Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Аудит 152‑ФЗ для FMCG компании: как навести порядок в контуре персональных данных
13.01.2023
ООО «Джи Эл Эс Фармасьютикалз» — российская компания-производитель биологически активных добавок. В такой модели бизнеса обработка персональных данных является частью ежедневной работы: кадровые процедуры, взаимодействие с потребителями и контрагентами, документооборот, коммуникации и внутренние сервисы.
В FMCG-сфере защита персональных данных требует повышенного внимания. В отдельных процессах могут возникать сведения, которые относятся к чувствительным данным, поэтому возрастает значимость корректного порядка обработки, контроля доступа и документирования процессов.
04/05/25
Б-152
Исходная задача
Клиент обратился с запросом провести аудит компании на предмет соответствия требованиям Федерального закона № 152‑ФЗ «О персональных данных».
Основной мотив обращения — наличие рисков в области обработки персональных данных. Компании требовалось понять, насколько текущие процессы и документы соответствуют требованиям законодательства и какие зоны требуют доработки.
Критические сроки или специальные условия в запросе не фиксировались. Это позволило сосредоточиться на полноценной диагностике: собрать фактическую картину обработки персональных данных, сопоставить ее с нормативными требованиями и сформировать рекомендации по улучшению.
Основной мотив обращения — наличие рисков в области обработки персональных данных. Компании требовалось понять, насколько текущие процессы и документы соответствуют требованиям законодательства и какие зоны требуют доработки.
Критические сроки или специальные условия в запросе не фиксировались. Это позволило сосредоточиться на полноценной диагностике: собрать фактическую картину обработки персональных данных, сопоставить ее с нормативными требованиями и сформировать рекомендации по улучшению.
Какие риски обычно выявляются в подобных проектах
В подобных проектах типовые проблемы связаны не столько с отсутствием мер защиты, сколько с их несистемностью.
Во‑первых, процессы обработки персональных данных могут быть распределены между разными подразделениями. Кадровые службы, административные подразделения и ИТ‑команды работают с данными по‑разному, и без единого контура управления эти процессы сложно контролировать.
Во‑вторых, документы, регулирующие обработку персональных данных, часто не отражают фактическую практику. Это создает правовую неопределенность: формально требования могут быть описаны, но в реальной работе сотрудники действуют иначе.
В‑третьих, в компаниях, где ИТ‑контур развивался постепенно, может отсутствовать единое понимание того, где именно обрабатываются персональные данные и какие системы входят в этот контур.
Аудит в таких случаях помогает не просто найти несоответствия, а собрать целостную картину процессов.
Во‑первых, процессы обработки персональных данных могут быть распределены между разными подразделениями. Кадровые службы, административные подразделения и ИТ‑команды работают с данными по‑разному, и без единого контура управления эти процессы сложно контролировать.
Во‑вторых, документы, регулирующие обработку персональных данных, часто не отражают фактическую практику. Это создает правовую неопределенность: формально требования могут быть описаны, но в реальной работе сотрудники действуют иначе.
В‑третьих, в компаниях, где ИТ‑контур развивался постепенно, может отсутствовать единое понимание того, где именно обрабатываются персональные данные и какие системы входят в этот контур.
Аудит в таких случаях помогает не просто найти несоответствия, а собрать целостную картину процессов.
Подход к работе
Проект строился по классической логике аудита персональных данных: интервью, анализ документов и сопоставление фактических процессов с требованиями законодательства.
Ключевые этапы работы включали:
Интервью с представителями компании.
В ходе интервью фиксировались реальные процессы обработки персональных данных: какие категории данных обрабатываются, кто имеет доступ, какие системы используются и как осуществляется взаимодействие между подразделениями.
Анализ внутренней документации.
Были изучены документы компании, связанные с обработкой персональных данных и информационной безопасностью. Такой анализ позволяет понять, насколько внутренние регламенты отражают фактические процессы.
Сопоставление процессов с требованиями законодательства.
Полученная информация была сопоставлена с требованиями 152‑ФЗ и нормативной практикой по защите персональных данных. Это позволяет выявить расхождения между текущей практикой и обязательными требованиями.
Разработка организационно‑распорядительной документации.
По итогам аудита был подготовлен комплект организационно‑распорядительной документации (ОРД), направленный на устранение выявленных рисков и выстраивание более системного контура управления персональными данными, и передан на согласование.
В ходе интервью фиксировались реальные процессы обработки персональных данных: какие категории данных обрабатываются, кто имеет доступ, какие системы используются и как осуществляется взаимодействие между подразделениями.
Анализ внутренней документации.
Были изучены документы компании, связанные с обработкой персональных данных и информационной безопасностью. Такой анализ позволяет понять, насколько внутренние регламенты отражают фактические процессы.
Сопоставление процессов с требованиями законодательства.
Полученная информация была сопоставлена с требованиями 152‑ФЗ и нормативной практикой по защите персональных данных. Это позволяет выявить расхождения между текущей практикой и обязательными требованиями.
Разработка организационно‑распорядительной документации.
По итогам аудита был подготовлен комплект организационно‑распорядительной документации (ОРД), направленный на устранение выявленных рисков и выстраивание более системного контура управления персональными данными, и передан на согласование.
Что было сделано
Проект строился по классической логике аудита персональных данных: интервью, анализ документов и сопоставление фактических процессов с требованиями законодательства.
— Проведен аудит процессов обработки персональных данных.
— Проведены интервью с представителями компании.
— Выполнен анализ внутренней документации.
— Подготовлены рекомендации по устранению выявленных рисков.
— Разработана организационно‑распорядительная документация по защите персональных данных.
— Проведены интервью с представителями компании.
— Выполнен анализ внутренней документации.
— Подготовлены рекомендации по устранению выявленных рисков.
— Разработана организационно‑распорядительная документация по защите персональных данных.
Разработка ОРД стала важным результатом проекта: такие документы фиксируют правила обработки данных, обеспечивают основания для их обработки, легализуют передачу данных с контрагентами.
Результат для клиента
По итогам проекта компания получила более управляемую систему обработки персональных данных.
Во‑первых, были выявлены и структурированы риски, связанные с обработкой ПДн.
Во‑вторых, разработанная организационно‑распорядительная документация позволила закрепить единые правила работы с персональными данными внутри компании.
В‑третьих, компания получила основу для прохождения внешних проверок и аудитов.
Дополнительным эффектом проекта стало повышение внутренней управляемости процессов: когда правила обработки данных закреплены документально, взаимодействие между подразделениями становится быстрее и прозрачнее.
Во‑первых, были выявлены и структурированы риски, связанные с обработкой ПДн.
Во‑вторых, разработанная организационно‑распорядительная документация позволила закрепить единые правила работы с персональными данными внутри компании.
В‑третьих, компания получила основу для прохождения внешних проверок и аудитов.
Дополнительным эффектом проекта стало повышение внутренней управляемости процессов: когда правила обработки данных закреплены документально, взаимодействие между подразделениями становится быстрее и прозрачнее.
Вывод для рынка
Этот кейс показывает типичную ситуацию для FMCG компаний среднего размера. Даже при отсутствии громких инцидентов риски в области персональных данных могут накапливаться из‑за фрагментарности процессов.
Регулярный аудит помогает выявить такие риски на ранней стадии. Он позволяет увидеть общую картину обработки данных и сформировать дорожную карту улучшений.
Регулярный аудит помогает выявить такие риски на ранней стадии. Он позволяет увидеть общую картину обработки данных и сформировать дорожную карту улучшений.
Практический вывод прост: соответствие требованиям по защите персональных данных редко возникает само по себе. Оно появляется тогда, когда процессы, документы и технические меры начинают работать как единая система.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Материалы по теме