«Проверьте, насколько Compliant мы и наши конкуренты»
Благодаря выстраиванию процессов по защите персональных данных, а также анализу деятельности конкурентов, компания получила дополнительное преимущество и отныне соответствует статусу GDPR-compliant.
Задача
Выход на рынок ЕС (открытие офисов в Испании и Польше), не нарушая законодательство, а также демонстрация своим клиентам (В2В) соответствия и получение конкурентного преимущества перед аналогичными сервисами.
Результат
Благодаря выстраиванию процессов по защите персональных данных, а также анализу деятельности конкурентов, компания получила дополнительное преимущество и отныне соответствует статусу GDPR-compliant.
Компания
Fintech-платформа
Масштаб бизнеса
B2B, не более 200 сотрудников (в основном в РФ и США)
Участники
- Со стороны Data Privacy Office: 2 консультанта (старший и младший).
- Со стороны клиента: руководитель проектов, специалист по информационной безопасности, который дополнительно взял на себя функции DPO.
Не шутить с Fintech!
Главной причиной является отсутствие достаточного правового основания для обработки данных клиентов, то есть данные собираются, но не спрашивается согласие на дальнейшую обработку и не уведомляются пользователи.
На что обратить внимание при разработке Fintech-решений?
По данным GDPR Enforcement Tracker Report, лидерами по штрафам являются самые “высокорискованные” в сфере защиты персональных данных сферы: финансы, страхование и консалтинг. Количество штрафов и их суммы растут в геометрической прогрессии каждый год. Пример: штраф Amazon, который является самым большим за всю историю — 746 миллионов долларов.
Именно поэтому мы начали работу с проведения аудита, который позволил выявить все обработки. В результате мы определили роли: для каких обработок компания является процессором, а для каких — контролером.
Детально задекларировав все процессы и данные, которые есть в компании, подобрали правовые основания, выявили получателей, замапили технические и организационные меры. Заполненный Реестр обработок разместили в созданном заранее пространстве Notion, чтобы у руководства компании и ответственного Data Protection Officer всегда был доступ к оперативным изменениям.
Следующим этапом нашей работы стала оценка защиты персональных данных в компании по методике ICO Accountability Tracker, которая включает в себя анализ как внешних аспектов защиты данных в компании (например, права субъектов данных), так и внутренних (например, политики). По результатам заполнения трекера был получен готовый к реализации action plan, который затрагивал 10 основных направлений.
Фишка проекта
Нестандартный запрос мы получили от клиента — провести мини-аудит компании-конкурента. Мы проанализировали их Privacy Notice, Cookie banner&policy, формы на сайте. По результату предоставили список “несоответствий и нарушений”. Надеемся, что клиент не воспользовался списком, чтобы пойти в надзорный орган. Только для того, чтобы сверить, в правильном ли направлении работает сама компания.
Все знания остаются в команде
В Data Privacy Office мы придерживаемся политики, что все знания должны оставаться в команде клиента. Именно поэтому, работая на консалтинговых проектах, мы делаем все возможное, чтобы те знания, которыми мы поделились, оставались доступными для команды и после окончания проекта посредством гайдлайнов и онлайн-инструкций. Во время работы с клиентом был проведен тренинг по внутренней политике и тренинг по политике информационной безопасности на двух языках и была предоставлена запись, чтобы команда могла смотреть материал к в удобное время.
Этапы работы:
Шаг 1.
Privacy declaration
Шаг 2.
Разработка Cookie Policy & Cookie-баннера
Шаг 3.
Privacy addendum to “public offer”
Шаг 4.
Joint-controllership
Шаг 5.
Разработка внутренней политики
Шаг 6.
Data Breach
Шаг 7.
Обучение сотрудников DPIA, LIA
Шаг 8.
Выстраивание процессов по работе с запросами от субъектов персональных данных
Шаг 9.
Выстраивание процессов по удалению данных
Шаг 10.
Тренинги и работа по информационной безопасности
Результат
Что получил клиент по итогам нашей работы:
- Внутренняя политика по защите персональных данных (на двух языках);
- Тренинг по внутренней политике (на двух языках) + записи;
- Политика по информационной безопасности (на двух языках);
- Тренинг по политике информационной безопасности (на двух языках) + записи;
- Ревью публичной оферты и рекомендации по изменениям с точки зрения защиты персональных данных;
- Разработка политики приватности для сайта;
- Рекомендации по новому cookie-баннеру;
- Cookie policy для сайта;
- GDPR Compliance Statement, где подробно описаны меры, которые компания предприняла для соответствия законам о защите персональных данных;
- Joint Controllership Arrangement между группой компаний (Испания, США, РФ, Польша) + SCC, так как есть трансграничная передача.
Отчет
Один из подходов нашей работы — это модульность. При планировании проекта мы предоставляем возможность разбить работы на этапы с четкими сроками и результатами. Помимо еженедельных Status Update сессий, где мы демонстрируем процесс работы по проекту, мы также подготовили отчет по завершению каждого из этапов.
Хотите получить кастомизированное решение для вашего бизнеса?
- Внедрение GDPR
- Обучение GDPR
- Выстраивание системы защиты персональных данных
- Минимальный комплаенс для выхода на новые рынки
- Индивидуальные решения по вашим запросам
Мы готовы приступить к вашему кейсу прямо сейчас! Оставьте заявку в форме, и наш менеджер обязательно свяжется с вами.