Середина рабочего дня. Гульнара из юридического отдела крупной алматинской компании получает письмо от адвоката бывшего клиента: «Предоставьте всю переписку с нашим доверителем за период с января по март 2023 года. Документы нужны для судебного разбирательства».
Гульнара идёт к айтишникам. Те пожимают плечами: «Диалоги старше шести месяцев автоматически удаляются. Система так настроена». Гульнара бледнеет. Компания потенциально теряет важные доказательства в свою защиту, потому что никто не подумал о том, что данные когда-нибудь понадобятся.
А теперь представьте обратную ситуацию. Другая компания хранит абсолютно всё — каждое сообщение, каждый чат, каждый звонок за последние десять лет. Терабайты данных, за которые нужно платить. И когда приходит запрос от регулятора «удалите персональные данные клиента по его требованию» — никто не знает, где искать и что именно удалять.
Обе ситуации — результат одной и той же проблемы: отсутствия продуманной политики хранения данных. Data retention — это не про «хранить или удалять». Это про то, как найти баланс между бизнес-потребностями, законодательством и здравым смыслом.
«Политика хранения данных — это не бюрократия ради бюрократии. Это страховка. Когда приходит регулятор, суд или просто разгневанный клиент — у вас есть чёткий ответ: вот правила, вот сроки, вот журнал действий. Ничего личного, просто процедура»
Принцип прозрачности
Data Governance
Почему политика хранения диалогов стала критичной
Ещё пять лет назад можно было особо не заморачиваться. Клиенты звонили по телефону, переписка велась по email, объёмы были скромными. Сегодня всё изменилось, и вот почему data retention превратился из «хорошо бы сделать» в «срочно нужно».
Взрывной рост каналов
WhatsApp, Telegram, Instagram Direct, чат на сайте, голосовые боты — каждый канал генерирует данные. Один клиент за месяц может оставить десятки сообщений в разных местах. Умножьте на тысячи клиентов.
AI-боты всё фиксируют
Чат-бот записывает каждый диалог — это его работа. Но в этих диалогах могут быть паспортные данные, номера счетов, медицинская информация. Хранить бесконечно — рискованно.
Ужесточение законов
В Казахстане закон о персональных данных обновляется. GDPR влияет на компании с европейскими клиентами. Штрафы за нарушения растут. «Не знали» — больше не оправдание.
Стоимость хранения
Облако не бесплатное. Хранить всё подряд «на всякий случай» — это прямые расходы. Компании начинают считать деньги и задаваться вопросом: а нужны ли нам чаты пятилетней давности?
Добавьте сюда тот факт, что клиенты становятся осведомлённее о своих правах. Запросы «удалите мои данные» — уже не экзотика, а рутина. И если у вас нет процесса обработки таких запросов, каждый из них превращается в мини-кризис.
Кстати, о защите данных и приватности в контексте AI-решений мы подробно рассказывали в статье про конфиденциальность персональных данных в эпоху ботов.
Законодательные требования: что говорит закон
Прежде чем строить политику, нужно понять правовую рамку. В Казахстане и для международных операций действуют разные требования, и их нужно учитывать.
Казахстан: Закон о персональных данных
Основной документ — Закон РК «О персональных данных и их защите». Ключевые моменты для хранения диалогов:
Принцип минимизации
Храните только те данные, которые необходимы для заявленных целей. «На всякий случай» — не легитимная цель. Если переписка больше не нужна для обслуживания клиента — её нужно удалить.
Сроки хранения
Закон не устанавливает единого срока. Но есть отраслевые требования: бухгалтерские документы — 5 лет, трудовые — 75 лет, и т.д. Для переписок чёткого срока нет — это ваша ответственность.
Право на удаление
Клиент может потребовать удалить свои данные. Вы обязаны это сделать в течение 3 рабочих дней, если нет законных оснований для отказа (например, судебный спор).
Уведомление об утечке
Если данные утекли — вы обязаны уведомить уполномоченный орган и субъектов данных. Чем больше храните — тем больше риск и тем больше людей придётся уведомлять.
GDPR и международные клиенты
Если работаете с клиентами из ЕС или обрабатываете данные граждан ЕС — GDPR применяется к вам, даже если вы в Алматы.
часа на уведомление
об утечке
дней на ответ
на запрос клиента
оборота — максимальный
штраф
Важно: GDPR требует «права на забвение» — полное удаление данных по запросу клиента. Если ваши данные разбросаны по десяти системам без единого реестра — выполнить это требование будет очень сложно.
Подробнее о требованиях GDPR и 152-ФЗ (который часто берётся за основу в Казахстане для локальных политик) мы разбирали в статье AI, GDPR и 152-ФЗ: практическое руководство.
Как определить сроки хранения для разных типов данных
Теперь к практике. Единого правила нет, но есть здравый смысл и отраслевые практики. Главный принцип: чем чувствительнее данные, тем короче срок хранения (если нет обязательных требований).
| Тип данных | Рекомендуемый срок | Обоснование | Примечания |
|---|---|---|---|
| Чаты поддержки общие вопросы |
6-12 месяцев | Достаточно для анализа качества, обучения команды и разрешения споров | После — удаление или анонимизация для аналитики |
| Диалоги с ботом автоматические ответы |
3-6 месяцев | Нужны для улучшения бота и отладки. Дольше — избыточно | Персональные данные можно анонимизировать раньше |
| Транзакционные чаты покупки, заказы |
3-5 лет | Привязаны к финансовым документам, нужны для бухгалтерии и налоговой | Срок = сроку хранения связанных документов |
| Претензии и жалобы конфликтные ситуации |
3-5 лет | Могут понадобиться для судебных разбирательств (срок исковой давности) | Рассмотреть legal hold для активных споров |
| Записи звонков голосовые диалоги |
6-12 месяцев | Для контроля качества и обучения. Занимают много места | Транскрипты можно хранить дольше, аудио — удалять |
| Чувствительные данные здоровье, финансы |
Минимум | Хранить только пока необходимо для обработки запроса | Отдельные политики для медицины, финансов |
Важно понимать: это ориентиры, не догма. Ваши сроки зависят от специфики бизнеса, отрасли и рисков. Ритейлу, возможно, хватит 6 месяцев для обычных чатов. Страховой компании может потребоваться 10 лет для диалогов, связанных с полисами.
Главное — не «угадать правильный срок», а задокументировать логику принятия решения. Если придёт проверка, вы сможете объяснить: «Мы храним диалоги 12 месяцев, потому что это покрывает гарантийный срок на наши товары. Вот документ с обоснованием».
Legal Hold: когда удалять нельзя
Legal hold — это механизм, который «замораживает» данные и не даёт их удалить, даже если подошёл срок ретеншна. Это критически важно, когда есть судебные разбирательства, проверки регуляторов или внутренние расследования.
Когда активируется Legal Hold
Судебный иск
Получили повестку, претензию или предупреждение о возможном иске — сразу замораживайте все данные, связанные с этим клиентом или инцидентом.
Проверка регулятора
Налоговая, антимонопольный орган, финансовый регулятор — любая проверка означает, что связанные данные нельзя удалять до её завершения.
Внутреннее расследование
Подозрение на мошенничество сотрудника, утечку данных, нарушение политик — данные замораживаются до конца расследования.
Потенциальный риск
Клиент угрожает судом, публичный скандал, крупный инцидент — превентивная заморозка до прояснения ситуации.
Как реализовать Legal Hold технически
Хорошо, когда система позволяет поставить флаг «не удалять» на конкретные записи. Но не все CRM и чат-платформы это умеют. Вот практические подходы:
Флаг в базе данных
Добавьте поле legal_hold = true/false к записям диалогов. Скрипт автоудаления должен проверять этот флаг и пропускать помеченные записи. Простое и эффективное решение.
Отдельное хранилище
Данные под legal hold копируются в защищённое хранилище с ограниченным доступом. Основные данные удаляются по расписанию, копия — хранится до снятия hold.
Реестр Legal Hold
Ведите журнал: кто инициировал hold, на какие данные, почему, когда снять. Это нужно и для аудита, и чтобы не забыть снять hold, когда он больше не нужен.
Типичная ошибка
Компании ставят legal hold и... забывают его снять. Через пять лет обнаруживается, что хранятся терабайты данных, которые давно можно было удалить. Обязательно назначайте ответственного за пересмотр hold каждые 6-12 месяцев.
Нужна помощь с политикой хранения данных?
Поможем разработать data retention policy, настроить автоматическое удаление и legal hold в вашей CRM. Учтём специфику бизнеса и законодательство Казахстана.
Обсудить проектКонтроль доступов: кто видит диалоги
Политика хранения — это не только «сколько хранить», но и «кто может видеть». Доступ к переписке с клиентами — это доступ к чувствительной информации. И его нужно контролировать.
Принцип минимальных привилегий
Каждый сотрудник должен иметь доступ только к тем данным, которые нужны для его работы. Не больше.
Оператор поддержки
Видит только свои диалоги и диалоги своей группы. Не видит переписку коллег и исторические данные старше 30 дней.
Руководитель отдела
Видит диалоги всех своих подчинённых. Может просматривать историю для оценки качества. Не может удалять.
Compliance/Безопасность
Полный доступ к архивам для расследований. Права на установку legal hold. Все действия журналируются.
Ролевая модель доступов (RBAC) — ваш друг. Определите роли, определите права для каждой роли, настройте в системе. Подробнее об этом можно прочитать в статье про RBAC и аудит в CRM.
Особые случаи доступа
Запрос самого клиента
Клиент имеет право получить копию своих диалогов. Нужен процесс: верификация личности → экспорт данных → безопасная передача.
Запрос правоохранителей
Только по официальному запросу с судебным решением. Передаётся минимально необходимый объём. Всё фиксируется в журнале.
Увольнение сотрудника
Доступ блокируется сразу. Диалоги передаются новому ответственному. Если были конфиденциальные переговоры — пересмотр уровней доступа.
Подозрение на утечку
Немедленно ограничить доступ подозреваемого. Активировать legal hold. Начать расследование с анализа журналов доступа.
Журналирование: фиксируем всё
Аудит-логи — это страховка на случай проблем. Если случится инцидент, по журналам видно: что произошло, кто виноват, что делать дальше. Без них — вы как слепой котёнок.
Что обязательно журналировать
Доступ к данным
- Кто просматривал диалог
- Когда (точное время)
- С какого устройства/IP
- Какие записи просматривал
Изменения данных
- Редактирование диалогов
- Удаление записей
- Экспорт данных
- Изменение статуса (legal hold)
Административные действия
- Изменение прав доступа
- Создание/удаление пользователей
- Изменение политик хранения
- Установка/снятие legal hold
Автоматические действия
- Автоудаление по расписанию
- Массовая анонимизация
- Бэкапы и восстановления
- Синхронизации с внешними системами
Практические рекомендации по логам
- Храните логи отдельно от данных. Если злоумышленник получит доступ к CRM, он не должен иметь возможность подчистить следы. Логи — на отдельном сервере с ограниченным доступом.
- Логи — неизменяемые. Write-once хранилище или блокчейн-подобная структура. Никто не должен иметь возможность изменить записи задним числом.
- Срок хранения логов ≥ срока хранения данных. Если диалоги хранятся год, логи — минимум полтора. Чтобы можно было проверить, что было удалено и когда.
- Регулярный аудит логов. Не просто накапливайте — анализируйте. Аномальный объём экспорта? Доступ в нерабочее время? Красные флаги нужно отслеживать.
Подробнее о наблюдаемости и логировании AI-систем читайте в статье наблюдаемость LLM-систем: логи, трассировка и аудит.
Автоматизация: настраиваем и забываем (почти)
Ручное управление ретеншном — это путь к хаосу. Кто-то забыл удалить, кто-то удалил не то, кто-то не обновил статус. Автоматизация решает большинство проблем.
Автоудаление по расписанию
Настройте cron job, который ежедневно/еженедельно проверяет возраст записей и удаляет те, что старше установленного срока.
Важно: перед удалением — проверка на legal hold, отсутствие активных тикетов, прошедшее окно возможного отката.
Анонимизация вместо удаления
Иногда полностью удалять нельзя — данные нужны для аналитики. Решение: замените персональные данные на токены.
"Алексей +7777123456" → "User_8a3f2b phone_masked"
Алерты и уведомления
Автоматические уведомления о событиях, требующих внимания: приближается срок удаления важных данных, legal hold активен слишком долго.
Интеграция со Slack/Teams/Email для оперативного реагирования.
Автоэкспорт по запросу
Клиент запросил свои данные? Система автоматически собирает всё связанное с этим клиентом и готовит отчёт для выгрузки.
Экономит часы ручной работы при обработке GDPR-запросов.
Пошаговый план внедрения политики
Теория — это хорошо, но как это сделать на практике? Вот план из реального проекта для казахстанской компании.
Инвентаризация данных
Составьте карту: какие диалоги где хранятся, в каких системах, в каком формате, сколько за какой период. Без этого любая политика — фикция.
1-2 неделиОпределение сроков и категорий
Разделите данные на категории, для каждой — свой срок. Согласуйте с юристами, безопасниками, бизнесом. Документируйте обоснование.
1 неделяНастройка RBAC и логирования
Определите роли, настройте доступы, включите аудит-логи. Убедитесь, что каждое действие фиксируется.
2-3 неделиАвтоматизация удаления
Разработайте и протестируйте скрипты автоудаления. Сначала — в тестовой среде. Обязательно — с логированием и откатом.
2-4 неделиLegal Hold процедуры
Опишите процесс: кто инициирует, кто одобряет, как технически реализуется, как снимается. Обучите ответственных.
1 неделяПилотный запуск
Запустите на одной категории данных или одном канале. Мониторьте, собирайте обратную связь, исправляйте баги.
2-4 неделиМасштабирование и мониторинг
Распространите на все системы. Настройте дашборды, регулярные отчёты, пересмотр политики раз в год.
ПостоянноРеальный кейс: как это работает на практике
Расскажу о проекте для компании, которая занимается онлайн-образованием в Казахстане. У них была типичная проблема: несколько тысяч студентов, общение через WhatsApp, Telegram и чат на платформе. Никакой политики хранения — всё копилось годами.
Что сделали
категории данных
сокращение объёма
инцидентов за год
- Общие чаты поддержки: хранение 6 месяцев, потом автоудаление. Для аналитики — анонимизированные данные без привязки к студенту.
- Переписка по платежам: хранение 5 лет, привязка к финансовым документам. Legal hold при любых спорах.
- Персональные консультации: хранение 2 года после завершения курса. Студент может запросить удаление раньше.
Результат: компания сократила расходы на хранение, снизила риски утечки (меньше данных — меньше потенциальный ущерб), и теперь может за 30 минут подготовить ответ на любой запрос регулятора или клиента.
Готовы навести порядок в данных?
Поможем разработать и внедрить политику хранения диалогов: от аудита текущего состояния до автоматизации удаления и настройки legal hold.
Обсудить проектЧто ещё почитать по теме
Data retention — часть более широкой темы AI governance и безопасности. Вот статьи, которые дополняют эту тему:
- AI governance в CRM: политики, роли и аудит — pillar-статья о комплексном подходе к управлению AI-рисками
- Incident response для AI — что делать, если что-то пошло не так: утечка, ошибки бота, репутационные риски
- DLP для AI: маскирование PII и политики хранения — технические аспекты защиты персональных данных
- Аудит AI-решений: чек-лист для службы безопасности — как проверить, что ваша AI-система соответствует требованиям
- Threat modeling для LLM-бота — 12 угроз и как их закрывать архитектурно
Остались вопросы?
Напишите нам — обсудим вашу ситуацию и подскажем, с чего начать. Первичная консультация бесплатная.
Задать вопрос