Казахстан
Россия
European Union
+7 (775) 007-81-99
Заказать звонок

Аудит и выявление рисков процессов обработки персональных данных

Аудит и выявление рисков процессов обработки персональных данных

Услуги юриста по выявлению рисков при обработке персональных данных

Любой работодатель с помощью аудита персональных данных выясняет, как в его компании собираются, хранятся, обрабатываются и передаются личные данные как любого из работников, так и третьих лиц. К тому же, он тем самым обеспечивает соблюдение действующих в этой сфере требований законодательства. Речь идет в первую очередь о нормах Закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите».

Что такое персональные данные и зачем нужен их аудит?

Персональные данные, согласно закону, — это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Соответственно с помощью аудита — или, говоря, простым языком, внутренней проверки — работодатель проверяет то, как организована работа с личными данными работников внутри компании, а также насколько хорошо обеспечена защита этих данных.

Аудит персональных данных включает в себя следующие элементы:

  • проверка количества и содержания всех локальных документов организации по работе с личными данными — иными словами то, сколько их в принципе принято к моменту проведения проверки и насколько велико их соответствие требованиям Закона о персональных данных;

  • качество процедур, производимых с персональными данными — то есть то, каково обеспечение соответствия казахстанскому законодательству фактического процесса сбора, обработки, хранения и распространения таковых;

  • выявление нарушений по соблюдению Закона № 94-V в области работы с персональными данными, вынесение соответствующих предписаний по их устранению, а также рекомендации согласно того, как организация может избежать подобных нарушений (и наказаний за них).

Как должен быть организован процесс аудита персональных данных?

В первую очередь между заказчиком и аудитором заключается соответствующее соглашение, в котором указываются цели, критерии, сроки и методика проверки персональных данных на предприятии.

Аудиторы изучают все локальные акты вашей организации касательно работы с теми или иными личными данными внутри компании и в первую очередь проверяют их на соответствие нормам и правилам законодательства. Также они изучают все управленческие, финансовые и бизнес-процессы, которые так или иначе могут быть связаны с личными данными работников, их сбором, хранением, обработкой и передачей третьим лицам.

Способы и процедуры проведения проверки персональных данных могут варьироваться в зависимости от того, каким способом в компании организованы их защита и обработка, то есть любое действие с ними, включая сбор, запись, накопление, хранение, использование, обезличивание, передачу, удаление, изменение, уничтожение и т.д. — автоматизированным способом, или же вручную.

Кроме того, в ходе проверки анализируются все документы, содержащие личные данные работников — трудовые и гражданско-правовые договоры, анкеты, заявления, учетные карточки и т.д. Один из важнейших этапов — это анализ форм согласий на обработку персональных данных, а также изучение документов соискателей, претендующих на занятие тех или иных вакантных мест.

Еще одна важная часть аудита персональных данных — разработка форм документов по их получению, обработке, хранению, распространению и защите, а также всей сопутствующей этому процессу внутренней документации. Соответствие этих форм действующему законодательству также является одной из главных задач деятельности проверяющего.

Важнейший момент — это обеспечение защиты личных данных со стороны как владельца организации, так и работников и третьих лиц. Касается это в том числе и соблюдения элементарных норм по обращению с личными данными и конфиденциальной информацией.

В финале аудиторы составляют соответствующий отчет о результатах проведенной ими проверки. В нем они указывают, как построена в компании работа с личными данными и безопасность последних. В частности, там будет указано, какие из имеющихся в этой области документов организации нужно будет переделать, а какие — написать с нуля.

При необходимости результаты аудиторской проверки будут отправлены в Министерство цифрового развития, инноваций и аэрокосмической промышленности РК, как курирующий эти вопросы орган исполнительной власти. Соответствующие документы при этом могут быть поданы также и в электронном виде.

Гарантии качества по проведению проверки личных данных при сотрудничестве с DRC

В Положении по проведению аудита персональных данных внутри вашей компании всегда можно записать требование о том, чтобы проверку производила сторонняя экспертная или специализированная организация. В этом случае с ней нужно заключить договор оказания услуг (статья 683 Гражданского кодекса РК).

Чтобы этот процесс от начала и до конца прошел качественно и не вызвал вопросов со курирующих эту область госведомств и организаций, специалисты компании DRC готовы организовать процедуру аудита персональных данных любой компании или ИП «под ключ».

Юристы DRC от начала до конца организуют проверку личных данных всех участников вашего бизнеса, разработают полный комплект необходимых для этого документов, а также помогут избежать штрафов и иных проблем со стороны государства, если будет обнаружено, что работа с личными данными в вашей организации проходит с нарушениями действующего законодательства.

Подготовленные нашими специалистами рекомендации по результатам аудиторской проверки персональных данных будут максимально индивидуально учитывать действующие у каждого предпринимателя бизнес-процессы, а также помогут оптимизировать особенности действующего корпоративного управления и соответствующего документооборота.