«Проверьте, насколько Compliant мы и наши конкуренты»

goal

Задача

Выход на рынок ЕС (открытие офисов в Испании и Польше), не нарушая законодательство, а также демонстрация своим клиентам (В2В) соответствия и получение конкурентного преимущества перед аналогичными сервисами.

Результат

Благодаря выстраиванию процессов по защите персональных данных, а также анализу деятельности конкурентов, компания получила дополнительное преимущество и отныне соответствует статусу GDPR-compliant.

Компания

Fintech-платформа

Масштаб бизнеса

B2B, не более 200 сотрудников (в основном в РФ и США)

Участники

  • Со стороны Data Privacy Office: 2 консультанта (старший и младший). 
  • Со стороны клиента: руководитель проектов, специалист по информационной безопасности, который дополнительно взял на себя функции DPO.

Не шутить с Fintech

На что обратить внимание при разработке Fintech-решений?

По данным GDPR Enforcement Tracker Report, лидерами по штрафам являются самые “высокорискованные” в сфере защиты персональных данных сферы: финансы, страхование и консалтинг. Количество штрафов и их суммы растут в геометрической прогрессии каждый год. Пример: штраф Amazon, который является самым большим за всю историю — 746 миллионов долларов.

Главной причиной является отсутствие достаточного правового основания для обработки данных клиентов, то есть данные собираются, но не спрашивается согласие на дальнейшую обработку и не уведомляются пользователи.

Именно поэтому мы начали работу с проведения аудита, который позволил выявить все обработки. В результате мы определили роли: для каких обработок компания является процессором, а для каких — контролером.

Детально задекларировав все процессы и данные, которые есть в компании, подобрали правовые основания, выявили получателей, замапили технические и организационные меры. Заполненный Реестр обработок разместили в созданном заранее пространстве Notion, чтобы у руководства компании и ответственного Data Protection Officer всегда был доступ к оперативным изменениям. 

Следующим этапом нашей работы стала оценка защиты персональных данных в компании по методике ICO Accountability Tracker, которая включает в себя анализ как внешних аспектов защиты данных в компании (например, права субъектов данных), так и внутренних (например, политики). По результатам заполнения трекера был получен готовый к реализации action plan, который затрагивал 10 основных направлений.

Фишка проекта

Нестандартный запрос мы получили от клиента — провести мини-аудит компании-конкурента. Мы проанализировали их Privacy Notice, Cookie banner&policy, формы на сайте. По результату предоставили список “несоответствий и нарушений”. Надеемся, что клиент не воспользовался списком, чтобы пойти в надзорный орган. Только для того, чтобы сверить, в правильном ли направлении работает сама компания.

Все знания остаются в команде

В Data Privacy Office мы придерживаемся политики, что все знания должны оставаться в команде клиента. Именно поэтому, работая на консалтинговых проектах, мы делаем все возможное, чтобы те знания, которыми мы поделились, оставались доступными для команды и после окончания проекта посредством гайдлайнов и онлайн-инструкций. Во время работы с клиентом был проведен тренинг по внутренней политике и тренинг по политике информационной безопасности на двух языках и была предоставлена запись, чтобы команда могла смотреть материал к в удобное время.

Этапы работы:

1
Privacy declaration
2
Разработка Cookie Policy & Cookie-баннера
3
Privacy addendum to “public offer”
4
Joint-controllership
5
Разработка внутренней политики
6
Data Breach
7
Обучение сотрудников DPIA, LIA
8
Выстраивание процессов по работе с запросами от субъектов персональных данных
9
Выстраивание процессов по удалению данных
10
Тренинги и работа по информационной безопасности

Результат

Что получил клиент по итогам нашей работы:

Внутренняя политика по защите персональных данных (на двух языках);

Тренинг по внутренней политике (на двух языках) + записи;

Политика по информационной безопасности (на двух языках);

Тренинг по политике информационной безопасности (на двух языках) + записи;

Ревью публичной оферты и рекомендации по изменениям с точки зрения защиты персональных данных;

Разработка политики приватности для сайта;

Рекомендации по новому cookie-баннеру;

Cookie policy для сайта;

GDPR Compliance Statement, где подробно описаны меры, которые компания предприняла для соответствия законам о защите персональных данных;

Joint Controllership Arrangement между группой компаний (Испания, США, РФ, Польша) + SCC, так как есть трансграничная передача.

Отчет

Один из подходов нашей работы — это модульность. При планировании проекта мы предоставляем возможность разбить работы на этапы с четкими сроками и результатами. Помимо еженедельных Status Update сессий, где мы демонстрируем процесс работы по проекту, мы также подготовили отчет по завершению каждого из этапов.

Мы готовы приступить к вашему кейсу прямо сейчас! Оставьте заявку в форме, и наш менеджер обязательно свяжется с вами.

Хотите получить кастомизированное решение для вашего бизнеса?