Когда фарма — это не только про здоровье, но и про персональные данные

Как мы помогли разобраться с локализацией ИС и оформить все по 152-ФЗ

Фармацевтическая индустрия — одна из самых чувствительных с точки зрения работы с персональными данными. Здесь под защиту попадают не просто ФИО или e-mail, а категории, напрямую связанные с состоянием здоровья. Требовалось сбалансировать строгие внутренние регламенты и зарубежную ИТ-инфраструктуру с российскими нормами по ПДн.

Именно с такой задачей к нам обратилась российская структура международного фармацевтического холдинга. Нужно было провести аудит, подготовить ОРД и, главное, разобраться: выполняются ли требования закона о локализации, если значительная часть систем и процессов определяется глобальными структурами?

03/04/25

Б-152

Компания работает в России, но значительная часть цифровой инфраструктуры и бизнес-процессов определяется штаб-квартирой за рубежом. У клиента было множество ИС (в том числе зарубежных), где обрабатываются ПДн, включая чувствительные данные. Возникал закономерный вопрос: а действительно ли все эти процессы соответствуют российским требованиям, особенно в части локализации?

Кроме того, не был оформлен полный комплект организационно-распорядительной документации (ОРД) по 152-ФЗ, а процессы трансграничной передачи данных не были отражены в уведомлениях Роскомнадзора.

Мы начали с классической схемы:

— интервью с ключевыми сотрудниками (в том числе на английском языке, коммуникация шла и с глобальной командой),
— обследование всех процессов, в которых фигурируют персональные данные,
— фиксация используемых ИТ-систем и бизнес-приложений, включая те, что размещены за рубежом.

После этого мы отрисовали Data Flow-схемы, определили, где именно происходит «сбор» персональных данных, и сформулировали юридическую позицию по соблюдению требований локализации. Этот шаг стал ключевым: важно было отделить реальные нарушения от ситуаций, где требования локализации формально не применимы.

Например, если сбор ПДн осуществляет зарубежная система (которая администрируется глобальной компанией и Оператором ПДн, в которой выступает глобальная компания) напрямую, и данные передаются в РФ уже по поручению, требование о локализации для российской компании не возникает. Не возникает требование локализации и для последующей обработки уже ранее собранных данных, например, когда контрагент передает нам данные о своих работниках и представителях (тут сбор уже ранее осуществил сам контрагент).

✅ Провели глубокое исследование процессов обработки персональных данных: от внутренних HR-систем до глобальных корпоративных платформ. Важно было понять, какие данные, как и где обрабатываются, и кто за что отвечает.

✅ Выявили все информационные системы, в которых обрабатываются ПДн, в том числе пересекающиеся с зарубежными ИТ-сервисами. Дали экспертную оценку соответствия этих систем требованиям российского законодательства.

✅ Подготовили заключение о соблюдении требований по локализации персональных данных — с учетом специфики международной структуры и используемых облачных решений.

✅ Использовали Privacy Box — наш внутренний сервис для автоматизированного сбора и фиксации информации о процессах, потоках данных, рисках. Это позволило ускорить работу, минимизировать нагрузку на клиента и зафиксировать все нюансы в цифровом виде.

✅ Разработали и внедрили полный комплект организационно-распорядительной документации по защите ПДн. Учли международный контекст, специфику ИТ-ландшафта и бизнес-практики клиента.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Во-первых, мы помогли разграничить ответственность между российским офисом и глобальными структурами. Это часто становится узким местом в больших холдингах.

Во-вторых, прояснили, на кого и в каких случаях распространяются требования локализации. Клиент получил не просто «страшный список требований», а юридически обоснованную схему: где есть риски, а где их нет (с ранжированием выявленных рисков по приоритетности).

И в-третьих, мы показали, что с любыми, даже самыми сложными, многоуровневыми ИС можно выстроить соответствие 152-ФЗ и не задушить при этом процессы внутри бизнеса.

,

,

— входите в международный холдинг и не до конца понимаете, как на вас распространяется 152-ФЗ

— используете зарубежные ИС и боитесь «нарваться» на нарушение локализации

— обрабатываете чувствительные данные в медицине, фарме, биотехе или клинических исследованиях

— хотите не просто собрать документы, а понять архитектуру рисков и правильно расставить акценты

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Материалы по теме