Как сделать процедуру «взыскания долгов» GDPR-compliant?

В этом кейсе мы поделимся с вами опытом приведения к соответствию одну из типичных программ по обработке данных для финансовых организаций в рамках годового проекта внедрения GDPR.

Клиент к нам обратился после того, как узнал, что Регламент распространяется на все компании, которыми он владеет. Его беспокоила необходимость пристраивания всех бизнес-процессов.

Мы точечно выбрали те обработки, где действительно нужно соблюдать требования GDPR, и приоритизировали их, начав работу над наиболее важными и опасными.

Непосредственно к решению проблем мы подошли на второй или третьей сессии: в проектной команде не оказалось человека из нужного нам отдела. Потребовалось его пригласить на следующую сессию. Продолжительность сессии составила – 3 часа, но нам хватило 2-2,5 часа, а оставшееся время использовали для работы по другим вопросам.

После завершения программы внедрения GDPR Roadmap можно говорить о высоком уровне соответствия Регламенту – от 50%.

Консультант

Основатель DPO LLC. Тренер и ведущий консультант
Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016, а в 2020 году получил звания IAPP Fellow of Information Privacy (FIP).

Сергей дал сотни консультаций по вопросам GDPR бизнесам по всему миру. Помог привести в соответствие с GDPR более 50 компаний и продуктов. 

в LinkedIn

Клиент тщательно подошёл к выбору состава рабочей группы: участвовали представители юридического и комплаенс отделов, специалисты по информационной безопасности, а также руководители, принимающие решения. Это позволило максимально продуктивно проводить сессии с консультантом, а также соблюсти все дедлайны.

Клиент

Финансовая организация, которая к нам обратилась, не ведет свою деятельность за пределами ЕС. Поэтому сфера действия GDPR распространяется и на нее, так как:

  1. Финансовая организация принадлежит европейской компании. То есть, обработка персональных данных происходит в контексте деятельности организационной единицы (материнской компании) из Европейского Союза.
  2. Есть ряд обработок, в которых задействованы персональные данные лиц, территориально находящихся в ЕС.

Клиент боялся того, что его деятельность во всех странах и регионах находится под действием GDPR, при условии, что Регламент распространяется на все компании его типа. В результате компания собиралась перестраивать всю систему организации, исходя из правил Регламента. Но мы вовремя вмешались, сообщив, что во всех процессах это делать не надо.

В данном кейсе мы рассказываем только об одном из элементов данного проекта – приведение в соответствие с европейским стандартом процедуры по взысканию долгов. Эту обработку наш консультант обнаружил после того, как был составлен реестр обработок и были проранжированы обработки по степени риска.

Почему выбрали именно нас?

Первоначально клиент обратился к нам за обучением. На тот момент наша компания была единственной, кто проводит учебные курсы по защите персональных данных по GDPR. Кроме этого:

1)     Клиент уже видел уровень компетенции экспертов. Тренером курса выступал Сергей Воронкевич, поэтому они осознавали глубину знаний и опыта. В том числе было важно наличие международных сертификаций и признаний у Сергея Воронкевича – CIPP/E и CIPM.

2)    При обращении в другую компанию, необходимо было бы проверять знания специалистов, заново выстраивать с ними коммуникацию, а также рассказывать о ситуации.

3)    Узкая специализация на Регламенте, то есть – отсутствие распыления, например, на ФЗ-152 или другое локальное законодательство стран вне ЕС.

Клиент в том числе понимал, что обращение к нам за консалтинговыми услугами позволит сэкономить время и, как следствие, деньги.

Суть проблемы и её решение

1.    Вопросы информационной безопасности.

1) Ограничение принципа хранения. Человек, выплативший долг, оставался в системе, которой пользуется коллектор. В связи с этим создается риск, что коллектор уволится и “унесёт” с собой данную базу. А ведь в ней содержится приличное досье на людей: контакты, место работы, сведения, запрашиваемые из государственных органов, в том числе правоохранительных.

2) Используемая система для хранения данных была довольно старой и не предусматривала возможности разделять привилегии на доступ. То есть, если вы сотрудник данного департамента, то у вас есть доступ ко всем данным в базе, вне зависимости от того с кем из неплательщиков вы работаете. Не могли мы игнорировать и риск использования данных для личных целей: например, для “пробивания по базе”, знакомых.

Решение.

Мы выявили необходимость очистки системы от неактуальных записей. В список рекомендаций добавили максимальный срок хранения и обработки этих данных. Из-за большого массива данных, удалить их вручную было трудно. В техническое задание на доработку данной системы добавили ограничение периода и автоматическое удаление.

2. Записи, которые делали сотрудники подразделения могли содержать информацию о причинах возникновения долга: например, что человек сейчас болен и лежит в онкологическом диспансере, сидит в тюрьме, проблемы в семье, на работе. Данные о здоровье - чувствительные, а значит Регламент не позволяют их обрабатывать без соответствующих оснований.

Решение.

Провели инструктаж для сотрудников отдела. Рассказали о том, какие сведения нельзя фиксировать в электронном виде. Уточнили, что информация может оставаться на бумажных стикерах или записях, так как они не будут представлять систему данных (filing system) данных и автоматизированной обработкой. С условием, что сотрудники выбрасывают эти заметки после работы с данным клиентом, чувствительные данные на стикерах можно будет собирать и использовать, так как это не будет регулироваться в соответствии со ст. 2(1) GDPR. Также мы порекомендовали составить свод правил и рекомендаций. Это помогло избежать возможных серьезных последствий при неправильных действиях коллектора. Например, таким образом мы предотвращаем следующий сценарий: во время работы по долгу коллектор узнает, что женатый мужчина брал кредит на подарок любовнице. После - сообщает об этом семье, что влечет возникновение не только финансовых, но и личных проблем.

Как сейчас себя чувствует финансовая организация?

Если обратиться за услугами в данную финансовую организацию, ваши персональные данные не будут использоваться против ваших интересов.

И в отношении процесса, связанного с взысканием долгов, и в ряде других произошли существенные изменения, соответствующие наивысшим стандартам.

Следует отметить, что в компании-заказчике работают настоящие профессионалы. Несмотря на то, что соблюдение GDPR – это лишь дополнительная обязанность для сотрудников, это не помешало им относиться к своим клиентам с заботой.

Мы уверены, что у данной компании большие перспективы в будущем. Особенно учитывая то, что в современную эпоху люди работают уже не с теми, кто предлагает лучшие условия, а с теми, кому они доверяют. И доверие в части того, что происходит с персональными данными, становится определяющим фактором при выборе сервиса или услуги.

 

 

«Соответствие GDPR может стать и вашим конкурентным преимуществом вместе с нами».

Подробнее

Взыскание долгов GDPR-compliant

Рекомендуемые услуги

Аудит
Audit
We can audit your compliance with GDPR. External and internal audits of projects, processes or instances of processing.
Внедрение GDPR
Программа внедрения GDPR Roadmap+
Обучение и менеджерское сопровождение рабочей группы по внедрению GDPR.

Заказать






    Расписание курсов загружается, подожди несколько секунд