Аудит персональных данных спас руководителя от тюрьмы и дисквалификации
Аудит персональных данных проводится Роскомнадзором в рамках проверки добросовестности организаций. Руководитель может провести внеплановый аудит, чтобы убедиться, что в организации все оформлено верно. Ниже приведен пример того, как аудит персональных данных помог руководителю компании вовремя выявить проблемы и исправить ситуацию. Если бы руководитель дождался проверки персональных данных от Роскомнадзора, то избежать дисквалификации, уголовного преследования и многомиллионного штрафа уже бы не удалось.
- Ситуация: руководитель организации заказал аудит персональных данных «на всякий случай»
- Первые результаты: штат компании оказался неоправданно раздутым
- Величина штрафа за нарушение закона о персональных данных
- Как сократить риски генерального директора со 100% до 5% при помощи экспертов
Ситуация: руководитель организации заказал аудит персональных данных «на всякий случай»
Клиент (крупная медицинская компания) давно работает на рынке и действует в рамках законодательства, исправно платит налоги, не имеет проблем с персоналом и контрагентами. Аудит документов по персональным данным нужен, чтобы убедиться, что и здесь в компании все в порядке. Руководитель попросил провести аудит компании, чтобы подтвердить свою уверенность в отсутствии каких-либо проблем.
Процедура аудита, проведенная экспертами, включала комплексную проверку соблюдения закона о персональных данных, правильности оформления согласий и локальных нормативных актов, касающихся работы с персональными данными
Перечень документов для проверки:- Устав, приказ о назначении директора и другие основополагающие документы;
- действующие и ранее действовавшие доверенности;
- совокупность локальных нормативных актов (инструкции, регламенты, приказы, положения и т.д.);
- имеющиеся обязательства о неразглашении;
- согласия на обработку персональных данных на разные категории субъектов: работники, контрагенты, родственники работников и руководителей, потребителей и других лиц, сотрудничавших с компанией по договорам ГПХ и пр.
Чек-лист нарушений для экспресс-аудита
Памятка Распространенные вопросы по работе с персональными данными и нормы закона, которые их регулируют
Скачать
Первые результаты: штат компании оказался непомерно раздутым
Проверка первых же документов показала, что по Уставу компании у директора не было полномочий издавать локальные нормативные акты и приказы. Права на выдачу доверенностей у него также не было. В должности руководителя заказчик находился более 4 лет и в течение этого времени издавал указанные акты, подписывал приказы и доверенности. Вся эта деятельность оказалась незаконной.Профессиональный аудит позволил определить ошибки в оформлении согласий, случаи обработки персональных данных без согласия обладателя, а также факты осуществления передачи персональных данных за границу РФ при отсутствии согласия субъектов.
Аудит персональных данных: зачем проводить в компании
Получилось, что в штате компании существует целое подразделение, которое не выполняет свои функции и не несет никакой ответственности за результаты своего труда, но при этом получает заработную плату.
Величина штрафа за нарушение закона о персональных данных
Директор организации поинтересовался, какой штраф он бы получил, если бы нарушение обнаружил Роскомнадзор. Эксперты, проводившие аудит документов по персональным данным, озвучили сумму в 60 000 рублей за одно нарушение. Директор посчитал эту сумму незначительной, но изменил свое мнение, узнав о главном подводном камне штрафа за персональные данные. В процессе аудита эксперты также выяснили, что база данных компании находится за пределами РФ, что является нарушением. Хранение персональных данных на иностранном сервере при первом обнаружении обойдется компании минимум в 1 миллион рублей, максимальный штраф за это нарушение составляет 6 миллионов. Если же аналогичное нарушение будет выявлено повторно, то компания лишится уже минимум 6 миллионов, а в особо тяжких случаях – до 18 миллионов рублей.Как сократить риски генерального директора со 100% до 5% при помощи экспертов
Проведение аудита документов по персональным данным позволило вовремя выявить ошибки, но это не означало решения проблемы – нарушения в компании остались. Генеральный директор попросил экспертов исправить ситуацию и пересмотреть документы по персональным данным. На основе глубокого анализа бизнес-процессов и тщательной корректировки документов, содержащих персональные данные, экспертам удалось минимизировать риски руководителя.Результат работы экспертов представлен в таблице ниже.
Принцип |
Решение |
Минимизация количества ЛНА |
– построили 3 ЛНА на основе пирамидальной логики "политика + 2 положения по отдельным группам субъектов" – отказались от корректировки всех представленных 28 ЛНА, которые были представлены заказчиком |
Удобство использования ЛНА |
– сгруппировали субъекты по характеру отношений с компанией – разработали для положений одинаковую «зеркальную» структуру – в структуре ЛНА предусмотрели, чтобы каждый раздел описывал один аспект работы с персональными данными – разработали формы документов для каждого процесса |
Защита рисков ГД |
– прописали ответственность и обязанности должностных лиц компании по работе с персональными данными – сформировали отдельные разделы в каждом Положении |
Что получил заказчик в результате работы экспертов:
- 3 опорных ЛНА
- 6 вариантов согласия на обработку ПД
- 33 приложения к ЛНА для работы с разными процессами и категориями субъектов
Подробнее о способах устранения нарушений в работе с персональными данными смотрите в таблице ниже.
Описание нарушения |
Как нарушение было устранено в проекте |
Избыточная обработка данных | В разработанных согласиях и Положениях прописаны цели обработки персональных данных |
Обработка данных без согласия | Дополнительно разработано 5 форм согласий, скорректировано согласие на обработку персональных данных работников |
Отсутствие размещенной Политики на сайте | Разработана Политика о защите персональных данных |
Любая организация должна тщательно следить за порядком работы с персональными данными, чтобы защитить себя от рисков получения штрафа. Особенно это касается руководителя компании, которого в случае выявления нарушений могут привлечь к уголовной ответственности.
Проверить правильность работы с ПД и снизить уровень риска можно, проведя аудит персональных данных - самостоятельно или с помощью экспертов компании "Митрофанова и партнеры". Стоимость аудита в десятки раз меньше, чем сумма возможных штрафов.
Предлагаем вашему вниманию презентацию внизу статьи и с удовольствием ответим на ваши возможные вопросы
Проверить правильность работы с ПД и снизить уровень риска можно, проведя аудит персональных данных - самостоятельно или с помощью экспертов компании "Митрофанова и партнеры". Стоимость аудита в десятки раз меньше, чем сумма возможных штрафов.
Предлагаем вашему вниманию презентацию внизу статьи и с удовольствием ответим на ваши возможные вопросы
Заказать аудит персональных данных