сначала опишите поток данных
До внедрения нужно понять, какие данные приходят из канала, где они хранятся, кто их видит и в какие внешние сервисы они уходят. Без этой карты любые заявления о безопасности остаются словами.
сократите передачу лишнего
Часть сценариев можно реализовать без полной передачи персональных данных: достаточно идентификатора обращения, маскированных контактов, обобщенной категории запроса и технического контекста для оператора. Чем меньше чувствительных данных в цепочке, тем проще соблюсти требования.
готовьте внедрение вместе с юридическим и ит-контуром
Для пилота важно заранее определить роли поставщиков, формулировки согласия, правила хранения, логи доступа и порядок удаления данных. Тогда проект не упрется в барьер на последнем этапе согласования.