Privacy box как инструмент для проведения внутреннего аудита в компании. Опыт «Юнирест» (Rostic's).

кейсы
13.01.2023
Мы пообщались с Дмитрием Павельевым, руководителем отдела информационной безопасности ООО «Юнирест», в котором попросили поделиться обратной связью о том, как Дмитрий и его коллеги используют Privacy box в своей работе, какие сильные и слабые стороны продукта можно выделить, и какой функционал хотелось бы видеть в будущем.
16/12/23
Б-152
Кейсы
Кейс Rostic's

О компании

ООО «Юнирест» управляет брендами Rostic’s и KFC в России. Сеть ресторанов, работающая под этими брендами, является лидером по количеству ресторанов среди предприятий общественного питания. Для улучшения работы Privacy Box мы провели интервью с Дмитрием Павельевым, руководителем отдела информационной безопасности.

Как разделены обязанности в части Privacy у вас в компании?

Формально, я руководитель отдела информационной безопасности (ИБ) и также отвечаю за Privacy в части технической защиты персональных данных. Уведомлениями в Роскомнадзор у нас занимается юридический департамент (ЮД). Недавно в ЮД появился выделенный сотрудник, который ориентирован на юридические вопросы в ИТ и Privacy, в дальнейшем он сосредоточится на работе в том числе с Privacy Box.

Каким образом вы актуализируете данные о процессах и системах?

Периодически мы проводим два вида аудитов: аудит процессов и оценку соответствия принятых мер по защите информации в ИСПДн (то есть, один процессный, второй технический). Результаты этих аудитов мы заносим в Privacy box. Сейчас мы закончили технический аудит, его результаты тоже заносятся в эту платформу.

Мы собираем в этом техническом аудите больше данных, чем запрашивается в профиле анкеты информационной системы. Но я помню, что можно приложить файл к анкете и таким образом хранить в одном месте всю собранную информацию в разделе «Документы». Единственное, нам хотелось иметь возможность прикладывать дополнительные форматы, в частности, Excel, помимо txt, pdf и docx.
На момент публикации возможность прикрепления документов в формате xlsx добавлена.

Правильно понимаю, что не вы основной пользователь?

Де-факто я основной пользователь, но процессно я должен быть вторичным пользователем. Согласно концепции работы с ПДн — первичны процессы, сначала должен включиться тот, кто отвечает за процессы в компании совместно с владельцем соответствующего процесса, а потом я уже должен связаться с техническими специалистами, которые сопровождают этот процесс, и заполнить данные по системе, как защищается информация в соответствии с процессом. Исторически сложилось, что при выявлении нового процесса в компании, я отвожу владельца этого процесса в ЮД.


Мы организуем совместную встречу, на которой я объясняю, что есть такая система, я создаю анкету по процессу, посредством функционала Privacy Box отправляю ссылку на почту, чтобы владелец процесса заполнил данные в анкете. Если владельцу процесса необходима консультация, то я предлагаю ему обращаться в ЮД в первую очередь, потом уже ко мне.


Наполнением и обновлением информации в анкетах занимается сотрудник, являющийся владельцем (инициатором создания) процесса. Функционал Privacy box, позволяющий направить анкету или группу анкет владельцу процесса или другим ответственным сотрудникам, решает эту задачу. А возможность заранее запланировать рассылку контактным лицам с просьбой актуализировать данные, не даст забыть о том, что в процессах могли произойти изменения и их необходимо отразить.

Как вы узнали о Privacy Box?

На предыдущем месте работы, в компании KPMG, я в том числе занимался вопросами, связанными с защитой персональных данных. На одном из мероприятий, посвященных ПДн, познакомился с Максимом Лагутиным (исполнительный директор Б-152) и узнал о вашем сервисе.

После перехода в «Юнирест» я стараюсь привносить культуру Privacy в рабочие процессы и поэтому порекомендовал руководству облачную платформу Privacy Box. Компания обрабатывает огромное количество данных наших гостей в рамках большого количества процессов и информационных систем. И я выступил с идеей внедрить сервис для проведения аудитов и реестра процессов и систем обработки ПДн, который позволил нам систематизировать эти данные в одном пространстве.

В нашу цифровую эпоху вести реестр процессов на бумаге или в разрозненных файлах Excel архаично и нецелесообразно. В следующем году будет 3 года, как мы используем сервис компании Б-152.

Сколько процессов обрабатывается?

Мы обрабатываем более 50 процессов и систем.

Что больше всего нравится в Privacy Box?

Особо хотелось бы выделить возможность, которая позволяет направить анкету на заполнение владельцу процесса или системы даже если он не имеет доступа к Privacy box. Это значительно сокращает время, так как раньше нам приходилось самостоятельно собирать информацию, проводить интервью с владельцами процессов, которые потом надо было куда-то занести и проанализировать.

Теперь же можно отправить эту задачу ответственному за процесс человеку и после лишь убедиться, что все данные внесены корректно.
Оставьте заявку на бесплатную первичную консультацию об управлении персональными данными и демонстрацию возможностей сервиса.
Хотите так же попробовать инструмент для автоматизации ведения реестра процессов обработки персональных данных Privacy Box?

Чего не хватает? Что хотели бы добавить?

Было бы здорово, если бы в рамках Privacy box можно было ещё вести учёт собранных согласий, такой функционал был бы нам интересен. Также вижу развитие в направлении сервиса в направлении Third-Party Risk Management.

Итог

Privacy box помог оптимизировать часть работы, которая связана с персональными данными. Сбор и систематизация информации о процессах и ИСПДн больше не представляет из себя сложной задачи, состоящей из нескольких этапов, с необходимостью моего участия в каждом из них. Как следствие, проведение внутренних аудитов требует значительно меньше времени, выросла актуальность реестра процессов и систем обработки ПДн.

Отдельно хотел бы отметить функцию автоматического выявления рисков несоответствия 152-ФЗ, которая проверяет каждую анкету сразу после заполнения. Это позволяет оперативнее корректировать информацию не только в анкете, но и в самом процессе, чтобы требования законодательства были соблюдены.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме