Татьяна Бурдуковская о важности защиты персональных данных
Меня зовут Татьяна Бурдуковская и почти половину жизни я проработала юристом: в производстве пищевой продукции, во взаимодействии с госорганами, потом ушла в банковскую сферу и микрофинансирование. Доросла до топ-менеджера в крупной финансовой компании Белгородской области. И в какой-то момент поняла: дальше хочу иначе.
Поворот случился в 2021 году на юридическом форуме для практиков. Дальше было два года обучения. Я получила образование в одной из ведущих школ России по подготовке специалистов в области защиты персональных данных и два диплома компании Максима Лагутина Б-152. Пересмотрела кучу обучающих роликов. Сложно было перестроиться и смотреть на вопросы по персональным данным именно с точки зрения DPO (Data Protection Officer), а не как юрист.
Юрист чаще смотрит на закон буквально: есть требование – значит надо сделать ровно так, как написано, с оглядкой на судебную практику и разъяснения. А специалист по персональным данным думает иначе: как соблюсти требования, не превращая работу компании в бесконечный документооборот, и при этом реально защитить данные. Это постоянный баланс между «как должно быть» и «как оно происходит в жизни».
Я люблю объяснять разницу на простом примере. Представим два бизнеса в одной сфере – например, услуги красоты: маникюр и педикюр. По санитарным нормам требования для всех одинаковые: и для салона, и для мастера, который просто арендует кабинет без сотрудников. Если по СанПиНу нужно иметь запас перчаток или нельзя использовать определенный антисептик – значит нельзя. Здесь правила одни для всех, и вариантов трактовки почти нет.
А вот с персональными данными все устроено иначе. Закон один, но подходы к выстраиванию процессов могут сильно отличаться – даже если бизнес вроде бы одинаковый. Потому что важны не вывеска и масштаб, а то, как именно данные «живут» в компании: откуда они приходят, где хранятся, кому передаются, как используются и когда удаляются.
Возьмем того же мастера, который арендует место. Казалось бы – маленький бизнес. Но если он активно продвигается в соцсетях, собирает заявки через сайты, запускает рекламу, привлекает подрядчиков, то цепочка обработки персональных данных становится сложной: договоры поручения с третьими лицами, согласия, уведомления, набор внутренних документов. И все это не потому, что он «большой», а потому что поток персональных данных у него широкий и разветвленный.
Теперь посмотрим на салон. Он может быть крупнее, но при этом работать спокойнее: без агрессивной рекламы, без подрядчиков на лидогенерацию, с записью на месяц вперед. Схема обработки данных может быть проще, пакет документов меньше, и часть согласий собирать будет избыточно. Важно не количество сотрудников и квадратных метров, а конкретный цикл жизни персональных данных.
Мой практический вывод такой: не пытайтесь «скачать универсальный шаблон» и успокоиться. Гораздо разумнее выстроить систему под свою реальность. Без лишней бюрократии, но и без опасных «провалов».
Вот что обычно помогает:
• Регулярные консультации с юристами и специалистами по защите данных.
• Автоматизация: чтобы согласия, уведомления и фиксация действий не держались на «ручном героизме» администратора.
• Онлайн-сервисы, которые помогают сформировать документацию (если подходить к ним осмысленно, а не «для галочки»).
• Базовая защита с использованием облачных решений, когда нет ресурсов на дорогую инфраструктуру, но порядок нужен уже сейчас.
• Обучение сотрудников: большинство проблем начинается не со «взлома», а с человеческих ошибок и невнимательности.
Legal-pravicy
тел.: +7 920 553 40 94
Реклама. ИП Бурдуковская Татьяна Александровна ИНН: 280105985496 ERID: 2VtzqwWoZ88