«Человек может потребовать удалить всю информацию». Для чего и как защищать персональные данные

Практически три месяца действует первый в Беларуси закон «О защите персональных данных», но до сих пор у многих предпринимателей нет четкого представления, как обеспечить приватность данных как клиентов, так и собственных сотрудников. Управляющий партнер юридической компании ЮКОН Евгений Ходькин рассказал на встрече Клуба Про бизнес, что должно было поменяться в каждой компании за последние месяцы, а также объяснил, почему защита персональных данных — это также разговор об имидже и возможности выделиться на фоне конкурентов.

В Клубе Про бизнес постоянно проходят тематические встречи, где спикеры расскрывают и объясняют актуальную и важную для предпринимателей информацию. Расписание встреч можно найти на сайте Клуба.

Генеральный партнер Клуба в 2022 году — МТБанк.

Партнер клуба — HUAWEI.

«Яндекс, Google, Apple, Amazon монетизируют персональные данные, но у них периодически происходят утечки»

Персональные данные — это ФИО, адрес, еmail, телефон, IP-адрес компьютера и телефона, паспортные данные. То есть любая информация, по которой можно определить, что вот эти данные принадлежат конкретно вам.

— В Беларуси закон «О защите персональных данных» вступил в силу 15 ноября 2021 года, но в мире идея защиты персональных данных появилась фактически более 100 лет назад. Европейское законодательство вступило в игру где-то с 70-х годов, и сейчас большинство государств мира пытается регулировать персональные данные. Почему это происходит? В том числе из-за историй с утечкой данных у таких больших компаний, как Яндекс, Google, Apple, Amazon.

Я бы предложил бизнесу смотреть на защиту персональных данных не только с точки зрения рисков, но и исходя из имиджа, чтобы выделяться среди конкурентов.

Вы объясняете клиентам, что логично работаете, защищаете их данные. К тому же, внедрение мер защиты персональных данных поможет сохранить коммерческую тайну. Так вы избегаете распространенной ситуации, когда уходит менеджер, забирает с собой базу данных клиентов, а потом владелец бизнеса получает в соседнем доме точно такой же салон красоты.

В чем еще выгода бизнеса от приватности?

• маркетинг;

• защита коммерческой тайны внутри компании — внедрение приватности позволяет определить круг лиц, кому доступны ПД, например, клиентов, и ограничить их или установить контроль доступа;

• монетизация данных — как известно, некоторые медицинские центры собирают данные определенных пациентов и потом продают их либо ИТ- либо медтех-стартапам для того, чтобы те могли обучать свой искусственный интеллект или разрабатывать свои продукты;

• жалобы конкурентов;

• потребительский экстремизм.

«Если какие-то данные непосредственно в нашей работе не нужны, мы их не собираем»

— Мы привыкли, что наше законодательство четко прописывает, что можно, а что нельзя. Но закон «О защите персональных данных» немного другой. Каждый предприниматель должен сам для себя решить, какие персональные данные он может собирать, что ему нужно, а от чего можно отказаться.

С чего в первую очередь начать работу? С анализа:

• процессов
• сайтов
• социальных сетей
• информационных систем

Нажмите для увеличения

Порой мы начинаем собирать персональные данные о людях еще до того, как они заполнили, к примеру, форму обратной связи. Клиенты заходят к нам на сайт, и мы получаем их cookies.

Cookies — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Он позволяет отслеживать браузер клиента, информацию с его социальными сетями, и, в принципе, в какой-то момент мы можем понять, кто к нам заходил, показывать ему дополнительную рекламу и делать какие-то другие вещи.

То есть, несмотря на то, что клиент не оставил нам заявку, телефон, персональные данные, мы все равно собрали часть информации о нем. Если же клиенты оставляют ПД на наших веб-сайтах, то тут включаются более жесткие правила.

Изучите свои процессы:

1. Как к нам приходит клиент, какие данные он нам оставляет, куда эти данные попадают (в какие-то наши CRM, каталоги, информационные системы и т.д.).
2. Кому из наших клиентов, работников, подрядчиков мы предоставляем доступ к этой информации. CRM у нас находится на сайте или, например, в России, в Украине, в Нидерландах, в США. По факту, у нас возникает трансграничная передача данных в какой-то момент.
3. Какие персональные данные мы собираем, для чего.

Например, у нас есть интернет-магазин. Чтобы продать клиенту товар, нам достаточно знать его имя и номер телефона. Объективно, паспортные данные его нам не нужны. Мы их не требуем. А вот для доставки пиццы нам нужен еще и адрес покупателя. В итоге мы собираем чуть-чуть больше объем персональных данных, потому что они нам нужны для правильного оказания услуги.

Нажмите для увеличения

Согласие, как основание для обработки песональных данных, очень неудобно. Клиент может в любой момент отозвать согласие. Поэтому юристы стараются найти другое основание для обработки персональных данных. В большинстве случаев этим основанием является «исполнение договора». В таком случае мы можем обрабатывать персональные данные потенциальных клиентов, не получая их согласия.

Например, если пользователь зашел на сайт интернет-магазина, то мы предполагаем, что он хочет купить наш товар (заключить с нами договор), поэтому для целей продажи нам его согласие не надо. Но согласие может потребоваться для того, чтобы организовать tvail-рассылку с новостями, например. Работа в Битрикс (система защиты информации сервиса «Битрикс24» прошла аттестацию на соответствие требованиям белорусского законодательства, — прим. «Про бизнес»), CRM, в любых сервис-аналитиках, а также сервисах, использующихся для рассылки сообщений, подпадает под определение передачи данных третьему лицу.

Компания обязана уведомить пользователя о том, что его данные будут размещены в этих системах. Если произойдет утечка данных из этих систем, то это будут уже не ваши проблемы.

Как получить согласие?

— Формой согласия может быть один из таких вариантов:

• галочка в форме

• письменный документ

• СМС

• нажатие кнопки/продолжение звонка

• иное

До момента дачи согласия необходимо объяснить, какие данные собираем, как будем использовать и какие права человек имеет. Для этого у нас есть отдельная политика, где указаны все эти вещи, в т.ч. цель обработки, и мы не должны собирать те данные, которые нам не нужны. Если вы меняете цели обработки персональных данных, то должны получить новое согласие.

Важно! Запись звонка — это тоже обработка персональных данных. Надо предупредить о записи звонка, объяснить цели записи и сообщить, где почитать Политику.

Как мы помним, обработка данных на основании согласия — это неудобно для предпринимателя, к тому же предполагает возможность отзыва согласия.

Это может стать новой формой потребительского экстремизма.

Надежнее, если обработка персональных данных происходит на основании договора. В этом случае необходимо контролировать, что компания может делать с данными. В договор можно включить условия о целях обработки персональных данных и соответствие Политике компании.

Если клиент обращается к вам для заключения договора — это и есть основание для обработки персональных данных, что не требует согласия.

Подчеркну, каждая ситуация индивидуальна, но при этом нужно понимать — когда мы выбираем любое новое действие с персональными данными, необходимо остановиться и изучить документы и процессы в компании, разобраться, можем ли мы это сделать или на этот шаг нам надо получать согласие клиента.

Сколько нужно хранить данные?

— Весь этот объем даных необходимо хранить. Также бизнес должен хранить и иметь возможность подтвердить факт получения согласия пользователя на обработку его персональных данных. Для этого можно использовать CRM: в ней может быть отдельная система, которая именно управляет и хранит информацию о получении согласия, например, в виде проставленной галочки в регистрационной форме на сайте.

В законодательстве нигде не установлено время хранения персональных данных, этот период компания определяет сама.

Срок хранения персональных данных должен быть прописан в политике. Если вы работаете с клиентами, которые покупают какие-то товары и на них установлен гарантийный срок, то объективно срок хранения персональных данных будет не меньше гарантийного.

Важно! По истечении сроков хранения данные должны быть удалены и субъекта персональных данных уведомлять об этом не надо, ведь срок хранения был прописан в политике. Но в случае удаления данных по желанию субъекта (право на забвение) уведомить его об удалении данных придется.

Бизнес обязан периодически актуализировать персональные данные. Есть несколько вариантов:

• рассылка с просьбой обновления персональных данных пользователя;
• личный кабинет, в который периодически приходят уведомления о том, что нужно актуализировать персональные данные.

А если клиент просить удалить его данные?

— Когда человек соглашается на обработку персональных данных, он имеет возможность отказаться и затребовать удалить их. И мы должны предусмотреть процедуру уничтожения персональных данных.

Удалять следует не только пользователя в CRM, но и все переписки и файлы, связанные с ним, данные из мобильного телефона, почты, мессенджеров. Если персональные данные нельзя удалить, то следует их блокировать.

Пользователи имеют право обратиться в компанию и попросить свои персональные данные. Они могут попросить показать все ПД, которые мы собрали.

Обсудите с менеджерами, что теперь работа во внутренних учетных системах должна быть другой.

В CRM не следует писать фразы, которые бы не стоило видеть клиенту.

В пример можете привести случай одной известной немецкой компании, производящей дорогие автомобили. Их менеджер написал в CRМ не очень корректный комментарий о клиенте, с которым общался. И когда клиент затребовал предоставить свои персональные данные, компания не проверила заранее, какие бумаги они предоставляют. По итогу в этих документах клиент прочитал о себе нелицеприятное мнение. Как минимум, компания потерпела неудобства, а может, и финансовые затраты.

У сотрудника тоже нужно брать согласие на обработку персональных данных?

— При заключении трудового договора мы точно так же обрабатываем большой объем персональных данных. Согласие работника на обработку получать не надо, потому что это предусмотрено законом.

Но когда мы набираем людей и проводим собеседование, получать разрешение от них надо.

У ИT-компаний на этот случай зачастую есть два сайта. Один для клиентов на иностранном языке, заточенный под клиента. Второй — специальный сайт на русском, заточенный на то, чтобы рассказывать кандидатам, какая это компания и как в ней хорошо работать. Вот когда мы собираем данные резюме через свой сайт в Беларуси, тут мы должны получить у наших кандидатов согласие.

Важно! Если данные хранятся на иностранных серверах (США) — может быть проблема с трансграничной передачей данных в страну с ненадлежащим уровнем защиты. В этом случае получать согласие надо.

Что делать, если кандидат сам прислал резюме? Я бы посоветовал прописать в политике, что, присылая резюме через социальные сети и сайт, вы автоматически соглашаетесь на обработку персональных данных.

Исключение составляет набор сотрудников через специализированные сайты. В этом случае согласие просить не надо, т.к. его получение лежит на стороне администрации сайта. Вы получаете персональные данные не у физического лица, а у юридического.

У многих компаний есть свой внутренний набор плюшек. В большинстве случаев согласие на обработку персональных данных, чтобы предоставить эти бонусы для сотрудников, не нужно. Но в некоторых случаях предприниматели могут подстраховаться с дополнительным получением согласия. Чаще всего такой запрос возникает, если используется сложная социальная программа, например, заказ одежды, командировки, отдых, страховки. В этом случае работадатель собирает больше данных о работниках и их семьях, чем ему нужно непосредственно для выполнения работы по условиям трудового контракта.

Что случится, если персональные данные все же «утекли»?

Законодательство предусматривает административную, уголовную, гражданскую и правовую ответственность в случае утечки персональных данных.

Административная ответственность наступает за умышленный сбор, хранение, использование, предоставление доступа к персональным данным тому, кто не имеет на это права. В этом случае предусмотрен штраф до 50 базовых величин.

Если было доказано распространение неограниченному кругу лиц персональных данных хотя бы одного человека, то грозит штраф в размере до 200 б.в.

Уголовная ответственность за умышленный сбор, хранение, предоставление персональных данных, что повлекло существенный вред правам гражданина, может повлечь для отвественного лица до 2 лет лишения свободы, исправительные работы либо штраф от 30 до 100 б.в.

Гражданская отвественность прописана в законе «О защите персональных данных». Человек вправе требовать возмещения морального вреда независимо от того, был нанесен ему умышленный ущерб или нет.

Еще больше бизнеса — в нашем Telegram-канале. Подпишись!

Читайте также

• «20 тысяч долларов вложений я отобью за 3 года». Как развивается общепит в одном из самых маленьких спутников Минска

• «Парень выгрыз успех из условий, для этого не предназначенных»: февральский топ для бизнес-чтения

• «Беларусь — не Россия. Ее можно объехать». На каком бизнесе может сказаться санкционная война между Беларусью и Литвой