6 типичных ошибок в работе с персональными данными, которые допускают компании
- 13 июня, 2025
- Защита данных, Разъяснение
Проблемы с защитой персональных данных начинаются не с хакеров в черных капюшонах, а с неправильных управленческих решений.
Некоторые закостенелые принципы, которые вы можете еще соблюдать, может, и облегают работу, но точно не приносят пользу. По данным IBM, средняя стоимость утечки персональных данных в 2023 году составила $4,45 млн, а Meta и Amazon получили штрафы в сотни миллионов евро за ошибки, которых можно было легко избежать. В этой статье мы раскрываем 6 мифов о защите персональных данных, в которые продолжают верить, и постараемся объяснить, почему этого делать не нужно. Проверьте себя, вдруг один из этих мифов влияет и на ваши решения касательно приватности и обработки персональных данных?
Содержание
Миф №1: «Сильный пароль — и всё под контролем».
Даже самые сложные пароли не обеспечивают полной безопасности аккаунта. Например, социальная инженерия делает ставку не только на силу пароля, но и на человеческий фактор. Получается, что взламывать пароль и не нужно, сотрудник поделится им самостоятельно.
Согласно отчёту Verizon Data Breach Investigations Report за 2023 год, в 74% случаев утечек виноват человеческий фактор, включая слабые или повторно используемые пароли, игнорирование базовых протоколов безопасности и клик по вредоносным ссылкам.
Решение — двухфакторная аутентификация, регулярная смена паролей, обучение сотрудников основам цифровой гигиены и внедрение современных решений для управления доступом (советуем попробовать Bitwarden).
Надёжность системы определяется не только замком, но и тем, кто и как этим замком пользуется.
Миф №2: «Если есть информационная безопасность, значит, и приватность обеспечена».
Это одно из самых распространённых заблуждений. Информационная безопасность и приватность тесно связаны, но не равны. ИБ отвечает за защиту от несанкционированного доступа, а приватность — за то, как данные собираются, используются и кому передаются. Нарушения в области персональных данных возможны даже при наличии защиты.
Рассмотрим пример. Какая-то организация использует системы распознавания лиц для контроля посещаемости. Хотя данные хранятся в защищённой системе, сотрудники не были проинформированы об этом, не давали согласия и не имели возможности отказаться. Итог — нарушение статей 5, 6, 9, 13 и 35 GDPR.
Безопасность можно представить как замок, а приватность — как правила, кто может открывать эту дверь, когда и зачем.
Миф №3: «Соблюдение законов — это дорого и бесполезно».
На первый взгляд может показаться, что внедрение требований GDPR или других регламентов — это только затраты. Но исследования говорят об обратном. Еще в 2020 году исследование Cisco показало, что компании, которые вкладывают $1 в защиту персональных данных, получают $2,70 обратно в виде выигрышей. Это могут быть сокращение задержек в продажах, меньшие потери от утечек, улучшение операционной эффективности, повышение доверия клиентов, инвесторов и ускорение инноваций.
Кроме того, несоблюдение стоит гораздо дороже. Среди громких кейсов:
Meta — штраф в размере 1,2 млрд евро за нарушение правил трансграничной передачи данных;
Amazon — штраф в 746 млн евро от CNPD (Люксембург);
British Airways — штраф 20 млн фунтов за утечку данных 400 000 клиентов.
Соблюдение законов — это не просто бюрократия, а инвестиция в устойчивость и лояльность клиентов.
Миф №4: «Мы храним всё в облаке — приватность нам не нужна».
Облачные технологии — это удобно, но не являются универсальным решением всех проблем. Приватность не обеспечивается автоматически самой инфраструктурой.
Без четких политик управления доступом и без внедрения подходов типа «Privacy by Design» (спроектированная приватность) даже самая защищённая облачная среда может стать источником утечки.
Пример: в 2021 году в Amazon Web Services был обнаружен уязвимый open bucket, то есть незащищенное хранилище, которое содержало данные миллионов пользователей. Это произошло из-за неверной настройки доступа — не технической уязвимости, а человеческой ошибки.
Когда дело доходит до защиты и хранения персональных данных, ко всему нужно относиться критически, даже если это выглядит максимально безопасно.
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Миф №5: «Информационной приватностью должен заниматься IT-отдел».
IT-отдел действительно может обеспечивать техническую основу защиты данных, но! Важный момент №1: им нужен тот, кто укажет, какие именно требования они должны выполнить — грубо говоря, переводить с юридического языка на язык разработчиков. Этим может заниматься DPO, который имеет необходимые технические навыки. Важный момент №2: о приватности должны думать все. От маркетологов до HR, от юристов до менеджеров продуктов — каждый влияет на то, как собираются, хранятся и используются данные.
Компании, в которых приватность интегрирована в повседневные бизнес-процессы, сталкиваются с меньшим количеством инцидентов и быстрее реагируют на риски. Представьте двух сотрудников отдела продаж. Один прошёл корпоративное обучение по защите данных, а другой — нет. Оба получают письмо от «клиента», в котором просят переслать копию договора с персональными данными.
Необученный сотрудник просто пересылает файл — ведь это же «клиент».
Обученный сотрудник замечает, что адрес почты подозрительный, проверяет запрос у DPO и отказывает в отправке до подтверждения личности.
В первом случае — возможная утечка и репутационный риск.
Во втором — инцидент предотвращён за 2 минуты, и никто об этом даже не узнает.
Вот почему распространение знаний о защите и обработке персональных данных в компании — не абстрактная инициатива, а практический инструмент.
Миф №6: «Приватность — это политика приватности».
Мы на своей практике поняли, что многие воспринимают приватность как формальность: политика, уведомление, галочка. Но реальная защита данных начинается не с документа, а с понимания и поведения.
Формирование культуры приватности — это то, что отличает зрелые организации. Это означает, что сотрудники знают:
📎 как обрабатывать персональные данные корректно;
📎 когда нужно согласие субъекта данных;
📎 как действовать при инциденте.
Приватность — это не просто документы. Приватность — это про заботу о своих клиентах и сотрудниках. Получение согласия на обработку персональных данных и соблюдение перечня требований закона должны быть в приоритете.
Как построить такую культуру? Начать можно с корпоративного обучения
В Data Privacy Office мы проводим тренинги по защите персональных данных для команд. Мы создаем кастомные программы, которые учитывают потребности бизнеса и возможности команд. Маркетологам расскажем, как правильно собирать email для рассылки, а международному бизнесу — как передавать данные через границу. Мы не просто учим теории — мы помогаем бизнесу выстроить рабочую модель приватности, которую можно масштабировать.
Заключение
Ошибки в понимании приватности могут обернуться серьёзными последствиями. Но хорошая новость в том, что с каждым мифом можно работать: обучать команды, оптимизировать процессы, выбирать правильные инструменты.
Начните с малого — проверьте, какие из этих мифов присутствуют в вашей организации. А дальше — системно устраняйте их, превращая приватность из формальности в преимущество. Если у вас нет акта согласия на обработку или письменного согласия субъекта персональных данных — это повод срочно проверить документы.
Хочется обсудить, как наша команда может помочь вам с защитой персональных данных? Напишите нам — вместе найдём решение.
