4 ноября
Это AMACON: в Минске проведут профильную конференцию для маркетологов
1 | 2 |
Практически три месяца действует первый в Беларуси закон «О защите персональных данных», но до сих пор у многих предпринимателей нет четкого представления, как обеспечить приватность данных как клиентов, так и собственных сотрудников. Управляющий партнер юридической компании ЮКОН Евгений Ходькин рассказал на встрече Клуба Про бизнес, что должно было поменяться в каждой компании за последние месяцы, а также объяснил, почему защита персональных данных — это также разговор об имидже и возможности выделиться на фоне конкурентов.
В Клубе Про бизнес постоянно проходят тематические встречи, где спикеры расскрывают и объясняют актуальную и важную для предпринимателей информацию. Расписание встреч можно найти на сайте Клуба.
Генеральный партнер Клуба в 2022 году — МТБанк.
Партнер клуба — HUAWEI.
Персональные данные — это ФИО, адрес, еmail, телефон, IP-адрес компьютера и телефона, паспортные данные. То есть любая информация, по которой можно определить, что вот эти данные принадлежат конкретно вам.
— В Беларуси закон «О защите персональных данных» вступил в силу 15 ноября 2021 года, но в мире идея защиты персональных данных появилась фактически более 100 лет назад. Европейское законодательство вступило в игру где-то с 70-х годов, и сейчас большинство государств мира пытается регулировать персональные данные. Почему это происходит? В том числе из-за историй с утечкой данных у таких больших компаний, как Яндекс, Google, Apple, Amazon.
Я бы предложил бизнесу смотреть на защиту персональных данных не только с точки зрения рисков, но и исходя из имиджа, чтобы выделяться среди конкурентов.
Вы объясняете клиентам, что логично работаете, защищаете их данные. К тому же, внедрение мер защиты персональных данных поможет сохранить коммерческую тайну. Так вы избегаете распространенной ситуации, когда уходит менеджер, забирает с собой базу данных клиентов, а потом владелец бизнеса получает в соседнем доме точно такой же салон красоты.
В чем еще выгода бизнеса от приватности?
• маркетинг;
• защита коммерческой тайны внутри компании — внедрение приватности позволяет определить круг лиц, кому доступны ПД, например, клиентов, и ограничить их или установить контроль доступа;
• монетизация данных — как известно, некоторые медицинские центры собирают данные определенных пациентов и потом продают их либо ИТ- либо медтех-стартапам для того, чтобы те могли обучать свой искусственный интеллект или разрабатывать свои продукты;
• жалобы конкурентов;
• потребительский экстремизм.
— Мы привыкли, что наше законодательство четко прописывает, что можно, а что нельзя. Но закон «О защите персональных данных» немного другой. Каждый предприниматель должен сам для себя решить, какие персональные данные он может собирать, что ему нужно, а от чего можно отказаться.
С чего в первую очередь начать работу? С анализа:
Нажмите для увеличения
Порой мы начинаем собирать персональные данные о людях еще до того, как они заполнили, к примеру, форму обратной связи. Клиенты заходят к нам на сайт, и мы получаем их cookies.
Cookies — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Он позволяет отслеживать браузер клиента, информацию с его социальными сетями, и, в принципе, в какой-то момент мы можем понять, кто к нам заходил, показывать ему дополнительную рекламу и делать какие-то другие вещи.
То есть, несмотря на то, что клиент не оставил нам заявку, телефон, персональные данные, мы все равно собрали часть информации о нем. Если же клиенты оставляют ПД на наших веб-сайтах, то тут включаются более жесткие правила.
Изучите свои процессы:
Например, у нас есть интернет-магазин. Чтобы продать клиенту товар, нам достаточно знать его имя и номер телефона. Объективно, паспортные данные его нам не нужны. Мы их не требуем. А вот для доставки пиццы нам нужен еще и адрес покупателя. В итоге мы собираем чуть-чуть больше объем персональных данных, потому что они нам нужны для правильного оказания услуги.
Нажмите для увеличения
Согласие, как основание для обработки песональных данных, очень неудобно. Клиент может в любой момент отозвать согласие. Поэтому юристы стараются найти другое основание для обработки персональных данных. В большинстве случаев этим основанием является «исполнение договора». В таком случае мы можем обрабатывать персональные данные потенциальных клиентов, не получая их согласия.
Например, если пользователь зашел на сайт интернет-магазина, то мы предполагаем, что он хочет купить наш товар (заключить с нами договор), поэтому для целей продажи нам его согласие не надо. Но согласие может потребоваться для того, чтобы организовать tvail-рассылку с новостями, например. Работа в Битрикс (система защиты информации сервиса «Битрикс24» прошла аттестацию на соответствие требованиям белорусского законодательства, — прим. «Про бизнес»), CRM, в любых сервис-аналитиках, а также сервисах, использующихся для рассылки сообщений, подпадает под определение передачи данных третьему лицу.
Компания обязана уведомить пользователя о том, что его данные будут размещены в этих системах. Если произойдет утечка данных из этих систем, то это будут уже не ваши проблемы.
— Формой согласия может быть один из таких вариантов:
• галочка в форме
• письменный документ
• СМС
• нажатие кнопки/продолжение звонка
• иное
До момента дачи согласия необходимо объяснить, какие данные собираем, как будем использовать и какие права человек имеет. Для этого у нас есть отдельная политика, где указаны все эти вещи, в т.ч. цель обработки, и мы не должны собирать те данные, которые нам не нужны. Если вы меняете цели обработки персональных данных, то должны получить новое согласие.
Важно! Запись звонка — это тоже обработка персональных данных. Надо предупредить о записи звонка, объяснить цели записи и сообщить, где почитать Политику.
Как мы помним, обработка данных на основании согласия — это неудобно для предпринимателя, к тому же предполагает возможность отзыва согласия.
Это может стать новой формой потребительского экстремизма.
Надежнее, если обработка персональных данных происходит на основании договора. В этом случае необходимо контролировать, что компания может делать с данными. В договор можно включить условия о целях обработки персональных данных и соответствие Политике компании.
Если клиент обращается к вам для заключения договора — это и есть основание для обработки персональных данных, что не требует согласия.
Подчеркну, каждая ситуация индивидуальна, но при этом нужно понимать — когда мы выбираем любое новое действие с персональными данными, необходимо остановиться и изучить документы и процессы в компании, разобраться, можем ли мы это сделать или на этот шаг нам надо получать согласие клиента.
— Весь этот объем даных необходимо хранить. Также бизнес должен хранить и иметь возможность подтвердить факт получения согласия пользователя на обработку его персональных данных. Для этого можно использовать CRM: в ней может быть отдельная система, которая именно управляет и хранит информацию о получении согласия, например, в виде проставленной галочки в регистрационной форме на сайте.
В законодательстве нигде не установлено время хранения персональных данных, этот период компания определяет сама.
Срок хранения персональных данных должен быть прописан в политике. Если вы работаете с клиентами, которые покупают какие-то товары и на них установлен гарантийный срок, то объективно срок хранения персональных данных будет не меньше гарантийного.
Важно! По истечении сроков хранения данные должны быть удалены и субъекта персональных данных уведомлять об этом не надо, ведь срок хранения был прописан в политике. Но в случае удаления данных по желанию субъекта (право на забвение) уведомить его об удалении данных придется.
Бизнес обязан периодически актуализировать персональные данные. Есть несколько вариантов:
— Когда человек соглашается на обработку персональных данных, он имеет возможность отказаться и затребовать удалить их. И мы должны предусмотреть процедуру уничтожения персональных данных.
Удалять следует не только пользователя в CRM, но и все переписки и файлы, связанные с ним, данные из мобильного телефона, почты, мессенджеров. Если персональные данные нельзя удалить, то следует их блокировать.
Пользователи имеют право обратиться в компанию и попросить свои персональные данные. Они могут попросить показать все ПД, которые мы собрали.
Обсудите с менеджерами, что теперь работа во внутренних учетных системах должна быть другой.
В CRM не следует писать фразы, которые бы не стоило видеть клиенту.
В пример можете привести случай одной известной немецкой компании, производящей дорогие автомобили. Их менеджер написал в CRМ не очень корректный комментарий о клиенте, с которым общался. И когда клиент затребовал предоставить свои персональные данные, компания не проверила заранее, какие бумаги они предоставляют. По итогу в этих документах клиент прочитал о себе нелицеприятное мнение. Как минимум, компания потерпела неудобства, а может, и финансовые затраты.
— При заключении трудового договора мы точно так же обрабатываем большой объем персональных данных. Согласие работника на обработку получать не надо, потому что это предусмотрено законом.
Но когда мы набираем людей и проводим собеседование, получать разрешение от них надо.
У ИT-компаний на этот случай зачастую есть два сайта. Один для клиентов на иностранном языке, заточенный под клиента. Второй — специальный сайт на русском, заточенный на то, чтобы рассказывать кандидатам, какая это компания и как в ней хорошо работать. Вот когда мы собираем данные резюме через свой сайт в Беларуси, тут мы должны получить у наших кандидатов согласие.
Важно! Если данные хранятся на иностранных серверах (США) — может быть проблема с трансграничной передачей данных в страну с ненадлежащим уровнем защиты. В этом случае получать согласие надо.
Что делать, если кандидат сам прислал резюме? Я бы посоветовал прописать в политике, что, присылая резюме через социальные сети и сайт, вы автоматически соглашаетесь на обработку персональных данных.
Исключение составляет набор сотрудников через специализированные сайты. В этом случае согласие просить не надо, т.к. его получение лежит на стороне администрации сайта. Вы получаете персональные данные не у физического лица, а у юридического.
У многих компаний есть свой внутренний набор плюшек. В большинстве случаев согласие на обработку персональных данных, чтобы предоставить эти бонусы для сотрудников, не нужно. Но в некоторых случаях предприниматели могут подстраховаться с дополнительным получением согласия. Чаще всего такой запрос возникает, если используется сложная социальная программа, например, заказ одежды, командировки, отдых, страховки. В этом случае работадатель собирает больше данных о работниках и их семьях, чем ему нужно непосредственно для выполнения работы по условиям трудового контракта.
Законодательство предусматривает административную, уголовную, гражданскую и правовую ответственность в случае утечки персональных данных.
Административная ответственность наступает за умышленный сбор, хранение, использование, предоставление доступа к персональным данным тому, кто не имеет на это права. В этом случае предусмотрен штраф до 50 базовых величин.
Если было доказано распространение неограниченному кругу лиц персональных данных хотя бы одного человека, то грозит штраф в размере до 200 б.в.
Уголовная ответственность за умышленный сбор, хранение, предоставление персональных данных, что повлекло существенный вред правам гражданина, может повлечь для отвественного лица до 2 лет лишения свободы, исправительные работы либо штраф от 30 до 100 б.в.
Гражданская отвественность прописана в законе «О защите персональных данных». Человек вправе требовать возмещения морального вреда независимо от того, был нанесен ему умышленный ущерб или нет.
Еще больше бизнеса — в нашем Telegram-канале. Подпишись!
4 ноября
Это AMACON: в Минске проведут профильную конференцию для маркетологов
4 ноября
Завершился первый ночной хакатон в Беларуси “Startup Boom Hackathon&Accelerator”! Как это было?
1 ноября
Бесплатный аудит кадровых и бухгалтерских процессов – спецпредложение от ООО «СМАР ЛИГАЛ»
1 ноября
Запускаем акцию — «Заяви о себе с Про бизнес»!
1 ноября
МТБанк открыл phygital-офис в центре Минска. Что это за отделение и почему там нет касс?
1 ноября
Открыта регистрация на Форум по управлению интернетом Belarus IGF-2024
31 октября
Форум для белорусского бизнеса "Лига экспорта" пройдет в Минске 10 декабря
30 октября
BFS 17-й сезон: живая музыка, дух путешествий и инновационные гаджеты