DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Как сделать процедуру «взыскания долгов» GDPR-compliant?

В этом кейсе мы поделимся с вами опытом приведения к соответствию одну из типичных программ по обработке данных для финансовых организаций в рамках годового проекта внедрения GDPR.

Клиент к нам обратился после того, как узнал, что Регламент распространяется на все компании, которыми он владеет. Его беспокоила необходимость пристраивания всех бизнес-процессов.

Мы точечно выбрали те обработки, где действительно нужно соблюдать требования GDPR, и приоритизировали их, начав работу над наиболее важными и опасными.

Непосредственно к решению проблем мы подошли на второй или третьей сессии: в проектной команде не оказалось человека из нужного нам отдела. Потребовалось его пригласить на следующую сессию. Продолжительность сессии составила – 3 часа, но нам хватило 2-2,5 часа, а оставшееся время использовали для работы по другим вопросам.

После завершения программы внедрения GDPR Roadmap можно говорить о высоком уровне соответствия Регламенту – от 50%.

Консультант

Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
Основатель DPO LLC. Тренер и ведущий консультант
Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016, а в 2020 получил звания IAPP Fellow of Information Privacy (FIP). Спустя год Сергей получил сертификацию CIPT (Certified Information Privacy Technologist).

Сергей дал сотни консультаций по вопросам GDPR бизнесам по всему миру. Помог привести в соответствие с GDPR более 50 компаний и продуктов. 

в LinkedIn

Клиент тщательно подошёл к выбору состава рабочей группы: участвовали представители юридического и комплаенс отделов, специалисты по информационной безопасности, а также руководители, принимающие решения. Это позволило максимально продуктивно проводить сессии с консультантом, а также соблюсти все дедлайны.

Клиент

Финансовая организация, которая к нам обратилась, не ведет свою деятельность за пределами ЕС. Поэтому сфера действия GDPR распространяется и на нее, так как:

  1. Финансовая организация принадлежит европейской компании. То есть, обработка персональных данных происходит в контексте деятельности организационной единицы (материнской компании) из Европейского Союза.
  2. Есть ряд обработок, в которых задействованы персональные данные лиц, территориально находящихся в ЕС.

Клиент боялся того, что его деятельность во всех странах и регионах находится под действием GDPR, при условии, что Регламент распространяется на все компании его типа. В результате компания собиралась перестраивать всю систему организации, исходя из правил Регламента. Но мы вовремя вмешались, сообщив, что во всех процессах это делать не надо.

В данном кейсе мы рассказываем только об одном из элементов данного проекта – приведение в соответствие с европейским стандартом процедуры по взысканию долгов. Эту обработку наш консультант обнаружил после того, как был составлен реестр обработок и были проранжированы обработки по степени риска.

Почему выбрали именно нас?

Первоначально клиент обратился к нам за обучением. На тот момент наша компания была единственной, кто проводит учебные курсы по защите персональных данных по GDPR. Кроме этого:

1)     Клиент уже видел уровень компетенции экспертов. Тренером курса выступал Сергей Воронкевич, поэтому они осознавали глубину знаний и опыта. В том числе было важно наличие международных сертификаций и признаний у Сергея Воронкевича – CIPP/E и CIPM.

2)    При обращении в другую компанию, необходимо было бы проверять знания специалистов, заново выстраивать с ними коммуникацию, а также рассказывать о ситуации.

3)    Узкая специализация на Регламенте, то есть – отсутствие распыления, например, на ФЗ-152 или другое локальное законодательство стран вне ЕС.

Клиент в том числе понимал, что обращение к нам за консалтинговыми услугами позволит сэкономить время и, как следствие, деньги.

Суть проблемы и её решение

1.    Вопросы информационной безопасности.

1) Ограничение принципа хранения. Человек, выплативший долг, оставался в системе, которой пользуется коллектор. В связи с этим создается риск, что коллектор уволится и “унесёт” с собой данную базу. А ведь в ней содержится приличное досье на людей: контакты, место работы, сведения, запрашиваемые из государственных органов, в том числе правоохранительных.

2) Используемая система для хранения данных была довольно старой и не предусматривала возможности разделять привилегии на доступ. То есть, если вы сотрудник данного департамента, то у вас есть доступ ко всем данным в базе, вне зависимости от того с кем из неплательщиков вы работаете. Не могли мы игнорировать и риск использования данных для личных целей: например, для “пробивания по базе”, знакомых.

Решение.

Мы выявили необходимость очистки системы от неактуальных записей. В список рекомендаций добавили максимальный срок хранения и обработки этих данных. Из-за большого массива данных, удалить их вручную было трудно. В техническое задание на доработку данной системы добавили ограничение периода и автоматическое удаление.

2. Записи, которые делали сотрудники подразделения могли содержать информацию о причинах возникновения долга: например, что человек сейчас болен и лежит в онкологическом диспансере, сидит в тюрьме, проблемы в семье, на работе. Данные о здоровье - чувствительные, а значит Регламент не позволяют их обрабатывать без соответствующих оснований.

Решение.

Провели инструктаж для сотрудников отдела. Рассказали о том, какие сведения нельзя фиксировать в электронном виде. Уточнили, что информация может оставаться на бумажных стикерах или записях, так как они не будут представлять систему данных (filing system) данных и автоматизированной обработкой. С условием, что сотрудники выбрасывают эти заметки после работы с данным клиентом, чувствительные данные на стикерах можно будет собирать и использовать, так как это не будет регулироваться в соответствии со ст. 2(1) GDPR. Также мы порекомендовали составить свод правил и рекомендаций. Это помогло избежать возможных серьезных последствий при неправильных действиях коллектора. Например, таким образом мы предотвращаем следующий сценарий: во время работы по долгу коллектор узнает, что женатый мужчина брал кредит на подарок любовнице. После - сообщает об этом семье, что влечет возникновение не только финансовых, но и личных проблем.

Как сейчас себя чувствует финансовая организация?

Если обратиться за услугами в данную финансовую организацию, ваши персональные данные не будут использоваться против ваших интересов.

И в отношении процесса, связанного с взысканием долгов, и в ряде других произошли существенные изменения, соответствующие наивысшим стандартам.

Следует отметить, что в компании-заказчике работают настоящие профессионалы. Несмотря на то, что соблюдение GDPR – это лишь дополнительная обязанность для сотрудников, это не помешало им относиться к своим клиентам с заботой.

Мы уверены, что у данной компании большие перспективы в будущем. Особенно учитывая то, что в современную эпоху люди работают уже не с теми, кто предлагает лучшие условия, а с теми, кому они доверяют. И доверие в части того, что происходит с персональными данными, становится определяющим фактором при выборе сервиса или услуги.

 

 

«Соответствие GDPR может стать и вашим конкурентным преимуществом вместе с нами».

Подробнее

Взыскание долгов GDPR-compliant

Рекомендуемые услуги

dpo 10
Audit
We can audit your compliance with GDPR. External and internal audits of projects, processes or instances of processing.
Главная
Программа внедрения GDPR Roadmap+
Обучение и менеджерское сопровождение рабочей группы по внедрению GDPR.

Заказать










    Расписание курсов загружается, подожди несколько секунд