Инвентаризация данных перед GDPR - это не юридическая задача

До вступления GDPR в силу осталось меньше трёх месяцев. Большинство компаний, которые работают с европейскими клиентами или имеют сотрудников в ЕС, уже знают, что что-то нужно сделать. Но я замечаю, что работа идёт в основном в двух направлениях: юридическое оформление политик и технические меры защиты. Между ними выпадает самый важный шаг - понять, где именно в компании живут персональные данные.

Реестр обработки персональных данных - один из ключевых документальных требований GDPR - воспринимается как формальность для регулятора. На самом деле это первый полезный инструмент, который компания создаёт для управления своими данными.

Что происходит без инвентаризации

Когда я задаю вопрос "где в вашей компании хранятся персональные данные клиентов", ответ почти всегда начинается с CRM. Потом вспоминают email-сервис. Потом - базу данных сайта. Потом кто-то говорит "ещё есть файл в SharePoint с результатами конкурса". Потом оказывается, что отдел продаж ведёт таблицу в Google Sheets, к которой у нескольких человек есть доступ, и она не синхронизируется ни с чем.

В итоге выясняется, что персональные данные живут в 8-12 местах, включая несколько, о которых ИТ-отдел ничего не знал. Это не редкость - это норма для компаний среднего размера.

Без этого знания любая техническая мера защиты неполна, любая политика неточна, и любое требование об удалении данных ("право на забвение") технически невыполнимо - просто потому что никто не знает, где искать.

Как делать инвентаризацию правильно

Задача не в том, чтобы опросить ИТ-отдел. Задача в том, чтобы опросить бизнес-подразделения - потому что данные чаще всего создаются и хранятся именно там, а ИТ только поддерживает часть инфраструктуры.

Полезная структура для каждого выявленного потока данных:

• Какие категории данных (контакты, финансовая информация, история покупок, и т.д.)
• Откуда данные поступают (форма на сайте, звонок, договор, и т.д.)
• Где физически хранятся (система, база данных, файл, облачный сервис)
• Кто имеет доступ
• Как долго хранятся и что происходит после
• Передаются ли третьим сторонам (подрядчикам, платформам, и т.д.)

Для каждого потока нужно также понять - есть ли законное основание для обработки. GDPR требует, чтобы для каждого случая обработки было обоснование: согласие, исполнение договора, законный интерес или иное.

Операционная ценность этой работы

Компании, которые прошли через нормальную инвентаризацию данных, как правило, обнаруживают несколько дополнительных бонусов.

Первый - избыточные копии данных, которые никто не использует, но которые создают риски. Их можно удалить.

Второй - данные, которые хранятся дольше, чем нужно. Часто это просто никто не настроил автоматическое удаление.

Третий - доступы, которые давно не актуальны. Бывшие сотрудники, подрядчики, которые завершили работу.

Это не только GDPR. Это нормальная гигиена управления данными, которая снижает операционные риски независимо от регуляторных требований.

Что сделать до 25 мая

Практический минимум для компании, которая ещё не начинала:

1. Провести встречи с каждым подразделением с одним вопросом: какие данные о людях вы собираете и где они хранятся?
2. Собрать результаты в единый реестр - даже в простой таблице.
3. Для каждого потока определить правовое основание и срок хранения.
4. Выявить случаи, которые явно не соответствуют требованиям, и приоритизировать их.

Полный комплаенс за несколько месяцев нереалистичен для большинства компаний. Но понять, где вы находитесь - это то, с чего начинается любая осмысленная работа.