ПДн для группы компаний
без расширения штата: аудит, документы и внешний DPO для трех юрлиц

Клиент обратился за проектом по персональным данным с последующим сопровождением.

Компания работает с нами с 2021 года, поэтому в этот раз задача была не выстроить процессы с нуля, а провести ре‑аудит и актуализировать контур: проверить, что действует на практике, что изменилось в процессах и документах, и привести систему управления ПДн к актуальному состоянию.

Проект изначально касался группы компаний — трех юридических лиц. При этом углубленный разбор процессов и нюансов обработки выполнялся по АО «Эколаб» как базовому контуру, а для Налко и Сид Лайнз комплекты документов формировались на основе унифицированной модели и материалов базового юрлица — с адаптацией под их реквизиты и организационные особенности.

Когда в проекте участвуют три юридических лица, возникает несколько слоев задач одновременно. Нужно понять, какие процессы действительно общие, какие — самостоятельные для каждого юрлица, где проходят передачи данных и кто в каждом случае выступает оператором, а кто — участником процесса в иной роли.

Если этого не сделать, компания получает типичный набор проблем: документы дублируют друг друга, ответственность размывается, а реальные передачи данных между юрлицами остаются неописанными. С точки зрения 152‑ФЗ это повышает риск ошибок в определении целей, оснований обработки, порядка доступа и взаимодействия между организациями группы.

В проектах, где система работы с ПДн только формируется, основной риск — неочевидность границ. Пока нет единой модели процессов, сложно даже ответить на базовые вопросы: где именно собираются данные, какие подразделения и юрлица участвуют в обработке, какие документы должны быть едиными, а какие — раздельными.

Поэтому такой проект требует не просто подготовки ОРД, а методичного разбора процессов и их укладки в работающую систему.

Одна из причин, почему кейс полезен будущим заказчикам: даже производственные компании, работающие в B2B, все равно обязаны выстраивать контур ПДн. Ошибочно думать, что если бизнес не ориентирован на массового потребителя, риски ниже. На практике персональные данные активно фигурируют в отношениях с сотрудниками, контрагентами, подрядчиками и представителями клиентов — и именно эти процессы часто остаются без внимания дольше всего.

Для группы компаний вопрос редко заканчивается выдачей пакета документов. Документы нужно внедрять, обновлять, сопровождать изменения процессов, отвечать на вопросы и поддерживать единый стандарт между юрлицами. Поэтому аутсорсинг роли DPO стал здесь не дополнительной услугой, а логичным продолжением проекта.

Проект включал три взаимосвязанных блока: аудит, разработку документов и аутсорсинг роли DPO. Для сбора и структурирования информации использовался Privacy Box.

На старте команда разбирала, как устроены процессы в группе компаний: какие категории данных обрабатываются, какие функции распределены между тремя юрлицами, где процессы едины, а где разделены, и какие участки требуют отдельного документального оформления.

Следующим шагом был не просто «пакет документов», а система документов, которая учитывает реальную архитектуру группы. Для таких клиентов особенно важно не перепутать единые правила с правилами, которые должны быть закреплены отдельно по юрлицам.

После проектной части была подключена функция внешнего DPO. Это позволило клиенту не создавать внутри компании отдельный DPO‑офис, не наращивать штат и при этом получить постоянный контур сопровождения для всех трех юридических лиц.

— Проведен аудит процессов обработки персональных данных в группе компаний.

— Разработан комплект документов по персональным данным с учетом структуры из трех юридических лиц.

— Организован аутсорсинг роли DPO как постоянной функции сопровождения после завершения основного проекта.

Ключевая ценность такого формата в том, что клиент получил не разовую экспертизу, а рабочую модель управления ПДн: от диагностики до сопровождения после внедрения.

Клиент получил практическое понимание рисков и действий при взаимодействии с РКН.

Во‑первых, снизилась неопределенность внутри команды: DPO‑функция и технические специалисты получили общий словарь и общий сценарий подготовки к проверкам с фокусом на локализацию.

Во‑вторых, выросла управляемость подготовки: стало понятнее, какие доказательства и артефакты нужны, чтобы подтверждать соблюдение требований, и какие зоны сайта и инфраструктуры чаще всего попадают в фокус контроля.

В‑третьих, повысилась готовность к коммуникации с регулятором: понимание того, какие вопросы возникают на проверках и как выстраивать ответы, помогает действовать спокойнее и последовательно.

По итогам обучения клиент дал обратную связь: «Благодарю вас за проведенный семинар, мне и коллегам очень понравилось».

Этот кейс особенно полезен для групп компаний, производственных холдингов и B2B‑организаций, которые долго не занимались персональными данными, потому что не воспринимали это как свой «первый риск».

Аутсорсинг в таких проектах работает как управленческая альтернатива: одним договором компания получает не отдельного специалиста, а целую функцию. Именно поэтому для групп компаний проект по ПДн часто логичнее сразу строить в двух частях — внедрение и дальнейшее сопровождение.

И еще один важный вывод: производственные B2B‑компании не выпадают из поля 152‑ФЗ. Их контур ПДн просто менее заметен снаружи, но от этого не становится менее значимым.