7 типовых ошибок в data protection, которые ломают privacy и compliance
Чаще всего проблемы начинаются не с утечки, а с привычек внутри процесса:
— собирают больше данных, чем нужно для задачи;
— не разделяют доступы между командами;
— хранят данные без понятного срока удаления;
— используют форму согласия там, где нужен другой legal basis.
Еще один частый сбой — отсутствие карты потоков данных. Если не понятно, откуда приходит информация, где она лежит и кто к ней обращается, audits и DSAR-ответы превращаются в ручную работу. Для compliance это почти всегда риск: privacy policy есть, а реальная практика живет отдельно.
Полезно держать минимум три слоя контроля: data minimization, access control и retention. Первый ограничивает сбор, второй — круг тех, кто видит данные, третий — срок хранения и удаление. Если хотя бы один слой не описан, в системе быстро появляются лишние копии, пересечения ролей и спорные выгрузки.
Еще одна зона внимания — подрядчики. Processor, рекламная платформа, CRM или облако не должны получать данные «по умолчанию»; у каждого канала передачи должен быть понятный сценарий, цель и ограничение по доступу. Это снижает не только privacy-риск, но и нагрузку на внутренние команды.
Лучше всего работает простое правило: перед
Compliance Brief — регуляторика рынка
@compliance_brief
7 типовых ошибок в data protection, которые ломают privacy и compliance
Этот пост опубликован в Telegram-канале Compliance Brief — регуляторика рынка. Подписаться можно по ссылке: @compliance_brief.