Продукты
Продукты
close
Menu
02
База знаний
05
Услуги
01
О нас
04
2024
Контакты
phone
e-mail:
Обучение
03
В цепочке передачи данных: как навести порядок в группе с иностранным участием
13.01.2023
Аудит и рекомендации по ПДн для крупной компании по производству табака
Когда бизнес работает в составе группы компаний, обработка персональных данных почти всегда оказывается под пристальным вниманием не только регуляторов, но и внутренней службы комплаенса. Особенно если:
— данные передаются между юрлицами,
— а внутрироссийская компания хочет действовать строго по букве закона.
— а внутрироссийская компания хочет действовать строго по букве закона.
Так было и с нашим клиентом — крупной компанией по производству табака, зарегистрированной в России, но тесно связанной с более крупной головной организацией, чьи процессы затрагивали почти всю обработку персональных данных на местах.
24/09/25
Б-152
В цепочке передачи данных
Задача: разобраться в распределенных процессах и выстроить корректную модель
Клиент пришел с понятным и зрелым запросом — привести внутренние и внешние процессы обработки ПДн в соответствие с 152-ФЗ. Без срочных проверок или паники, в плановом режиме, чтобы системно пройти аудит и получить рекомендации. Но уже на старте стало ясно: под «аудитом» скрывается более сложная картина.
📌 У клиента разветвленная корпоративная структура,
📌 Почти все ключевые процессы ПДн были завязаны на головную компанию,
📌 Часть систем администрировалась централизованно, в том числе с возможностью удаленного доступа из других стран,
📌 При этом роли операторов и обработчиков не были формализованы, что создавало риски как юридические, так и технические.
📌 Почти все ключевые процессы ПДн были завязаны на головную компанию,
📌 Часть систем администрировалась централизованно, в том числе с возможностью удаленного доступа из других стран,
📌 При этом роли операторов и обработчиков не были формализованы, что создавало риски как юридические, так и технические.
Как мы работали: шаг за шагом
- Старт — аудит на месте. Мы начали с очных интервью с ключевыми сотрудниками: HR, IT, комплаенс, юристы. Это помогло понять, как на практике устроена работа с персональными данными: кто, где и для чего к ним обращается.
- Анализ внутренних документов. Изучили локальные регламенты, инструкции, корпоративные политики, контракты с контрагентами и дочерними структурами. Особое внимание уделялось документам, где затрагивались вопросы хранения и трансграничной передачи данных.
- Выявление «точек пересечения». Мы искали не только очевидные процессы, но и «невидимые» каналы: автоматические интеграции с внешними платформами, единые HR-системы, централизованные CRM — все, где персональные данные могли выходить за пределы России или обрабатываться на серверах за рубежом.
- Верификация инфраструктуры. Совместно с ИТ-отделом уточнили расположение серверов, резервных копий, используемых облаков и компонентов, обеспечивающих доступ к данным из других стран.
- Сопоставление с требованиями законодательства. Все полученные сведения мы сопоставили с положениями 152-ФЗ, разъяснениями РКН и практикой применения требований по локализации, чтобы дать обоснованные выводы.
Что конкретно было сделано:
✅ Провели комплексный аудит обработки ПДн — охватили все процессы, включая внутренние, распределенные между офисами, и внешние, завязанные на централизованные ИТ-системы и взаимодействие с другими юридическими лицами. Отдельно разобрали цепочки передачи данных, где задействованы дочерние и материнские компании.
✅ Проанализировали договорные связи с головной компанией — оценили, кто формально несет ответственность за те или иные операции с данными, в каких случаях российское юрлицо выступает как оператор, а в каких как обработчик. Проверили наличие поручений, условий обработки и трансграничных положений.
✅ Составили детальный отчет о несоответствиях и рисках. Он включал конкретные зоны уязвимости: от пробелов в юридической фиксации до неоднозначной роли зарубежных ИТ-систем, которые могут трактоваться как нарушение требований по локализации данных.
✅ Дали рекомендации по перераспределению ролей. Показали, где нужно формально оформить поручения, в каких случаях необходимо закрепить обязанности за конкретными участниками процесса, а где следует «перевести стрелки»: например, зафиксировать, что обработка осуществляется по поручению, а не по собственной инициативе.
✅ Разработали план упорядочивания документооборота. Предложили, какие ОРД стоит внедрить (или доработать), чтобы вся обработка ПДн была прозрачна, зафиксирована и не вызывала вопросов у проверяющих, как в России, так и в зарубежных юрисдикциях.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Проект не был «типовым». Не было конкретной системы, которую нужно проверить, или типичной схемы HR-документов, которые требовалось доработать.
Вместо этого была сложная сеть бизнес-процессов внутри группы, в которой:
— часть сотрудников подчинялась локальному юрлицу, часть — глобальным структурам,
— данные обрабатывались в централизованных системах, но использовались в дочках,
— не всегда было ясно, кто именно инициирует обработку и кто за нее отвечает.
— данные обрабатывались в централизованных системах, но использовались в дочках,
— не всегда было ясно, кто именно инициирует обработку и кто за нее отвечает.
Это заставило нас буквально картографировать логику обработки: от момента получения персональных данных до их использования, хранения, передачи и удаления. Причем, с учетом требований 152-ФЗ и возможного влияния иностранного законодательства.
Что было нестандартного в этом проекте
Что получил клиент на выходе
📌 Объективную картину происходящего
Клиент получил карту всей обработки данных, включая слабые места, скрытые потоки и запутанные зоны ответственности.
Клиент получил карту всей обработки данных, включая слабые места, скрытые потоки и запутанные зоны ответственности.
📌 Практичные рекомендации по доработке документации и договоров
Четкий список шагов: какие соглашения требуют изменений, где нужно прописать поручения, как юридически грамотно зафиксировать роли оператора и обработчика.
Четкий список шагов: какие соглашения требуют изменений, где нужно прописать поручения, как юридически грамотно зафиксировать роли оператора и обработчика.
📌 Понимание, как законно передавать данные внутри группы
С учетом сложной корпоративной структуры — как выстроить маршруты данных между подразделениями так, чтобы не нарушить требования 152-ФЗ и избежать претензий регуляторов.
С учетом сложной корпоративной структуры — как выстроить маршруты данных между подразделениями так, чтобы не нарушить требования 152-ФЗ и избежать претензий регуляторов.
📌 Базу для разработки ОРД
На выходе — структура и рекомендации для создания организационно-распорядительной документации. Все с опорой на реальные процессы, а не шаблонные бумаги.
На выходе — структура и рекомендации для создания организационно-распорядительной документации. Все с опорой на реальные процессы, а не шаблонные бумаги.
📌 Снижение рисков, особенно по трансграничной передаче
Четкое понимание, где риски высоки, что именно может стать причиной претензий со стороны РКН, и какие меры позволят закрыть эти риски: юридически, организационно и технически.
Четкое понимание, где риски высоки, что именно может стать причиной претензий со стороны РКН, и какие меры позволят закрыть эти риски: юридически, организационно и технически.
📌 Рост зрелости в области комплаенса
Компания сделала важный шаг: из просто работающей структуры она стала ближе к зрелой, осознанной модели обработки ПДн, где есть четкая ответственность, понятные процедуры и уверенность перед проверками.
Компания сделала важный шаг: из просто работающей структуры она стала ближе к зрелой, осознанной модели обработки ПДн, где есть четкая ответственность, понятные процедуры и уверенность перед проверками.
Многие российские компании — это часть более крупных групп. И часто корпоративная ИТ-архитектура, HR или CRM выстроены глобально. Но российское законодательство обязывает локального оператора соблюдать правила, независимо от внутренних политик холдинга.
Этот кейс показал, что:
— даже в самой сложной структуре можно выстроить понятную схему,
— аудит нужен не только в момент проверки, а для снижения фона рисков,
— если роли не закреплены, ответственность оказывается размытой, и на проверке это будет очевидно.
— аудит нужен не только в момент проверки, а для снижения фона рисков,
— если роли не закреплены, ответственность оказывается размытой, и на проверке это будет очевидно.
Проект вела команда Б-152, консультант по защите персональных данных — Влада, при участии Андрея.
Почему это важно для других
Мы умеем разбираться даже в самых ветвистых историях.
Если вы — часть группы компаний и не уверены, как передаются и защищаются ПДн между юрлицами, напишите нам.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме