Когда доставка работает, а документы — нет: как мы помогли крупной компании из сферы общепита выстроить систему защиты персональных данных

Клиент — федеральная сеть в сфере доставки и ресторанного бизнеса. Ежедневно команда обрабатывает сотни персональных данных потребителей: от номеров телефонов и адресов до истории заказов. Но при этом ни регламентов, ни понимания, кто за что отвечает, ни сценария действий при жалобе пользователя. Все это начало создавать угрозу не только для репутации, но и для самого бизнеса.

13/11/25

Б-152

Компания обратилась к нам с просьбой провести аудит обработки персональных данных, подготовить документы и помочь понять, где слабые места. Сами сформулировать риски они не могли, но было очевидно, что:

— уже были жалобы субъектов ПДн;
— в компании отсутствовал централизованный подход к тому, кто, где и зачем обрабатывает данные;
— штрафов не было, но и уверенности тоже.

На момент начала работ вступали в силу новые требования законодательства: обновления касались трансграничной передачи, категорий данных, уведомлений и порядка информирования Роскомнадзора.

Для клиента это означало: даже если документы оформить сейчас, через месяц часть норм может устареть.

Плюс сложная структура: несколько юридических лиц, ИП, подрядчики, курьеры, внешние сервисы. Потоки данных между ними были активны, но никто не знал точно, кто оператор, кто обработчик и кто отвечает перед регулятором.

С помощью платформы Privacy Box и серии интервью с ключевыми сотрудниками (включая ИТ и операционные блоки) мы провели полный аудит бизнес-процессов.

— точках сбора данных (сайты, приложения, CRM);
— участниках обработки (кто видит данные, кто передает, кому);
— уровне формализации (наличие договоров, инструкций, разграничений доступов).

Для каждого процесса мы дали конкретные рекомендации:

— какие документы оформить;
— где пересмотреть регламенты и уведомления;
— какие доступы ограничить;
— как выстроить коммуникации между юрлицами и подрядчиками.

После согласования приоритетов разработали весь набор ОРД, включая политику, положения, инструкции, формы согласий, уведомления и шаблоны договоров. Все документы встроены в реальные бизнес-процессы.

Во время проекта возникла внеплановая ситуация: срочно потребовалось направить уведомление в Роскомнадзор.

Мы оперативно подключились, подготовили документ, помогли с пояснениями и сроками, без формальностей и затягивания.

— Сложная структура: множество юрлиц, ИП и подрядчиков, но отсутствие общей картины процессов.
— Реальные риски: были жалобы, и при проверке регулятора сценарий мог обернуться штрафом.
— Темп бизнеса: мы подстроились под клиента, двигаясь быстро, без бюрократии и с минимальной нагрузкой на сотрудников.

Мы выявили ключевые уязвимости и предложили конкретные шаги по их устранению. Это позволило сократить вероятность штрафов и претензий, а также укрепить доверие клиентов и партнеров.

Клиент получил живой комплект документов, отражающий реальные процессы. Никаких «мертвых папок», все материалы можно использовать в работе, при проверках и обучении сотрудников.

Мы выстроили систему действий на случай инцидентов и запросов субъектов: кто, как и когда реагирует. Теперь любое обращение или утечка обрабатываются быстро и корректно.

Мы помогли наладить процессы внутри группы: четко распределили роли операторов и обработчиков, установили связи и сократили дублирование.

Благодаря нашей оперативной помощи клиент прошел внеплановую коммуникацию с регулятором спокойно и без последствий.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Мы не ограничиваемся аудитом или шаблонными документами. Наша команда подходит к каждому кейсу системно: как архитекторы процессов, а не просто консультанты.

— Мы умеем переводить юридический язык в бизнес-логику. Документы понятны не только юристам, но и руководителям, маркетологам, ИТ и HR.
— Мы выстраиваем реальные процессы, которые работают даже при росте компании или изменении законодательства.
— Мы умеем действовать быстро и при этом сохранять глубину анализа и качество решений.

Благодаря этому клиент получил не просто комплект бумаг, а устойчивую систему управления персональными данными, понятную, живую и готовую к масштабированию.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Если вы работаете с большим объемом клиентских данных, но внутри нет четкого понимания кто за что отвечает вы уязвимы.

Даже одна жалоба может запустить проверку, и тогда важно, чтобы каждый процесс был понятен, задокументирован и работал.

Создание системы защиты ПДн не обязательно сложно. Иногда достаточно одной сессии с экспертами, чтобы разложить все по полочкам и встроить требования закона в логику бизнеса.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Материалы по теме