Инвестиционные и финансовые платформы обрабатывают персональные данные сразу нескольких категорий пользователей: инвесторов, заемщиков, лиц, привлекающих инвестиции, представителей юридических лиц и бенефициаров.
При этом данные проходят через личные кабинеты, скоринговые системы, ЕСИА, Сбер ID, электронную подпись, банки, платежных партнеров и внешние сервисы. Поэтому стандартного комплекта из политики и согласий для такой модели недостаточно.
На закрытой встрече разберем, как связать требования законодательства о персональных данных с фактической архитектурой платформы, пользовательскими сценариями, внутренними процессами и требованиями финансового регулирования.
Вебинар основан на практическом опыте ZARLAW по сопровождению инвестиционных платформ и FinTech-проектов: от аудита процессов и разработки документов до внедрения новых правил и обучения команды.
Что разберем
1. Почему стандартный пакет документов по ПДн не работает для инвестиционной платформы
- разные категории пользователей и разные цели обработки;
- инвесторы, заемщики, представители юридических лиц и бенефициары;
- несколько оснований обработки данных;
- необходимость разделять пользовательские сценарии и документы.
2. Где чаще всего расходятся документы и реальная работа продукта
- документы не соответствуют интерфейсам и фактическому клиентскому пути;
- продукт меняется быстрее, чем юридическая модель;
- данные собираются «на будущее» без понятной цели;
- новые интеграции запускаются без оценки правовых последствий;
- сотрудники фактически работают не по утвержденным регламентам.
3. Как оформить скоринг, идентификацию и автоматизированные решения
- обработка данных при скоринге инвесторов и заемщиков;
- использование ЕСИА, Сбер ID и электронной подписи;
- автоматизированное принятие решений;
- передача информации внешним скоринговым и идентификационным сервисам;
- какие сведения необходимо раскрывать пользователю.
4. Платформа и подрядчики: кто отвечает за персональные данные
- оператор, обработчик и самостоятельный получатель данных;
- поручение обработки персональных данных;
- передача данных банкам и платежным партнерам;
- ответственность платформы за действия подрядчиков;
- какие условия необходимо включать в договоры.
5. Какие внутренние документы и процессы должны реально работать
- карта потоков персональных данных;
- перечень информационных систем;
- матрица доступа;
- работа с обращениями субъектов;
- изменение, блокирование и удаление данных;
- хранение и уничтожение информации;
- порядок взаимодействия между legal, product, IT и ИБ.
6. Что делать при утечке или запросе регулятора
- внутренний порядок фиксации инцидента;
- распределение ответственности между подразделениями;
- уведомление Роскомнадзора;
- сбор информации и подготовка позиции;
- типовые ошибки, которые увеличивают риски компании и ее руководителей.
8. Как внедрить документы, чтобы они не остались «на полке»
- порядок запуска новых продуктов и интеграций;
- регулярная проверка соответствия документов фактическим процессам.
Для кого встреча
- руководители инвестиционных и финансовых платформ;
- директора по правовым вопросам;
- compliance-специалисты;
- руководители продукта;
- IT- и ИБ-команды;
- сотрудники, отвечающие за персональные данные и взаимодействие с регуляторами.
Кто проводит встречу
Людмила Харитонова, управляющий партнер ЮК "Зарцын и партнеры"
Глеб Шустов, юрист по работе с ПДн ЮК "Зарцын и партнеры"
28 июля в 12.00, онлайн. Участие по предварительной регистрации.