Подготовка к проверке Роскомнадзора позволила избежать многомиллионные штрафы
«Проверка Роскомнадзора через месяц, помогите!». Так началось общение с компанией, которая обратилась с запросом к экспертам. Требовалась помощь в прохождении проверки. Когда эксперты провели аудит, удивились количеству ошибок, хотя повидали уже многое. Как удалось скорректировать недочеты, и чем закончилась проверка, узнаете из кейса.
- Запрос от компании: Роскомнадзор проверки через месяц, помогите
- Аудит персональных данных показал: компания не готова к проверке
- Пакет документов для проверки: скорректировали и разработали новые ЛНА
- Неделя до проверки: эксперты предложили, как снизить штрафы
- Роскомнадзор проверка: как прошла и что в итоге
Запрос от компании: Роскомнадзор проверки через месяц, помогите
С запросом провести аудит документов по обработке персональных данных и разработать недостающие ЛНА обратилась компания. Задача прозвучала так: «Вы же знаете о проведении проверок Роскомнадзором. К нам придут через месяц. Помогите! Это срочно!».
Усложняло работу то, что в одном юридическом лице было много разноплановых структурных подразделений. Например, ювелирное производство, магазин и онлайн-магазин, корабли, поликлиника, гостиница и ресторан, швейная фабрика и прачечная. Требовалась проанализировать документы и нормативные акты разных сфер деятельности.
Документы, которые проверили в рамках аудита:
|
Аудит персональных данных показал: компания не готова к проверке
В результате проверки персональных данных выяснилось, что ответственным лицом за работу с персданными назначали одного из кадровиков. Однако ему физически не хватает времени, чтобы правильно организовать работу с персданными и защитить компанию. Это было связано с тем, что ответственное лицо занималось не только персональными данными, но еще и своей непосредственной работой. Другими словами, работа с персданными велась не системно и не в приоритете. Отсюда и многочисленные ошибки.
Аудит показал, что:
|
Кроме этого, эксперты выявили, что в компании документально не выстроили систему делегирования ответственности по персональным данным. Поэтому у генерального директора есть риски. Если проверка Роскомнадзора выявит нарушения по персональным данным, штраф могут выписать на ответственное должностное лицо, и на генерального директора. В похожей ситуации оказался директор фармацевтической компании, но там ему грозила и уголовная ответственность. Подробнее здесь.
Пакет документов для проверки: скорректировали и разработали новые ЛНА
Догадки руководителя о нарушениях по персональным данным оправдались: аудит выявил много ошибок в документах, а также отсутствие многих документов.
Эксперты обнаружили, что локальные нормативные акты компании по персданным содержат указания на не действующие нормативные правовые акты. При этом в задачи экспертов входила подготовка ответственного лица, которое будет взаимодействовать с Роскомнадзором с учетом того, что изменился порядок проведения проверок Роскомнадзора (Закон от 31.07.2020 № 248-ФЗ).
После аудита, эксперты разработали недостающие положения, инструкции и локальные нормативные акты, а также новые формы документов и согласий с учетом изменений законодательства. Причем сделали это для каждого из девяти структурных подразделений с учетом их специфики.
Список работ для каждого из девяти подразделений:
- конкретизировали перечень персональных данных;
- актуализировали категории субъектов;
- привели цели и способы обработки в соответствие с перечнем данных и категориями и в соответствие с действующим законодательством;
- разработали удобные для применения работниками формы документов и т. д.
Неделя до проверки: эксперты предложили, как снизить штрафы
До проверки Роскомнадзора оставалась неделя, в компании работа «кипела», так как нужно было ознакомить работников со многими документами.
Эксперты посчитали общую сумму штрафов, которую могла получить компания, получилось около 76 000 000 рублей на юридическое лицо и 480 000 рублей на должностное лицо.
Эксперты предложили юридическое решение, как снизить штрафы. Суть в том, что, если инспектор выявит нарушение на те даты, когда документов в компании еще не было, можно было бы настаивать на снижении штрафов по самой нижней планке или говорить о его малозначительности. Чему очень рад был руководитель компании.
Роскомнадзор проверка: как прошла и что в итоге
Наступила дата проверки, компания встретила инспекторов спокойно и уверенно. Инспекторы запросили документы по всему ФЗ 152, особенно по статьям 9, 10.1, 18.1- 21 ФЗ 152 «О персональных данных». Представитель компании уверенно отвечал на вопросы инспекторов, даже провокационные. Предоставлял документы и приводил доводы.
Инспекторы обнаружили, что добавилась страна, в которую передаются персональные данные, изменился перечень данных и субъекты и иные изменения, а компания не подала об этом уведомление в Роскомнадзор в 2018 году. К сожалению, это нарушение уже исправить было нельзя, так как факт не уведомления уже свершился.
Проверка закончилась. Результат – компании выдали только предписание об устранении нарушений в части подачи уведомления об изменении сведений. Это редкий случай, что Роскомнадзор не выписал штраф. По выявленному в 2018 году нарушению истек срок по привлечению к административной ответственности.
Эксперты за короткий срок выполнили большой объем работ, а компания получила положительный опыт в части проверки Роскомнадзором, документального оформления обработки персональных данных. И теперь знает, как эти знания применить в работе.
№ |
Результат | Данные |
1 | Количество разработанных ЛНА в процессе Проекта |
9 |
2 |
Количество разработанных согласий на обработку персональных данных |
18 |
3 |
Общее количество приложений к разработанным ЛНА |
99 |
Ошибки в работе с персональными данными обходятся дороже всего. Штрафы могут доходить до миллионов. Причем часто ошибки кроятся там, где их совсем не ожидаешь. Выявить ошибки и сократить риски поможет аудит персональных данных. Поверьте, это дешевле, чем визит проверяющих. |
- Комментарии