КЕЙС: Как подготовиться к запросу регулятора (Роскомнадзор по ПДн), когда у вас «формальный» DPO у вас по совместительству❔ 〰️ Запрос Роскомнадзора почти всегда становится проверкой не только документов, но и реальной организации процессов внутри компании. Особенно остро это видно там, где ответственный за организацию обработки персональных данных назначен по совместительству: формально функция есть, а по факту времени, ресурсов и полномочий часто не хватает. Что обычно происходит на практике? ➡️в компанию приходит запрос регулятора ➡️руководство срочно вспоминает, кто у них отвечает за ПДн ➡️DPO открывает папку с шаблонами ➡️HR ищет согласия ➡️IT пытается восстановить логику доступов ➡️маркетинг уточняет, на каком основании велись рассылки ➡️юристы в спешке проверяют, что вообще можно отправить вовне В итоге главная проблема — не сам запрос, а отсутствие заранее собранной и согласованной системы. С какими рисками сталкивается компания в такой ситуации? Когда DPO совмещает эту функцию с основной работой, чаще всего страдают не базовые документы, а именно управляемость процесса: 🔵нет актуального Реестра процессов обработки персональных данных (RoPA), 🔵документы существуют, но не совпадают с реальной практикой, 🔵подразделения по-разному понимают, кто и за что отвечает, 🔵сроки ответа начинают «съедаться» внутренними согласованиями, 🔵в ответе регулятору появляются лишние сведения или, наоборот, существенные пробелы. Что стоит сделать заранее, еще до запроса? 1️⃣Определить внутренний штаб реагирования Один DPO по совместительству редко может закрыть весь объем работы самостоятельно. Нужны заранее определенные контактные лица от юридической функции, HR, IT, ИБ, маркетинга и бизнеса. Используйте для этого, например, матрицу RACI. 2️⃣Провести быструю ревизию обязательного минимума Политика обработки ПДн, локальные акты, формы согласий, приказы о назначении ответственного, договоры с поручением обработки, порядок реагирования на инциденты, сведения о трансграничной передаче, если она есть. 3️⃣Сверить документы с реальностью Один из самых частых провалов — «бумажное соответствие» без фактического. Если в политике написано одно, а сайт, CRM, кадровые процессы и маркетинговые механики устроены иначе, это быстро выявляется. 4️⃣Собрать RoPA Какие данные собираются, в каких целях, на каком основании, где хранятся, кто имеет доступ, кому передаются, каков срок хранения. Без такого Реестра подготовка ответа превращается в хаотичный сбор сведений. 5️⃣Подготовить шаблон ответа на запрос регулятора Не универсальный «рыбу-документ», а рабочую структуру: кто собирает фактуру, кто проверяет правовые формулировки, кто утверждает финальный ответ, кто контролирует срок. 6️⃣Провести внутреннюю репетицию Даже простая «тестовая ролевка» показывает, где узкие места: у кого нет документов, кто не понимает основания обработки, где отсутствуют доказательства исполнения обязанностей. ЧТО ВАЖНО ПОМНИТЬ Если DPO у вас по совместительству, это само по себе НЕ нарушение. Но такая модель требует особенно четкого распределения ролей, регулярной актуализации документов и управляемого процесса подготовки ответа. Регулятор оценивает не название должности, а то, насколько компания реально контролирует обработку персональных данных. Готовиться нужно не «к письму из Роскомнадзора», а к тому, что любой запрос покажет реальное состояние compliance-функции. И если DPO совмещает несколько ролей, отсутствие системы почти всегда становится заметно первым. Слишком сложно? Если вы понимаете, что сами не справитесь, оставляйте заявку на аутсорсинг функции DPO, сделаем все за вас 😎 😎