Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Миллионные штрафы, тюрьма и дисквалификация – таких последствий не ожидала компания, когда заказывала аудит персональных данных «на всякий случай». «В принципе-то было все хорошо» – разводил руками директор. Если бы это «хорошо» выявил Роскомнадзор, то дело закончилось бы печально. Читаете ниже, как проверка персональных данных спасла директора от уголовной и материальной ответственности.

Запрос от компании: у нас все хорошо, проведите аудит персональных данных на всякий случай

Крупная фармацевтическая компания заказала аудит документов по персональным данным. Задачу поставили со словами: «У нас в принципе все хорошо, мы просто хотим себя проверить, на всякий случай». Если бы знал в тот момент заказчик, чем обернется эта проверка персональных данных.

Чтобы провести аудит компании и проверить, как организация соблюдает законодательство о персональных данных, правильно ли оформлены согласия и локальные нормативные акты, эксперты проанализировали документы по персональным данным и другие ЛНА.

Документы, которые проверили в рамках аудита:   Правоустанавливающие документы; Доверенности; Локальные нормативные акты (положения, инструкции, регламенты); Приказы; Обязательства о неразглашении; Согласия на разные категории субъектов: работники, кандидаты, родственники сотрудников, работники контрагентов, физические лица, заключившие гражданско-правовой договор, покупатели, посетители и др.

 

Директор понял, он зря держит раздутый штат

Аудит персональных данных показал, что генеральный директор, по уставу, не мог издавать локальные нормативные акты, приказы, выдавать доверенности. А теперь представьте, сколько документов издали за четыре года его руководства незаконно.

В ходе аудита эксперты обнаружили ошибки в сборе согласий. Выявили, что работодатель не правильно оформил согласия, а некоторые персональные данные вообще не имел права обрабатывать. Также обнаружили, что компания незаконная проводит трансграничную передачу данных без согласий субъектов на это.

Эксперты обнаружили еще одну неприятную вещь для генерального директора. В компании было много лиц, которые занимаются «чем-то по персональным данным». Даже есть работник, который как бы «главный» за персональные данные.   При этом, если проверка Роскомнадзора выявит нарушения по персональным данным, штраф на должностное лицо выпишут именно на директора. И все из-за того, что в компании документально не выстроили систему делегирования ответственности по персональным данным. А это означало риски генерального директора.   Руководитель понял, что он платит зарплату огромному количеству работников, а виновный за все будет лично он сам. При этом это не все риски генерального директора. Его могли привлечь и к уголовной ответственности. Если нарушение выявят повторно, то его дисквалифицируют.

Уголовную ответственность генерального директора дополнили миллионные штрафы

Однако самое страшное для руководителя фармкомпании было впереди. Хорошо, что аудит выявил ошибки до проверки Роскомнадзора.

За нарушения в работе с персональными данными сейчас огромные штрафы. Генеральный директор не обрадовался, когда узнал, что эти штрафы мультиплицируются. Каждое нарушение умножается на общее количество работников компании.

А теперь представьте удивление директора, когда эксперты умножили сумму штрафа в 60 000 рублей за одно нарушение на количество сотрудников в компании – 8 000. Получится 480 000 000 рублей только за одно нарушение.

Кроме этого, аудит выявил, что база данных находится не на территории РФ, а это означает, что если об этом узнает Роскомнадзор, то административный штраф при первом выявлении нарушения от 1 до 6 млн руб., а при повторном от 6 до 18 млн. руб.

Эксперты сократили риски со 100% до 5%

Директора радовало одно, что ошибки нашли вовремя и эксперты помогут наладить работу с персональными данными. Эксперты погрузились в бизнес-процессы компании, корректировали документы, содержащие персональные данные. Следуя определенным принципам, пришли к решениям, как исправить ситуацию. Подробнее – в таблице ниже.

Принцип	Решение
Минимизация количества ЛНА	– построили 3 ЛНА построенных по пирамидальной логике "политика + 2 положения по отдельным группам субъектов"   – отказались  от корректировки всех представленных 28 ЛНА, которые были представлены заказчиком
Удобство использования ЛНА	– субъекты сгруппировали по характеру отношений с компанией   – положения сделали в «зеркальной» одинаковой структуре   – структура ЛНА разработали таким образом, чтобы каждый раздел описывал один аспект работы с ПД   – разработали формы документов для каждого процесса
Защита рисков ГД	– прописали ответственность и обязанности должностных лиц компании по работе с ПД   – сформировали отдельные разделы в каждом Положении

В результате проекта эксперты разработали:

• 3 локальных нормативных акта;
• 6 согласий на обработку персональных данных;
• 33 приложения к разработанным ЛНА.

Кроме этого, устранили риски для компании, связанные с персональными данными. Подробнее – в таблице ниже.

До проведения аудита риски составляли 100%. После – 5 %, при условии, что компания выполнит все рекомендации экспертов.

Описание нарушения	Как нарушение было устранено в проекте
Избыточная обработка данных	В разработанных согласиях и Положениях прописаны цели обработки ПД
Обработка данных без  согласия	Разработано дополнительно 5 форм согласий, скорректировано согласие на обработку ПД работников
Отсутствие размещенной Политики на сайте	Разработана Политика о защите персональных данных

 

Ошибки в работе с персональными данными обходятся дороже всего. Причем за нарушения компания не отделается только материальной ответственностью, должностное лицо могут привлечь к уголовной ответственности. Выявить ошибки и сократить риски поможет аудит персональных данных. Поверьте, это дешевле, чем визит проверяющих.

Заказать аудит персданных