С нуля создали работающую систему обработки персональных данных и снизили риски проверок

Ситуация

К нам обратилась группа компаний, у которых обработка персональных данных (далее — ПДн) была неформализована: отсутствовали базовые документы, процессы были размыты, обязанности сотрудников не закреплены, информационные системы не описаны, а взаимодействие между компаниями никак не оформлено. При этом объём ПДн был значительным, и риски претензий Роскомнадзора — высокими.

Задача, которую решали

Нужно было:

• провести полный аудит обработки ПДн;
• выявить реальные процессы и распределение функций между компаниями;
• подготовить реестр процессов обработки ПДн;
• создать полный комплект нормативной, организационной и распорядительной документации;
• подать уведомления в Роскомнадзор от каждой компании.

Результат

Мы выстроили систему обработки ПДн «с нуля» и подготовили полный набор документов:

• провели аудит: изучили бизнес-процессы, провели интервью с персоналом, проверили информационные системы и точки доступа к ПДн;
• составили реестр процессов ПДн — структурированную «базу знаний», включающую цели, категории субъектов, объёмы ПДн, порядок хранения, уничтожения, передачи по каждой цели;
• оформили взаимодействие между компаниями в рамках ПДн;
• разработали документы: политики конфиденциальности, согласия, порядок обработки и защиты ПДн, правила контроля защищённости ПДн, оценку вреда субъектам ПДн и др.;
• подготовили организационно-распорядительные документы: приказы, инструкции ответственных лиц, положения об архиве, электронном архиве, выдаче помещений под архив и т.д.;
• разработали и согласовали формы договоров с контрагентами и потребителями, поручения на обработку ПДн, чтобы корректно оформить передачу данных третьим лицам;
• для каждой компании подали уведомление в реестр операторов Роскомнадзора.

Дополнительно мы нашли специалиста на роль DPO, который сможет поддерживать процессы после внедрения.

Итог: у группы компаний появилась полноценно работающая система обработки ПДн: от реестра процессов и логики взаимодействия до всех необходимых документов и назначенного DPO. Это снизило риски проверок, упростило коммуникацию с Роскомнадзором и привело деятельность к требованиям 152-ФЗ.