Как команда Б-152 помогла финтех-компании выстроить систему обработки персональных данных без лишней бюрократии

Российская IT-компания, специализирующаяся на разработке программного обеспечения и финтех-решений.
Одно из ключевых направлений — эквайринговый сервис для безналичных чаевых и цифровых платежей в ресторанах.
13.01.2023
Компания растет быстро: появляются новые функции, партнерские интеграции, пользователи. Вместе с этим растет и объем персональных данных, а именно клиентов, сотрудников, контрагентов.
14/07/25
Б-152
Как команда Б-152 помогла финтех-компании выстроить систему обработки ПДн

Контекст и вызовы

К моменту обращения в Б-152 в компании уже существовали внутренние процедуры работы с персональными данными. Но с развитием продуктов стало ясно, что система разрослась фрагментарно.

Данные передавались между разными системами и юридическими лицами группы. При этом границы ответственности и юридическая логика обработки были не всегда очевидны. Это приводило к рискам:

  • не было целостной архитектуры потоков данных;
  • использовались шаблонные согласия, не соответствующие реальным процессам;
  • отдельные договоры и формы не синхронизировались между собой;
  • отсутствовал актуальный реестр ИСПДн, описывающий связи и роли;
  • при обмене данными между юридическими лицами возникала неопределённость, кто является оператором, а кто обработчиком.

Компания стремилась не просто закрыть требование закона, а создать прозрачную и масштабируемую систему, которая станет инструментом устойчивого роста и не будет обременена лишней бюрократией.

Как мы работали

Мы подошли к задаче как к проекту по архитектурному проектированию обработки ПДн, где юридическая часть и бизнес-логика выстроены в единую структуру.

1. Аудит и интервьюирование

Команда Б-152 провела глубокое обследование текущих процессов: изучили путь данных от момента ввода пользователем до удаления или архивирования. Мы анализировали формы и тексты согласий, договоры с партнерами, сайт, CRM-систему и внутренние регламенты. Отдельно исследовали, как устроен обмен данными между двумя компаниями группы и какие категории информации участвуют в процессе.

2. Систематизация и создание реестра

На основе анализа мы сгруппировали процессы по макроцелям и выстроили карту потоков данных. В результате были подготовлены два взаимосвязанных реестра, а именно реестр процессов обработки ПДн и реестр ИСПДн, где для каждой цели зафиксированы категории данных, операторы, обработчики и привлеченные третьи лица. Это дало компании возможность управлять обработкой централизованно и видеть всю архитектуру в разрезе задач бизнеса.

3. Модель взаимодействия между юридическими лицами

Мы предложили схему разграничения ответственности между юридическими лицами группы: кто определяет цели и средства обработки, кто выступает оператором, а кто обработчиком. На основе этого была подготовлена корректная юридическая конструкция передачи данных и прописаны договорные механизмы, исключающие риски двойного регулирования.

4. Разработка пакета документов

На следующем этапе мы подготовили комплекс документов, который отражает реальные процессы компании: политики, положения, формы согласий, регламенты, уведомления в Роскомнадзор. Документы синхронизированы между собой и с фактическими процессами, что исключает типичную проблему несоответствия между политикой и уведомлением.

5. Сопровождение внедрения и обучение

В ходе проекта юристы Б-152 консультировали команду клиента по вопросам внедрения рекомендаций и корректности их применения. Мы помогали определять, какие системы относятся к ИСПДн, как корректно оформить правовые основания для пользователей сайта, нужно ли согласие при коммуникации по e-mail, и как знакомить сотрудников с документами в условиях удаленной работы. После внедрения рекомендаций мы провели повторную проверку сайта и процессов, чтобы убедиться, что новая модель функционирует корректно.

6. Контроль и устойчивость

По завершении внедрения мы провели повторный аудит и убедились, что процессы функционируют корректно. Клиент получил не просто документацию, а работающую модель, встроенную в бизнес-процессы и адаптированную под дальнейший рост.

Результаты проекта

Проект стал примером того, как можно превратить выполнение закона в элемент управляемого роста компании. После завершения работ клиент получил:

  • прозрачную архитектуру обработки персональных данных между юридическими лицами;
  • два взаимосвязанных реестра — процессов и ИСПДн, отражающих всю структуру обработки и вовлеченных сторон;
  • оптимизированные процессы и снижение юридических рисков;
  • отказ от избыточных согласий, что улучшило пользовательский опыт;
  • синхронизированные документы и готовность к проверке Роскомнадзора;
  • устойчивую модель защиты данных, которую можно масштабировать без потери управляемости.

Это важно

Для финтех-компаний доверие пользователей строится не только на надежности технологий, но и на уверенности, что их данные защищены. Проект с Б-152 позволил клиенту укрепить эту репутацию: требования закона были встроены в операционные процессы, а система защиты данных стала частью бизнес-архитектуры, а не формальным приложением к ней.

Когда стоит обращаться к нам

Если у вас несколько продуктов, юридических лиц или каналов, через которые проходят персональные данные, — а внутри нет ясности, кто за что отвечает и какие документы должны быть синхронизированы, — стоит выстроить архитектуру обработки ПДн.

Команда Б-152 поможет разобрать потоки данных, оформить юридические основания и создать систему, которая выдержит и проверку, и рост бизнеса (ссылка на страницу услуги).
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме