Аудит обработки персональных данных необходим как до подачи уведомления в Роскомнадзор, так и непосредственно в процессе дальнейшей работы организации. Рассмотрим подробнее оба этапа.
До подачи уведомления в Роскомнадзор
Перед подачей уведомления оператор обязан провести предварительный аудит своей деятельности, чтобы подтвердить законность сбора и обработки персональных данных.
Такой аудит помогает удостовериться, что организация соответствует следующим критериям:
- наличие правовых оснований для обработки данных;
- выполнение обязательств по информированию субъектов персональных данных;
- соблюдение принципов минимальности объема собираемых данных и целей их обработки;
- наличие соответствующих мер защиты данных (организационные, технические);
- оформление внутренней документации (локальные акты, договоры, согласия).
Таким образом, цель предварительного аудита — подготовить организацию к подаче уведомления, обеспечив её юридическую безопасность и защиту прав граждан.
В процессе дальнейшей работы
Проводимый периодический аудит позволит своевременно обнаружить проблемы и предотвратить потенциальные нарушения, такие как утечки данных, неправомерное использование информации, недостаточный уровень технической защиты.
Кроме того, постоянные изменения законодательства требуют обновлять процедуры обработки персональных данных, адаптироваться к новым угрозам и технологиям. Именно поэтому важно периодически повторять проверку, устраняя недостатки и поддерживая высокий уровень соответствия закону №152-ФЗ.
Таким образом, провести аудит обработки персональных данных — это значит проверить соответствие всех процессов в организации требованиям Федерального закона №152-ФЗ, а также выявить слабые места, риски утечек и несоблюдения правил.
Виды аудита:
внутренний (силами своих сотрудников), внешний (привлекаются специалисты).
План проведения внутреннего аудита обработки персональных данных
I. Подготовительный этап
1. Назначить аудитора/группу по аудиту
• Приказом руководителя.
• Не должен быть тем, кто непосредственно отвечает за обработку ПДн.
2. Определить цели аудита
• Проверить соответствие законодательству (ФЗ-152).
• Оценить уровень защищённости ПДн.
• Выявить риски и недочёты.
• Подготовиться к внешней проверке (например, от Роскомнадзора).
3. Определить охват (объекты аудита)
• Все процессы, где используются ПДн: кадры, сайт, контрагенты, базы данных, анкеты, CRM и пр.
• Все виды ПДн: клиентов, сотрудников, партнёров.
4. Подготовить чек-листы и шаблоны
• Чек-лист соответствия требованиям ФЗ-152.
• Формы опросов, актов проверки, перечней.
II. Проведение аудита
1. Проверка правовой базы
• Есть ли политика обработки ПДн (и размещена ли на сайте).
• Есть ли положения/регламенты, образцы согласий, порядок уничтожения.
• Оформлены ли согласия (если нужны).
• Назначен ли ответственный за ПДн.
• Уведомлена ли организация в Роскомнадзоре (если оператор).
• Указаны ли цели, сроки, источники, категории субъектов.
• Оформлены ли договоры поручения, если ПДнпередаются.
2. Анализ процессов и персонала
• Кто фактически имеет доступ к ПДн?
• Есть ли лишний доступ?
• Проходили ли сотрудники инструктаж?
• Подписаны ли обязательства о неразглашении?
• Есть ли учет доступа к ИС (журналы входа/выхода)?
• Как обрабатываются бумажные документы?
3. Проверка технической защиты
• Есть ли антивирусы, резервное копирование, шифрование?
• Используются ли облачные сервисы — и как защищены?
• Установлены ли пароли? Кто их знает?
• Есть ли меры по защите на мобильных устройствах?
• Что происходит при увольнении сотрудника (удаляют ли доступ)?
• Где физически хранятся документы с ПДн?
4. Проверка обработки через сайт или внешние каналы
• Есть ли форма обратной связи — и отображается ли согласие?
• Защищена ли передача данных (HTTPS)?
• Заключён ли договор с хостинг-провайдером?
• Есть ли политика конфиденциальности на сайте?
III. Анализ и документирование результатов
1. Составить акт/отчёт о проведении аудита
• Отразить все выявленные несоответствия.
• Указать риски (по степени критичности).
• Привести список необходимых действий.
2. Подготовить план корректирующих мероприятий
• Сроки устранения.
• Ответственные лица.
• Ресурсы, если нужны (например, ИТ-поддержка, юрист).
IV. Контроль и доработка
1. Довести до руководства результаты аудита.
2. Утвердить план устранения нарушений.
3. Через 1–3 месяца провести повторную проверку выполнения мероприятий (при необходимости).
4. Сформировать архив аудита: акт, план, служебные записки, протоколы.
📌 Примерный список документов, которые проверяются:
• Политика обработки ПДн;
• Приказ о назначении ответственного;
• Журналы учёта обработки и доступа;
• Согласия субъектов;
• Договоры с контрагентами (с обработкой ПДн);
• Инструкции по ИБ;
• Список ИС ПДн (если есть);
• Приказ об уничтожении или архивации ПДн;
• Акты передачи и уничтожения данных.
⚠️ Наиболее частые нарушения, выявленные в процессе аудита :
• Обработка ПДн без согласия или правового основания.
• Отсутствие уведомления в РКН.
• Нет защиты на ИТ-системах.
• Несоблюдение срока хранения.
• Лишний персонал имеет доступ.
• Нет внутренних регламентов и ответственности.