Мы проанализировали все точки сбора персональных данных: оформление заказов на сайте, регистрацию личного кабинета, формы обратной связи, маркетинговые рассылки, взаимодействие с подрядчиками. Для каждого процесса определили состав персональных данных, цели обработки, правовые основания и сроки хранения информации.
2. Выстроили правовую модель обработки данных.
Мы отказались от формального подхода, при котором согласие используется для любых действий с персональными данными. Для каждого процесса были определены реальные правовые основания обработки. Часть согласий была исключена как избыточная, остальные процессы получили надлежащее правовое обоснование.
Был сформирован единый реестр обработки персональных данных, позволяющий компании в любой момент подтвердить законность своих действий перед Роскомнадзором.
3. Урегулировали передачу данных подрядчикам.
Отдельное внимание уделили подрядчикам, которые получали доступ к персональным данным клиентов. Мы определили все случаи передачи данных третьим лицам, подготовили необходимую документацию и выстроили порядок взаимодействия с подрядчиками в соответствии с требованиями законодательства.
4. Разработали полный пакет документов.
Для заказчика был подготовлен пакет документов, включающий:
- политику обработки персональных данных;
- положение об организации обработки персональных данных;
- приказы и внутренние регламенты;
- формы согласий для отдельных процессов;
- шаблоны ответов субъектам персональных данных;
- документы по уничтожению персональных данных;
- комплект документов для дальнейшей работы компании.
5. Актуализировали уведомление Роскомнадзора.
Мы подготовили и направили изменения в уведомление об обработке персональных данных, приведя его в соответствие с фактическими процессами компании.