«Думали, что GDPR-compliant, пока не получили результаты аудита», – о том, как помогли IT-компании избежать рисков на новом рынке
Сначала наши консультанты провели бесплатный аудит, диагностику пробелов по защите персональных данных, а затем – заполнили найденные неточности.
Срок
1 месяц
Компания
Молодая компания-разработчик электронной торговой площадки в сфере финансовых услуг. Работает в сегменте B2B.
Размер бизнеса
До 50 человек
Фишка
Компания рассчитывала убедиться в высоком уровне комплаенса, думая, что все требования выполнены.
Задача
Исключить риски по защите персональных данных при выходе бизнеса и продвижении продуктов за границами рынка СНГ, в частности — на рынке Европы.
Результат
📎 Улучшили реестр обработок персональных данных (RoPA).
📎 Обновили политику приватности.
📎 Создали cookie banner.
📎 Разработали соглашения об обработке персональных данных (SCC) в рамках оформления трансграничной передачи данных.
Мнение основателя Data Privacy Office
Компания обратилась к нам с целью проверить комплаенс, чтобы перестраховаться перед запуском продукта на рынок ЕС. Наши консультанты провели аудит и, к удивлению клиента, нашли неточности в ведении Реестра обработок персональных данных (RoPA) и определили, что требуется обновить некоторые документы. Но нам это не показалось странным, ведь компания владеет большим количеством данных и не имеет в штате ответственного человека. Клиент решил продолжить совместную работу, так как сроки «горели». Как результат, за 1 месяц адаптировали и внедрили в процесс ведение Реестра по нашему авторскому шаблону, обновили политику приватности, составили соглашения об обработке персональных данных в связи с осуществлением трансграничной передачи персональных данных из адекватной юрисдикции (ЕС) в неадекватную (Россия) и заапдейтили cookie banner, так как предыдущий содержал элементы «темных паттернов» и закрывал гиперссылку на политику приватности.
Что такое RoPA?
Record of Processing Activities (RоPA), или Реестр обработок персональных данных, – это своего рода таблица, где содержится вся информация об имеющихся в компании обработках. Практически все бизнесы должны вести Реестр согласно 30 статьи Общего регламента по защите персональных данных в ЕС (GDPR).
Что в результате получила IT-платформа?
Сниженный риск получения штрафа и репутационных издержек.
Все пробелы были закрыты и дальше бизнесу необходимо поддерживать высокий уровень соответствия своей командой или нанять DPO на аутсорс.
Понимание ситуации по GDPR-комплаенсу без эффекта розовых очков.
Все неточности были быстро улучшены и не стоили бы дополнительного риска при ложном 100%-ном соответствии. Самое время вспомнить известную фразу о том, что незнание не спасает от ответственности.
Компания закрыла основные риски по защите персональных данных и можно сконцентрироваться на развитии бизнеса, а не прикрытии уязвимостей на рынке ЕС.
Так как Европа предъявляет строгие требования к приватности своих жителей, то на этом можно строить маркетинговые кампании, отражая реальный комплаенс как конкурентное преимущество для сотрудничества.
Мнение нашего эксперта о соответствии GDPR в сфере финансовых услуг
Особое внимание при разработке платформы в сфере финансовых услуг уделите оценке рисков для будущих пользователей.
Следите, чтобы данные не использовались повторно и для других целей. Также важно не нарушать конфиденциальность клиентов, не подвергая утечке или оглашению их персональные данные.
При наличии или создании data hub организуйте “пропуска”. Этот принцип в Регламенте именуется, как ограничение доступа. Говоря более простыми словами, не каждый сотрудник должен иметь возможность “заглянуть” в хранилище данных. К примеру, если маркетологу нужен доступ к системе аналитики, то исключите вероятность, что он может посмотреть номера телефонов клиентов или, и вовсе, зарегистрированные транзакции на аккаунте.
Первый шаг, который необходимо пройти, — это провести инвентаризацию всех персональных данных в компании: определить все имеющиеся данные внутри системы, цели, для которых они используются. Это является частью создания реестра обработок персональных данных и одним из самых важных шагов на пути к соответствию требованиям Регламента.
