Как нефтесервисная компания привела обработку ПДн в соответствие 152‑ФЗ и выстроила управляемый контур ОРД

В рамках проекта рассматривался кейс российской нефтесервисной компании, работающей в сфере услуг по добыче нефти и природного газа.

24/03/25

Б-152

Для компаний нефтесервисного сегмента обработка персональных данных обычно встроена в «тяжелые» операционные процессы: кадровые и производственные контуры, управление допусками и подрядчиками, взаимодействие с корпоративными функциями, служебные расследования, а также внутренние и внешние проверки.

Отдельная особенность — комплексная организационная структура и несколько контуров взаимодействия. В таких моделях чаще встречаются унифицированные ИТ‑подходы и стандартизированные практики обмена данными между подразделениями и связанными организациями.

Это повышает требования к ясности ролей и оснований передачи: важно понимать, кто и в каком статусе обрабатывает персональные данные, где проходят границы ответственности и какие договорные/организационные механизмы поддерживают законность обработки.

Риск‑профиль здесь отличается от типичного офиса. 

Во‑первых, значимы регуляторные последствия: 152‑ФЗ предъявляет требования к организации обработки и мерам защиты (ст. 18.1 и ст. 19 152‑ФЗ), а административная ответственность по ст. 13.11 КоАП РФ применяется к распространенным нарушениям, которые часто возникают именно в сложных контурных организациях. 

Во‑вторых, у отрасли высока чувствительность к репутационным и коммерческим потерям: остановка процессов из‑за претензий, конфликтов с подрядчиками или внутренних ограничений может влиять на операционную устойчивость.

Клиент обратился с задачей привести деятельность по обработке персональных данных в соответствие 152‑ФЗ.

Основной задачей проекта стало повышение прозрачности процессов обработки персональных данных и приведение их в соответствие требованиям законодательства.

В подобных проектах важно обеспечить прозрачность процессов обработки персональных данных: определить категории данных, основания обработки, порядок передачи и меры защиты. Это позволяет компаниям заранее снизить регуляторные и операционные риски и упростить взаимодействие с проверяющими органами и партнерами. 

Ключевой фактор сложности — наличие внутренних контуров обмена данными между функциональными блоками и связанными организациями. Когда персональные данные перемещаются между такими участниками, юридическая корректность зависит не только от того, что делает сама компания, но и от того, как оформлены и управляются обмены и доступы.

В сложных организационных структурах часто встречаются сценарии, когда общие функции (например, ИТ, HR‑поддержка, комплаенс или бэк‑офис) обслуживают несколько подразделений или связанных организаций. Юридически принципиально понять, идет ли речь о самостоятельной обработке в интересах каждой стороны (оператор-оператор) или об обработке по поручению (п. 3 ст. 6 152‑ФЗ).

Если модель роли не определена и не закреплена, возрастает риск нарушений: договорные документы могут не покрывать фактические операции, а обязанности по обеспечению конфиденциальности и мер защиты окажутся «размыты». Это зона потенциальных претензий в рамках 152‑ФЗ (ст. 6, ст. 18.1, ст. 19) и ст. 13.11 КоАП РФ.

В операционных компаниях персональные данные фигурируют в разных контекстах: кадровые процессы, допуски, коммуникации с подрядчиками, внутренние регламенты. Если локальные акты и процедуры не отражают реальную картину, появляется правовая неопределенность и сложность управленческого контроля. 152‑ФЗ требует, чтобы у оператора были закреплены меры и процедуры, обеспечивающие соблюдение требований и защиту ПДн (ст. 18.1 и ст. 19).

Клиент прямо указал потенциальные коммерческие потери. Для нефтесервисной компании это обычно связано с тем, что нарушения в контуре ПДн могут влиять на партнёрские отношения, доступ к объектам, взаимодействие с заказчиками и внутренними функциями. Поэтому задача соответствия 152‑ФЗ в таких проектах — не «документы ради документов», а снижение вероятности ситуаций, которые тормозят бизнес.

Команда анализировала веб‑сайт Общества. Для регуляторного профиля это важная зона: через сайт чаще всего видно, как организация информирует субъектов о целях и условиях обработки, какие формы сбора данных существуют и как они соотносятся с локальными актами. В зависимости от функционала сайта это может затрагивать требования к информированию (ст. 18 152‑ФЗ) и к обеспечению законности обработки (ст. 5 и ст. 6 152‑ФЗ).

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Такой набор шагов нужен, чтобы собрать фактическую картину: делать выводы не по шаблону, а связать реальную практику обработки с требованиями закона и с тем, как это должно быть закреплено документально.

На интервью фиксировали, где именно возникают персональные данные, какие подразделения и роли участвуют, какие операции выполняются (сбор, изменение, передача, хранение, ограничение доступа, уничтожение). В сложных контурах отдельное значение имеет то, как описываются взаимодействия между участниками процесса: кто инициирует передачу, кто получает доступ, кто администрирует системы и на каких основаниях.

Далее анализировали локальные акты и договорные материалы, полученные в ходе обследования, сопоставляя их с тем, как процессы реально устроены. Цель — выявить зоны, где документы не покрывают фактические операции или не дают достаточной управляемости.

Публичная часть часто становится источником вопросов: формулировки в политике, согласиях и интерфейсах должны быть согласованы с внутренними документами и отражать реальные цели обработки. Анализ сайта помогает убрать расхождения, которые легко обнаруживаются внешними наблюдателями и проверяющими.

По итогам аудита подготовили отчет с описанием выявленных рисков и рекомендаций, а также разработали комплект организационно‑распорядительной документации. В подобных проектах ценность отчета в том, что он помогает не только «закрыть текущий вопрос», но и поддерживать контур в актуальном состоянии при изменениях в процессах.

Результаты проекта были оформлены в двух ключевых артефактах.

— Отчет по результатам аудита: структурированное описание текущего состояния обработки персональных данных, зон риска и направлений корректировок с привязкой к требованиям 152‑ФЗ и логике регуляторной практики.

— Комплект ОРД по персональным данным: документы, которые позволяют оператору поддерживать соответствие требованиям закона и управлять обработкой. Важно, что ОРД выступает не как папка на проверку, а как система правил: кто и за что отвечает, как фиксируются основания обработки, как контролируются передачи и доступы, как поддерживается режим конфиденциальности и меры защиты.

Клиент получил более управляемую и прозрачную модель работы с персональными данными.

В результате проекта была структурирована модель обработки персональных данных и уточнены управленческие процедуры, обеспечивающие соответствие требованиям законодательства.

Проведенный аудит и разработанный комплект организационно-распорядительной документации позволили систематизировать процессы обработки персональных данных, закрепить роли и зоны ответственности, а также повысить прозрачность внутренних процедур контроля.

Проект потребовал детального анализа процессов компании и взаимодействия между функциональными подразделениями, что позволило сформировать практические рекомендации по организации обработки персональных данных.

Этот кейс актуален для компаний из промышленного и нефтесервисного сегмента, а также для организаций со сложной структурой и несколькими контурами обработки персональных данных.

Типовая ошибка — фокусироваться только на внутренней обработке (например, на кадровых документах), недооценивая передачи и доступы между участниками процессов. На практике именно такие взаимодействия чаще всего создают вопросы: кто оператор, где границы ответственности, на каких основаниях происходят передачи и как подтверждается соблюдение режима конфиденциальности и мер защиты.

Второй частый промах — ограничиться разовыми корректировками без полноценной картины процессов. Для сложных организаций это приводит к тому, что документы не успевают за реальностью, а неопределенность возвращается.

Рабочий вывод прост: чем сложнее контуры обработки и чем активнее обмен данными между участниками процессов, тем важнее качественная коммуникация с консультантами и предоставление полной информации по запросу. Это напрямую влияет на точность диагностики и качество итогового комплекта ОРД, а значит, и на устойчивость бизнеса в регуляторной среде.

Проведем аудит и подготовим документацию, которая работает — а не просто лежит в папке

Не ждите проверки или инцидента — сделайте защиту ПДн частью архитектуры вашего продукта

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Материалы по теме