Top.Mail.Ru
Probusiness Youtube
  • 2,58 USD 2,5829 -0,0014
  • 2,63 EUR 2,6345 +0,0037
  • 4,28 100 RUB 4,278 -0,0141
Право Анастасия Панкратова, «Про бизнес» 17 февраля 2022

«Человек может потребовать удалить всю информацию». Для чего и как защищать персональные данные

Фото: pexels.com

Практически три месяца действует первый в Беларуси закон «О защите персональных данных», но до сих пор у многих предпринимателей нет четкого представления, как обеспечить приватность данных как клиентов, так и собственных сотрудников. Управляющий партнер юридической компании ЮКОН Евгений Ходькин рассказал на встрече Клуба Про бизнес, что должно было поменяться в каждой компании за последние месяцы, а также объяснил, почему защита персональных данных — это также разговор об имидже и возможности выделиться на фоне конкурентов.

В Клубе Про бизнес постоянно проходят тематические встречи, где спикеры расскрывают и объясняют актуальную и важную для предпринимателей информацию. Расписание встреч можно найти на сайте Клуба.

Генеральный партнер Клуба в 2022 году — МТБанк.

Партнер клуба — HUAWEI.


Евгений Ходькин
Управляющий партнер юридической компании ЮКОН

«Яндекс, Google, Apple, Amazon монетизируют персональные данные, но у них периодически происходят утечки»

Персональные данные — это ФИО, адрес, еmail, телефон, IP-адрес компьютера и телефона, паспортные данные. То есть любая информация, по которой можно определить, что вот эти данные принадлежат конкретно вам.

— В Беларуси закон «О защите персональных данных» вступил в силу 15 ноября 2021 года, но в мире идея защиты персональных данных появилась фактически более 100 лет назад. Европейское законодательство вступило в игру где-то с 70-х годов, и сейчас большинство государств мира пытается регулировать персональные данные. Почему это происходит? В том числе из-за историй с утечкой данных у таких больших компаний, как Яндекс, Google, Apple, Amazon.

Я бы предложил бизнесу смотреть на защиту персональных данных не только с точки зрения рисков, но и исходя из имиджа, чтобы выделяться среди конкурентов.

Вы объясняете клиентам, что логично работаете, защищаете их данные. К тому же, внедрение мер защиты персональных данных поможет сохранить коммерческую тайну. Так вы избегаете распространенной ситуации, когда уходит менеджер, забирает с собой базу данных клиентов, а потом владелец бизнеса получает в соседнем доме точно такой же салон красоты.

В чем еще выгода бизнеса от приватности?

• маркетинг;

• защита коммерческой тайны внутри компании — внедрение приватности позволяет определить круг лиц, кому доступны ПД, например, клиентов, и ограничить их или установить контроль доступа;

• монетизация данных — как известно, некоторые медицинские центры собирают данные определенных пациентов и потом продают их либо ИТ- либо медтех-стартапам для того, чтобы те могли обучать свой искусственный интеллект или разрабатывать свои продукты;

• жалобы конкурентов;

• потребительский экстремизм.

Фото: pexels.com

«Если какие-то данные непосредственно в нашей работе не нужны, мы их не собираем»

— Мы привыкли, что наше законодательство четко прописывает, что можно, а что нельзя. Но закон «О защите персональных данных» немного другой. Каждый предприниматель должен сам для себя решить, какие персональные данные он может собирать, что ему нужно, а от чего можно отказаться.

С чего в первую очередь начать работу? С анализа:

  • процессов
  • сайтов
  • социальных сетей
  • информационных систем

Нажмите для увеличения

Иллюстрация предоставлена экспертом

Порой мы начинаем собирать персональные данные о людях еще до того, как они заполнили, к примеру, форму обратной связи. Клиенты заходят к нам на сайт, и мы получаем их cookies.

Cookies — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Он позволяет отслеживать браузер клиента, информацию с его социальными сетями, и, в принципе, в какой-то момент мы можем понять, кто к нам заходил, показывать ему дополнительную рекламу и делать какие-то другие вещи.

То есть, несмотря на то, что клиент не оставил нам заявку, телефон, персональные данные, мы все равно собрали часть информации о нем. Если же клиенты оставляют ПД на наших веб-сайтах, то тут включаются более жесткие правила.

Изучите свои процессы:

  1. Как к нам приходит клиент, какие данные он нам оставляет, куда эти данные попадают (в какие-то наши CRM, каталоги, информационные системы и т.д.).
  2. Кому из наших клиентов, работников, подрядчиков мы предоставляем доступ к этой информации. CRM у нас находится на сайте или, например, в России, в Украине, в Нидерландах, в США. По факту, у нас возникает трансграничная передача данных в какой-то момент.
  3. Какие персональные данные мы собираем, для чего.

Например, у нас есть интернет-магазин. Чтобы продать клиенту товар, нам достаточно знать его имя и номер телефона. Объективно, паспортные данные его нам не нужны. Мы их не требуем. А вот для доставки пиццы нам нужен еще и адрес покупателя. В итоге мы собираем чуть-чуть больше объем персональных данных, потому что они нам нужны для правильного оказания услуги.

Нажмите для увеличения

Иллюстрация предоставлена экспертом

Согласие, как основание для обработки песональных данных, очень неудобно. Клиент может в любой момент отозвать согласие. Поэтому юристы стараются найти другое основание для обработки персональных данных. В большинстве случаев этим основанием является «исполнение договора». В таком случае мы можем обрабатывать персональные данные потенциальных клиентов, не получая их согласия.

Например, если пользователь зашел на сайт интернет-магазина, то мы предполагаем, что он хочет купить наш товар (заключить с нами договор), поэтому для целей продажи нам его согласие не надо. Но согласие может потребоваться для того, чтобы организовать tvail-рассылку с новостями, например. Работа в Битрикс (система защиты информации сервиса «Битрикс24» прошла аттестацию на соответствие требованиям белорусского законодательства, — прим. «Про бизнес»), CRM, в любых сервис-аналитиках, а также сервисах, использующихся для рассылки сообщений, подпадает под определение передачи данных третьему лицу.

Компания обязана уведомить пользователя о том, что его данные будут размещены в этих системах. Если произойдет утечка данных из этих систем, то это будут уже не ваши проблемы.

Фото: pexels.com

Как получить согласие?

— Формой согласия может быть один из таких вариантов:

• галочка в форме

• письменный документ

• СМС

• нажатие кнопки/продолжение звонка

• иное

До момента дачи согласия необходимо объяснить, какие данные собираем, как будем использовать и какие права человек имеет. Для этого у нас есть отдельная политика, где указаны все эти вещи, в т.ч. цель обработки, и мы не должны собирать те данные, которые нам не нужны. Если вы меняете цели обработки персональных данных, то должны получить новое согласие.

Важно! Запись звонка — это тоже обработка персональных данных. Надо предупредить о записи звонка, объяснить цели записи и сообщить, где почитать Политику.

Как мы помним, обработка данных на основании согласия — это неудобно для предпринимателя, к тому же предполагает возможность отзыва согласия.

Это может стать новой формой потребительского экстремизма.

Надежнее, если обработка персональных данных происходит на основании договора. В этом случае необходимо контролировать, что компания может делать с данными. В договор можно включить условия о целях обработки персональных данных и соответствие Политике компании.

Если клиент обращается к вам для заключения договора — это и есть основание для обработки персональных данных, что не требует согласия.

Подчеркну, каждая ситуация индивидуальна, но при этом нужно понимать — когда мы выбираем любое новое действие с персональными данными, необходимо остановиться и изучить документы и процессы в компании, разобраться, можем ли мы это сделать или на этот шаг нам надо получать согласие клиента.

Фото: pexels.com ​

Сколько нужно хранить данные?

— Весь этот объем даных необходимо хранить. Также бизнес должен хранить и иметь возможность подтвердить факт получения согласия пользователя на обработку его персональных данных. Для этого можно использовать CRM: в ней может быть отдельная система, которая именно управляет и хранит информацию о получении согласия, например, в виде проставленной галочки в регистрационной форме на сайте.

В законодательстве нигде не установлено время хранения персональных данных, этот период компания определяет сама.

Срок хранения персональных данных должен быть прописан в политике. Если вы работаете с клиентами, которые покупают какие-то товары и на них установлен гарантийный срок, то объективно срок хранения персональных данных будет не меньше гарантийного.

Важно! По истечении сроков хранения данные должны быть удалены и субъекта персональных данных уведомлять об этом не надо, ведь срок хранения был прописан в политике. Но в случае удаления данных по желанию субъекта (право на забвение) уведомить его об удалении данных придется.

Бизнес обязан периодически актуализировать персональные данные. Есть несколько вариантов:

  • рассылка с просьбой обновления персональных данных пользователя;
  • личный кабинет, в который периодически приходят уведомления о том, что нужно актуализировать персональные данные.
​ Фото: pexels.com ​

А если клиент просить удалить его данные?

— Когда человек соглашается на обработку персональных данных, он имеет возможность отказаться и затребовать удалить их. И мы должны предусмотреть процедуру уничтожения персональных данных.

Удалять следует не только пользователя в CRM, но и все переписки и файлы, связанные с ним, данные из мобильного телефона, почты, мессенджеров. Если персональные данные нельзя удалить, то следует их блокировать.

Пользователи имеют право обратиться в компанию и попросить свои персональные данные. Они могут попросить показать все ПД, которые мы собрали.

Обсудите с менеджерами, что теперь работа во внутренних учетных системах должна быть другой.

В CRM не следует писать фразы, которые бы не стоило видеть клиенту.

В пример можете привести случай одной известной немецкой компании, производящей дорогие автомобили. Их менеджер написал в CRМ не очень корректный комментарий о клиенте, с которым общался. И когда клиент затребовал предоставить свои персональные данные, компания не проверила заранее, какие бумаги они предоставляют. По итогу в этих документах клиент прочитал о себе нелицеприятное мнение. Как минимум, компания потерпела неудобства, а может, и финансовые затраты.

​Фото: pexels.com ​

У сотрудника тоже нужно брать согласие на обработку персональных данных?

— При заключении трудового договора мы точно так же обрабатываем большой объем персональных данных. Согласие работника на обработку получать не надо, потому что это предусмотрено законом.

Но когда мы набираем людей и проводим собеседование, получать разрешение от них надо.

У ИT-компаний на этот случай зачастую есть два сайта. Один для клиентов на иностранном языке, заточенный под клиента. Второй — специальный сайт на русском, заточенный на то, чтобы рассказывать кандидатам, какая это компания и как в ней хорошо работать. Вот когда мы собираем данные резюме через свой сайт в Беларуси, тут мы должны получить у наших кандидатов согласие.

Важно! Если данные хранятся на иностранных серверах (США) — может быть проблема с трансграничной передачей данных в страну с ненадлежащим уровнем защиты. В этом случае получать согласие надо.

Что делать, если кандидат сам прислал резюме? Я бы посоветовал прописать в политике, что, присылая резюме через социальные сети и сайт, вы автоматически соглашаетесь на обработку персональных данных.

Исключение составляет набор сотрудников через специализированные сайты. В этом случае согласие просить не надо, т.к. его получение лежит на стороне администрации сайта. Вы получаете персональные данные не у физического лица, а у юридического.

У многих компаний есть свой внутренний набор плюшек. В большинстве случаев согласие на обработку персональных данных, чтобы предоставить эти бонусы для сотрудников, не нужно. Но в некоторых случаях предприниматели могут подстраховаться с дополнительным получением согласия. Чаще всего такой запрос возникает, если используется сложная социальная программа, например, заказ одежды, командировки, отдых, страховки. В этом случае работадатель собирает больше данных о работниках и их семьях, чем ему нужно непосредственно для выполнения работы по условиям трудового контракта.

Фото: pexels.com ​

Что случится, если персональные данные все же «утекли»?

Законодательство предусматривает административную, уголовную, гражданскую и правовую ответственность в случае утечки персональных данных.

Административная ответственность наступает за умышленный сбор, хранение, использование, предоставление доступа к персональным данным тому, кто не имеет на это права. В этом случае предусмотрен штраф до 50 базовых величин.

Если было доказано распространение неограниченному кругу лиц персональных данных хотя бы одного человека, то грозит штраф в размере до 200 б.в.

Уголовная ответственность за умышленный сбор, хранение, предоставление персональных данных, что повлекло существенный вред правам гражданина, может повлечь для отвественного лица до 2 лет лишения свободы, исправительные работы либо штраф от 30 до 100 б.в.

Гражданская отвественность прописана в законе «О защите персональных данных». Человек вправе требовать возмещения морального вреда независимо от того, был нанесен ему умышленный ущерб или нет.

Еще больше бизнеса — в нашем Telegram-канале. Подпишись!

Читайте также