Как мы работали
Мы подошли к задаче как к проекту по архитектурному проектированию обработки ПДн, где юридическая часть и бизнес-логика выстроены в единую структуру.
1. Аудит и интервьюирование
Команда Б-152 провела глубокое обследование текущих процессов: изучили путь данных от момента ввода пользователем до удаления или архивирования. Мы анализировали формы и тексты согласий, договоры с партнерами, сайт, CRM-систему и внутренние регламенты. Отдельно исследовали, как устроен обмен данными между двумя компаниями группы и какие категории информации участвуют в процессе.
2. Систематизация и создание реестра
На основе анализа мы сгруппировали процессы по макроцелям и выстроили карту потоков данных. В результате были подготовлены два взаимосвязанных реестра, а именно реестр процессов обработки ПДн и реестр ИСПДн, где для каждой цели зафиксированы категории данных, операторы, обработчики и привлеченные третьи лица. Это дало компании возможность управлять обработкой централизованно и видеть всю архитектуру в разрезе задач бизнеса.
3. Модель взаимодействия между юридическими лицами
Мы предложили схему разграничения ответственности между юридическими лицами группы: кто определяет цели и средства обработки, кто выступает оператором, а кто обработчиком. На основе этого была подготовлена корректная юридическая конструкция передачи данных и прописаны договорные механизмы, исключающие риски двойного регулирования.
4. Разработка пакета документов
На следующем этапе мы подготовили комплекс документов, который отражает реальные процессы компании: политики, положения, формы согласий, регламенты, уведомления в Роскомнадзор. Документы синхронизированы между собой и с фактическими процессами, что исключает типичную проблему несоответствия между политикой и уведомлением.
5. Сопровождение внедрения и обучение
В ходе проекта юристы Б-152 консультировали команду клиента по вопросам внедрения рекомендаций и корректности их применения. Мы помогали определять, какие системы относятся к ИСПДн, как корректно оформить правовые основания для пользователей сайта, нужно ли согласие при коммуникации по e-mail, и как знакомить сотрудников с документами в условиях удаленной работы. После внедрения рекомендаций мы провели повторную проверку сайта и процессов, чтобы убедиться, что новая модель функционирует корректно.
6. Контроль и устойчивость
По завершении внедрения мы провели повторный аудит и убедились, что процессы функционируют корректно. Клиент получил не просто документацию, а работающую модель, встроенную в бизнес-процессы и адаптированную под дальнейший рост.