«Проверьте, насколько Compliant мы и наши конкуренты»
Благодаря выстраиванию процессов по защите персональных данных, а также анализу деятельности конкурентов, компания получила дополнительное преимущество и отныне соответствует статусу GDPR-compliant.
Срок
1 месяц
Компания
Fintech-платформа
Размер бизнеса
B2B, не более 200 сотрудников (в основном в РФ и США)
Масштаб бизнеса
📎 Со стороны Data Privacy Office: 2 консультанта.
📎 Со стороны клиента: руководитель проектов, специалист по информационной безопасности.
Задача
Выход на рынок ЕС (открытие офисов в Испании и Польше), не нарушая законодательство, а также демонстрация своим клиентам (В2В) соответствия и получение конкурентного преимущества перед аналогичными сервисами.
Результат
Благодаря выстраиванию процессов по защите персональных данных, а также анализу деятельности конкурентов, компания получила дополнительное преимущество и отныне соответствует статусу GDPR-compliant.
На что обратить внимание при разработке Fintech-решений?
По данным GDPR Enforcement Tracker Report, лидерами по штрафам являются самые “высокорискованные” в сфере защиты персональных данных сферы: финансы, страхование и консалтинг. Количество штрафов и их суммы растут в геометрической прогрессии каждый год. Пример: штраф Amazon, который является самым большим за всю историю — 746 миллионов долларов.
Обобщенный ответ: Контролеры крупных онлайн-платформ подпадают под действие данного разъяснения.
Именно поэтому мы начали работу с проведения аудита, который позволил выявить все обработки. В результате мы определили роли: для каких обработок компания является процессором, а для каких — контролером.
Детально задекларировав все процессы и данные, которые есть в компании, подобрали правовые основания, выявили получателей, замапили технические и организационные меры. Заполненный Реестр обработок разместили в созданном заранее пространстве Notion, чтобы у руководства компании и ответственного Data Protection Officer всегда был доступ к оперативным изменениям.
Следующим этапом нашей работы стала оценка защиты персональных данных в компании по методике ICO Accountability Tracker, которая включает в себя анализ как внешних аспектов защиты данных в компании (например, права субъектов данных), так и внутренних (например, политики). По результатам заполнения трекера был получен готовый к реализации action plan, который затрагивал 10 основных направлений.
Фишка проекта
Нестандартный запрос мы получили от клиента — провести мини-аудит компании-конкурента. Мы проанализировали их Privacy Notice, Cookie banner&policy, формы на сайте. По результату предоставили список “несоответствий и нарушений”. Надеемся, что клиент не воспользовался списком, чтобы пойти в надзорный орган. Только для того, чтобы сверить, в правильном ли направлении работает сама компания.
Все знания остаются в команде
В Data Privacy Office мы придерживаемся политики, что все знания должны оставаться в команде клиента. Именно поэтому, работая на консалтинговых проектах, мы делаем все возможное, чтобы те знания, которыми мы поделились, оставались доступными для команды и после окончания проекта посредством гайдлайнов и онлайн-инструкций. Во время работы с клиентом был проведен тренинг по внутренней политике и тренинг по политике информационной безопасности на двух языках и была предоставлена запись, чтобы команда могла смотреть материал к в удобное время.
Этапы работы:
01
02
Разработка Cookie Policy & Cookie-баннера
03
Privacy addendum to “public offer”
04
Joint-controllership
05
Разработка внутренней политики
06
Data Breach
07
Обучение сотрудников DPIA, LIA
08
Выстраивание процессов по работе с запросами от субъектов персональных данных
09
Выстраивание процессов по удалению данных
10
Тренинги и работа по информационной безопасности
Результат
- Внутренняя политика по защите персональных данных (на двух языках);
- Тренинг по внутренней политике (на двух языках) + записи;
- Политика по информационной безопасности (на двух языках);
- Тренинг по политике информационной безопасности (на двух языках) + записи;
- Ревью публичной оферты и рекомендации по изменениям с точки зрения защиты персональных данных;
- Разработка политики приватности для сайта;
- Рекомендации по новому cookie-баннеру;
- Cookie policy для сайта;
- GDPR Compliance Statement, где подробно описаны меры, которые компания предприняла для соответствия законам о защите персональных данных;
- Joint Controllership Arrangement между группой компаний (Испания, США, РФ, Польша) + SCC, так как есть трансграничная передача.
Отчет
Один из подходов нашей работы — это модульность. При планировании проекта мы предоставляем возможность разбить работы на этапы с четкими сроками и результатами. Помимо еженедельных Status Update сессий, где мы демонстрируем процесс работы по проекту, мы также подготовили отчет по завершению каждого из этапов.
