Как RocketData соблюдает законы о персональных данных
и управляет своими юридическими рисками 

Координацией всех процессов занимается специалист по внутреннему контролю — Data Protection Officer (DPO). Он отвечает за соблюдение законодательства и корпоративных требований в области защиты персональных данных. 

Компанию сопровождает не только DPO, но и два других юриста: все они прошли обучение в Национальном центре защиты персональных данных (НЦЗПД) и получили государственные свидетельства о повышении квалификации*. Также в команде — три технических специалиста, прошедших аналогичную сертификацию.

— Но защита данных — это не только задача юридического отдела и DPO.
В процесс вовлечен каждый сотрудник RocketData: от менеджеров до разработчиков. Каждый проходит обучение, знакомится с внутренними регламентами и следует установленным правилам в рамках своей зоны ответственности, — отмечает Ольга Шумарева.

В RocketData действует комплексная система защиты персональных данных — это внутренние регламенты, проверки и регулярное обучение сотрудников. 

В RocketData утвержден пакет локальных нормативных актов, регулирующих работу с персональными данными. Среди ключевых документов:

• Политика в отношении обработки персональных данных — базовый документ, определяющий принципы и правила, которых придерживаются клиенты, пользователи сайта, кандидаты на трудоустройство.

• Положение о внутреннем контроле — описывает, как именно и с какой периодичностью проводится проверка соблюдения требований.

• Положение о реестре обработок и Реестр обработок персональных данных — вместе регламентируют ведение и актуализацию информации о всех процессах обработки персональных данных внутри компании.

• Политика обработки персональных данных в трудовой деятельности — регулирует работу с данными сотрудников, кандидатов и при административных процедурах.

• Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) — определяет порядок выдачи и прекращения доступов к тем или иным данным.

Как отмечает Chief Legal Officer RocketData, из-за особенностей корпоративной структуры часть документов утверждается по принципу двойной проверки. Их рассматривают как команда юристов, так и вышестоящий орган управления — путем одобрения на корпоративных процедурах.

В упомянутых документах четко описано, кто и как получает доступ к системам и данным. Каждый сотрудник работает только с тем, что нужно для его задач — лишних прав нет. При увольнении или смене роли доступ автоматически пересматривается и при необходимости отключается.

Действует и Положение о коммерческой тайне. Каждый сотрудник знакомится с ним при устройстве на работе. Документ помимо прочего регламентирует:

• правила работы с паролями и документами;
• доступ в офис и кабинетные помещения;
• использование пропускной системы и физической защиты информации.

За соблюдением регламентов в сфере персональных данных следит Data Protection Officer (DPO). Он ежегодно утверждает план внутренних проверок для подразделений, которые работают с такими данными. По итогам проверок DPO готовит заключение и направляет его директору компании. При этом за соблюдением корпоративной конфиденциальности и коммерческой тайны отвечает корпоративный юрист.

— При необходимости все документы и отчеты по результатам проверки могут быть предоставлены по запросу Национального центра защиты персональных данных (НЦЗПД), — отмечает Ольга.

В компании также действует система регулярного обучения:

• Сотрудники, прошедшие повышение квалификации в НЦЗПД, дважды в год проводят внутренние тренинги для коллег.

• Команда получает информационные письма и напоминания о правилах, изменениях законодательства и новых практиках в сфере защиты данных.

RocketData соблюдает и требования локализации: данные клиентов из России хранятся на серверах в РФ, клиентов из Казахстана и Европы — в Казахстане и Европе соответственно.

В компании RocketData контроль за информационной безопасностью — это постоянный процесс, которым занимается квалифицированные специалисты в штате, — DPO и инженер по защите информации. Для поддержания высокого уровня защиты регулярно проводятся комплексные проверки:

• Квартальный аудит доступа по принципу «наименьших прав» (POLP). Мы проверяем, у кого какие доступы, и сразу закрываем лишние, если они больше не нужны для работы.

• Ежеквартальный аудит систем и компонентов с помощью статического анализа кода и сканирования на известные уязвимости (CVE). Это позволяет оперативно выявлять и устранять потенциальные угрозы.

• Обновление компонентов и систем безопасности проводится в течение недели после выхода новых патчей и обновлений продукта.

• Резервное копирование: данные сохраняются ежедневно и хранятся в защищенном контуре в течение двух недель.

Даже в налаженной системе остаются риски. Чтобы вовремя замечать угрозы и быстро реагировать на инциденты, мы внедрили систему риск-менеджмента с регулярной отчетностью и проактивным контролем.

— Мы опираемся на лучшие практики крупных компаний, в частности практику 2ГИС. Такой подход помогает нам строить процессы по международным и отраслевым стандартам. В рамках риск-менеджмента ежемесячно формируется подробная отчетность. Риск-менеджер собирает данные о всех инцидентах, оценивает их последствия и разрабатывает предложения по предотвращению подобных ситуаций в будущем. 

Для каждого проекта на ранних стадиях мы проводим проверку и оцениваем риски. Это помогает избежать сложностей в процессе и довести проект до результата.

Комплаенс — это соблюдение компанией всех обязательных норм: законов, регуляций, внутренних политик и правил партнеров.

Какие комплаенс-стандарты разработаны в RocketData: 

• Политика по управлению конфликтом интересов;
• Политика по противодействию коррупции;
• Политика по управлению комплаенс-риском;
• Политика в отношении специальных экономических мер;
• Стандарт о порядке обращения с подарками;
• Стандарт по раскрытию работниками конфликта интересов;
• Кодекс корпоративной этики.

Комплаенс-менеджер в RocketData следит за тем, чтобы вся работа с данными клиентов, картами и платформами проходила строго по правилам — без нарушений, рисков блокировок и с соблюдением требований всех сторон.

— Важной частью работы является регулярная комплаенс-проверка контрагентов, которая проводится еженедельно. Таким образом мы минимизируем риски сотрудничества с партнерами и поддерживаем высокие стандарты деловой этики, — пояснила Ольга Шумарева. 

В RocketData защита персональных данных — это не формальность, а встроенная часть корпоративной культуры. Мы выстроили системную работу: назначили ответственных, оформили процессы в документы, регулярно проводим тестирование/аттестацию и обучение сотрудников.