Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Аудит персональных данных проводится Роскомнадзором в рамках проверки добросовестности организаций. Руководитель может провести внеплановый аудит, чтобы убедиться, что в организации все оформлено верно. Ниже приведен пример того, как аудит персональных данных помог руководителю компании вовремя выявить проблемы и исправить ситуацию. Если бы руководитель дождался проверки персональных данных от Роскомнадзора, то избежать дисквалификации, уголовного преследования и многомиллионного штрафа уже бы не удалось.

Ситуация: руководитель организации заказал аудит персональных данных «на всякий случай»

Клиент (крупная медицинская компания) давно работает на рынке и действует в рамках законодательства, исправно платит налоги, не имеет проблем с персоналом и контрагентами. Аудит документов по персональным данным нужен, чтобы убедиться, что и здесь в компании все в порядке. Руководитель попросил провести аудит компании, чтобы подтвердить свою уверенность в отсутствии каких-либо проблем.
НАШИ КЕЙСЫ

Внутренний контроль персональных данных: три аргумента "за"

Подробнее

Процедура аудита, проведенная экспертами, включала комплексную проверку соблюдения закона о персональных данных, правильности оформления согласий и локальных нормативных актов, касающихся работы с персональными данными
Перечень документов для проверки:

  • Устав, приказ о назначении директора и другие основополагающие документы;
  • действующие и ранее действовавшие доверенности;
  • совокупность локальных нормативных актов (инструкции, регламенты, приказы, положения и т.д.);
  • имеющиеся обязательства о неразглашении;
  • согласия на обработку персональных данных на разные категории субъектов: работники, контрагенты, родственники работников и руководителей, потребителей и других лиц, сотрудничавших с компанией по договорам ГПХ и пр. 

Чек-лист нарушений для экспресс-аудита
Памятка Распространенные вопросы по работе с персональными данными и нормы закона, которые их регулируют 

Скачать

Первые результаты: штат компании оказался непомерно раздутым

Проверка первых же документов показала, что по Уставу компании у директора не было полномочий издавать локальные нормативные акты и приказы. Права на выдачу доверенностей у него также не было. В должности руководителя заказчик находился более 4 лет и в течение этого времени издавал указанные акты, подписывал приказы и доверенности. Вся эта деятельность оказалась незаконной.

Профессиональный аудит позволил определить ошибки в оформлении согласий, случаи обработки персональных данных без согласия обладателя, а также факты осуществления передачи персональных данных за границу РФ при отсутствии согласия субъектов. 

Аудит персональных данных: зачем проводить в компании

Подробнее

При этом в штате компании присутствовали специалисты, в чьи обязанности входила работа с персональными данными. Именно они и должны были оформлять документы, содержащие персональные данные. Существовал и сотрудник, назначенный ответственным за данное направление работы. Однако указанные обязанности и делегирование полномочий и ответственности не были оформлены документально.

Неприятный момент для руководителя: если Роскомнадзор в ходе плановой проверки выявит вышеперечисленные нарушения, отсутствие документально оформленной системы делегирования ответственности будет означать исключительно личную ответственность генерального директора. И речь идет не только об административной или экономической ответственности, но и уголовной, если нарушения будут достаточно существенными. Конечно, Роскомнадзор может дать время на исправление недочетов, но если нарушения повторяются, то директору грозит дисквалификация 

Получилось, что в штате компании существует целое подразделение, которое не выполняет свои функции и не несет никакой ответственности за результаты своего труда, но при этом получает заработную плату. 
ИНТЕРЕСНЫЕ СТАТЬИ

Как быстро провести аудит согласия на обработку персональных данных? 

Подробнее

Величина штрафа за нарушение закона о персональных данных

Директор организации поинтересовался, какой штраф он бы получил, если бы нарушение обнаружил Роскомнадзор. Эксперты, проводившие аудит документов по персональным данным, озвучили сумму в 60 000 рублей за одно нарушение. Директор посчитал эту сумму незначительной, но изменил свое мнение, узнав о главном подводном камне штрафа за персональные данные.

Штраф за каждое из выявленных нарушений, касающихся работы с персональными данными, будет умножен на число работников компании. В этой фармацевтической компании трудится 6000 человек. Получается, что даже одно неверно оформленное согласие обошлось бы генеральному директору в 3 600 000 000 рублей!

В процессе аудита эксперты также выяснили, что база данных компании находится за пределами РФ, что является нарушением. Хранение персональных данных на иностранном сервере при первом обнаружении обойдется компании минимум в 1 миллион рублей, максимальный штраф за это нарушение составляет 6 миллионов. Если же аналогичное нарушение будет выявлено повторно, то компания лишится уже минимум 6 миллионов, а в особо тяжких случаях – до 18 миллионов рублей.
ИНТЕРЕСНЫЕ СТАТЬИ

Как провести самопроверку по персональным данным

Подробнее

Как сократить риски генерального директора со 100% до 5% при помощи экспертов

Проведение аудита документов по персональным данным позволило вовремя выявить ошибки, но это не означало решения проблемы – нарушения в компании остались. Генеральный директор попросил экспертов исправить ситуацию и пересмотреть документы по персональным данным. На основе глубокого анализа бизнес-процессов и тщательной корректировки документов, содержащих персональные данные, экспертам удалось минимизировать риски руководителя. 

Результат работы экспертов представлен в таблице ниже.

Принцип
Решение
Минимизация количества ЛНА – построили 3 ЛНА на основе пирамидальной логики "политика + 2 положения по отдельным группам субъектов" 
– отказались  от корректировки всех представленных 28 ЛНА, которые были представлены заказчиком
Удобство использования ЛНА – сгруппировали субъекты по характеру отношений с компанией 
– разработали для положений одинаковую «зеркальную» структуру 
– в структуре ЛНА предусмотрели, чтобы каждый раздел описывал один аспект работы с персональными данными
– разработали формы документов для каждого процесса
Защита рисков ГД  – прописали ответственность и обязанности должностных лиц компании по работе с персональными данными
– сформировали отдельные разделы в каждом Положении

Что получил заказчик в результате работы экспертов:

  • 3 опорных ЛНА
  • 6 вариантов согласия на обработку ПД
  • 33 приложения к ЛНА для работы с разными процессами и категориями субъектов
Эксперты провели работу с рисками и сократили их уровень со 100% (по результатам аудита) до 5%.

Подробнее о способах устранения нарушений в работе с персональными данными смотрите в таблице ниже.

Описание нарушения
Как нарушение было устранено в проекте
Избыточная обработка данных  В разработанных согласиях и Положениях прописаны цели обработки персональных данных
Обработка данных без  согласия Дополнительно разработано 5 форм согласий, скорректировано согласие на обработку персональных данных работников
Отсутствие размещенной Политики на сайте Разработана Политика о защите персональных данных

Любая организация должна тщательно следить за порядком работы с персональными данными, чтобы защитить себя от рисков получения штрафа. Особенно это касается руководителя компании, которого в случае выявления нарушений могут привлечь к уголовной ответственности.

Проверить правильность работы с ПД и снизить уровень риска можно, проведя аудит персональных данных - самостоятельно или с помощью экспертов компании "Митрофанова и партнеры". Стоимость аудита в десятки раз меньше, чем сумма возможных штрафов.

Предлагаем вашему вниманию презентацию внизу статьи и с удовольствием ответим на ваши возможные вопросы

Заказать аудит персональных данных

Заказать

Материал подготовлен экспертами департамента трудового права компании "Митрофанова и партнеры"

Поделиться материалом
Скопировать ссылку