Персональные данные: сначала карта потоков, потом меры защиты

Когда в компании начинают разговор о защите персональных данных, первый импульс почти всегда одинаков: поставить антивирус получше, ограничить доступы, написать политику. Это не плохие действия. Но они напоминают установку замков в доме, где ещё не решили, какие комнаты существуют.

Я видел компании, которые тратили ресурсы на технические меры защиты, не имея ответа на простой вопрос: а где у нас вообще лежат персональные данные клиентов? Ответов на этот вопрос обычно оказывается несколько, они расходятся между собой, и хотя бы один из них никто заранее не называет.

Что такое карта потоков данных

Карта потоков - это не красивая схема для презентации. Это рабочий документ, который отвечает на четыре вопроса:

• Какие персональные данные компания собирает и в каких точках?
• Где они хранятся - в каких системах, на каких серверах, в чьих таблицах?
• Кто имеет к ним доступ и на каком основании?
• Куда они передаются - внутри компании, подрядчикам, партнёрам?

Без ответов на эти вопросы защита становится случайной. Вы защищаете то, что видите, и не замечаете того, что лежит в забытой выгрузке на чьём-то рабочем столе или в таблице, которую аналитик "быстро сделал три года назад".

Почему данных оказывается больше, чем кажется

В большинстве компаний среднего размера персональные данные собираются в нескольких независимых точках, которые никогда не сравнивались между собой. CRM хранит контакты клиентов. Сайт собирает формы. HR-система держит данные сотрудников. Сервисный отдел ведёт свой учёт. Маркетинг работает с рассылочной базой.

Каждая из этих точек развивалась отдельно. Кто-то выгружал данные для анализа - и выгрузка осталась на файловом сервере. Подрядчик попросил список для обзвона - и список отправили по почте. Всё это делалось из практической необходимости и без злого умысла. Но результат - разрозненные копии данных, о части которых никто уже не помнит.

Карта потоков делает эту картину видимой. Именно поэтому её составление - это первый шаг, а не технические меры. Логика та же: нельзя управлять тем, что не инвентаризировано.

Зачем вообще эти данные собираются

Второй вопрос, который стоит задавать параллельно: зачем? Не в смысле юридического обоснования, а в смысле реального использования.

Если персональные данные собираются "на всякий случай" или "так исторически сложилось" - это риск, а не актив. Данные, которые не используются, но хранятся, несут ответственность без пользы. Они могут утечь, их нужно защищать, за них можно нести ответственность - при этом никакой ценности они не создают.

Хорошая практика - задать по каждой категории данных прямой вопрос: если мы перестанем это собирать завтра, что именно сломается? Если ответ "ничего конкретного" - стоит обсудить, нужны ли эти данные вообще.

Как это связано с реальной защитой

Когда карта потоков составлена, разговор о мерах защиты становится конкретным. Видно, где данные наиболее уязвимы - не в теории, а в конкретных системах и процессах. Видно, где доступы избыточны. Видно, какие передачи данных идут без формального основания.

Только после этого имеет смысл расставлять технические контроли: кому ограничить доступ, что шифровать, что нужно согласовывать с юристами.

Практический старт

Если в компании этой карты нет, начать можно без большого проекта. Достаточно собрать руководителей ключевых отделов и последовательно пройти по списку вопросов:

1. Какие данные о людях ваш отдел собирает или использует?
2. Где они хранятся прямо сейчас?
3. Кто ещё к ним имеет доступ?
4. Куда они уходят за пределы вашего отдела?
5. Есть ли выгрузки, копии, архивы, о которых вы знаете?

Первый сеанс такого разговора почти всегда даёт неожиданные открытия. Это и есть настоящий старт работы с персональными данными - не с политики, не с шифрования, а с понимания того, что вообще существует.