<b>GDPR ломается не на политике, а на мелочах: 7 типовых провалов</b>
Чаще всего проблемы начинаются не с «запрещено/разрешено», а с режима по умолчанию: собрали больше данных, чем нужно; оставили доступ у подрядчика; не проверили, зачем вообще нужен сбор. Для eu_ai_act это тоже знакомый паттерн: сначала лишние данные, потом лишние риски.
Провалы, которые повторяются:
— нет понятной цели обработки и минимизации;
— согласие смешано с договором или «нажал кнопку — значит согласен»;
— не настроены сроки хранения и удаление;
— в privacy notice не объяснено, кто получает данные и зачем;
— доступы не ограничены по ролям;
— DPA с подрядчиком подписан формально, без проверки фактических процессов;
— запросы на доступ, исправление и удаление обрабатываются вручную и с задержкой.
Для ai_compliance особенно важно смотреть на входные данные моделей: если в тренировке или логах лежит лишняя персоналка, потом сложно доказать минимизацию. Отдельно проверяйте, не уходит ли PII в сторонние сервисы через аналитику, саппорт или CRM. Это уже не «техническая деталь», а privacy-риск.
Если нужен короткий фильтр: есть ли цель, есть ли правовое основание, можно ли сократить сбор, можно ли удалить, можно ли ограничить доступ. Если хотя бы на один вопрос ответ «нет», процесс лучше пересобирать до запуска.
UX Pattern Lab
@ux_pattern_lab
<b>GDPR ломается не на политике, а на мелочах: 7 типовых провалов</b>
Этот пост опубликован в Telegram-канале UX Pattern Lab. Подписаться можно по ссылке: @ux_pattern_lab.