Від формального захисту до керованості: як бізнесу обробляти персональні дані

Наразі персональні дані для українських компаній остаточно перейшли з категорії «юридичної формальності» в категорію операційного ризику. Інциденти з витоками рідко є випадковістю: майже завжди це наслідок некерованих процесів, фрагментації даних і надмірних доступів.

Наявність політики конфіденційності, згод у формах або підписаних положень ще не означає контролю. Ключовий критерій зрілості — здатність компанії фактично керувати життєвим циклом персональних даних: від збору й використання до передачі, архівування та видалення.

Персональні дані — інфраструктурний актив, а не «тема для юристів»

Типова помилка — сприймати персональні дані як окремий юридичний об’єкт. Насправді це інфраструктурний актив, який живе всередині бізнес-процесів і підпорядковується тим самим закономірностям, що й ІТ-системи, фінанси або логістика. Дані постійно копіюються, агрегуються, трансформуються, циркулюють між підрозділами та контрагентами. Частина критичних дій із даними відбувається поза формальними системами — через пошту, месенджери, локальні файли та «тимчасові» звіти.

Де насправді «живуть» персональні дані

Персональні дані майже ніколи не зосереджені в одному сховищі. Їхня реальна мапа зазвичай ширша за те, що бачить ІТ або юристи:

• системні сховища: CRM, ERP, бухгалтерські системи, HR-платформи;
• комунікації: корпоративна пошта, вкладення, месенджери (включно з особистими акаунтами співробітників);
• локальні та хмарні копії: Excel-файли на робочих станціях, папки «на робочому столі», Google Drive/OneDrive/Dropbox;
• підрядники та партнери: контакт-центри, маркетингові агенції, інтегратори, аутсорс-бухгалтерія;
• веб-активи: форми на сайті, чат-боти, аналітика, CRM-інтеграції, трекінг лідів.

Коли дані фрагментовані, компанія втрачає три речі одночасно: облік, контроль доступів і швидкість реагування. Саме в цей момент політики перетворюються на декларацію без практичної сили.

Чому компанії втрачають контроль: чотири критичні зони ризику

1) Дані поза контрольованим периметром

Найбільша кількість витоків відбувається не через «злам бази», а через копії. Дані експортуються для звітів, аналізу або «тимчасової роботи», після чого живуть власним життям: пересилаються в пошті, обговорюються в месенджерах, зберігаються на флешках і в хмарах без контролю. Ці копії практично не відслідковуються і часто не мають власника.

2) Надмірні та застарілі доступи

Доступи видаються «із запасом» і не переглядаються. Ротації, зміни посад, завершення проєктів або звільнення не завжди супроводжуються коректним відкликанням прав. У результаті накопичується «борг доступів», який у критичний момент працює проти компанії.

3) «Тихі» інциденти без хакерів

Більшість інцидентів виглядають буденно: файл відправили не тому адресату, ноутбук втратили, пошту зламали через слабкий пароль або повторне використання облікових даних. Такі випадки небезпечні тим, що їх часто не фіксують, а отже компанія не може ні довести контроль, ні якісно відновити картину подій.

4) Юридична ілюзія контролю

Документи без технічних та організаційних механізмів не рятують у спорі або перевірці. Питання завжди зводяться до фактів: хто мав доступ у конкретний час, чи можна було його обмежити, чи фіксувалися дії з даними, як компанія діяла після виявлення проблеми. Якщо на ці запитання немає відповідей — формальні політики не дають практичного захисту.

Законодавство: національне та міжнародне поле, в якому працює бізнес

Українські компанії часто недооцінюють, що працюють у змішаному регуляторному полі. Навіть за повністю «українського» операційного контуру міжнародні вимоги можуть приходити через контракти, хмарні сервіси та партнерів.

Україна: базова рамка і пов’язані вимоги

Ключовим актом є Закон України «Про захист персональних даних». Його практична логіка проста: визначена мета обробки, обмеження доступу, належні заходи безпеки та недопущення несанкціонованої обробки. Важливо розуміти: у конфліктних ситуаціях оцінюється не наявність текстів, а фактичні дії компанії та реальна спроможність контролювати дані.

Окремо варто враховувати суміжні сфери, які прямо впливають на роботу з персональними даними:

• законодавство про інформацію та режим доступу до інформації з обмеженим доступом;
• електронний документообіг і електронні довірчі послуги (автентифікація, підпис, докази дій);
• трудові відносини та обробка даних працівників;
• вимоги інформаційної/кібербезпеки у чутливих секторах та в ланцюгах постачання.

Міжнародний контекст: чому GDPR може стосуватися української компанії

GDPR застосовується не лише до компаній, зареєстрованих у ЄС. Ризик виникає, якщо бізнес працює з клієнтами або партнерами з ЄС, обробляє дані громадян ЄС, є частиною міжнародного ланцюга постачання або використовує процесорів даних та хмарні сервіси, що накладають договірні вимоги. На практиці GDPR часто приходить через контракти: партнери вимагають зрозумілої моделі доступів, журналювання, процедур реагування та керованості даних.

Ключова ідея GDPR, яка поступово стає стандартом і поза ЄС, — принцип відповідальності та доведення контролю. Компанія має бути здатна пояснити: які дані обробляє, навіщо, на якій підставі, хто має доступ, як захищено дані, що робиться у разі інциденту. Це не про «максимум бюрократії», а про керованість.

Практичний мінімум: зрілий підхід без паралічу бізнесу

Зрілість у захисті персональних даних — це не кількість регламентів, а керованість. Для більшості компаній достатньо мінімального, але системного набору дій:

• інвентаризація: зафіксувати, де саме зберігаються й циркулюють персональні дані, включно з копіями та підрядниками;
• мінімізація: не збирати зайвого і не зберігати те, що не має бізнес-потреби або юридичної підстави;
• рольова модель доступу: доступи — за функціями та потребою, із регулярним переглядом;
• контроль копій: технічні обмеження/політики експорту, контроль зовнішніх сховищ і каналів передачі;
• гігієна акаунтів і пристроїв: MFA, шифрування, базові стандарти пошти та робочих станцій;
• план реагування: короткий і зрозумілий алгоритм, відомий не лише ІТ, а й менеджменту.

Цей мінімум дає головне: компанія може відстежити, локалізувати проблему та довести контроль, не зупиняючи операційну діяльність.

Як Softline IT допомагає перейти від декларацій до реального контролю

Softline IT підходить до захисту персональних даних як до частини операційної та ІТ-архітектури бізнесу. Завдання — не «написати правильні документи», а побудувати систему, яка дає керованість і доказовість.

• аудит потоків даних: показуємо фактичну картину, включно з копіями, каналами передачі та підрядниками;
• зниження площі ризику: прибираємо зайві дані, звужуємо доступи, закриваємо неочевидні точки витоку;
• вбудовування контролю в процеси: щоб правила працювали щодня, а не лише «на папері»;
• підготовка до перевірок і інцидентів: сценарії, ролі, комунікації, мінімізація простою та репутаційних втрат.

Результат — компанія, яка розуміє, де її персональні дані, хто і на яких підставах має доступ, які дії фіксуються, і що робити при інциденті. Це і є практичний рівень керованості, який зменшує юридичні, операційні та репутаційні ризики.