Правовой аудит деятельности организации по обработке персональных данных физических лиц является важнейшей составляющей работ по приведению такой деятельности в соответствии с требованием Федерального закона РФ «О персональных данных». Несмотря на то, что подобный аудит не является обязательным с точки зрения действующего законодательства РФ, в его отсутствие невозможно произвести надлежащую оценку соответствия обработки ПДн конкретным оператором требованиям ФЗ 152. Дело в том, что оборот различного рода сведений о гражданах в том или ином объеме и в той или иной форме имеет место в любой организации. Для целей установления соответствия такого оборота современным требованиям законодательства, его правовой оценки и необходимо проведение правового аудита. Кроме того, Закон требует от оператора принятия не только технических мер для защиты ПДн, но и организационных (ст.19). То, как именно организована деятельность предприятия, учреждения, организации в части, касающейся обработки ПДн, неизбежно находит свое отражение в различного рода локальных документах оператора ПДн. Эти документы должны не просто отражать объективную картину процесса обработки ПДн оператором, но регламентировать этот процесс в русле действующего законодательства. Фактически, подобные локальные акты являются основой построения деятельности организации в части информационной безопасности. В силу значимости этих документов они также подлежат тщательному правовому анализу. Однако, познаний штатного юриста оператора ПДн может оказаться недостаточно для анализа и (или) составления организационно-распорядительных документов по защите информации. Для этого необходимо не только знание соответствующих норм информационного права, кстати, весьма специфичных и редко востребованных в деловом обороте, но и понимание системы построения защиты информации – то есть технических знаний. Здесь на помощь оператору и может придти организация, специализирующаяся в сфере защиты информации вообще, и в сфере защиты ПДн в частности.

Единственной целью правового аудита является минимизация юридических рисков организаций-операторов ПДн. Указанная цель достигается решением следующих основных задач:

  1. Правовая оценка состояния деятельности организации по обработке ПДн на предмет ее соответствия законодательным нормам;
  2. Выявление ошибок, нарушений норм права, возникающих у организации в процессе деятельности, связанной с обработкой ПДн;
  3. Выработка рекомендаций по устранению таких ошибок и нарушений.