Решаемые задачи в рамках услуги аудит персональных данных

Оценка текущего состояния процессов

выявление и оценка текущего состояния автоматизированных и неавтоматизированных процессов обработки персональных данных и обеспечение их безопасности на основании представленной в ходе обследования информации

Определение достаточности и актуальности документов

анализ локальных нормативных актов и иных документов, регламентирующих работу с персональными данными с целью определения достаточности и актуальности существующих документов по организации обработки и обеспечению безопасности обрабатываемых персональных данных

Оценка рисков

выявление и оценка возникающих рисков в процессе обработки персональных данных

Подготовка рекомендаций

подготовка рекомендаций о снижении выявленных рисков, внесение изменений во внутренние процессы и локальные нормативные акты и иные документы

Отчет о результатах аудита с рекомендациями

подготовка отчета о результатах аудита с рекомендациями о внедрении новых процессов и/или принятии новых локальных нормативных актов в целях реализации дополнительных мер и корректировки бизнес-процессов, обеспечивающих соответствие требованиям законодательства при осуществлении обработки и обеспечении безопасности персональных данных

Защита в вашу пользу при работе с письмами от контролирующих органов

доработка (разработка/переработка) имеющихся локальных нормативных актов, регламентирующих организацию обработки и обеспечение безопасности персональных данных, по необходимости сопровождение системы защиты персональных данных

Если у Вас есть трудности с самостоятельным анализом соблюдения требований 152-ФЗ и приведением процессов обработки персональных данных в соответствие с установленным законодателем требованиям — рекомендуем
проконсультироваться с нашей командой экспертов , написав нам на почту hello@pdmaster.ru

Этапы оказания услуги аудит персональных данных

Этап 1 Обследование текущего состояния автоматизированных и неавтоматизированных процессов обработки персональных данных и обеспечения их безопасности

Обследование предусматривает погружение в изучение следующих процессов :

  • изучение категорий субъектов персональных данных
  • изучение категорий обрабатываемых персональных данных, их достаточность и обоснованность для
  • достижения заранее предопределенных целей обработки
  • изучение и оценка правовых оснований обработки персональных данных, их состава и соответствия целям обработки
  • изучение состава, технологических процессов и инфраструктуры обработки персональных данных, включая автоматизированные и неавтоматизированные процедуры обработки
  • изучение локальных нормативных актов и иных документов, регламентирующих обработку персональных данных
  • анализ управленческих и бизнес-процессов, которые предусматривают обработку персональных данных
  • выявление случаев, когда необходимо получение согласия субъектов на обработку, в том числе в письменной форме

Этап 2 Анализ имеющихся локальных актов, внутренних нормативных и иных документов по вопросам обработки и обеспечения безопасности персональных данных, оценку их полноты и достаточности

В ходе прохождения этапа будут проанализированы локальные правовые акты: приказы, положения, регламенты, инструкции и другие имеющиеся документы в области обработки персональных данных.
Так же будут рассмотрены документы регламентирующие отношения, связанные с персональными данными работников, членов их семей, соискателей вакантных должностей, контрагентов, посетителей и т .п., формы договоров, формы согласий на обработку персональных данных и другие типовые документы, предусматривающие внесение в них персональных данных (анкеты, заявления и прочее).

Этап 3 Выявление рисков несоответствия требованиям законодательства к организации обработки персональных данных и текущего состояния их обработки в выявленных бизнес-процессах

На данном этапе проводится экспертная оценка соответствия ИСПДн требованиям 152-ФЗ в области организации обработки персональных данных.
Дополнительно оценивается текущее состояние обработки ПДн в выявленных бизнес-процессах, в имеющихся локальных актах и иных документах, регламентирующих обработку персональных данных на основе анализа результатов обследования.

Этап 4 Подготовка рекомендаций и отчета о результатах аудита по устранению выявленных несоответствий требованиям 152-ФЗ

Отчет о результатах аудита содержит:

  • перечень и описание процессов и целей обработки персональных данных
  • перечень выявленных информационных систем персональных данных с указанием факторов, влияющих на установление уровней защищенности персональных данных
  • анализ имеющихся локальных актов, внутренних нормативных и иных документов по вопросам обработки и обеспечения безопасности персональных данных, оценку их полноты, достаточности, соответствия требованиям законодательства Российской Федерации
  • описание выявленных несоответствий и возможных нарушений в реализации требований 152-ФЗ
  • рекомендации по снижению выявленных рисков, внесению изменений во внутренние процессы и локальные нормативные акты и иные документы. А при необходимости – рекомендации о внедрении новых процессов и/или принятии новых локальных нормативных актов в целях реализации дополнительных мер и корректировки бизнес-процессов, обеспечивающих соответствие требованиям 152-ФЗ
  • рекомендации по мерам защиты персональных данных при их обработке в информационных системах, необходимые для достижения соответствия требованиям 152-ФЗ в соответствии с установленными уровнями защищенности ИСПДн
  • описание процесса ежегодного внутреннего контроля обработки ПДн

Подготовленные рекомендации будут в максимально возможной степени учитывать сложившуюся у Вас систему управления бизнес-процессами и внутренние процедуры, порядок внутреннего нормативного регулирования, особенности корпоративного управления и его документационного обеспечения, существующую организационно-штатную структуру и распределение полномочий между структурными подразделениями, а также принятую и используемую в документационном обеспечении терминологию.

Этап 5 Подготовка и подача уведомления в Роскомнадзор

При необходимости будет подготовлено и направлено уведомление о начале обработки персональных данных в Роскомнадзор в электронном виде с внесенными изменениями.

Этап 6 Доработка (разработка, переработка) имеющихся локальных нормативных актов, регламентирующих организацию обработки и обеспечение безопасности персональных данных, разработка недостающих документов

По согласованию сторон по завершению проведения аудита по вопросам обработки и обеспечения безопасности системы защиты персональных данных может быть проведена разработка недостающих документов или переработка уже имеющихся.

Пожалуйста, поделитесь подробностями о стоящих задачах в области защиты персональных данных, и наша команда найдет для Вас решение!