data-protection-officer-training

«Думали, что GDPR-compliant, пока не получили результаты аудита», – о том, как помогли IT-компании избежать рисков на новом рынке

Сначала наши консультанты провели бесплатный аудит, диагностику пробелов по защите персональных данных, а затем – заполнили найденные неточности.

Задача

Исключить риски по защите персональных данных при выходе бизнеса и продвижении продуктов за границами рынка СНГ, в частности — на рынке Европы.

Решение

Сначала провели бесплатный аудит, диагностику пробелов по защите персональных данных, а затем – заполнили найденные неточности.

Результат

  • Улучшили реестр обработок персональных данных (RoPA).
  • Обновили политику приватности.
  • Создали cookie banner.
  • Разработали соглашения об обработке персональных данных. (SCC) в рамках оформления трансграничной передачи данных.

Срок

1 месяц

Компания

Молодая компания-разработчик электронной торговой площадки в сфере финансовых услуг. Работает в сегменте B2B.

Масштаб бизнеса

До 50 человек

Фишка

Компания рассчитывала убедиться в высоком уровне комплаенса, думая, что все требования выполнены.

Мнение основателя Data Privacy Office

Компания обратилась к нам с целью проверить комплаенс, чтобы перестраховаться перед запуском продукта на рынок ЕС. Наши консультанты провели аудит и, к удивлению клиента, нашли неточности в ведении Реестра обработок персональных данных (RoPA) и определили, что требуется обновить некоторые документы. Но нам это не показалось странным, ведь компания владеет большим количеством данных и не имеет в штате ответственного человека. Клиент решил продолжить совместную работу, так как сроки «горели». Как результат, за 1 месяц адаптировали и внедрили в процесс ведение Реестра по нашему авторскому шаблону, обновили политику приватности, составили соглашения об обработке персональных данных в связи с осуществлением трансграничной передачи персональных данных из адекватной юрисдикции (ЕС) в неадекватную (Россия) и заапдейтили cookie banner, так как предыдущий содержал элементы «темных паттернов» и закрывал гиперссылку на политику приватности. 

Siarhei-Varankevich

Что такое RoPA?

Record of Processing Activities (RоPA), или Реестр обработок персональных данных, – это своего рода таблица, где содержится вся информация об имеющихся в компании обработках. Практически все бизнесы должны вести Реестр согласно 30 статьи Общего регламента по защите персональных данных в ЕС (GDPR).

Что в результате получила IT-платформа?

Сниженный риск получения штрафа и репутационных издержек.

Все пробелы были закрыты и дальше бизнесу необходимо поддерживать высокий уровень соответствия своей командой или нанять DPO на аутсорс.

Понимание ситуации по GDPR-комплаенсу без эффекта розовых очков.

Все неточности были быстро улучшены и не стоили бы дополнительного риска при ложном 100%-ном соответствии. Самое время вспомнить известную фразу о том, что незнание не спасает от ответственности.

Компания закрыла основные риски по защите персональных данных и можно сконцентрироваться на развитии бизнеса, а не прикрытии уязвимостей на рынке ЕС.

Так как Европа предъявляет строгие требования к приватности своих жителей, то на этом можно строить маркетинговые кампании, отражая реальный комплаенс как конкурентное преимущество для сотрудничества.

Мнение нашего эксперта о соответствии GDPR в сфере финансовых услуг

Особое внимание при разработке платформы в сфере финансовых услуг уделите оценке рисков для будущих пользователей

Следите, чтобы данные не использовались повторно и для других целей. Также важно не нарушать конфиденциальность клиентов, не подвергая утечке или оглашению их персональные данные.

При наличии или создании data hub организуйте “пропуска”. Этот принцип в Регламенте именуется, как ограничение доступа. Говоря более простыми словами, не каждый сотрудник должен иметь возможность “заглянуть” в хранилище данных. К примеру, если маркетологу нужен доступ к системе аналитики, то исключите вероятность, что он может посмотреть номера телефонов клиентов или, и вовсе, зарегистрированные транзакции на аккаунте.

Первый шаг, который необходимо пройти, — это провести инвентаризацию всех персональных данных в компании: определить все имеющиеся данные внутри системы, цели, для которых они используются. Это является частью создания реестра обработок персональных данных и одним из самых важных шагов на пути к соответствию требованиям Регламента. 

Хотите получить кастомизированное решение для вашего бизнеса?

Мы готовы приступить к вашему кейсу прямо сейчас! Оставьте заявку в форме, и наш менеджер обязательно свяжется с вами.

Заполните форму и наши менеджеры свяжутся с вами в ближайшее время.