info@lukash.partners

Защита персональных данных

Проектное сопровождение компаний по законам о персональных данных России, ЕС, стран СНГ, MENA и Азии

"В клиентских задачах я использую весь опыт защиты персональных данных, полученный при сопровождении ТОП банков, девелоперов, ИТ и других компаний"

Денис Лукаш

Управляющий партнер lukash & Partners, профессиональный DPO, юрист в области информационного права

О руководителе

Зачем нужна легализация обработки персональных данных?

Это прямое требование Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и его подзаконных актов. За соблюдением данного закона следит не только Роскомнадзор, но и ФСТЭК, ФСБ, Прокуратура, трудовая инспекция, могут активизироваться и другие органы власти, например, Роспотребнадзор.

За время действия данного закона многократно появлялись новые виды санкций, а штрафы возросли в несколько раз. Сейчас достигают сотен тысяч и миллионов рублей. Поскольку обработка персональных данных тесно связана с бизнес-процессами компании, предписание или требование Роскомнадзора может повлечь серьезные затраты на изменение всего бизнес-направления.

Принципы нашей работы

Наши сотрудники специализируются на проектах в области персональных данных, отслеживают последние изменения законодательства, лучшие практики правоприменения, судебную практику, позиции органов исполнительной власти и экспертных сообществ.

Когда закончим проект, разработанные политики, процедуры, методы защиты не должны мешать быстрому развитию. В работе над проектом уделяем внимание внедрению и управлению процессами обработки персональных данных. За счет грамотной настройки снижается отвлечение внимания на создание новых продуктов и направлений.

Если проект по защите персональных данных выполняется по одной юрисдикции, а заказчик работает в нескольких, это нужно учесть в рамках данного локального проекта. Например, выполнение требований GDPR может стать подтверждением нарушения требований к локализации баз персональных данных. Что бы закрыть проект по GDPR и не допустить нарушений российского законодательства, охват проекта должен быть немного шире.

Обмен персональными данными внутри группы компаний и с внешними компаниями базируется на договорах. Договоры определяют поступление и уход данных из компании, а также цели и возможности обработки данных внутри компании. В случае если консультанты (юристы) дали рекомендации не исследовав договоры - это признак не завершенного проекта.

Качественный проект по персональным данным должен включать ряд задач в области управления рисками персональных данных, создание или внесение изменений в контрольную среду. Отсутствие системной информации о принятых privacy-рисках - признак не завершенного проекта. У специалистов Lukash & Partners есть необходимые компетенции по управлению privacy-рисками, рисками ИБ и смежными юридическими рисками.

Privacy-комплаенс направлен на выполнение нормативных правовых актов. В конечном итоге нужно рассчитывать, что документы по персональным будут рассматриваться административными, правоохранительными или судебными органами. Сам по себе факт отсутствия в проектной команде специализированного юриста создает риск. С другой стороны автоматизация бизнес-процессов и электронные коммуникации требуют понимания работы ИТ-систем и принципов технической защиты конфиденциальной информации. В Lukash & Partners работают юристы и инженеры.

Снижение качества услуг может выражаться в рекомендациях без обоснования, "запутанных" документах, промежуточной или итоговой передаче документов, которые заказчик должен сам корректировать под свои процессы. Часто заказчик услуг понимает это, но не может найти правильных или системных возражений. Мы всегда мотивируем рекомендации, делаем применение требований о персональных данных ясными и бизнес-ориентированными.