Тема персональных данных снова стала одной из самых практических для бизнеса. После изменений регулирования и усиления контроля многие компании начали пересматривать свои процессы. Ранее мы с командой тоже прошлись по всей системе — от HR-процессов до работы производства и маркетинговых форм. Это заняло 5 месяцев и порядка 18 встреч с кросс функциями. Честно говоря, тогда, на старте казалось, что у нас всё уже более-менее выстроено: есть политика обработки персональных данных, формы согласий, базовые регламенты. Но когда начинаешь смотреть на процессы вживую, почти всегда находятся зоны для доработки. Например: ❗️ Согласия на обработку персональных данных. Мы отдельно проверили все формы согласий — на сайте, в HR-процессах, в клиентских анкетах. Важно помнить, что требования к согласию установлены ст. 9 Федерального закона № 152-ФЗ «О персональных данных»: оно должно быть конкретным, информированным и оформленным корректно. Ранее уже писала про это. ❗️Где и как хранятся данные. Отдельный блок проверки — инфраструктура и используемые сервисы. Требование о локализации персональных данных закреплено в ст. 18.1 152-ФЗ, поэтому важно понимать, где именно физически размещаются базы данных. ❗️Процессы, а не только документы. Самый частый риск — когда документы есть, а процессы живут своей жизнью. Поэтому мы много времени потратили именно на обсуждения с коллегами из HR, производства, продаж, маркетинга, IT: как данные собираются, куда попадают и кто имеет к ним доступ. ❗️ Штрафы и ответственность. Отдельный фактор, который заставляет компании серьёзнее относиться к этой теме, — рост ответственности за нарушения. Штрафы предусмотрены ст. 13.11 КоАП РФ и могут достигать сотен тысяч рублей в зависимости от состава нарушения — например, за обработку данных без надлежащего согласия или за несоблюдение требований законодательства о персональных данных. Поэтому мы отдельно проинформировали руководителей каждого релевантного подразделения о возможных штрафах и о том, какая ответственность возникает в рамках их процессов. Когда руководители понимают риски — комплаенс по персональным данным начинает работать не только на уровне документов, но и на уровне ежедневной практики. ❗️Основное требование к документам - простота, применимость и практичность. Ну мы же понимаем, что руководителям нужна короткая инструкция, а не положение на 20 листах. В итоге получился полезный внутренний аудит, который помог посмотреть на систему обработки персональных данных как на часть корпоративного комплаенса, а не просто как на юридическую формальность. Иногда такие проверки на реальность оказываются гораздо полезнее любых чек-листов. #LegalDirector