подали уведомление в Роскомнадзор? Принимающая сторона защищает данные?

  5. Ваша защита соответствует приказу ФСТЭК №21 от 18.02.2013

Эти вопросы не охватывают все возможные требования. Для полноценной проверки используйте официальный проверочный лист Роскомнадзора.

Шаг 4. Оформление результатов аудита

Если выявлены несоответствия между требованиями законодательствами и документами компании – хорошо, что их обнаружили вы, а не Роскомнадзор. Теперь необходимо выполнить все требования законодательства. 

По завершении аудита составьте отчёт с перечислением несоответствий и рекомендациями по их устранению. 

Документируйте каждое несоответствие с требованиями действующего законодательства, назначьте ответственных исполнителей и определите конкретные сроки для устранения выявленных проблем.

Шаг 5. Устранение выявленных нарушений

Руководствуясь отчётом по результатам аудита, проконтролируйте выполнение рекомендаций по устранению нарушений: 

  • Доработайте документы по обработке персональных данных: политику обработки персональных данных с учётом требований 152-ФЗ, формы согласий субъектов на обработку их данных.

  • Оформите договоры-поручения с третьими лицами, участвующими в обработке при передаче данных.

  • Подайте или актуализируйте уведомление в Роскомнадзор об обработке персональных данных, в том числе в случае трансграничной передачи данных.

  • Оптимизируйте внутренние процессы: разработайте должностные инструкции для работающих с персональными данными сотрудников с учётом их ролей и уровня доступа.

  • Проведите оценку возможных рисков и составьте акт оценки вреда.

  • Чтобы обеспечить защиту данных, определите уровни защищённости информационных систем и разработайте модель угроз.

  • Настройте технические меры защиты: шифрование, разграничение доступа, мониторинг.

Дополнительный шаг. Информирование сотрудников

Отдельное внимание следует уделить обсуждению с персоналом компании организации обработки персональных данных. 

  • Ознакомьте команду с положением по обработке персональных данных, в котором содержатся правила работы сданными для рядовых работников.

  • Разработайте или проанализируйте систему обучения сотрудников по вопросам защиты информации. Не проводите лекции «для галочки», рассказывайте о настоящих инцидентах, разбирайте ошибки и проводите тестирование, чтобы убедиться, все ли усвоили информацию.

  • Постарайтесь регулярно проводить мероприятия по повышению осведомлённости в сфере обработки персональных данных.

Итоговые рекомендации

После завершения первого этапа аудита и исправления выявленных недостатков желательно провести повторную проверку, чтобы подтвердить достигнутые успехи. Периодичность проведения внутренних аудитов определяется самой компанией, однако регулярные проверки помогают минимизировать риск возникновения нарушений.

Хотя бы раз в три года проверяйте свои системы, насколько они соответствуют требованиям по защите персональных данных. Это ваша обязанность в соответствии с п. 17 требований, утверждённых постановлением правительства от 01.11.2012 № 1119. Такой аудит компания вправе провести собственными силами или доверить специализированной фирме, обладающей лицензией на осуществление деятельности по технической защите конфиденциальной информации.

Крупные компании часто имеют специальные подразделения, ответственные за защиту персональных данных и информационную безопасность. Если такая структура отсутствует, целесообразно обратиться к профессиональной консультационной помощи внешних организаций. 

Независимый внешний аудит способствует улучшению качества внутренней системы защиты данных и снижает вероятность наложения штрафов со стороны государственных органов. 

Регулярный внутренний аудит защищает вашу компанию от рисков финансовых потерь и поддерживает доверие клиентов и партнёров.

Personal data


14 августа 2025

Читайте также
Четыре правила безопасной сделки: рекомендации эксперта по налоговым спорам
Так себе защита: какие ошибки совершает бизнес при работе с персональными данными клиентов
Работа с персональными данными: 5 шагов, которые спасут бизнес от штрафа

Комментарии

0

  • Прокомментируйте первым.

Возможно, вас заинтересуют другие наши материалы
Загрузить ещё
Идёт загрузка материалов