Как показывают последние решения судов, важным элементом доказывания отсутствия вины оператора при "утечке" персональных данных является фактическое исполнение мер по обеспечению безопасности обработки персональных данных.
Одной из таких мер является обязанность оператора осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных 152-ФЗ и принятым в соответствии с ним НПА, требованиям к защите персональных данных, а также политике и ЛНА оператора (п. 4 ч. 1 ст. 18.1, ст. 22.1 152-ФЗ).
Согласно п. 17 Требований к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 01.11.2012 № 1119) контроль за их выполнением организуется и проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
В то же время согласно ответу Роскомнадзора (образ ответа можно прочитать на сайте) периодичность проведения внутреннего контроля и иных мероприятий, предусмотренных ст. 18.1 152-ФЗ, определяется оператором самостоятельно.
Рекомендуем проводить внутренний контроль ежегодно. Это позволит лучше контролировать внутренние процессы обработки персональных данных, быстрее реагировать на их изменения и корректировать при необходимости.
В качестве отправной точки можно ориентироваться на следующий порядок:
Полная презентация Роскомнадзора «Организация и проведение внутреннего контроля за соблюдением законодательства РФ о персональных данных»
