Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Персональные данные в распределенной структуре: аудит и выстраивание процессов для производственной компании
13.01.2023
АО «Артпласт» — компания из сферы производства и оптовой торговли, Москва. Для организаций такого типа обработка персональных данных обычно распределена по нескольким направлениям: кадровые процессы, взаимодействие с контрагентами, работа с клиентами и поставщиками, бухгалтерский и кадровый документооборот.
Особенность подобных компаний состоит в наличии разветвленной организационной структуры. Даже если головной офис находится в одном городе, значительная часть процессов может происходить в обособленных подразделениях: на складах, в региональных офисах продаж или производственных площадках. Это означает, что персональные данные обрабатываются в разных точках инфраструктуры и разными подразделениями.
Когда процессы обработки персональных данных формируются постепенно и без централизованного управления, со временем возникает ситуация, при которой правила работы с данными существуют фрагментарно. Отдельные подразделения могут использовать разные подходы к хранению документов, передаче информации и контролю доступа.
09/06/25
Б-152
Исходная задача
Клиент обратился с запросом на проведение аудита и разработку организационно‑распорядительной документации по персональным данным.
К моменту начала проекта процессы обработки персональных данных в компании были распределены между подразделениями и требовали унификации и формализации, а часть документов — актуализации и дополнения. Дополнительным фактором обеспокоенности стали изменения законодательства и рост штрафов в области защиты персональных данных.
Задача проекта состояла в том, чтобы определить текущее состояние процессов обработки ПДн, выявить зоны риска и сформировать комплект документов, который позволит компании выстроить управляемую систему работы с персональными данными.
К моменту начала проекта процессы обработки персональных данных в компании были распределены между подразделениями и требовали унификации и формализации, а часть документов — актуализации и дополнения. Дополнительным фактором обеспокоенности стали изменения законодательства и рост штрафов в области защиты персональных данных.
Задача проекта состояла в том, чтобы определить текущее состояние процессов обработки ПДн, выявить зоны риска и сформировать комплект документов, который позволит компании выстроить управляемую систему работы с персональными данными.
Особенность проекта
Ключевой особенностью проекта стала организационная структура клиента. В компании функционировала одна головная организация и десять обособленных подразделений.
Для проектов по персональным данным такая структура требует более внимательного анализа процессов. Обособленные подразделения могут по‑разному работать с данными сотрудников и контрагентов, использовать собственные локальные процедуры документооборота или отличающиеся информационные системы.
Если такие процессы не унифицированы, оператор персональных данных сталкивается с типичной проблемой: формально требования законодательства распространяются на всю организацию, но фактически правила обработки данных реализуются по‑разному в разных подразделениях.
В подобных проектах аудит должен учитывать не только документы головной компании, но и реальные практики работы в подразделениях.
Для проектов по персональным данным такая структура требует более внимательного анализа процессов. Обособленные подразделения могут по‑разному работать с данными сотрудников и контрагентов, использовать собственные локальные процедуры документооборота или отличающиеся информационные системы.
Если такие процессы не унифицированы, оператор персональных данных сталкивается с типичной проблемой: формально требования законодательства распространяются на всю организацию, но фактически правила обработки данных реализуются по‑разному в разных подразделениях.
В подобных проектах аудит должен учитывать не только документы головной компании, но и реальные практики работы в подразделениях.
Подход к работе
Работа строилась по классической логике проектов по персональным данным: интервью, анализ существующих материалов и разработка системы документов.
Основные этапы включали:
Основные этапы включали:
Интервью с представителями компании
Интервью позволили зафиксировать реальные процессы обработки персональных данных: какие категории данных используются, где они хранятся, кто имеет доступ и как осуществляется взаимодействие между подразделениями.
Анализ документов и сайта компании
Команда изучила существующие документы и публичные материалы, включая сайт компании. Такой анализ помогает понять, какие процессы обработки персональных данных уже отражены в документах и где существуют пробелы.
Подготовка аудиторского отчета
По результатам обследования был сформирован отчет, в котором зафиксированы выявленные риски и рекомендации по их устранению.
Разработка пакета организационно‑распорядительной документации
По итогам аудита был подготовлен комплект ОРД, который закрепляет правила обработки персональных данных в компании и позволяет унифицировать процессы во всех подразделениях.
Что было сделано
— Проведены интервью с представителями компании.
— Выполнен анализ внутренних документов и сайта.
— Подготовлен отчет по результатам аудита.
— Разработан пакет организационно‑распорядительной документации по персональным данным.
Основная задача разработки ОРД заключалась в том, чтобы закрепить единые правила обработки персональных данных для всей компании, включая обособленные подразделения.
— Выполнен анализ внутренних документов и сайта.
— Подготовлен отчет по результатам аудита.
— Разработан пакет организационно‑распорядительной документации по персональным данным.
Основная задача разработки ОРД заключалась в том, чтобы закрепить единые правила обработки персональных данных для всей компании, включая обособленные подразделения.
Результат для клиента
По итогам проекта компания получила основу для выстраивания системной работы с персональными данными.
Дальнейшее развитие системы подтверждается тем, что компания рассматривает масштабирование подхода и развитие процессов в смежных контурах.
- Во‑первых, аудит позволил выявить и структурировать существующие риски в области обработки ПДн.
- Во‑вторых, разработанный пакет организационно‑распорядительной документации закрепил единые правила обработки персональных данных для головной компании и обособленных подразделений.
- В‑третьих, в ходе проекта отдельное внимание уделялось практическому внедрению разработанных документов: вместе с клиентом разобрали сценарии применения и согласовали порядок внедрения документов в работу.
Дальнейшее развитие системы подтверждается тем, что компания рассматривает масштабирование подхода и развитие процессов в смежных контурах.
Вывод для рынка
Кейс характерен для компаний из сферы производства и оптовой торговли, где организационная структура включает несколько подразделений и процессы обработки персональных данных распределены между ними.
В таких условиях ключевой задачей становится не только разработка документов, но и унификация процессов.
Практика показывает, что аудит и разработка организационно‑распорядительной документации позволяют компаниям перейти от разрозненных практик к системному управлению персональными данными. Это снижает регуляторные риски и делает работу с данными более прозрачной для всей организации.
В таких условиях ключевой задачей становится не только разработка документов, но и унификация процессов.
Практика показывает, что аудит и разработка организационно‑распорядительной документации позволяют компаниям перейти от разрозненных практик к системному управлению персональными данными. Это снижает регуляторные риски и делает работу с данными более прозрачной для всей организации.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Материалы по теме