Время работы: пн. - пт. 9.00 - 18.00
Комплексный аудит системы обработки персональных данных Level Travel и корректировка документации
Клиент
Level.Travel – сервис онлайн-бронирования туров для пользователей и система сбора аналитики для туроператоров. Компания первой на рынке создала технологию онлайн-поиска туров на основе интеграции с туроператорами и собственной базы данных. Исследования запросов позволяют точно прогнозировать спрос для оптимизации тура. На платформе запускали продажи туров Яндекс, Мегафон, Связной, OneTwoTrip. Большинство российских туроператоров работают на технических регламентах Level.Travel.
Задача
Клиент в рамках поддержки работы сервиса Level.Travel администрирует базу данных, содержащую значительное число данных о пользователях сервиса и туристах, а также осуществляет трансграничную передачу данных (в связи с основной функцией сервиса - бронированием билетом и отелей, в том числе, за рубежом). Клиентом ранее был оформлен комплект документов по обработке и защите персональных данных. Тем не менее, с учетом изменений в законодательстве о персональных данных за последние 5 лет, клиенту требовался комплексный аудит сайтов и мобильных приложений клиента на соблюдение требований законодательства о перс. данных, выявление и нейтрализация рисков, корректировка имеющихся документов по обработке перс. данных и подготовка недостающих документов. Аудит был актуален, в том числе, в связи с кратно возрастающими штрафами за нарушение правил обработки перс. данных и многомиллионными штрафами за их утечку. Для реализации комплексного проекта были привлечены юристы нашей компании
Решение
На первом этапе юристами нашей компании был проведен подробный аудит существующей в организации системы обработки персональных данных (ПДн), включая информационные системы с ПДн пользователей сайта, заказчиков туристских продуктов, операторов колл-центра и сотрудников. Также были проверены механизмы сбора согласий субъектов ПДн на обработку их ПДн с помощью сайта и мобильных приложений клиента, а также наличие согласие на распространение перс. данных. Далее был проведен анализ и корректировка существующего в каждой компании группы комплекта документации по обработке ПДн, включая положения, политики, инструкции, приказы и акты. По результатам проведенного анализа имеющиеся документы были скорректированы (в частности, отражены дополнительные цели обработки ПДн, сведения об используемых информационных системах ПДн), а недостающие - разработаны. Также выполнена проверка и корректировка имеющихся документов о видеонаблюдении за сотрудниками на предприятии (в части обработки ПДн)
Результат
Важность проекта для бизнеса клиента: проведен комплексный аудит и корректировка полного комплекта документов по обработке персональных данных, что значительно снижает риски инцидентов с перс. данными и последующих проверок Роскомнадзора и, соответственно, репутационные и финансовые последствия для клиента. Важность проекта для правовой системы в целом: соблюдение тревел-сервисами законодательства о персональных данных, что снижает риски проверок и создания негативной практики в этой сфере. В ходе реализации проекта обеспечено полное соблюдение применимого законодательства о персональных данных