Подготовка к проверке Роскомнадзора позволила избежать многомиллионные штрафы

«Проверка Роскомнадзора через месяц, помогите!». Так началось общение с компанией, которая обратилась с запросом к экспертам. Требовалась помощь в прохождении проверки. Когда эксперты провели аудит, удивились количеству ошибок, хотя повидали уже многое. Как удалось скорректировать недочеты, и чем закончилась проверка, узнаете из кейса.

Запрос от компании: Роскомнадзор проверки через месяц, помогите

С запросом провести аудит документов по обработке персональных данных и разработать недостающие ЛНА обратилась компания. Задача прозвучала так: «Вы же знаете о проведении проверок Роскомнадзором. К нам придут через месяц. Помогите! Это срочно!».

Усложняло работу то, что в одном юридическом лице было много разноплановых структурных подразделений. Например, ювелирное производство, магазин и онлайн-магазин, корабли, поликлиника, гостиница и ресторан, швейная фабрика и прачечная. Требовалась проанализировать документы и нормативные акты разных сфер деятельности.

Документы, которые проверили в рамках аудита:   Правоустанавливающие документы; Доверенности; Локальные нормативные акты (Положения, Инструкции, Регламенты); Приказы; Обязательства о неразглашении; Согласия на разные категории субъектов: Работники и кандидаты;  Родственники работников; Работники контрагентов; Физические лица, заключившие гражданско-правовой договор; Покупатели и посетители; Иные субъекты, чьи данные обрабатываются в компании.

Аудит персональных данных показал: компания не готова к проверке

В результате проверки персональных данных выяснилось, что ответственным лицом за работу с персданными назначали одного из кадровиков. Однако ему физически не хватает времени, чтобы правильно организовать работу с персданными и защитить компанию. Это было связано с тем, что ответственное лицо занималось не только персональными данными, но еще и своей непосредственной работой. Другими словами, работа с персданными велась не системно и не в приоритете. Отсюда и многочисленные ошибки.

Аудит показал, что: ни на одно структурное подразделение нет локальных нормативных актов по обработке персональных данных; в компании не собирают согласия у всех субъектов, данные которых обрабатываются, а те, что есть, составили с ошибками; документы по персональным данным содержат не все требования законодательства, в том числе и новые изменения; не хватает многих документов, которые закрывают требования закона о персональных данных; обработка данных происходит без согласий родственников, кандидатов, покупателей, посетителей и иных субъектов; в компании запрашивают излишний перечень данных (например, данные членов семьи у кандидатов или работников, адреса их проживания, личные номера мобильных телефонов и госномера машин); не разработали, не утвердили и не разместили на сайте компании Политику по обработке персональных данных; обработка данных происходит по окончании срока хранения, не уничтожаются персональные данные, сроки которых истекли; хранение документов не организовано, а база данных находится не на территории РФ; осуществляется трансграничная передача данных без согласия субъектов на это.

Кроме этого, эксперты выявили, что в компании документально не выстроили систему делегирования ответственности по персональным данным. Поэтому у генерального директора есть риски. Если проверка Роскомнадзора выявит нарушения по персональным данным, штраф могут выписать на ответственное должностное лицо, и на генерального директора. В похожей ситуации оказался директор фармацевтической компании, но там ему грозила и уголовная ответственность. Подробнее здесь.

 

Пакет документов для проверки: скорректировали и разработали новые ЛНА

Догадки руководителя о нарушениях по персональным данным оправдались: аудит выявил много ошибок в документах, а также отсутствие многих документов.

Эксперты обнаружили, что локальные нормативные акты компании по персданным содержат указания на не действующие нормативные правовые акты. При этом в задачи экспертов входила подготовка ответственного лица, которое будет взаимодействовать с Роскомнадзором с учетом того, что изменился порядок проведения проверок Роскомнадзора (Закон от 31.07.2020 № 248-ФЗ).

 

 

После аудита, эксперты разработали недостающие положения, инструкции и локальные нормативные акты, а также новые формы документов и согласий с учетом изменений законодательства. Причем сделали это для каждого из девяти структурных подразделений с учетом их специфики.

Список работ для каждого из девяти подразделений:

• конкретизировали перечень персональных данных;
• актуализировали категории субъектов;
• привели цели и способы обработки в соответствие с перечнем данных и категориями и в соответствие с действующим законодательством;
• разработали удобные для применения работниками формы документов и т. д.

Неделя до проверки: эксперты предложили, как снизить штрафы

До проверки Роскомнадзора оставалась неделя, в компании работа «кипела», так как нужно было ознакомить работников со многими документами.

Эксперты посчитали общую сумму штрафов, которую могла получить компания, получилось около 76 000 000 рублей на юридическое лицо и 480 000 рублей на должностное лицо.

Эксперты предложили юридическое решение, как снизить штрафы. Суть в том, что, если инспектор выявит нарушение на те даты, когда документов в компании еще не было, можно было бы настаивать на снижении штрафов по самой нижней планке или говорить о его малозначительности. Чему очень рад был руководитель компании.

Роскомнадзор проверка: как прошла и что в итоге

Наступила дата проверки, компания встретила инспекторов спокойно и уверенно. Инспекторы запросили документы по всему ФЗ 152, особенно по статьям 9, 10.1, 18.1- 21 ФЗ 152 «О персональных данных». Представитель компании уверенно отвечал на вопросы инспекторов, даже провокационные. Предоставлял документы и приводил доводы.

Инспекторы обнаружили, что добавилась страна, в которую передаются персональные данные, изменился перечень данных и субъекты и иные изменения, а компания не подала об этом уведомление в Роскомнадзор в 2018 году. К сожалению, это нарушение уже исправить было нельзя, так как факт не уведомления уже свершился.

Проверка закончилась. Результат – компании выдали только предписание об устранении нарушений в части подачи уведомления об изменении сведений. Это редкий случай, что Роскомнадзор не выписал штраф. По выявленному в 2018 году нарушению истек срок по привлечению к административной ответственности.

Эксперты за короткий срок выполнили большой объем работ, а компания получила положительный опыт в части проверки Роскомнадзором, документального оформления обработки персональных данных. И теперь знает, как эти знания применить в работе.

№	Результат	Данные
1	Количество разработанных ЛНА в процессе Проекта	9
2	Количество разработанных согласий на обработку персональных данных	18
3	Общее количество приложений к разработанным ЛНА	99

 

Ошибки в работе с персональными данными обходятся дороже всего. Штрафы могут доходить до миллионов. Причем часто ошибки кроятся там, где их совсем не ожидаешь. Выявить ошибки и сократить риски поможет аудит персональных данных. Поверьте, это дешевле, чем визит проверяющих.

Заказать аудит персданных