Алексей Мунтян, DHL Express: «Для соответствия новым регулятивным требованиям необходимо проанализировать работу казначейства»

Алексей Мунтян, эксперт по защите персональных данных и информационной безопасности DHL Express, рассказал CFO Russia, что должны учесть компании для приведения деятельности казначейства в соответствие с требованиями GDPR (General Data Protection Regulation – Общий регламент по защите данных – прим. ред.).

На работу казначейства каких российских компаний влияет GDPR?

От General Data Protection Regulation (EU) 2016/679 зависят только те компании, которые собирают и обрабатывают персональные данные лиц, находящихся на территории Евросоюза и некоторых стран Европейской ассоциации свободной торговли. GDPR регулирует бизнес-деятельность организаций, которые предлагают и реализуют продукты и услуги для резидентов ЕС и ЕАСТ. Это коммерческие операции, поэтому требования GDPR затрагивают деятельность казначейства.

Когда в DHL Express начали обрабатывать персональные данные согласно этим требованиям?

DHL Express – часть международной группы Deutsche Post DHL, и наши европейские коллеги работают в рамках GDPR с момента его вступления в силу в мае 2018 года. Группа российских компаний DHL Express под требования этого регламента не подпадает, поскольку область оказания наших услуг – Российская Федерация.

Что должны учесть компании для успешного приведения деятельности казначейства в соответствие с требованиями GDPR? Как справились с этим вызовом в вашей организации?

Если говорить о российской группе компаний, мы обошлись рядом юридических, организационных и информационных мероприятий, в том числе провели обучающие мероприятия внутри компании. Как часть группы Deutsche Post DHL мы обязаны выполнять требования нашей глобальной политики по приватности и защите персональных данных. Но основную нагрузку несут на себе коллеги, которые работают в Европейском Союзе.

Когда появляются новые регулятивные требования, всегда начинаются трудности. Приходится проработать большой объем информации, который касается организации работы казначейства. Помимо этого, нужно проанализировать данные других структурных подразделений, которые связаны с обработкой персональных данных клиентов, работников, партнеров и так далее.

Отдельная проблема – анализ ИТ-систем. Сегодня казначейство крупных компаний в значительной степени автоматизировано и не может эффективно работать без ИТ-решений. Поэтому наши коллеги выполнили большой объем работы по идентификации всех систем и определению тех категорий данных, которые в них обрабатываются, а также их отношения к категориям субъектов.

Следующая сложность – определение юридических требований к работе с персональными данными. В большинстве случаев компания, которая обрабатывает их в своем казначействе, делает это не на основании согласия субъектов персональных данных, а исходя из наличия соответствующих договорных отношений с субъектами и требований применимого законодательства. Основная цель обработки персональных данных при осуществлении казначейских операций – взаиморасчет между компанией и ее контрагентами (физическими лицами, индивидуальными предпринимателями).

Алиса Попова