Аудит персональных данных обязательно проводить компании или не надо этого делать ? Добрый вечер.
И еще вопрос: чем аудит персональных данных отличается от внутреннего контроля ? Это разве не одно и то же по сути ?
или
Задать вопрос
аудит персональных данных
Добрый, во-первых, аудит персональных данных по закону обязателен только, если у вас НЕ проводится внутренний контроль перс данных.
Потому что оператор перс данных - то есть вы - обязаны осуществлять аудит и (или) внутренний контроль соответствия обработки персональных данных закону РФ от 27.07.2006 № 152-ФЗ и принятым в соответствии с ним НПА, требованиям к защите персональных данных, вашей политике в отношении обработки персональных данных, локальным актам.
Ясно. А в чем на практике разница между внутренним контролем и аудитом ?
А отличие внутреннего контроля от аудита заключается в том, что внутренний контроль вы проводите своми силами (это делают ваши ответственные за это работники).
А для проведения аудита вам нужно будет привлечь специализированную организацию. Для этого необходимо заключить с этой спецорганизацией договор оказания услуг.
Но по закону получается, что вы вправе провести:
- Только одно мероприятие (внутренний контроль или аудит).
- Или оба сразу.
Спасибо за разяъснения. А порядок проведения аудита надо где-то закреплять или это не обязательно ?
Порядок проведения аудита при обработке перс данных законом не установлен. Вы вправе утвердить его локальным актом компании - например, это может быть Положение о внутреннем контроле и (или) аудите.
Применительно к проведению аудита в данном Положении пропишите, в частности:
- случаи проведения аудита персональных данных;
- требования к организации, привлекаемой для проведения аудита персональных данных;
- оформление результатов аудита.
Есть вопрос по другой теме? Можете создать Новое обсуждение