menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2025
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Как разработчику корпоративного SaaS-продукта удалось подтвердить соответствие требованиям законодательства о ПДн и укрепить доверие клиентов

кейсы
13.01.2023
Один из ведущих разработчиков решений для цифровизации документооборота и управления бизнес-процессами обратился к нам с задачей: обеспечить полное соответствие флагманского продукта требованиям законодательства о персональных данных и минимизировать юридические риски при работе с клиентскими данными.
Компания активно масштабируется: ее облачное решение используется десятками организаций по всему региону Восточной Европы и Центральной Азии. При этом часть клиентских данных обрабатывается на инфраструктуре, которую контролирует сам разработчик.
Для выхода на крупные корпоративные контракты, особенно с государственным участием, требовалось документально подтвердить соответствие требованиям по защите данных и выстроить корректную правовую модель.
18/12/25
Б-152
Кейсы
События /
Соответствие ПДн и доверие клиентов: опыт разработчика SaaS
Выводы для других SaaS-разработчиков
Что получил клиент
Как проходила работа
С чем столкнулся разработчик
Содержание
Выводы для других SaaS-разработчиков
Что получил клиент
Как проходила работа
С чем столкнулся разработчик
Содержание

С чем столкнулся разработчик

На первый взгляд, задача выглядела стандартно: внутри компании обрабатываются только данные сотрудников.
Однако продукт не обычное коробочное ПО, а облачная платформа, через которую клиенты управляют своими внутренними документами, в том числе содержащими персональные данные.
Возникал ключевой риск: без четких договоренностей и технических разграничений регулятор может признать разработчика не просто исполнителем, а самостоятельным оператором персональных данных, с полным набором обязанностей и ответственностью.
Кроме того, платформа используется в нескольких странах, где требования к защите данных отличаются. Необходимо было учесть это в общей системе управления рисками и договорных отношениях.

Как проходила работа

Шаг 1. Комплексный аудит обработки данных
Начали с анализа процессов и ИТ-архитектуры: какие данные проходят через систему, кто имеет доступ, где они хранятся, как осуществляется передача между средами и клиентами.
Шаг 2. Интервью с командами
Провели серию рабочих сессий с техническими и юридическими специалистами клиента. Выяснили реальные сценарии использования платформы, особенности интеграций и типовые модели развертывания решений у заказчиков.
Шаг 3. Анализ требований разных юрисдикций
Помимо национального законодательства, учли нормы соседних стран, где размещаются заказчики. Это позволило выстроить единую модель обработки данных, понятную и применимую во всем регионе.
Шаг 4. Юридическая квалификация ролей
Подробно определили, в каких случаях компания выступает как обработчик данных по поручению, а в каких может нести ответственность как оператор. Это легло в основу корректных договорных формулировок.
Шаг 5. Обновление договорной базы
Разработали рекомендации и новые версии лицензионных и сервисных соглашений. Формулировки однозначно закрепляют статус компании как обработчика и описывают порядок обработки данных по поручению клиентов.
Шаг 6. Разработка организационно-распорядительной документации
Подготовили адаптированный пакет документов: от политики безопасности до шаблонов инструкций для сотрудников. Все материалы увязаны с реальной архитектурой и рабочими процессами.
Шаг 7. Визуализация и автоматизация через платформу управления комплаенсом
Результаты аудита и документы были интегрированы в систему внутреннего контроля: клиент получил интерактивную карту соответствия, реестр рисков и план корректирующих действий в цифровом виде.

Что получил клиент

✅ Заключение о соответствии — официальное подтверждение того, что продукт и процессы отвечают требованиям законодательства о персональных данных.
✅ Прозрачная ролевая модель — четко определен статус компании как обработчика данных, снижены риски ошибочной квалификации как оператора.
✅ Минимизация юридических рисков — устранены потенциальные основания для административной ответственности.
✅ Рост доверия клиентов — особенно среди крупных заказчиков и компаний, находящихся под вниманием регуляторов.
✅ Системность процессов — команда получила понятные документы, инструкции и готовые аргументы для коммуникации с клиентами по вопросам защиты данных.

Выводы для других SaaS-разработчиков

Если вы управляете инфраструктурой, где обрабатываются клиентские данные, то вы участвуете в их обработке, даже если это не входит в ваши прямые цели.
Без корректных договорных формулировок вы можете быть признаны оператором данных со всеми последствиями.
Поэтому:
  • включайте четкие положения об обработке данных в лицензионные и сервисные соглашения;
  • описывайте архитектуру и потоки данных в документации;
  • обеспечивайте соответствие не только национальному, но и региональным нормам, если работаете за пределами страны.
Комплексная правовая проработка и внутренняя систематизация процессов повышают доверие заказчиков и защищают бизнес от регуляторных рисков.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме