Выстраиваем безопасную систему работы
с персональными данными

для медицинских компаний

онлайн-школ

e-commerce

через защиту процессов, репутации и денег

Помогаем расти, спокойно проходить проверки Роскомнадзора и предотвращать штрафы до 15 млн ₽

Кому нужна защита персональных данных

Polegis - 11 лет практики
в защите бизнеса

100+
кейсов по защите персональных данных
30
дней
средняя скорость выстраивания системы защиты ПДн в вашем бизнесе
0
шаблонных решений

Сергей Кормилицин

Юрист, основатель Юридического бутика Polegis, амбассадор Ассоциации компаний по защите персональных данных, спикер.
Популяризирует защиту персональных данных для бизнеса в РФ.
Специализируется на юридическом сопровождении медицинского, e-com и IT-бизнеса 15 лет.  
Ключевые направления:
Создание систем защиты персональных данных и интеллектуальной собственности бизнеса.
Решение нестандартных задач медицинского, e-com и IT-бизнеса: от точечной настройки под отдельные процессы до сопровождения сделок.
Обучение команд правилам работы с персональными данными.
Образование:
Российский государственный университет правосудия имени В.М. Лебедева

Нам доверяют

Интернет-магазин фермерских продуктов
Интернет-магазин деликатесов
Аренда загородного пространства для кэмпов и тимбилдингов
Типография полного цикла
IT-платформа для организации корпоративных мероприятий и коммуникации сотрудников
Магазин по продаже внутриигровых товаров
Закупка и продажа оборудования из Китая
Платформа для реализации телеком оборудования
Инновационная стоматологическая клиника для взрослых и детей
Благотворительный фонд помощи детским домам и интернатам
Фирменное джелато собственного производства от Елены Набиуллиной
Сеть офтальмологических клиник
Клиника женского здоровья и молодости. Место, созданное врачом и женщиной
Аналитический центр ААИ ГСМ
Научные исследования в области горюче-смазочных материалов

Продуктовая линейка по защите персональных данных

Корпоративный стандарт

Стоимость:
по запросу
Полноценная система управления персональными данными для среднего и крупного бизнеса.
Выстраиваем постоянную систему управления, а не разовый проект. Работаем вместе с вашей IT-командой, чтобы безопасность была на всех уровнях.
Результат:
Выстроена комплексная система защиты данных.
Компания готова к проверкам РКН.
Минимизированы риски штрафов и блокировок.
Внедрено централизованное управление данными.
Подходит: компаниям с повышенными требованиями к безопасности и комплаенсу.

Базовый стандарт

Стоимость:
по запросу
Обязательный минимум по защите персональных данных во всей компании.
Выстроим необходимый минимум во всей компании за 30 дней. Это стабильное соответствие закону, но без выделенного специалиста по защите данных.
Результат:
Закрыты риски в ключевых бизнес-процессах.
Внедрена безопасная обработка персональных данных.
Компания готова к проверкам Роскомнадзора.
Минимизирован риск штрафов.
Подходит: растущему бизнесу и компаниям из регулируемых отраслей.

Безопасный сайт

Стоимость:
50 000 ₽
Приводим сайт в соответствие требованиям законодательства о персональных данных.
Разрабатываем документы под ваш сайт, а не используем шаблоны. Услуга закрывает риски именно онлайн-сбора и не затрагивает работу внутри компании (CRM, сотрудники).
Результат:
Закрыты основные риски онлайн-сбора данных.
Минимизирован риск жалоб и штрафов.
Сайт соответствует обязательным требованиям закона.
Усилено доверие клиентов.
Подходит: компаниям, которые собирают заявки через сайт.

Экспресс-диагностика

Стоимость:
20 000 ₽
Точка входа, чтобы понять текущее состояние.
Формат: онлайн-конференция. Даем письменное заключение, в котором описаны риски и штрафы, и что сделать, чтобы их устранить самостоятельно.
Результат:
Выявлены ключевые нарушения.
Определены критичные риски.
Подготовлен план устранения нарушений.
Экспресс-диагностика - это оценка текущего положения дел и маршрутная карта для самостоятельной работы.
Подходит: малому бизнесу или тем, кто хочет попробовать формат.

Наши кейсы

Стоматология InLine
Жилищно-строительный кооператив
Интернет-магазин продуктов
Мобильное приложение
Стоматология InLine (Москва)

Защитили персональные данные в стоматологической клинике

Предотвратили штрафы на 2,3 млн ₽
Медицина
Полный аудит
Проблема:
После аудита выявлены нарушения на сайте и во внутренних процессах. Потенциальный риск штрафов составлял от 850 тыс. до 2,3 млн ₽.
Что сделали:
Провели аудит, актуализировали данные для РКН, разработали комплект документов и выстроили систему обработки персональных данных.
Результат:
Подготовлен полный комплект документации.
Клиника готова к проверкам Роскомнадзора.
Минимизирован риск штрафов до 15 млн ₽.
Устранены ключевые риски нарушений.
СЖК (ЖСК) — управление многоквартирными домами

ЖСК под риском штрафов: навели порядок в персональных данных

Предотвратили штрафы на 2,5 млн ₽
ЖКХ
Полный аудит
Проблема:
У кооператива отсутствовали обязательные документы по персональным данным. При первичной оценке выявлен риск штрафов до 2,5 млн ₽.
Что сделали:
Провели аудит процессов обработки ПДн, определили категории субъектов и правовые основания, сформировали единый реестр обработки данных и разработали полный комплект документов для Роскомнадзора.
Результат:
Подготовлен полный пакет документации по ПДн.
Все процессы обработки данных структурированы и обоснованы.
Риски штрафов минимизированы.
Организация готова к проверкам РКН.
Интернет-магазин по доставке продуктов питания

Привели обработку персональных данных в соответствие с законом и снизили риск штрафов

Предотвратили штрафы на 5 млн ₽
Электронная коммерция
Полный аудит
Проблема:
Уведомление в РКН подано формально и не отражало реальные процессы. Отсутствовали правовые основания для обработки, передача данных подрядчикам не оформлена.
Что сделали:
Провели аудит, выстроили правовую модель, урегулировали передачу данных подрядчикам, разработали полный комплект документов и актуализировали уведомление РКН.
Результат:
Подготовлен полный пакет документации.
Все процессы структурированы и приведены в соответствие с законом.
Передача данных подрядчикам надлежащим образом оформлена.
Компания получила понятный алгоритм безопасной работы с ПДн.
Мобильное приложение (инвестиционный проект)

Мобильное приложение под инвестиции: как устранили риски в сфере персональных данных

IT
Полный аудит
Проблема:
Приложение готовилось к привлечению инвестиций и прохождению процедуры Due Diligence, но вопросы обработки ПДн ранее не прорабатывались. Документация отсутствовала, что создавало риски при проверке инвесторами.
Что сделали:
Провели аудит, проверили инфраструктуру хранения, выстроили правовую модель, разработали комплект документов и подготовили уведомление в РКН.
Результат:
Подготовлен полный пакет документации.
Все процессы структурированы и приведены в соответствие с законом.
Использование сервисов аналитики и push-уведомлений документально обосновано.
Подготовлена юридическая база для прохождения Due Diligence.
Защита персональных данных в стоматологической клинике
Знакомьтесь — стоматология InLine. Клиника расположена в Москве, на рынке 4 года. Оказывают весь спектр стоматологических услуг для взрослых и детей.
Ситуация ДО работы с Polegis
Ситуация типовая: документы есть, но они существуют отдельно от реальных бизнес-процессов.
На сайте:
  • Опубликована типовая политика обработки персональных данных: не указаны все цели сбора, не прописаны субъекты (чьи данные собираются) и категории собираемых данных.
  • Присутствуют формы сбора данных без согласия на обработку.
  • Нет отдельного согласия на рекламную рассылку.
Внутренние процессы:
  • Уведомление в РКН подано формально, без всех целей обработки. Это приравнивается к отсутствию уведомления.
  • Отсутствует комплект организационно-распорядительной документации и локальных актов по защите персональных данных.
При проверке или запросе Роскомнадзора клиника не смогла бы оперативно подготовить ответ или выстроить защиту. Руководство знало о высоких штрафах и рисках на сайте, но полагалось на разработчиков в части подготовки документов для онлайн-контура.
По итогам аудита только в публичном поле (то, что видно через сайт и открытые источники) риски штрафов оценены в 850 000 — 2 300 000 рублей. При выездной проверке РКН сумма могла бы быть значительно выше.
Как мы работали
Провели аудит сайта:
  • Разобрали все точки сбора персональных данных: формы записи, обратной связи, онлайн-консультаций.
  • Выявили нарушения, которые являются триггерами для проверок Роскомнадзора.
  • Зафиксировали юридические риски и связали их с потенциальными штрафами.
Скорректировали данные для подачи в РКН:
  • Переработали цели обработки персональных данных под реальные процессы клиники.
  • Устранили расхождения между фактической деятельностью и поданным уведомлением.
  • Привели уведомление в состояние, при котором оно действительно защищает, а не создаёт дополнительные риски.
Подготовили четкий план работ:
  • Разбили процесс на этапы с понятными результатами.
  • Определили приоритетные зоны риска: сайт, документы, внутренние процессы.
Создали реестр процессов обработки персональных данных:
  • Описали, какие данные, где и зачем собираются.
  • Зафиксировали все категории субъектов (пациенты, сотрудники и др.).
  • Связали каждый процесс с правовым основанием обработки.
Разработали и дополнили документы:
  • Описали, какие данные, где и зачем собираются.
  • Привели политику обработки ПДн в соответствие с реальной деятельностью.
  • Подготовили согласия под конкретные цели (включая маркетинг).
  • Разработали комплект локальных актов для внутренней защиты. Всего подготовили около 15 документов.
  • Связали каждый процесс с правовым основанием обработки.
Сделали текст для Cookies:
  • Учли требования законодательства и практику проверок.
  • Убрали формальные и «пустые» формулировки.
  • Сделали текст, который реально снижает риск претензий.
Передали документы с инструкцией по применению:
  • Объяснили, какие документы и в каких случаях использовать.
  • Дали алгоритмы действий при запросах и проверках.
  • Убрали зависимость от внешнего юриста в ежедневной работе.
Результат
Сформирована базовая документация по персональным данным — стройная и логичная.
Система готова к проверке: в случае запроса достаточно открыть папку и показать документы.
Риски штрафов (в публичном поле — до 2,3 млн рублей, при выездной проверке — до 15 млн) локализованы за счёт легитимизации всех процессов.
ЖСК под риском штрафов: как навели порядок в персональных данных
Проблема
К нам обратился жилищно-строительный кооператив, который управляет многоквартирными домами. До начала работы с нами у кооператива не было никакой документации по персональным данным: ни политики, ни внутренних документов, которые должны быть в соответствии с законом.
Риск штрафов при первичном аудите был оценён в 2 500 000 рублей.
Почему это критично?
Жилищная сфера вместе с медициной, туризмом и онлайн-образованием относится к приоритетным направлениям, которые проверяет Роскомнадзор. Здесь всегда обрабатывается много данных граждан, и нарушения находят чаще всего. Сфера ЖКУ находится под особым вниманием регулятора.
В таких организациях всегда есть:
  • Реестры жильцов.
  • Паспортные данные.
  • Информация о собственности.
Это прямой триггер для проверок.
Что мы сделали?
1. Провели аудит:
Мы начали с аудита деятельности заказчика. Определили, чьи данные обрабатываются и какие именно категории, а также установили правовые основания обработки.
Важный момент: в разработанных документах отсутствует согласие на обработку персональных данных. Мы определили другие основания: либо договор, либо законные основания. Деятельность ЖСК устроена так, что согласия здесь практически никогда не нужны.
ЖСК не нужно подписывать лишнюю «бумагу».
2. Зафиксировали все процессы обработки данных в одном реестре.
Теперь кооператив в любой момент может обосновать РКН, какие данные и на каком основании он обрабатывает. Прописали каждую категорию субъектов:
  • Члены ЖСК.
  • Жители дома, которые не вступали в кооператив, но получают жилищно-коммунальные услуги.
  • Работники.
  • Физлица, с которыми кооператив вступает в отношения.
Для каждой категории мы зафиксировали свои основания для обработки данных.
3. Разработали полный пакет документов.
Мы создали всю необходимую документацию:
  • Политику в отношении обработки данных.
  • Приказы и акт оценки вреда.
  • Образцы на будущее (акт уничтожения персональных данных, ответ на запрос субъекта).
  • Положение по организации обработки персональных данных.
  • Журнал регистрации обращений.
  • Отдельный комплект документов для работников.
Результат
У ЖСК появился полный комплект документов.
Все процессы обработки персональных данных структурированы и обоснованы.
Устранены ключевые риски, за которые чаще всего привлекает к ответственности Роскомнадзор.
Организация готова к проверке и может уверенно отвечать на запросы регулятора.
Риск штрафов до 2,5 млн рублей сведён к минимуму.
Если у вас ЖСК или управляющая компания и нет уверенности, что с персональными данными всё в порядке — пишите (https://t.me/sk_advokat), разберем вашу ситуацию и поможем.
Интернет-магазин продуктов: как привели обработку персональных данных в соответствие с законом и снизили риск штрафов более чем на 5 млн рублей
Проблема
К нам обратился интернет-магазин по доставке продуктов питания. Компания активно работала с клиентской базой, принимала заказы через сайт и мобильные сервисы, использовала персональные данные покупателей для оформления заказов, доставки и взаимодействия с клиентами.
При этом система работы с персональными данными формировалась постепенно и никогда комплексно не проверялась на соответствие требованиям законодательства.
Риск штрафов при первичном аудите был оценён более чем в 5 000 000 рублей.
Почему это критично?
Электронная коммерция относится к числу сфер, которые регулярно попадают в поле зрения Роскомнадзора. Интернет-магазины ежедневно обрабатывают большие объёмы персональных данных граждан:
  • ФИО покупателей.
  • Номера телефонов.
  • Адреса электронной почты.
  • Адреса доставки.
  • Историю заказов.
  • Данные программ лояльности и маркетинговых коммуникаций.
При этом большинство нарушений связано не с утечками данных, а с отсутствием надлежащего оформления процессов обработки персональных данных и ошибками в документации.
Что показал аудит?
В ходе проверки мы выявили несколько существенных нарушений.
  • Уведомление об обработке персональных данных было подано в Роскомнадзор формально и не отражало реальные процессы компании. Часть категорий персональных данных и операций по их обработке в уведомлении отсутствовала.
  • В компании не были определены правовые основания для отдельных процессов обработки персональных данных. В ряде случаев использовались согласия, которые по закону не требовались, а некоторые процессы вообще не имели надлежащего правового обоснования.
  • Персональные данные клиентов передавались подрядчикам (доставка, техническое сопровождение, маркетинг) без оформления необходимой документации и распределения ответственности между сторонами.
Что мы сделали?
1. Провели аудит:
Мы проанализировали все точки сбора персональных данных: оформление заказов на сайте, регистрацию личного кабинета, формы обратной связи, маркетинговые рассылки, взаимодействие с подрядчиками. Для каждого процесса определили состав персональных данных, цели обработки, правовые основания и сроки хранения информации.
2. Выстроили правовую модель обработки данных.
Мы отказались от формального подхода, при котором согласие используется для любых действий с персональными данными. Для каждого процесса были определены реальные правовые основания обработки. Часть согласий была исключена как избыточная, остальные процессы получили надлежащее правовое обоснование.
Был сформирован единый реестр обработки персональных данных, позволяющий компании в любой момент подтвердить законность своих действий перед Роскомнадзором.
3. Урегулировали передачу данных подрядчикам.
Отдельное внимание уделили подрядчикам, которые получали доступ к персональным данным клиентов. Мы определили все случаи передачи данных третьим лицам, подготовили необходимую документацию и выстроили порядок взаимодействия с подрядчиками в соответствии с требованиями законодательства.
4. Разработали полный пакет документов.
Для заказчика был подготовлен пакет документов, включающий:
  • политику обработки персональных данных;
  • положение об организации обработки персональных данных;
  • приказы и внутренние регламенты;
  • формы согласий для отдельных процессов;
  • шаблоны ответов субъектам персональных данных;
  • документы по уничтожению персональных данных;
  • комплект документов для дальнейшей работы компании.
5. Актуализировали уведомление Роскомнадзора.
Мы подготовили и направили изменения в уведомление об обработке персональных данных, приведя его в соответствие с фактическими процессами компании.
Результат
Компания получила полный комплект документов по персональным данным.
Все процессы обработки данных структурированы и приведены в соответствие с требованиями законодательства.
Передача персональных данных подрядчикам оформлена надлежащим образом.
Устранены ключевые нарушения, которые чаще всего становятся основанием для привлечения интернет-магазинов к ответственности.
Компания получила понятный алгоритм безопасной работы с персональными данными.
Риск штрафов на сумму более 5 млн рублей сведён к минимуму.
Мобильное приложение под инвестиции: как устранили риски в сфере персональных данных
Проблема
К нам обратился разработчик мобильного приложения, который готовился к привлечению инвестиций и прохождению процедуры Due Diligence. Приложение уже использовалось пользователями и обрабатывало персональные данные через механизмы регистрации, систему push-уведомлений, а также сторонние сервисы аналитики и оценки пользовательской активности. При этом вопросы обработки персональных данных ранее системно не прорабатывались.
Для инвесторов это является существенным риском, поскольку нарушения законодательства о персональных данных могут привести не только к штрафам, но и к дополнительным вопросам в ходе проверки бизнеса, а также повлиять на инвестиционную привлекательность проекта. Основной задачей было привести процессы обработки персональных данных в соответствие с законодательством и подготовить необходимую документацию для проверки инвесторами.
Современные мобильные приложения обрабатывают значительно больше данных, чем кажется на первый взгляд. Помимо регистрационных данных пользователей, приложение использовало сторонние сервисы аналитики, инструменты оценки поведения пользователей и систему push-уведомлений для взаимодействия с клиентами. Это означает, что обработка персональных данных осуществляется не только внутри приложения, но и с привлечением внешних сервисов и технических платформ.
При проведении Due Diligence инвесторы оценивают не только финансовые показатели компании, но и юридические риски проекта. Отсутствие документации по персональным данным, непонимание процессов обработки информации или ошибки в работе со сторонними сервисами могут стать основанием для дополнительных вопросов и замечаний в рамках проверки.
Что мы сделали?
1. Провели аудит обработки персональных данных.
Мы проанализировали все процессы обработки данных в мобильном приложении и определили:
  • какие данные собираются при регистрации пользователей;
  • какие сведения используются сервисами аналитики;
  • каким образом осуществляется взаимодействие с пользователями через push-уведомления;
  • какие сторонние сервисы участвуют в обработке информации;
  • где и как хранятся персональные данные пользователей.
Для каждого процесса были определены цели обработки данных, состав обрабатываемой информации и правовые основания.
2. Проверили инфраструктуру хранения данных.
Мы получили информацию о серверах и технической инфраструктуре проекта, проанализировали порядок хранения персональных данных и применяемые меры защиты информации. Это позволило привести документацию в соответствие с фактическими процессами работы приложения и исключить расхождения между документами и реальной деятельностью компании.
3. Выстроили правовую модель обработки данных.
Отдельное внимание уделили процессам, связанным со сторонними сервисами аналитики и взаимодействием с пользователями через push-уведомления. Мы определили правовые основания обработки персональных данных, проверили корректность используемых механизмов и зафиксировали все процессы в документации компании.
4. Разработали полный пакет документов.
Для заказчика был подготовлен пакет документов, включающий:
  • политику обработки персональных данных;
  • положение об организации обработки персональных данных;
  • внутренние регламенты и приказы;
  • шаблоны документов для дальнейшей работы компании.
Документация была подготовлена с учетом требований законодательства и возможной проверки со стороны инвесторов.
5. Подготовили уведомление в Роскомнадзор.
Мы подготовили и направили уведомление об обработке персональных данных в Роскомнадзор, отразив в нем реальные процессы обработки данных и особенности работы мобильного приложения.
Результат
Компания получила полный комплект документов по персональным данным.
Все процессы обработки данных структурированы и приведены в соответствие с требованиями законодательства.
Использование сервисов аналитики и механизмов взаимодействия с пользователями надлежащим образом документировано.
Подготовлена юридическая база для прохождения Due Diligence со стороны потенциальных инвесторов.
Руководство получило четкое понимание того, какие данные собираются, где хранятся и на каких основаниях обрабатываются.
Устранены основные риски, связанные с претензиями Роскомнадзора и пользователей.
Подано уведомление об обработке персональных данных в Роскомнадзор.
Дополнительно мы подготовили рекомендации по дальнейшему сопровождению проекта, чтобы при развитии приложения, подключении новых сервисов и внедрении новых функций компания могла своевременно учитывать требования законодательства о персональных данных и сохранять соответствие установленным требованиям.

Медиацентр Polegis

Делимся практикой, разбираем реальные кейсы и объясняем сложные вопросы защиты персональных данных простым языком.

Получите экспертную оценку

Проконсультируем по вопросам обработки персональных данных, проверок Роскомнадзора и выстраивания системы защиты данных в компании.