Как разработчику корпоративного SaaS-продукта удалось подтвердить соответствие требованиям законодательства о ПДн и укрепить доверие клиентов

Один из ведущих разработчиков решений для цифровизации документооборота и управления бизнес-процессами обратился к нам с задачей: обеспечить полное соответствие флагманского продукта требованиям законодательства о персональных данных и минимизировать юридические риски при работе с клиентскими данными.

Компания активно масштабируется: ее облачное решение используется десятками организаций по всему региону Восточной Европы и Центральной Азии. При этом часть клиентских данных обрабатывается на инфраструктуре, которую контролирует сам разработчик.

Для выхода на крупные корпоративные контракты, особенно с государственным участием, требовалось документально подтвердить соответствие требованиям по защите данных и выстроить корректную правовую модель.

18/12/25

Б-152

На первый взгляд, задача выглядела стандартно: внутри компании обрабатываются только данные сотрудников.

Однако продукт не обычное коробочное ПО, а облачная платформа, через которую клиенты управляют своими внутренними документами, в том числе содержащими персональные данные.

Возникал ключевой риск: без четких договоренностей и технических разграничений регулятор может признать разработчика не просто исполнителем, а самостоятельным оператором персональных данных, с полным набором обязанностей и ответственностью.

Кроме того, платформа используется в нескольких странах, где требования к защите данных отличаются. Необходимо было учесть это в общей системе управления рисками и договорных отношениях.

Начали с анализа процессов и ИТ-архитектуры: какие данные проходят через систему, кто имеет доступ, где они хранятся, как осуществляется передача между средами и клиентами.

Провели серию рабочих сессий с техническими и юридическими специалистами клиента. Выяснили реальные сценарии использования платформы, особенности интеграций и типовые модели развертывания решений у заказчиков.

Помимо национального законодательства, учли нормы соседних стран, где размещаются заказчики. Это позволило выстроить единую модель обработки данных, понятную и применимую во всем регионе.

Подробно определили, в каких случаях компания выступает как обработчик данных по поручению, а в каких может нести ответственность как оператор. Это легло в основу корректных договорных формулировок.

Разработали рекомендации и новые версии лицензионных и сервисных соглашений. Формулировки однозначно закрепляют статус компании как обработчика и описывают порядок обработки данных по поручению клиентов.

Подготовили адаптированный пакет документов: от политики безопасности до шаблонов инструкций для сотрудников. Все материалы увязаны с реальной архитектурой и рабочими процессами.

Результаты аудита и документы были интегрированы в систему внутреннего контроля: клиент получил интерактивную карту соответствия, реестр рисков и план корректирующих действий в цифровом виде.

Проект начался с интервью и аудита: мы детально собрали информацию о бизнес-процессах, механизмах обработки ПДн, архитектуре доступа и типах данных. На основе аудита сформировали карту зон риска и приоритетов.

Далее был аудит и ревью комплекта документации. Мы уделили особое внимание адаптации документов под специфику ИТ-продукта, чтобы они не просто соответствовали закону, но и реально поддерживали рабочие процессы.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

✅ Клиент получил обновленный комплект ОРД, адаптированный под архитектуру продукта и структуру компании
✅ Снижен риск нарушений и правовых разрывов
✅ Сформирован фундамент для дальнейшего роста: документация учитывает масштабируемость и развитие продукта

Многие ИТ-продукты на рынке сталкиваются с аналогичной ситуацией: персональные данные обрабатываются в разных модулях, через API, внешние системы и с участием подрядчиков. Без должной экспертизы такие процессы сложно описать, не говоря уже о защите.

Кейс с «1С-Битрикс» показывает: даже при высокой технологичности продукта можно выстроить понятную и законную схему работы с ПДн. Главное — подойти к задаче не шаблонно, а в контексте конкретного продукта.

,

,

Проведем аудит и подготовим документацию, которая работает — а не просто лежит в папке

Не ждите проверки или инцидента — сделайте защиту ПДн частью архитектуры вашего продукта

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Материалы по теме