Аудит соответствия обработки персональных данных

Аудит соответствия — это документальное подтверждение соответствия обработки персональных данных предъявляемым к ней требованиям, которые установлены законодательством РФ о персональных данных, а также нормативными и методическими документами Роскомнадзора, ФСТЭК и ФСБ России. Аудит соответствия предусмотрен пунктом 4 части 1 статьи 18.1 закона о персональных данных.

В ходе аудита проводится оценка соответствия обработки персональных данных:

• требованиям закона о персональных данных;
• требованиям подзаконных нормативно-правовых актов;
• правилам защиты персональных данных;
• политике организации в отношении обработки персональных данных;
• внутренним документам оператора.

Для прохождения внешнего аудита оператору необходимо сформировать комплект документов, регламентирующих процессы обработки и защиты персональных данных в организации, модель угроз и акты оценки эффективности мер принимаемых для обеспечения безопасности персональных данных при их обработке в информационных системах. Оценка эффективности может быть проведена как самостоятельно так и сторонней организацией, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

В ходе аудита соответствия проводятся следующие проверочные мероприятия:

• проверка соответствия фактической деятельности сведений, содержащихся в уведомлении об обработке персональных данных;
• проверка наличия условий, допускающих обработку юридическим лицом персональных данных;
• проверка наличия фактов обработки биометрических персональных данных, проверка соблюдения условий, допускающих такую обработку;
• проверка наличия фактов обработки специальных категорий персональных; данных, проверка соблюдения условий, допускающих такую обработку;
• проверка соблюдения условий трансграничной передачи персональных данных (при наличии);
• проверка соблюдения условий принятия решений на основании исключительно автоматизированной обработки персональных данных;
• проверка порядка обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
• проверка наличия, в установленных законодательством случаях, и соответствие содержания письменного согласия субъекта персональных на обработку его персональных данных;
• проверка соблюдения установленных требований при поручении обработки персональных данных третьему лицу;
• проверка соблюдения требований по уничтожению персональных данных по достижению цели обработки либо в случае отзыва субъектом персональных данных согласия на обработку персональных данных;
• проверка выполнения требований конфиденциальности при обработке персональных данных;
• проверка принятия мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных;
• проверка принятия мер, необходимых и достаточных для обеспечения безопасности персональных данных
• проверка выполнения требований по информированию лиц о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством;
• проверка соблюдения требований, предъявляемых к типовым формам документов, характер информации в которых предполагает или допускает включение в них персональных данных;
• проверка соблюдения требований при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
• проверка соблюдения требований в части определения мест хранения персональных данных (материальных носителей) и установления перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
• проверка соблюдения требований по обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• проверка соблюдения условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ. Проверка утверждения перечня мер, порядка их принятая, а также перечня лиц, ответственных за реализацию указанных мер.

Результаты аудита, как правило, оформляются в виде заключения содержащего следующие сведения:

• цель и основание проведения аудита соответствия;
• наименование, местонахождение оператора персональных данных и другие идентификационные сведения;
• перечень нормативно-правовых актов, нормативных и методических документов, на соответствие требованиям которых производится аудит; ­
• результаты проверочных мероприятий и выводы по каждому из пунктов проверки;
• заключение по результатам аудита.