Что относится к персональным данным: полный разбор для бизнеса

13.01.2023
10/07/26
Б-152
Что относится к персональным данным: полный разбор для бизнеса
Персональные данные — это не только ФИО, паспорт и телефон. По 152-ФЗ к ним может относиться любая информация, если она прямо или косвенно связана с определенным или определяемым физическим лицом.
На практике вопрос решается по контексту: какие данные есть у компании, можно ли по ним выделить человека, для какой цели они используются и с какими другими сведениями сопоставляются.
Главный риск для бизнеса — не распознать персональные данные в привычных бизнес-процессах.
Когда информация на сайте, в CRM, HR-системе, аналитике, пропускном режиме, рассылках или клиентской поддержке ошибочно не считается персональными данными, требования 152-ФЗ к ней просто не применяются. В результате компания не оформляет правовые основания обработки, не соблюдает сроки хранения и не обеспечивает необходимые меры защиты.

Почему бизнесу сложно определить, что относится к персональным данным

Основа регулирования персональных данных — Федеральный закон № 152-ФЗ «О персональных данных». Согласно пункту 1 статьи 3 этого закона персональными данными считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

На первый взгляд определение кажется простым. Но в реальной компании оно почти никогда не работает как готовый список. Один и тот же набор сведений может быть персональными данными в одном процессе и не иметь такого статуса в другом.

Например, адрес электронной почты может быть общим ящиком отдела, а может прямо указывать на конкретного сотрудника.

IP-адрес сам по себе не всегда говорит бизнесу многое, но в связке с cookie, геолокацией, поведением на сайте и ID устройства он уже помогает выделить пользователя.

ФИО может быть очевидным идентификатором, но иногда без дополнительного контекста не позволяет надежно установить конкретного человека.

На практике задача обычно затрагивает несколько процессов одновременно. Юрист смотрит правовое основание, маркетинг — формы и аналитику, HR — данные сотрудников и кандидатов, ИТ — идентификаторы, логи, доступы и системы хранения. Ошибки чаще возникают не в одном документе, а на стыке подразделений: данные уже собираются, сервис уже подключен, рассылка уже запущена, а правовая модель еще не описана.
Такой разрыв особенно заметен на сайте: формы, cookie, аналитика и CRM часто меняются быстрее, чем документы. В материале о рисках на первом экране сайта разобрано, почему даже простая форма заявки может запустить полноценный процесс обработки ПДн.

Три признака персональных данных

Чтобы информация относилась к персональным данным, обычно нужно проверить три признака.

1. Информация может быть любой

152-ФЗ использует максимально широкую формулировку: персональными данными может быть любая информация.

Такой подход соответствует международным подходам к регулированию персональных данных, закрепленным, в частности, в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных

Логика понятна: технологии и бизнес-процессы меняются быстрее, чем законодательство. Если бы закон содержал закрытый перечень персональных данных, он быстро устарел бы. Сегодня компании работают не только с паспортами и телефонами, но и с cookie, ID устройств, данными о поведении на сайте, геолокацией, изображениями с камер, профилями активности, оценками кандидатов, внутренними идентификаторами в CRM и HRM.

В российском законодательстве есть и легальное определение информации: это сведения, сообщения, данные независимо от формы их представления. Поэтому формат не имеет решающего значения. Данные могут быть в анкете, таблице, видеозаписи, аудиофайле, логе, CRM-карточке, заявке с сайта, скриншоте, переписке или отчете аналитики.

Практический вывод для бизнеса: проверять нужно не только очевидные поля вроде ФИО и телефона, но и технические, поведенческие и служебные данные, если они помогают выделить человека.

Почему нельзя работать по закрытому списку ПДн

Во многих компаниях до сих пор используют упрощенный подход, где к персональным данным относятся ФИО, паспорт, телефон, email, адрес и СНИЛС. Такой список удобен для первичной инвентаризации, но опасен как единственный критерий.

Проблема в том, что бизнес-процессы редко работают с данными изолированно:

  • CRM связывает телефон с историей заказов
  • Сайт связывает cookie с поведением пользователя
  • HR-система связывает резюме с оценкой кандидата
  • Пропускная система связывает изображение, время входа и подразделение
  • Маркетинговая платформа связывает email, сегмент, клики и реакцию на рассылку

Поэтому правильная логика не «есть ли это поле в списке персональных данных», а «можно ли по этой информации прямо или косвенно определить человека в конкретном процессе».

Такой подход помогает не перегружать компанию лишними мерами, но и не пропустить данные, которые становятся персональными только в связке с другими сведениями.
Если в компании нет уверенности, какие данные в процессах относятся к ПДн, лучше начать с карты обработки: какие сведения собираются, где хранятся, с чем сопоставляются и кто имеет доступ. Такую карту можно разобрать с экспертами Б-152 через форму заявки, чтобы не строить compliance на неполном перечне данных.

2. Информация должна относиться к физическому лицу

Субъектом персональных данных по 152-ФЗ может быть только физическое лицо. Так называемые «персональные данные юридического лица» не являются персональными данными в смысле 152-ФЗ. Например, фирменное наименование компании относится к сфере гражданского законодательства, а не к регулированию персональных данных.

Но в работе с бизнес-контрагентами граница не всегда очевидна. Название ООО само по себе не является ПДн. А вот ФИО генерального директора, рабочий email конкретного менеджера, номер телефона представителя или подпись в договоре уже могут относиться к физическому лицу.

На практике это особенно важно в B2B-процессах. Компания может считать, что работает только с юридическими лицами, но фактически обрабатывает данные представителей: сотрудников клиента, подписантов, бухгалтеров, технических специалистов, контактных лиц в CRM, участников переговоров и пользователей личного кабинета.

И здесь часто возникают расхождения между документами и реальностью. В политике написано, что компания обрабатывает данные клиентов-физических лиц, но не отражены представители контрагентов. В уведомлении в РКН указаны одни категории субъектов, а CRM содержит другие. В договоре с подрядчиком описана передача данных клиентов, но фактически передаются и данные сотрудников партнеров.

Как информация может относиться к человеку

В экспертной литературе выделяется несколько моделей связи информации с субъектом данных.

Первая модель — информация относится к человеку по своему содержанию. Например, результаты медицинского исследования, сведения о зарплате, данные паспорта, номер СНИЛС, информация о прохождении обучения, кадровые документы.

Вторая модель — информация используется, чтобы оценить поведение, деятельность лица или повлиять на его восприятие. Например, анализ активности в интернете для таргетированной рекламы, специальные ценовые предложения в маркетплейсах, оценка кандидатов, скоринг клиента или сегментация базы для рассылок.

Третья модель связана с техническими средствами, которые использует человек. Данные могут собираться преимущественно в технических целях, но затем анализироваться оператором для других задач. В качестве примера в научно-практическом комментарии приводится оценка качества труда таксистов на основе геолокационных данных автомобилей, входящих в таксопарк.

Источник: Савельев А.И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» / 3-е изд., перераб. и доп. — Москва: Статут, 2026. С. 61.

Для бизнеса здесь важна не теория, а рабочий вывод: если данные используются для оценки, сегментации, контроля, персонализации, допуска, отказа, начисления, коммуникации или принятия решения в отношении человека, их нужно проверять как потенциальные персональные данные.

Отдельный вопрос: данные умерших лиц

Закон № 152-ФЗ не содержит специальных положений о статусе умершего лица как субъекта персональных данных. Но российское законодательство предусматривает механизмы защиты такой информации.

Так, частью 7 статьи 9 Закона № 152-ФЗ предусмотрено право наследников давать согласие на обработку персональных данных умершего лица и отзывать такое согласие.

Защита персональных данных умершего — интерес не только наследников, но и государства. О публично-частном характере этого вопроса свидетельствует Постановление Конституционного Суда РФ, которым было положено начало изменениям в медицинское законодательство: медицинские организации получили обязанности предоставлять медицинские документы умерших пациентов супругу, близким родственникам, членам семьи умершего пациента и лицам, указанным в его информированном добровольном согласии на медицинское вмешательство.

Для бизнеса этот блок важен в медицинских, страховых, кадровых, архивных и сервисных процессах. Даже если субъект умер, это не означает, что компания может свободно раскрывать сведения о нем или хранить их без правовой оценки.

3. Информация должна относиться к прямо определенному или косвенно определяемому лицу

Третий признак — возможность определить человека прямо или косвенно.

Информация прямого отношения позволяет установить конкретного субъекта. Например, ФИО в связке с паспортом, СНИЛС, ИНН физического лица, номером договора, личным кабинетом или рабочим профилем.

Информация косвенного отношения не всегда сразу называет человека, но сужает круг потенциальных субъектов или позволяет выделить конкретного пользователя при сопоставлении с другими данными. Таких примеров в современной компании гораздо больше:

  • IP-адрес;
  • cookie-файлы;
  • ID устройства;
  • геолокация;
  • данные с камер видеонаблюдения;
  • адрес места жительства;
  • корпоративный email;
  • история действий в личном кабинете;
  • идентификатор пользователя в CRM;
  • логи доступа;
  • данные поведения на сайте.

Практическая сложность в том, что косвенная идентификация почти всегда зависит от контекста. Один технический идентификатор может быть бесполезен для одного лица и очень информативен для другого. Если компания может сопоставить его с заявкой, заказом, аккаунтом, email или телефоном, риск квалификации как ПДн становится выше.

Cookie, IP-адреса и метрические программы

Вопрос cookie и метрических программ стал одним из самых показательных для бизнеса. Долгое время часть компаний воспринимала такие данные как чисто технические. На практике подход регулятора и судов становится шире.

Например, начальник Управления РКН по защите прав субъектов персональных данных Ю.Е. Контемиров на онлайн-конференции от 22.08.2025, отвечая на вопрос о cookie-файлах, сказал, что позиция Роскомнадзора заключается в том, чтобы рассматривать данные, которые собираются с помощью метрических программ, включая Яндекс.Метрику и top.mail.ru, IP-адреса и cookie-файлы, в совокупности как персональные данные.

В этом же ответе Ю.Е. Контемиров отметил, что адрес электронной почты, закрепленный за конкретным физическим лицом, по мнению регулятора, как правило, относится к персональным данным, поскольку позволяет прямо или косвенно идентифицировать такого человека. Аналогичный подход применяется и к корпоративным адресам электронной почты, если они позволяют определить конкретного сотрудника организации.

Эту позицию подтверждает и судебное решение по делу № А56-72347/2025 от 27.10.2025: IP-адреса, уникальные идентификаторы устройств, данные о поведении пользователей, собираемые сервисом Яндекс.Метрика, были отнесены к персональным данным, поскольку позволяют определить пользователя косвенно. Суд признал факт правонарушения по ч. 1 ст. 13.11 КоАП РФ за использование на сайте Яндекс.Метрики без получения согласия посетителей на обработку их персональных данных, однако освободил учреждение от ответственности, посчитав нарушение малозначительным.

Для бизнеса практический вывод такой: cookie-баннер и политика обработки ПДн — это не декоративные элементы сайта. Они должны соответствовать тому, какие метрики и идентификаторы реально собираются, куда уходят данные и можно ли связать их с конкретным пользователем.

Почему практика не всегда единообразна

Практика по вопросам отнесения конкретной информации к персональным данным не отличается полным единообразием.

Яркий пример — судебное решение, в котором фамилия, имя и отчество человека не были признаны персональными данными в отсутствие иной информации о лице. Суд указал, что письма, направленные от имени общества, содержали фамилию и имя, совпадающие с фамилией и именем истца, но других дополнительных сведений не было. Связь между лицом, указанным в спорных текстах, и истцом установить однозначно не представлялось возможным. Само по себе размещение писем с указанием фамилии и имени, совпадающих с фамилией и именем истца, без иной информации, относящейся прямо или косвенно к истцу, не было признано противоправным действием.

Но такое решение нельзя рассматривать как универсальный ориентир. Несмотря на отдельные судебные акты с более узким подходом, Роскомнадзор и большинство судов придерживаются более широкого толкования понятия персональных данных.

На практике ФИО чаще всего рассматриваются как персональные данные, потому что позволяют идентифицировать человека самостоятельно либо в совокупности с иной доступной информацией. Возможность идентификации зависит от обстоятельств: распространенности фамилии, региона проживания, профессиональной деятельности, языковой принадлежности имени, связки с должностью, адресом, компанией или публичным профилем.

Поэтому в рабочих проектах редко бывает достаточно ответа «ФИО — это всегда ПДн» или «ФИО без паспорта — не ПДн». Нужно смотреть на конкретный процесс и совокупность данных.

Очевидные и неочевидные персональные данные

К наиболее очевидным идентификаторам физических лиц относятся:

  • фамилия, имя и отчество;
  • СНИЛС;
  • ИНН физического лица;
  • номер паспорта;
  • адрес регистрации или проживания;
  • номер телефона;
  • email, если он связан с конкретным человеком;
  • дата рождения;
  • фотография или изображение с камеры;
  • сведения о месте работы и должности в связке с человеком.

Фотографии и изображения с камер, кстати, часто недооценивают, потому что они кажутся частью обычной коммуникации или безопасности. В материале о фотографии как персональных данных разобрали, когда изображение становится объектом правового регулирования и почему публикация или хранение фото требует отдельной оценки.

Но в реальных процессах компании часто работают и с менее очевидными данными:

  • cookie и идентификаторы пользователя;
  • IP-адреса;
  • ID устройства;
  • геолокационные данные;
  • история покупок;
  • поведение на сайте;
  • оценки кандидата;
  • результаты тестирования;
  • записи звонков;
  • данные пропускной системы;
  • внутренние номера в CRM или HRM;
  • логи действий в системе.

Сами по себе такие сведения могут казаться техническими или служебными. Но если они помогают выделить пользователя, сотрудника, клиента или кандидата, их нужно проверять как персональные данные.

Практическая методология: как определить, являются ли сведения ПДн

Вместо формальной проверки отдельных полей лучше анализировать полный цикл обработки данных. Рабочая логика может выглядеть так.

Шаг 1. Определить процесс

Сначала нужно понять, где именно используются сведения: сайт, CRM, HR, пропускной режим, рассылки, аналитика, личный кабинет, клиентская поддержка, бухгалтерия, обучение, видеонаблюдение, мобильное приложение.

Одна и та же информация в разных процессах может иметь разный риск. Например, email компании и email в CRM с историей заказов — это разные ситуации.

Шаг 2. Определить субъектов

Нужно понять, к кому относятся данные:
  • клиенты;
  • пользователи сайта;
  • сотрудники;
  • кандидаты;
  • представители контрагентов;
  • подрядчики;
  • посетители офиса;
  • участники мероприятий;
  • пациенты;
  • учащиеся;
  • пользователи сервиса.

Этот шаг часто выявляет пробелы в документах. Компания описывает клиентов, но забывает представителей юридических лиц. Описывает сотрудников, но не кандидатов. Описывает пользователей сайта, но не участников рассылок или вебинаров.

Шаг 3. Проверить возможность идентификации

Затем нужно оценить, можно ли по данным прямо или косвенно определить человека.

Вопросы для проверки:

  • есть ли в данных прямой идентификатор;
  • можно ли связать данные с аккаунтом, заявкой, договором или устройством;
  • есть ли у компании дополнительные сведения для сопоставления;
  • используются ли данные для оценки, сегментации, персонализации или контроля;
  • может ли другой участник процесса идентифицировать человека, даже если оператор напрямую не видит ФИО.

На практике именно последний вопрос часто оказывается решающим. Компания может считать сведения не персональными данными, но подрядчик, платформа или связанная система имеет возможность восстановить связь с конкретным пользователем.

Шаг 4. Проверить цель обработки

Цель показывает, зачем компания использует данные. Если сведения используются для коммуникации, доступа, оценки, продажи, найма, обслуживания, аналитики или контроля, нужно внимательно проверить, не возникает ли режим персональных данных.

Например, данные о поведении на сайте могут собираться «для аналитики», но затем использоваться для ретаргетинга, персонализации предложений или передачи в рекламные кабинеты. В этот момент технический процесс становится юридически значимым.

Шаг 5. Проверить документы и фактическую систему

В финале нужно сопоставить вывод с документами:

  • политикой обработки персональных данных;
  • согласием;
  • уведомлением в Роскомнадзор;
  • реестром процессов обработки;
  • договором с подрядчиком;
  • настройками ИТ-систем;
  • сроками хранения;
  • правами доступа.

Без такой сверки компания может правильно определить данные как ПДн, но не отразить это в документах и процессах.
Когда таких процессов много, ручная сверка быстро становится источником ошибок!
В Privacy Box можно систематизировать процессы обработки ПДн, вести реестры, фиксировать категории данных и поддерживать документы в актуальном состоянии без разрозненных таблиц и переписок.

Где бизнес чаще всего ошибается

Ошибки редко возникают из-за одного неверного определения. Чаще проблема появляется, когда компания не связывает данные с реальным процессом.

Ошибка 1. Считать B2B-контакты не персональными данными

Рабочий email, телефон и ФИО сотрудника контрагента могут относиться к персональным данным. Даже если компания работает только с юридическими лицами, она обычно обрабатывает данные конкретных представителей.

Ошибка 2. Считать технические идентификаторы неперсональными

Cookie, IP-адреса, ID устройств и логи могут казаться технической информацией. Но в связке с поведением пользователя, заявкой, аккаунтом или CRM они могут позволять косвенно определить человека.

Ошибка 3. Не учитывать данные кандидатов

Резюме, результаты интервью, тестовые задания, комментарии рекрутера и оценки кандидата относятся к человеку и используются для принятия решений о нем. Это не просто «рабочие заметки HR».

Ошибка 4. Не видеть персональные данные в видеонаблюдении и СКУД

Изображение, время прохода, данные пропуска, маршрут перемещения по офису могут относиться к конкретному человеку. Особенно если система используется для контроля доступа, дисциплины или расследования инцидентов.

Ошибка 5. Путать обезличивание и уничтожение

Если данные можно восстановить или связать с человеком через ключ, ID, таблицу соответствия или иные дополнительные данные, это не уничтожение. На практике такие данные часто остаются в контуре ПДн.

Что происходит, если компания не распознала персональные данные

Если компания ошибочно решила, что сведения не являются персональными данными, последствия возникают не сразу. Процесс может годами работать без вопросов, пока не появится жалоба, клиентский аудит, инцидент, проверка или конфликт с сотрудником.

Типовые последствия:

  • нет правового основания обработки;
  • не получено согласие там, где оно требуется;
  • данные не отражены в политике;
  • не обновлено уведомление в РКН;
  • не определены сроки хранения;
  • подрядчик получил доступ без поручения обработки;
  • не настроены меры защиты;
  • субъекту невозможно корректно ответить на запрос;
  • данные продолжают храниться после достижения цели.

Без актуального реестра компании часто сталкиваются с расхождениями между документами и фактическими процессами. В политике описаны одни категории данных, сайт собирает другие, CRM хранит третьи, а подрядчик получает четвертые. Формальное наличие документов еще не означает, что процессы соответствуют требованиям регулятора.

Как бизнесу проверить свои данные без перегруза

Базовая самопроверка может быть достаточно простой.

  1. Составьте список процессов, где компания получает сведения о людях.
  2. Для каждого процесса определите категории субъектов.
  3. Отдельно выпишите прямые идентификаторы: ФИО, телефон, email, паспорт, СНИЛС, ИНН.
  4. Отдельно выпишите косвенные идентификаторы: cookie, IP, ID устройства, логи, геолокацию, внутренние ID.
  5. Проверьте, с чем эти данные сопоставляются.
  6. Определите цель обработки.
  7. Проверьте, отражены ли данные и цели в документах.
  8. Посмотрите, кто имеет доступ к данным.
  9. Проверьте подрядчиков и внешние сервисы.
  10. Зафиксируйте спорные случаи для экспертной оценки.

Эта проверка не должна превращаться в теоретический спор о каждом поле. Ее цель — увидеть реальные точки обработки и понять, где компания может ошибочно не применять режим ПДн.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Если нужно регулярно следить за практикой Роскомнадзора, судебными подходами, cookie, согласиями и спорными категориями данных, разборы таких кейсов выходят в Telegram-канале Б-152.
реклама
бизнес
юридические вопросы
маркетинг

Почему универсального перечня персональных данных не будет

Из описанного выше следует главный вывод: в России органы власти придерживаются широкого подхода к пониманию персональных данных. В разных ситуациях одна и та же информация может как относиться к персональным данным, так и не являться таковой.

Исчерпывающий перечень данных, которые можно считать персональными, отсутствует и едва ли будет закреплен. Развитие общественных отношений и информационных технологий опережает законодательные изменения.

Для бизнеса это означает, что вопрос об отнесении сведений к персональным данным решается не абстрактно, а с учетом конкретного контекста обработки. Значение имеет не только характер самих сведений, но и возможность идентификации человека с использованием информации, которая есть у оператора, целей обработки и иных обстоятельств.

Именно поэтому одна и та же информация в разных ситуациях может как являться персональными данными, так и не подпадать под этот режим.

Что делать компании после такой оценки

После первичной оценки спорные данные лучше разделить на три группы.

Первая группа — очевидные персональные данные. По ним нужно проверить правовые основания, документы, сроки хранения, доступы, подрядчиков и меры защиты.

Вторая группа — данные с высоким идентифицирующим потенциалом. Это cookie, IP, ID устройств, геолокация, видеозаписи, логи, внутренние идентификаторы. По ним нужно смотреть контекст, связки с другими системами и цели использования.

Третья группа — спорные или пограничные данные. По ним не стоит принимать решение только на уровне одного подразделения. Обычно требуется совместная оценка юриста, ИТ, владельца процесса и, при необходимости, внешнего эксперта.

В зрелой модели компания не пытается навсегда зафиксировать один список ПДн. Она поддерживает процесс: появляются новые формы, сервисы, метрики, подрядчики, HR-инструменты или модели аналитики — обновляется и оценка данных.
Если после внутренней проверки остаются спорные наборы сведений, их лучше разобрать до запуска процесса. Эксперты Б-152 помогают определить, какие данные относятся к ПДн, как это влияет на документы, уведомление, согласия, подрядчиков и сроки хранения — можно передать вопрос через форму заявки.

Часто задаваемые вопросы

1) Что относится к персональным данным по 152-ФЗ?

К персональным данным относится любая информация, которая прямо или косвенно связана с определенным или определяемым физическим лицом. Это могут быть не только ФИО и паспорт, но и технические, поведенческие, кадровые и иные сведения.

2) Являются ли ФИО персональными данными?

Чаще всего да. Но в отдельных ситуациях суды оценивают контекст: можно ли по ФИО и сопутствующим сведениям установить конкретного человека. На практике безопаснее рассматривать ФИО как персональные данные, особенно если они связаны с компанией, должностью, контактом, договором или другими сведениями.

3) Является ли корпоративный email персональными данными?

Да, если он позволяет определить конкретного сотрудника. Например, адрес вида name. surname@company.ru обычно имеет идентифицирующий потенциал и может относиться к персональным данным.

4) IP-адрес и данные, собираемые с помощью cookie, относятся к персональным данным?

Могут относиться. Позиция Роскомнадзора заключается в том, что данные, собираемые метрическими программами, включая IP-адреса и cookie-файлы, в совокупности могут рассматриваться как персональные данные.

5) Персональные данные бывают только у физических лиц?

Да. Субъектом персональных данных по 152-ФЗ может быть только физическое лицо. Сведения о юридическом лице сами по себе не являются персональными данными, но данные его представителей могут подпадать под этот режим.

6) Почему нельзя закрепить полный перечень персональных данных?

Потому что технологии и способы обработки постоянно меняются. Один и тот же набор сведений может иметь разный статус в зависимости от контекста, цели обработки и возможности идентифицировать человека.

7) Что делать, если компания не уверена, являются ли сведения ПДн?

Нужно проверить процесс: какие данные собираются, к кому относятся, можно ли по ним определить человека, с чем они сопоставляются, для какой цели используются и отражены ли в документах. Спорные случаи лучше фиксировать и разбирать отдельно.

Итог

Персональные данные — это не закрытый список полей в анкете. Это режим, который возникает, когда информация относится к конкретному или определяемому человеку. Поэтому бизнесу важно смотреть не только на название данных, но и на контекст: процесс, цель, систему, связку с другими сведениями и возможность идентификации.

На практике проблемы чаще появляются там, где данные кажутся техническими, служебными или «неважными»: cookie, IP-адреса, логи, корпоративные email, данные представителей контрагентов, записи камер, оценки кандидатов, внутренние ID. Именно эти сведения часто не попадают в документы, хотя фактически участвуют в обработке.

Рабочий подход состоит в том, чтобы не искать универсальный перечень персональных данных, а выстроить процесс оценки: карта обработки, категории субъектов, идентификаторы, цели, документы, доступы и подрядчики. Тогда компания видит не только очевидные данные, но и пограничные зоны, где чаще всего возникают вопросы регулятора, клиентов и субъектов.
Материалы по теме