Добавить в корзинуПозвонить
Найти в Дзене
Тимур Евгажуков |👨🏼‍💻IT & Beauty✨
7 подписчиков

Персональные данные — это не “бумажка для юриста”, а обычная IT-гигиена бизнеса

4
5 мин
Малому бизнесу часто кажется, что ПДн и Роскомнадзор — это где-то рядом с юристами, штрафами и страшными словами. На практике это ближе к другой вещи: понимать, какие данные ты собираешь, где они лежат, кто к ним имеет доступ и что будет, если завтра что-то потечёт. Когда у малого бизнеса появляется сайт, форма записи, CRM, онлайн-оплата, Telegram-бот или личный кабинет, вместе с этим почти незаметно появляется ещё одна зона ответственности — персональные данные. И вот тут часто начинается классическая история: Да, именно с этого всё обычно и начинается. Имя. Телефон. Почта. Запись на услугу. История визитов. Заявка с сайта. Переписка в мессенджере. Фотография до/после. Данные сотрудника. Да
Оглавление

Малому бизнесу часто кажется, что ПДн и Роскомнадзор — это где-то рядом с юристами, штрафами и страшными словами. На практике это ближе к другой вещи: понимать, какие данные ты собираешь, где они лежат, кто к ним имеет доступ и что будет, если завтра что-то потечёт.

Когда у малого бизнеса появляется сайт, форма записи, CRM, онлайн-оплата, Telegram-бот или личный кабинет, вместе с этим почти незаметно появляется ещё одна зона ответственности — персональные данные.

И вот тут часто начинается классическая история:

“У нас же маленькая компания. Мы не банк. У нас просто форма на сайте: имя, телефон и комментарий”.

Да, именно с этого всё обычно и начинается.

Имя. Телефон. Почта. Запись на услугу. История визитов. Заявка с сайта. Переписка в мессенджере. Фотография до/после. Данные сотрудника. Данные пациента или клиента.

Это уже не абстрактная “анкета”. Это данные живых людей, которые бизнес собирает, хранит и передаёт между системами.

И если смотреть на ПДн только как на юридическую обязанность, получается скучно и страшно: политика, согласие, уведомление, Роскомнадзор, 152-ФЗ, локальные акты, ответственные лица.

Но если смотреть на это как на IT-гигиену, всё становится гораздо практичнее.

Вопрос не в том, “надо ли поставить галочку”

Галочка под формой — это самый видимый кусок истории. Но далеко не главный.

Главные вопросы другие:

  • какие данные мы вообще собираем;
  • зачем мы их собираем;
  • где они физически лежат;
  • кто имеет к ним доступ;
  • кому мы их передаём;
  • как быстро можем удалить или исправить данные по запросу человека;
  • что будет, если сотрудник уйдёт, телефон потеряется, подрядчик пропадёт, а пароль останется в общем чате.

Вот это уже не “юридическая бумажка”. Это нормальная операционная безопасность.

Пример из жизни малого бизнеса: сайт отправляет заявки в Telegram, администратор копирует телефон клиента в CRM, потом этот же клиент попадает в рассылку, потом данные уходят в сервис онлайн-записи, потом ещё в таблицу “для удобства”.

Формально всё может выглядеть невинно. Практически — данные уже размазаны по пяти местам.

И никто точно не знает, где находится актуальная версия, кто имеет доступ и что удалить, если человек попросит.

Малому бизнесу не нужен “космический комплаенс”

Проблема в том, что тема ПДн часто подаётся либо в режиме “срочно купите пакет документов”, либо в режиме “если ничего не сделать — всё, конец”.

Я бы смотрел проще.

Для малого бизнеса первый шаг — не строить бюрократический храм, а навести порядок:

  1. **Описать точки сбора данных.**

Сайт, формы, мессенджеры, CRM, телефония, онлайн-запись, личный кабинет, таблицы, почта.

  1. **Понять состав данных.**

Имя, телефон, email, дата рождения, история услуг, медицинские или чувствительные данные, фото, комментарии.

  1. **Разобраться с доступами.**

Кто реально видит данные: администратор, врач, руководитель, маркетолог, подрядчик, разработчик.

  1. **Убрать лишнее.**

Если данные не нужны — не собирать. Если больше не нужны — не хранить бесконечно.

  1. **Привести сайт в минимально нормальное состояние.**

Политика обработки ПДн, понятные согласия под формами, корректные цели обработки, контакты оператора.

  1. **Проверить уведомление в РКН.**

Во многих случаях оператору персональных данных нужно уведомлять Роскомнадзор о начале или осуществлении обработки. Исключения есть, но после изменений последних лет их стало меньше, поэтому “мы маленькие, нам не надо” — слабая стратегия.

  1. **Сделать человеческий регламент.**

Не на 40 страниц ради папки, а коротко: кто отвечает, где хранятся данные, как выдаются доступы, как отключаются уволенные сотрудники, что делать при запросе клиента.

Почему это особенно важно для клиник, салонов и сервисного бизнеса

В клиниках и салонах персональные данные появляются везде.

Человек записался через сайт — уже данные. Оставил телефон в мессенджере — данные. Пришёл на процедуру — ещё больше данных. Получил рекомендации после визита — снова данные. Загрузил фото для подбора ухода — тем более данные.

И чем больше бизнес цифровизируется, тем больше таких точек.

Я как раз много работаю с такими процессами: сайт, запись, личный кабинет пациента, уведомления, рекомендации после визита, внутренние задачи для администраторов и специалистов.

И здесь важная мысль: нельзя сначала построить красивую цифровую систему, а потом где-нибудь сбоку вспомнить про ПДн.

ПДн надо учитывать в архитектуре сразу:

  • не тащить лишние данные туда, где они не нужны;
  • разделять доступы по ролям;
  • хранить историю действий там, где это важно;
  • не отправлять чувствительную информацию в случайные чаты;
  • понимать, какие интеграции получают данные;
  • не превращать Google-таблицы и Telegram в “главную базу пациентов”.

Да, таблицы и чаты удобны. До первого инцидента. Потом внезапно оказывается, что “удобно” и “безопасно” — не одно и то же.

ПДн — это не про страх, а про взрослость системы

Хорошая работа с персональными данными не делает бизнес медленнее. Наоборот, она убирает хаос.

Когда понятно, где данные, кто за них отвечает и зачем они нужны, проще:

  • подключать новые сервисы;
  • менять подрядчиков;
  • запускать личный кабинет;
  • делать рассылки;
  • строить аналитику;
  • отвечать на вопросы клиентов;
  • проходить проверки;
  • спокойно спать, что тоже недооценённая функция.

И да, в этой теме есть юридическая часть. Её нельзя игнорировать. Но начинать всё равно стоит с инвентаризации и здравого смысла.

Потому что политика на сайте не спасёт, если пароль от CRM лежит в общем Telegram-чате.

А идеально оформленное согласие не поможет, если никто не знает, в какие пять систем улетает заявка клиента после нажатия кнопки “Записаться”.

Минимальный чек-лист для малого бизнеса

Если совсем коротко, я бы начал так:

  • выписать все места, где собираются персональные данные;
  • убрать лишние поля из форм;
  • проверить политику и согласия на сайте;
  • понять, нужно ли уведомление в Роскомнадзор, и не жить на надежде “авось не касается”;
  • закрыть доступы бывшим сотрудникам и подрядчикам;
  • перестать хранить клиентские базы в случайных файлах;
  • настроить роли и права в CRM/админке;
  • описать простой порядок: кто отвечает за данные и что делать при запросе клиента.

Это не делает бизнес “корпорацией”. Это просто нормальная гигиена.

Как резервные копии. Как двухфакторная авторизация. Как не хранить пароль на стикере под клавиатурой.

Персональные данные — такая же часть цифровой зрелости бизнеса.

Не самая весёлая. Зато очень быстро становится важной, когда о ней забыли.