Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Аудит персональных данных проводится Роскомнадзором в рамках проверки добросовестности организаций. Руководитель может провести внеплановый аудит, чтобы убедиться, что в организации все оформлено верно. Ниже приведен пример того, как аудит персональных данных помог руководителю компании вовремя выявить проблемы и исправить ситуацию. Если бы руководитель дождался проверки персональных данных от Роскомнадзора, то избежать дисквалификации, уголовного преследования и многомиллионного штрафа уже бы не удалось.

Ситуация: руководитель организации заказал аудит персональных данных «на всякий случай»

Клиент (крупная медицинская компания) давно работает на рынке и действует в рамках законодательства, исправно платит налоги, не имеет проблем с персоналом и контрагентами. Аудит документов по персональным данным нужен, чтобы убедиться, что и здесь в компании все в порядке. Руководитель попросил провести аудит компании, чтобы подтвердить свою уверенность в отсутствии каких-либо проблем.

Процедура аудита, проведенная экспертами, включала комплексную проверку соблюдения закона о персональных данных, правильности оформления согласий и локальных нормативных актов, касающихся работы с персональными данными



Перечень документов для проверки:

  • Устав, приказ о назначении директора и другие основополагающие документы;
  • действующие и ранее действовавшие доверенности;
  • совокупность локальных нормативных актов (инструкции, регламенты, приказы, положения и т.д.);
  • имеющиеся обязательства о неразглашении;
  • согласия на обработку персональных данных на разные категории субъектов: работники, контрагенты, родственники работников и руководителей, потребителей и других лиц, сотрудничавших с компанией по договорам ГПХ и пр. 

Первые результаты: штат компании оказался непомерно раздутым

Проверка первых же документов показала, что по Уставу компании у директора не было полномочий издавать локальные нормативные акты и приказы. Права на выдачу доверенностей у него также не было. В должности руководителя заказчик находился более 4 лет и в течение этого времени издавал указанные акты, подписывал приказы и доверенности. Вся эта деятельность оказалась незаконной.

Профессиональный аудит позволил определить ошибки в оформлении согласий, случаи обработки персональных данных без согласия обладателя, а также факты осуществления передачи персональных данных за границу РФ при отсутствии согласия субъектов. 

Зачем компании нужно проводить аудит персональных данных?

Подробнее


При этом в штате компании присутствовали специалисты, в чьи обязанности входила работа с персональными данными. Именно они и должны были оформлять документы, содержащие персональные данные. Существовал и сотрудник, назначенный ответственным за данное направление работы. Однако указанные обязанности и делегирование полномочий и ответственности не были оформлены документально.

Неприятный момент для руководителя: если Роскомнадзор в ходе плановой проверки выявит вышеперечисленные нарушения, отсутствие документально оформленной системы делегирования ответственности будет означать исключительно личную ответственность генерального директора. И речь идет не только об административной или экономической ответственности, но и уголовной, если нарушения будут достаточно существенными. Конечно, Роскомнадзор может дать время на исправление недочетов, но если нарушения повторяются, то директору грозит дисквалификация. 

Получилось, что в штате компании существует целое подразделение, которое не выполняет свои функции и не несет никакой ответственности за результаты своего труда, но при этом получает заработную плату. 

Величина штрафа за нарушение закона о персональных данных

Директор организации поинтересовался, какой штраф он бы получил, если бы нарушение обнаружил Роскомнадзор. Эксперты, проводившие аудит документов по персональным данным, озвучили сумму в 60 000 рублей за одно нарушение. Директор посчитал эту сумму незначительной, но изменил свое мнение, узнав о главном подводном камне штрафа за персональные данные.

Штраф за каждое из выявленных нарушений, касающихся работы с персональными данными, будет умножен на число работников компании.
В этой фармацевтической компании трудится 6000 человек. Получается, что даже одно неверно оформленное согласие обошлось бы генеральному директору в 3 600 000 000 рублей!

В процессе аудита эксперты также выяснили, что база данных компании находится за пределами РФ, что является нарушением. Хранение персональных данных на иностранном сервере при первом обнаружении обойдется компании минимум в 1 миллион рублей, максимальный штраф за это нарушение составляет 6 миллионов. Если же аналогичное нарушение будет выявлено повторно, то компания лишится уже минимум 6 миллионов, а в особо тяжких случаях – до 18 миллионов рублей.

Как сократить риски генерального директора со 100% до 5% при помощи экспертов

Проведение аудита документов по персональным данным позволило вовремя выявить ошибки, но это не означало решения проблемы – нарушения в компании остались. Генеральный директор попросил экспертов исправить ситуацию и пересмотреть документы по персональным данным. На основе глубокого анализа бизнес-процессов и тщательной корректировки документов, содержащих персональные данные, экспертам удалось минимизировать риски руководителя. 

Результат работы экспертов представлен в таблице ниже.

Принцип
 		Решение
Минимизация количества ЛНА – построили 3 ЛНА на основе пирамидальной логики "политика + 2 положения по отдельным группам субъектов" 
– отказались  от корректировки всех представленных 28 ЛНА, которые были представлены заказчиком
Удобство использования ЛНА – сгруппировали субъекты по характеру отношений с компанией 
– разработали для положений одинаковую «зеркальную» структуру 
– в структуре ЛНА предусмотрели, чтобы каждый раздел описывал один аспект работы с персональными данными
– разработали формы документов для каждого процесса
Защита рисков ГД  – прописали ответственность и обязанности должностных лиц компании по работе с персональными данными
– сформировали отдельные разделы в каждом Положении

Что получил заказчик в результате работы экспертов:

- 3 опорных ЛНА

- 6 вариантов согласия на обработку ПД

- 33 приложения к ЛНА для работы с разными процессами и категориями субъектов

Эксперты провели работу с рисками и сократили их уровень со 100% (по результатам аудита) до 5%.

Подробнее о способах устранения нарушений в работе с персональными данными смотрите в таблице ниже.

Описание нарушения
 		Как нарушение было устранено в проекте
Избыточная обработка данных  В разработанных согласиях и Положениях прописаны цели обработки персональных данных
Обработка данных без  согласия Дополнительно разработано 5 форм согласий, скорректировано согласие на обработку персональных данных работников
Отсутствие размещенной Политики на сайте Разработана Политика о защите персональных данных

Любая организация должна тщательно следить за порядком работы с персональными данными, чтобы защитить себя от рисков получения штрафа. Особенно это касается руководителя компании, которого в случае выявления нарушений могут привлечь к уголовной ответственности. Проверить правильность работы с ПД и снизить уровень риска можно, проведя аудит персональных данных - самостоятельно или с помощью экспертов компании "Митрофанова и партнеры". Стоимость аудита в десятки раз меньше, чем сумма возможных штрафов
Материал подготовлен экспертами департамента трудового права компании "Митрофанова и партнеры"

Поделиться материалом
Скопировать ссылку
Все статьи