Подготовка к проверке Роскомнадзора позволила избежать многомиллионных штрафов
"Проверка Роскомнадзора через месяц, помогите!" - так началось общение с компанией, которая обратилась с запросом к экспертам компании "Митрофанова и партнеры". Требовалась помощь в прохождении проверки. Когда эксперты провели аудит, удивились количеству ошибок, хотя повидали уже многое. Как удалось скорректировать недочеты и чем закончилась проверка, узнаете из кейса.
- Запрос от компании: проверка Роскомнадзора через месяц, помогите
- Аудит персональных данных показал: компания не готова к проверке
- Пакет документов для проверки: скорректировали и разработали новые ЛНА
- Неделя до проверки: эксперты предложили, как снизить штрафы
- Как прошла проверка Роскомнадзора
Запрос от компании: проверка Роскомнадзора через месяц, помогите
С запросом провести аудит документов по обработке персональных данных и разработать недостающие ЛНА обратилась компания. Задача прозвучала так: "Вы же знаете о проведении проверок Роскомнадзором. К нам придут через месяц. Помогите! Это срочно!".Усложняло работу то, что в одном юридическом лице было много разноплановых структурных подразделений. Например, ювелирное производство, магазин и онлайн-магазин, корабли, поликлиника, гостиница и ресторан, швейная фабрика и прачечная. Требовалось проанализировать документы и нормативные акты разных сфер деятельности.
Аудит персональных данных показал: компания не готова к проверке
В результате проверки персональных данных выяснилось, что ответственным лицом за работу с персданными назначен один из кадровиков. Однако ему физически не хватает времени, чтобы правильно организовать работу с персданными и защитить компанию - он занимался не только персональными данными, но еще и своей непосредственной работой. Другими словами, работа с персданными велась не системно и не в приоритете. Отсюда и многочисленные ошибки.
ЧТО ПОКАЗАЛ АУДИТ
- ни на одно структурное подразделение нет локальных нормативных актов по обработке персональных данных;
- в компании не собирают согласия у всех субъектов, данные которых обрабатываются, а те, что есть, составили с ошибками;
- документы по персональным данным содержат не все требования законодательства, в том числе и новые изменения;
- не хватает многих документов, которые закрывают требования закона о персональных данных;
- обработка данных происходит без согласий родственников, кандидатов, покупателей, посетителей и иных субъектов;
- в компании запрашивают излишний перечень данных (например, данные членов семьи у кандидатов или работников, адреса их проживания, личные номера мобильных телефонов и госномера машин);
- не разработали, не утвердили и не разместили на сайте компании Политику по обработке персональных данных;
- обработка данных происходит по окончании срока хранения, не уничтожаются персональные данные, сроки которых истекли;
- хранение документов не организовано, а база данных находится не на территории РФ;
- осуществляется трансграничная передача данных без соответствующего согласия субъектов
Пакет документов для проверки: скорректировали и разработали новые ЛНА
Догадки руководителя о нарушениях по персональным данным оправдались: аудит выявил много ошибок в документах, а также отсутствие многих документов.Эксперты обнаружили, что локальные нормативные акты компании по персданным содержат указания на не действующие нормативные правовые акты. При этом в задачи экспертов входила подготовка ответственного лица, которое будет взаимодействовать с Роскомнадзором с учетом того, что изменился порядок проведения проверок Роскомнадзора (Закон от 31.07.2020 № 248-ФЗ).
После аудита эксперты разработали недостающие положения, инструкции и локальные нормативные акты, а также новые формы документов и согласий с учетом изменений законодательства. Причем сделали это для каждого из 9 структурных подразделений с учетом их специфики.
Список работ для каждого из 9 подразделений:
- конкретизировали перечень персональных данных;
- актуализировали категории субъектов;
- привели цели и способы обработки в соответствие с перечнем данных и категориями и в соответствие с действующим законодательством;
- разработали удобные для применения работниками формы документов и т. д.
Неделя до проверки: эксперты предложили, как снизить штрафы
До проверки Роскомнадзора оставалась неделя, в компании работа «кипела», так как нужно было ознакомить работников со многими документами.Эксперты посчитали общую сумму штрафов, которую могла получить компания, получилось около 76 000 000 рублей на юридическое лицо и 480 000 рублей на должностное лицо.
Эксперты предложили юридическое решение, как снизить штрафы. Суть в том, что, если инспектор выявит нарушение на те даты, когда документов в компании еще не было, можно было бы настаивать на снижении штрафов по самой нижней планке или говорить о его малозначительности. Чему очень рад был руководитель компании.
Как прошла проверка Роскомнадзора
Наступила дата проверки, компания встретила инспекторов спокойно и уверенно. Инспекторы запросили документы по всему ФЗ 152, особенно по статьям 9, 10.1, 18.1- 21 ФЗ 152 «О персональных данных». Представитель компании уверенно отвечал на вопросы инспекторов, даже провокационные, предоставлял документы и приводил доводы.Инспекторы обнаружили, что добавилась страна, в которую передаются персональные данные, изменился перечень данных и субъекты и иные изменения, а компания не подала об этом уведомление в Роскомнадзор в 2018 году. К сожалению, это нарушение уже исправить было нельзя, так как факт уже свершился.
Проверка закончилась. Результат – компании выдали только предписание об устранении нарушений в части подачи уведомления об изменении сведений. Это редкий случай, что Роскомнадзор не выписал штраф. По выявленному в 2018 году нарушению истек срок по привлечению к административной ответственности.
Эксперты за короткий срок выполнили большой объем работ, а компания получила положительный опыт в части проверки Роскомнадзором, документального оформления обработки персональных данных. Теперь работодатель знает, как эти знания применить в работе.
№ |
Результат | Данные |
1 |
Количество разработанных ЛНА в процессе Проекта
|
9 |
2 |
Количество разработанных согласий на обработку персональных данных |
18 |
3 |
Общее количество приложений к разработанным ЛНА |
99 |
ЗАКАЖИТЕ ЭКСПЕРТНЫЙ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ошибки в работе с персональными данными обходятся дороже всего. Штрафы могут доходить до миллионов. Причем часто ошибки скрываются там, где их совсем не ожидаешь. Выявить ошибки и сократить риски поможет аудит персональных данных. Стоимость этой процедуры гораздо дешевле, чем визит проверяющих. Закажите аудит персональных данных у наших экспертов и защитите интересы вашего бизнеса