«Думали, что GDPR-compliant, пока не получили результаты экспресс-аудита», – о том, как помогли IT-компании избежать рисков на новом рынке

Задача

Исключить риски по защите персональных данных при выходе бизнеса и продвижении продуктов за границами рынка СНГ, в частности на рынке Европы.

Решение

Сначала провели бесплатный экспресс-аудит, диагностику пробелов по защите персональных данных, а затем – заполнили найденные неточности.

Результат

  • Улучшили реестр обработок персональных данных (RoPA).
  • Обновили политику приватности.
  • Создали cookie banner.
  • Разработали соглашения об обработке персональных данных. (SCC) в рамках оформления трансграничной передачи данных.

Срок

1 месяц

Компания

Молодая компания-разработчик электронной торговой площадки в сфере финансовых услуг. Работает в сегменте B2B.

Масштаб бизнеса

До 50 человек

Фишка

Компания рассчитывала убедиться в высоком уровне комплаенса, думая, что все требования выполнены.

Мнение основателя Data Privacy Office

Компания обратилась к нам с целью проверить комплаенс, чтобы перестраховаться перед запуском продукта на рынок ЕС. Наши консультанты провели экспресс-аудит и, к удивлению клиента, нашли неточности в ведении Реестра обработок персональных данных (RoPA) и определили, что требуется обновить некоторые документы. Но нам это не показалось странным, ведь компания владеет большим количеством данных и не имеет в штате ответственного человека. Клиент решил продолжить совместную работу, так как сроки «горели». Как результат, за 1 месяц адаптировали и внедрили в процесс ведение Реестра по нашему авторскому шаблону, обновили политику приватности, составили соглашения об обработке персональных данных в связи с осуществлением трансграничной передачи персональных данных из адекватной юрисдикции (ЕС) в неадекватную (Россия) и заапдейтили cookie banner, так как предыдущий содержал элементы «темных паттернов» и закрывал гиперссылку на политику приватности. 

Сергей Воронкевич

Record of Processing Activities (RоPA), или Реестр обработок персональных данных, – это своего рода таблица, где содержится вся информация об имеющихся в компании обработках. Практически все бизнесы должны вести Реестр согласно 30 статьи Общего регламента по защите персональных данных в ЕС (GDPR).

Что в результате получила IT-платформа?

Сниженный риск получения штрафа и репутационных издержек.

Все пробелы были закрыты и дальше бизнесу необходимо поддерживать высокий уровень соответствия своей командой или нанять DPO на аутсорс.

Понимание ситуации по GDPR-комплаенсу без эффекта розовых очков.

Все неточности были быстро улучшены и не стоили бы дополнительного риска при ложном 100%-ном соответствии. Самое время вспомнить известную фразу о том, что незнание не спасает от ответственности.

Как приватность помогла и будет помогать IT-платформе?

Сейчас у компании закрыты основные риски по защите персональных данных и можно сконцентрироваться на развитии бизнеса, а не прикрытии уязвимостей на рынке ЕС. Так как Европа предъявляет строгие требования к приватности своих жителей, то на этом можно строить маркетинговые кампании, отражая реальный комплаенс как конкурентное преимущество для сотрудничества.

Мнение нашего эксперта о соответствии GDPR в сфере финансовых услуг

Особое внимание при разработке платформы в сфере финансовых услуг уделите оценке рисков для будущих пользователей

Следите, чтобы данные не использовались повторно и для других целей. Также важно не нарушать конфиденциальность клиентов, не подвергая утечке или оглашению их персональные данные.

При наличии или создании data hub организуйте “пропуска”. Этот принцип в Регламенте именуется, как ограничение доступа. Говоря более простыми словами, не каждый сотрудник должен иметь возможность “заглянуть” в хранилище данных. К примеру, если маркетологу нужен доступ к системе аналитики, то исключите вероятность, что он может посмотреть номера телефонов клиентов или, и вовсе, зарегистрированные транзакции на аккаунте.

Первый шаг, который необходимо пройти, это провести инвентаризацию всех персональных данных в компании: определить все имеющиеся данные внутри системы, цели, для которых они используются. Это является частью создания реестра обработок персональных данных и одним из самых важных шагов на пути к соответствию требованиям Регламента. 

Мы готовы приступить к вашему кейсу прямо сейчас! Оставьте заявку в форме, и наш менеджер обязательно свяжется с вами.

Хотите получить кастомизированное решение для вашего бизнеса?