Подготовка к проверке Роскомнадзора позволила избежать многомиллионных штрафов

"Проверка Роскомнадзора через месяц, помогите!" - так началось общение с компанией, которая обратилась с запросом к экспертам компании "Митрофанова и партнеры". Требовалась помощь в прохождении проверки. Когда эксперты провели аудит, удивились количеству ошибок, хотя повидали уже многое. Как удалось скорректировать недочеты и чем закончилась проверка, узнаете из кейса.

Запрос от компании: проверка Роскомнадзора через месяц, помогите

С запросом провести аудит документов по обработке персональных данных и разработать недостающие ЛНА обратилась компания. Задача прозвучала так: "Вы же знаете о проведении проверок Роскомнадзором. К нам придут через месяц. Помогите! Это срочно!".

Усложняло работу то, что в одном юридическом лице было много разноплановых структурных подразделений. Например, ювелирное производство, магазин и онлайн-магазин, корабли, поликлиника, гостиница и ресторан, швейная фабрика и прачечная. Требовалось проанализировать документы и нормативные акты разных сфер деятельности.
ДОКУМЕНТЫ, КОТОРЫЕ ПРОВЕРИЛИ ЭКСПЕРТЫ В РАМКАХ АУДИТА

  • Правоустанавливающие документы
  • Доверенности
  • Локальные нормативные акты (положения, инструкции, регламенты)
  • Приказы
  • Обязательства о неразглашении
  • Согласия на разные категории субъектов
  • Работники и кандидаты 
  • Родственники работников
  • Работники контрагентов
  • Физические лица, заключившие гражданско-правовой договор
  • Покупатели и посетители
  • Иные субъекты, чьи данные обрабатываются в компании

Аудит персональных данных показал: компания не готова к проверке

В результате проверки персональных данных выяснилось, что ответственным лицом за работу с персданными назначен один из кадровиков. Однако ему физически не хватает времени, чтобы правильно организовать работу с персданными и защитить компанию - он занимался не только персональными данными, но еще и своей непосредственной работой. Другими словами, работа с персданными велась не системно и не в приоритете. Отсюда и многочисленные ошибки.
ЧТО ПОКАЗАЛ АУДИТ
  • ни на одно структурное подразделение нет локальных нормативных актов по обработке персональных данных;
  • в компании не собирают согласия у всех субъектов, данные которых обрабатываются, а те, что есть, составили с ошибками;
  • документы по персональным данным содержат не все требования законодательства, в том числе и новые изменения;
  • не хватает многих документов, которые закрывают требования закона о персональных данных;
  • обработка данных происходит без согласий родственников, кандидатов, покупателей, посетителей и иных субъектов;
  • в компании запрашивают излишний перечень данных (например, данные членов семьи у кандидатов или работников, адреса их проживания, личные номера мобильных телефонов и госномера машин);
  • не разработали, не утвердили и не разместили на сайте компании Политику по обработке персональных данных;
  • обработка данных происходит по окончании срока хранения, не уничтожаются персональные данные, сроки которых истекли;
  • хранение документов не организовано, а база данных находится не на территории РФ;
  • осуществляется трансграничная передача данных без соответствующего согласия субъектов
Кроме этого, эксперты выявили, что в компании документально не выстроили систему делегирования ответственности по персональным данным. Поэтому у генерального директора есть риски. Если проверка Роскомнадзора выявит нарушения по персональным данным, штраф могут выписать и на ответственное должностное лицо, и на генерального директора.
НАШИ КЕЙСЫ

Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Подробнее

Пакет документов для проверки: скорректировали и разработали новые ЛНА

Догадки руководителя о нарушениях по персональным данным оправдались: аудит выявил много ошибок в документах, а также отсутствие многих документов.

Эксперты обнаружили, что локальные нормативные акты компании по персданным содержат указания на не действующие нормативные правовые акты. При этом в задачи экспертов входила подготовка ответственного лица, которое будет взаимодействовать с Роскомнадзором с учетом того, что изменился порядок проведения проверок Роскомнадзора (Закон от 31.07.2020 № 248-ФЗ).

После аудита эксперты разработали недостающие положения, инструкции и локальные нормативные акты, а также новые формы документов и согласий с учетом изменений законодательства. Причем сделали это для каждого из 9 структурных подразделений с учетом их специфики.
ИНТЕРЕСНЫЕ СТАТЬИ

Проверка Роскомнадзора: как оценить правовые риски компании

Подробнее

Список работ для каждого из 9 подразделений:

  • конкретизировали перечень персональных данных;
  • актуализировали категории субъектов;
  • привели цели и способы обработки в соответствие с перечнем данных и категориями и в соответствие с действующим законодательством;
  • разработали удобные для применения работниками формы документов и т. д.

Неделя до проверки: эксперты предложили, как снизить штрафы

До проверки Роскомнадзора оставалась неделя, в компании работа «кипела», так как нужно было ознакомить работников со многими документами.

Эксперты посчитали общую сумму штрафов, которую могла получить компания, получилось около 76 000 000 рублей на юридическое лицо и 480 000 рублей на должностное лицо.

Эксперты предложили юридическое решение, как снизить штрафы. Суть в том, что, если инспектор выявит нарушение на те даты, когда документов в компании еще не было, можно было бы настаивать на снижении штрафов по самой нижней планке или говорить о его малозначительности. Чему очень рад был руководитель компании.
ИНТЕРЕСНЫЕ СТАТЬИ

Как действовать работодателю при получении предостережения ГИТ

Подробнее

Как прошла проверка Роскомнадзора

Наступила дата проверки, компания встретила инспекторов спокойно и уверенно. Инспекторы запросили документы по всему ФЗ 152, особенно по статьям 9, 10.1, 18.1- 21 ФЗ 152 «О персональных данных». Представитель компании уверенно отвечал на вопросы инспекторов, даже провокационные, предоставлял документы и приводил доводы.

Инспекторы обнаружили, что добавилась страна, в которую передаются персональные данные, изменился перечень данных и субъекты и иные изменения, а компания не подала об этом уведомление в Роскомнадзор в 2018 году. К сожалению, это нарушение уже исправить было нельзя, так как факт уже свершился.

Проверка закончилась. Результат – компании выдали только предписание об устранении нарушений в части подачи уведомления об изменении сведений. Это редкий случай, что Роскомнадзор не выписал штраф. По выявленному в 2018 году нарушению истек срок по привлечению к административной ответственности.

Эксперты за короткий срок выполнили большой объем работ, а компания получила положительный опыт в части проверки Роскомнадзором, документального оформления обработки персональных данных. Теперь работодатель знает, как эти знания применить в работе.


Результат Данные
1
Количество разработанных ЛНА в процессе Проекта 

9

2

Количество разработанных согласий на обработку персональных данных

18

3

Общее количество приложений к разработанным ЛНА

99


ЗАКАЖИТЕ ЭКСПЕРТНЫЙ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ
Ошибки в работе с персональными данными обходятся дороже всего. Штрафы могут доходить до миллионов. Причем часто ошибки скрываются там, где их совсем не ожидаешь. Выявить ошибки и сократить риски поможет аудит персональных данных. Стоимость этой процедуры гораздо дешевле, чем визит проверяющих. Закажите аудит персональных данных у наших экспертов и защитите интересы вашего бизнеса
Материал подготовлен экспертами департамента трудового права компании "Митрофанова и партнеры"

Поделиться материалом
Скопировать ссылку