Бенчмарк privacy-практик 2025: от зрелого комплаенса к цифровому лидерству

Конкурс The DEPARTMENT вновь собрал лучших представителей юридического сообщества, которые меняют представление о роли корпоративного юриста. Помимо устойчивой правовой практики в центре внимания оказался и стиль управления рисками, соответствующий вызовам времени. Одним из ключевых событий юбилейного года стало учреждение новой номинации «Эффективная правовая защита персональных данных», инициированной юридическим бутиком Comply в партнерстве с Ассоциацией Больших Данных. Она отражает растущее значение приватности как части стратегической повестки компаний, работающих с большими массивами информации и цифровыми экосистемами. Победа «Авито» с их стратегически интегрированным подходом, а также выдающиеся решения призеров «ЮниРусь» и «Точки» показывают, что лучшие игроки перешагнули этап формального соответствия. Их опыт формирует новый отраслевой стандарт, где приватность становится драйвером доверия и устойчивого развития бизнеса. Своими впечатлениями от работ участников этой номинации делится эксперт конкурса Артем Дмитриев.

Эта номинация стала своего рода барометром зрелости практики в области обработки данных. Участники продемонстрировали разнообразный, но устойчивый подход к обеспечению соответствия от внедрения privacy by design и оценок рисков приватности до развития обучающих программ и формирования комплексной политики. На этом фоне особенно выделилась команда «Авито», ставшая иконой privacy-стиля 2025 года. Коллеги из «Авито» задали ориентиры отрасли. Их подход — это синтез юридической точности, технологической осведомленности и глубокой стратегической интеграции вопросов privacy в бизнес-процессы и технологии.

Работы команд, занявших второе и третье места, как минимум не менее вдохновляющие. В тройке финалистов, конечно же, не оказалось случайных имен. И вообще, по секрету: голоса экспертного совета разделились.

Команда «ЮниРусь» продемонстрировала высокую зрелость процессов риск-менеджмента, плотную работу с топ-менеджментом и фундаментальный подход к управлению privacy-знаниями. Особо стоит отметить внедренную систему оценки рисков приватности, встроенную в тикетные процессы компании, что делает управление privacy-рисками частью ежедневной операционной практики и существенно повышает проникновение privacy-комплаенса в рутинные процессы.

«Точка», оказавшаяся на третьем месте, впечатлила инновационными ИТ-решениями. Команда разработала и внедрила «умный сканер» — систему маскировки данных в ИТ-инфраструктуре, а также запустила сервис отзыва согласий, позволяющий клиентам самостоятельно управлять своими правами. Более того, в компании действует внутренний стандарт безопасности новых продуктов, включая чек-листы и обязательную privacy-проверку перед запуском.

Всего в номинации участвовало более десяти заявок, и каждая из них достойна внимания и изучения для перенятия выдающейся практики.

От соблюдения к лидерству

Многие спрашивали, почему все-таки больше баллов экспертный совет общим голосованием отдал «Авито». Отвечаем. В числе решений, представленных «Авито» в конкурсной заявке, особо были отмечены:

• реализация принципов минимизации данных в ИТ-системах через хэширование, псевдонимизацию, централизованное хранение сырых / исходных данных в защищенном контуре и иные технологии повышения конфиденциальности;
• платформа по генерации актов уничтожения персональных данных и интеграция с ней сервисов компании;
• цифровой сервис сбора и управления согласиями сотрудников;
• формирование privacy-гибкости внутри продуктовых команд;
• механизмы DPO-сопровождения на стадии MVP-разработки и согласования процессов;
• системный подход к развитию privacy-культуры внутри компании, включая внутренние мероприятия, курсы, лендинги для повышения осведомленности;
• метрики для оценки эффективности и потенциала privacy-функции;
• прозрачность и проактивность в PR-сфере, в частности благодаря Avito Privacy Day, которой могут позавидовать многие.

Все эти меры демонстрируют переход от формального соответствия к лидерству в области цифровой этики и доверия.

Бенчмарк практик: от тренда к стандарту

По результатам рейтинга можно выделить ряд практик, которые постепенно становятся отраслевым стандартом. Условно их можно разделить на несколько направлений, каждое из которых задает отраслевой стандарт и формирует повестку на годы вперед.

Менеджмент и управление DPO-функцией:

• выделение DPO в отдельную кросс-функциональную структуру с прямым подчинением топ-менеджменту, обеспечивающее независимость и стратегическую значимость функции;
• формализация метрик эффективности (KPI) — рост числа запросов от бизнеса, процентный показатель охвата сотрудников обучением, охват согласий, тайм-ту-маркет для новых продуктов и процессов и пр.;
• RACI-матрицы и другие инструменты закрепления ответственности между DPO, ИТ, ИБ, GR, методологами и бизнесом — для четкого разграничения ролей и сценариев взаимодействия;
• создание центров, объединяющих экспертизу юристов, ИБ-специалистов, аналитиков, продакт-менеджеров, включая тикетные системы и чат-боты для обработки запросов;
• развитие баз знаний и внутренняя стандартизация практик, в том числе формата DPIA, чек-листов, шаблонов ЛНА и обучающих материалов.

Privacy by Design и технологии:

• интеграция оценки privacy-рисков в жизненный цикл продуктов и бизнес-инициативы от идеи до внедрения, системный подход к управлению privacy-рисками в условиях внедрения ИИ и больших данных;
• автоматизация data mapping и ведения RoPA с автоматическими алертами по критичным изменениям;
• внедрение PETs (privacy-enhancing technologies) — от анонимизации и маскирования до продвинутых сценариев, включая федеративное обучение;
• активное использование технологий мониторинга и предотвращения утечек;
• масштабная работа по минимизации — сокращение лишних тачпойнтов и полей в легаси-системах, сокращение количества баз данных, ограничение доступов, маскирование чувствительных данных, внедрение инструментов разметки данных.

Процедуры: процессы, инциденты, вендоры:

• формализация и автоматизация процедур внутреннего и внешнего аудита, с пересмотром рисковых матриц и периодическими ревью критичных процессов;
• контроль цепочек передачи данных и вендоров — чек-листы оценки третьих лиц, автоматизированные и/или стандартизированные шаблоны договоров, регулярный аудит, отслеживание трансграничных потоков;
• разработка и отработка сценариев реагирования на инциденты, включая киберучения, оповещения и внутреннюю координацию команд;
• автоматизация уведомлений Роскомнадзора, обновления информации в реестре операторов.
• внедрение отраслевых стандартов, например разработанный на площадке Ассоциации Больших Данных.

Культура, обучение и вовлеченность:

• запуск многоуровневых обучающих программ — от базовых курсов до специализированных тренингов для отраслевых команд, включая оценку результатов (маркетинг, продукт, HR);
• развитие privacy-чемпионов внутри подразделений — «проводников» DPO-функции на местах, решающих локальные задачи;
• геймификация и интерактив — квизы, симуляции, призы лучшим слушателям, которые делают обучение живым и за­поминающимся;
• внедрение понятных форматов политики — неформальные, визуально адаптированные инструкции и плейбуки, рассчитанные на разных пользователей, а не только на юристов;
• построение системной внутренней коммуникации, через которую privacy становится частью языка и культуры компании;
• сервисы управления согласиями (consent management) для большего контроля работников и клиентов над своими данными;
• внешние коммуникации через клиентские лендинги про работу с персональными данными, экспертные мероприятия с участием регуляторов и GR-активности.

Важно отметить, что высокий уровень зрелости в управлении privacy-рисками продемонстрировали компании из самых разных отраслей. Мы видим, что комплаенс в части персональных данных становится нормой: от FMCG и банковского сектора до ИТ-компаний и производственных холдингов. Тем не менее именно глубина интеграции в технологии и стратегичность подхода позволили «Авито» выйти далеко за пределы формального комплаенса и сформировать образ компании, где приватность — не обязанность, а ценность.

Вместо эпилога

Конкурс The DEPARTMENT вновь подтвердил: юридическая функция сегодня — это не просто поддержка бизнеса, а драйвер трансформации. И если ранее вопрос о защите персональных данных был обязательным пунктом повестки, то теперь он становится источником конкурентного преимущества. В новых условиях выигрывает тот, кто умеет видеть в праве не только регуляторные ограничения, но и инструменты лидерства, доверия и устойчивого развития.

Работа DPO и комплаенс-команд больше не ограничивается рутинным контролем или реагированием на инциденты. Это уже не только про процедуры и документы, но и про яркие, масштабные проекты, которыми команды гордятся и охотно делятся. В центре внимания автоматизация процессов, запуск новых цифровых сервисов, реинжиниринг и нормализация жизненного цикла данных, инвентаризация и «чистка» устаревших массивов, а также многое другое.

Такого уровня открытости, зрелости и проактивности в отрасли еще не наблюдалось, именно эти проекты становятся новым стандартом для лидеров цифровой экономики. Наконец, таким операторам, как все лауреаты этой номинации, не нужны никакие спецоператоры, концепция которых активно промотируется в регуляторной повестке.