Персональные данные: внутренний контроль на пять с плюсом

Защита персональных данных относится к числу главных вызовов современного мира. Случаи утечки данных в публичное пространство оказываются в центре пристального внимания медиаресурсов и общества, для компаний подобные инциденты связаны с репутационными и финансовыми потерями, вплоть до закрытия бизнеса. Недавние изменения в законодательстве показывают, что регуляторы продолжают уделять защите персональных данных особое внимание. Так, с 23 декабря 2023 года вступили в силу поправки, ужесточающие ответственность за обработку персональных данных без письменного согласия. Теперь при первом нарушении компания может быть оштрафована на сумму до 700 000 рублей, а должностное лицо компании - на сумму до 300 000 рублей.

Одним из инструментов снижения указанных рисков является эффективная система внутреннего контроля и внутреннего аудита. Тем более, что законодательство напрямую обязывает компании внедрять и поддерживать такую систему в области защиты персональных данных (ст. 18.1 152-ФЗ «О персональных данных»).

Для построения системы внутреннего контроля и организации безопасной работы с персональными данными рекомендуем начать с экспресс-проверки соответствия требованиям законодательства. Результатом данной проверки может стать заполненный чек-лист с комментариями и определением областей основных рисков, по которым потребуется организовать или оптимизировать систему внутреннего контроля.

Пять основных компонентов системы внутреннего контроля за персональными данными:

• Политики управления персональными данными, которые должны включать в себя правила сбора, хранения, использования, передачи и уничтожения персональных данных
• Разграничение прав доступа к персональным данным: лица с правами доступа, уровни доступа
• Обеспечение безопасности персональных данных: шифрование, пароли, контроль доступа, отслеживание критичных операций и другие меры по защите информации
• Обучение сотрудников работе с персональными данными и правилам их защиты
• Регулярный внутренний аудит системы внутреннего контроля и оценка ее эффективности для выявления слабых мест и разработки мер по их устранению.

Управление процессами обработки персональных данных требует сочетания компетенций в области информационной безопасности, информационных технологий, юриспруденции, внутреннего контроля и аудита.

Команда SCHNEIDER GROUP, в полной мере обладая указанными компетенциями и необходимым опытом, может оказать поддержку как в разработке и внедрении системы внутреннего контроля при работе с персональными данными, так и проведении регулярного внутреннего аудита в этой области.