Денис Лукаш, управляющий партнер Lukash & Partners, выделил ключевые особенности аудита процессов обработки персональных данных в 2026 году:
1. Во время аудита нужно разграничивать базы данных, содержащие ПД и ИСПДн. Многие также путают системы управления базами данных (СУБД) и базы данных (БД) - это разные сущности. Для понимания понятия БД смотрим ст. 1260 ГК РФ. Оно широкое и носит гуманитарный характер в отличии от понимания СУБД/ИСПДн.
Роскомнадзор отлично понимает разницу и при административных расследованиях в 2025 году отдельно запрашивал информацию о базах данных, содержащих ПД и информацию об ИСПДн.
По букве закона уведомлять Роскомнадзор нужно именно о базах данных (не ИСПДн), которые могут быть не на ваших ИСПДн. Здесь еще можно вспомнить о локализации баз ПД (а не ИСПДн).
Раньше можно было более "смазано" к этому относиться. Сейчас, если это четко не учтено при аудите, в будущем придется восполнять или даже исправлять ошибки на основе уже сделанных выводов.
2. По результатам аудита должны быть предложены законные варианты обработки ПД без согласий на обработку ПД. Это требует большей квалификации эксперта и его работы, но в долгосрочной перспективе окупится.
3. Аудитор должен проверять сделки по "линии" ПД. Учитывая судебную практику по рискам от "обработчиков", в сложные сделки, связанные с вопросами ПД, нужно вникать с понимания, как и почему юрист/бизнес именно так структурировали сделку, далее смотрится договор и поручение (при наличии).
Так снижается неверная квалификация сторон с позиции всех потоков данных по сделке, понимаем что улучшить и какие правки в итоге нужны.
Вероятность быть наказанным по вине контрагента высокая, вероятность взыскать с него что-то - низкая.
4. Полный комплаенс по ПД - это дорого, а в реализации мероприятии участвует много людей помимо аудитора. Результат аудита обработки ПД - это не ссылки на нарушенную норму, это план мероприятий, который должен быть понятен всем. Еще года через 3 нужно будет понять, почему делались те или иные выводы. Т.е. должны быть и соразмерные мотивировки эксперта.
Аудит обработки ПД - это еще не финальные документы, но все же законченная самостоятельная услуга. а не промежуточный результат.
5. Учитывая изложенное, в 2026 году аудитор по ПД – специалист с юридическим бэкграундом (помимо других компетенций).
С подробным описанием подхода Lukash & Partners к аудиту персональных данных в организации можно ознакомиться на странице аудита.
