Когда один бизнес — это четыре компании: как мы собрали защиту ПДн в единую архитектуру

Когда в одной системе сходятся несколько компаний, десятки сайтов и несовершеннолетние пользователи, вопрос защиты персональных данных становится не просто юридической задачей — он становится вопросом доверия.

IThub — это инновационная образовательная экосистема для детей, подростков и взрослых от 6 до 18+ лет. Она объединяет школу (school.ithub.ru), колледж (ithub.ru), университет (univer.ithub.ru) и программы дополнительного профессионального образования. Основной фокус — информационные и креативные технологии, а также методология бизнес-ориентированного обучения.

В индустриальный совет бренда входят более 140 ведущих компаний страны, которые принимают участие в разработке и верификации учебных программ. Благодаря этому студенты колледжа и университета начинают карьеру еще в период обучения.

Компания динамично развивается и занимает лидирующие позиции в сегменте среднего профессионального образования: сегодня колледжи IThub работают уже в 15 городах России.

К нам они пришли за полной настройкой процесса: провести аудит, разработать документацию, подать уведомления в Роскомнадзор, а дальше — сопровождать все это в режиме живой поддержки.

25/09/25

Б-152

Когда один бизнес — это четыре компании

IThub, как и многие организации в сфере образования, столкнулся с типичной, но непростой ситуацией:

Сроки не поджимали, и это позволило выстроить систему не на «скорую руку», а основательно.

Если коротко — живой, быстро развивающийся образовательный проект с огромным количеством точек соприкосновения с персональными данными. Дети, родители, кураторы, подрядчики, сотрудники… и у всех свой трек, свое юридическое лицо, свои формы и заявки.

Многие процессы происходили параллельно, и часто без общей картины: где чьи данные, кто за них отвечает, какие есть основания обработки, как защищены сайты и кто формально оператор.

Это частая история: когда все работает, то пусть работает, и лучше ничего не трогать. Но если появляется инцидент, жалоба или приходит регулятор, именно отсутствие четкой схемы становится проблемой.

Мы не стали идти по классическому алгоритму «аудит-документы-обучение», хотя эти шаги, конечно, были. Наша задача была вытащить из разрозненных процессов единую структуру.

📍 Мы начали со вскрытия контекста: провели интервью, расспросили про роли, собрали структуру сайтов, прописали, какие юрлица и в каких сценариях участвуют.

📍 Затем была юридическая реконструкция: мы описали архитектуру обработки ПДн, роли операторов, порядок поручений, условия для передачи и специфику взаимодействия с несовершеннолетними.

📍 Разработка документации — не шаблонной, а распределенной по организациям. Каждое юрлицо получило комплект, адаптированный под свои функции и площадки.

📍 Подготовили и подали уведомления в РКН, с заделом на рост: учли не только текущие процессы, но и развитие продуктов.

📍 После внедрения остались с командой в формате аутсорсинга DPO: консультируем, дорабатываем, сопровождаем.

📍 Подключили Privacy Box — клиент видит актуальные документы, а не «папку, которую нужно вспоминать раз в год».

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

В проекте важно было учесть не только 152-ФЗ, но и ФЗ «Об образовании». Например, в некоторых случаях распространение персональных данных (например, публикация сведений о преподавательском составе на сайте) не требует получения согласия. Но при работе с детьми или родителями правила меняются, и мы знаем, как правильно оформить документы в таких ситуациях.

Один из ключевых результатов проекта — это корректное распределение ролей. Где один отвечает, другой обрабатывает по поручению, и где нужно закрепить договор. Это убрало «серые зоны» в ответственности и дало клиенту уверенность.

Мы проанализировали архитектуру интернет-ресурсов, учли требования к информированию пользователей и оформлению согласий, внедрили единый системный подход к их сбору и хранению. Теперь процесс обработки персональных данных на сайтах заказчика выстроен так, чтобы соответствовать требованиям законодательства и снижать риск появления уязвимостей.

🔹 Целостную систему защиты ПДн, отражающую реальную работу организаций
🔹 Четкое понимание, как обрабатывать данные несовершеннолетних без риска нарушений
🔹 Снижение регуляторных и операционных рисков
🔹 Актуальные уведомления в РКН и выстроенную архитектуру для всей группы
🔹 Постоянную поддержку через аутсорсинг DPO

,

,

Соберем вашу защиту ПДн в единую, живую систему — без хаоса и «серых зон».

Работаете с несовершеннолетними и несколькими юрлицами?

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме