Уже более года мы уделяем особое внимание защите данных, но появляются все новые выводы. Независимо от того, насколько тщательной и вдумчивой является разработка правил защиты данных на предприятии, жизненные ситуации, как правило, очень разные и не все их просто предусмотреть с точки зрения защиты данных.
Однажды совершенно случайно я был свидетелем разговора между людьми, побежденными в спорах и аргументах, когда одна сторона пыталась убедить другую в том, что, выбирая предоставленные услуги и продукт первой, будут полностью обеспечены требования Общего регламента защиты данных. Излишне говорить, что вторая сторона противилась и ставила под сомнение, что требования регламента возможно вот так сразу перенять и внедрить полностью. Да и сам я считаю, что регламентирующие область защиты данных документы или измененные процессы – это дело, с которым можно поздравить, будет слишком громко сказано, что требования регламента полностью выполняются. Вот, очень простой пример из опыта.
Пример
В главной роли компания, которая имеет собственную политику конфиденциальности, сотрудники прошли обучение по защите данных, и имеется представление о том, что такое личные данные и как с ними работать. В один прекрасный день был получен документ от Гарантийного фонда средств на содержание. Содержание документа понятно – для одного сотрудников это не лестный факт, но в жизни это происходит всякое. Что делать дальше? Делопроизводитель тщательно ознакомляется с этим документом, однако такой документ был получен впервые и не понятно, что делать дальше. Принято решение обратиться за помощью в юридический отдел. Когда делопроизводитель подробно и в деталях объясняет все юристам, после небольшой взаимной консультации они отвечают, что не являются адресатами этого документа и нужно обратиться к кому-то еще. Делопроизводитель решает, что в этом случае следует обратиться к отделу персонала. Тот же сценарий повторяется – сотрудники отдела персонала также ознакомляются с ситуацией, что конкретный сотрудник компании не платит алименты на своего ребенка. До тех пор, пока, наконец, после еще одного круга, когда документ приходит к зарплатному бухгалтеру, который понимает, что с ним делать. Но пока документ дошел до бухгалтера, его содержание (персональные данные) было раскрыто ряду других сотрудников компании, к которым эта информация не относится, к тому же, событие в соответствующих отделах обсуждалось между собой, и о работнике было высказано не самое лучшее мнение.
Вывод этого рассказа следующий – даже если много сделали, чтобы привести в порядок вопросы защиты данных, могу гарантировать, что имеется очень много нюансов и еще не изученных аспектов защиты данных, с которыми придется справляться.