Аудит системы персональных данных

Аудит системы персональных данных — практическое руководство по нормам РФ 2026 года: сроки, суммы, процедура, ссылки на Персональные данные (расширение).

ФЗ-152ФЗ-149

Аудит системы персональных данных

Аудит системы обработки и хранения персональных данных — это комплексная проверка организации на предмет соответствия требованиям законодательства о защите информации. В ходе аудита анализируются процессы сбора, учёта, хранения, использования и уничтожения персональных данных в соответствии с ФЗ-152 «О персональных данных» и ФЗ-149 «Об информации, информационных технологиях и о защите информации».

Организацию могут проверить контролирующий орган — Роскомнадзор (РКН), а также провести самостоятельный анализ для минимизации рисков административных штрафов. Срок давности привлечения к ответственности по ст. 13.11 КоАП РФ составляет один год со дня совершения правонарушения.

1. Организация документарной и операционной составляющей

Перед началом обработки персональных данных организация обязана утвердить политику в области защиты информации и положение об обработке ПДн. Политика должна содержать сведения о целях сбора, категориях ПДн, действиях с ними и мерах по их защите (ст. 18.1 ч. 1 ФЗ-152).

Положение должно предусматривать порядок назначения ответственных лиц, перечень технических средств защиты, сроки хранения и уничтожения документов. Согласно ст. 22 ФЗ-152, оператор обязан обеспечить безопасность ПДн при их обработке в соответствии с требованиями к защите, установленными уполномоченным органом. Срок действия локального акта — до внесения изменений в нормативные акты.

2. Проверка наличия разрешительной документации

При наличии обработки специальных категорий или биометрических данных либо автоматизированной обработки без бумажных носителей оператор обязан получить согласие субъекта (ст. 6 и ст. 10 ФЗ-152). В случае применения кадровых сервисов (кадровых HRM) допускается использование электронных согласий, подписанных усиленной квалифицированной электронной подписью.

Если обработка осуществляется на основании трудового или гражданско-правового договора — наличие отдельного согласия не требуется при условии информирования субъекта о целях и способах обработки. Проверяется соответствие формы согласия требованиям приказа Роскомнадзора № 139 от 2022 года: срок действия, перечень информации, возможность отзыва.

3. Анализ технических и организационных мер защиты

В соответствии с ч. 4 ст. 19 ФЗ-152, оператор обязан принимать меры по обеспечению безопасности ПДн, включая преобразование персональных данных в нечитаемую форму (шифрование), контроль доступа персонала и регистрацию действий с данными.

Сроки реализации: на основании требования Роскомнадзора о защите ПДн, оператор должен устранить нарушения в течение 10 рабочих дней. При угрозе утечки — в срок, согласованный с регулятором. Сумма штрафа по ч. 6 ст. 13.11 КоАП РФ для юрлиц при отсутствии специальных мер составляет от 300 до 600 тыс. руб.

4. Проверка процедур учёта и хранения

Организация обязана вести реестр обработки ПДн в электронной форме (ч. 7 ст. 22 ФЗ-152). В реестре указываются цели, категории субъектов, категории данных, перечень действий, сроки хранения, источники получения и меры защиты.

Срок актуализации реестра — не реже одного раза в год либо при изменении целей или способов обработки. При наличии договоров с третьими лицами (ОЦО, подрядчики) в реестре должны быть отражены сведения о заключённых соглашениях об обработке ПДн. Отсутствие реестров — основание для штрафа до 100 тыс. руб. по ст. 19.7 КоАП РФ.

5. Актуализация информации и работа с запросами

Оператор обязан уведомлять Роскомнадзор об изменении персональных сведений в реестре не позднее 15 рабочих дней со дня таких изменений (ч. 7 ст. 22 ФЗ-152). При прекращении обработки ПДн — уничтожить их в течение 30 календарных дней, но не более чем через год с момента прекращения отношений.

Сроки рассмотрения обращений субъектов ПДн: на предоставление информации — до 10 рабочих дней; на отзыв согласия или прекращение обработки — в срок, не превышающий 30 дней. Неисполнение требований влечёт штраф по ч. 8 ст. 13.11 КоАП РФ (от 60 тыс. до 1 млн руб.).

Что важно запомнить

  • Система ПДн должна быть оформлена внутренними документами и зарегистрирована в РКН.
  • Технические и организационные меры защиты — обязательны; отсутствие спецмер грозит штрафом до 600 тыс. руб.
  • В реестре обработки указываются все ключевые параметры по каждой цели; актуализация — раз в год или при изменениях.
  • Запросы субъектов обрабатываются строго в сроки: 10/30 рабочих дней.
  • При утечке необходимо действовать по протоколу РКН и минимизировать ущерб; срок устранения нарушений для оператора определяется регулятором.

Похожие материалы

Информационный сервис, не юридическая консультация. Источник данных — pravo.gov.ru (ИПС «Законодательство России»). Для важных решений сверяйтесь с актуальной редакцией закона или обратитесь к юристу.