Предотвратить и обезвредить: утечки персональных данных

Как хранить персональные данные, не допускать их кражи и не получать штрафы от регуляторов

Утечки персональных данных – одна из главных тем 2019 года, и едва ли не первостепенный враг цифровизации бизнеса. Например, 10 июня стало известно об очередной массовой краже данных – под угрозой оказалась персональная информация 900 тысяч пользователей. А такие технологические гиганты, как Google или Facebook и вовсе предстают империями зла на фоне частых сообщений об их утечках персональных данных.

Но если вы владелец бизнеса, подмоченная репутация – еще не конец ваших проблем в случае кражи персональной информации. Если вы заранее не позаботились о безопасности хранения персональных данных своих клиентов, а вездесущие русские хакеры слили вашу базу данных клиентов, помимо скандала вы получите еще и значительные штрафы. Чтобы с вашим бизнесом такое никогда не случилось, мы расскажем вам, как собирать и хранить персональные данные.

Никто не знает о персональных данных

Сначала разберемся, какие данные и почему оказываются у компании на руках. Допустим, у вас интернет-магазин с доставкой – и чтобы ее организовать, вам нужен телефон, ФИО, адрес клиента, серия и номер паспорта. Такая и другая личная информация и есть персональные данные.

Персональные данные (ПДн) обозначены и регулируются Федеральным законом №152. Но в законе не перечислены все возможные виды персональных данных. Сказано, что это любая информация, которая относится к конкретному человеку. Но их можно поделить на три группы: общие, специальные и биометрические.

К общим относятся ФИО, дата рождения, сведения об образовании, паспортные данные и тому подобное. К специальным – политические и религиозные взгляды, национальность, судимость. Биометрические данные – это рост, вес, отпечатки пальцев, фотографии и видеозаписи.

Когда мы понимаем, о ком идет речь, данные становятся персональными. В противном случае речь идет об агрегированных (деперсонализированных) данных. Даже имя само по себе — это еще не ПДн. Если у авиакомпании покупают билеты два человека с одинаковым ФИО, то точно определить, о ком речь, можно по дате рождения и паспорту, или по номеру телефона. Тогда ПДн становится комбинация имя + телефон + дата рождения.

Оператор персональных данных — это компания, которая собирает и использует персональные данные. Школа иностранных языков собирает данные для имейл-рассылок, а косметолог сохраняет карточки клиентов. Владелец сайта с личным кабинетом, формой подписки, регистрации или обратной связи — тоже оператор.

Обработка персональных данных — это любая манипуляция с личной информацией клиента: копирование ФИО посетителя в клиентскую базу, обновление номера телефона клиента, распечатка карточек пациентов клиники. Каждый человек, который делает что-то с данными — обработчик.

Собираем персональные данные правильно

Закон “О персональных данных” строго регламентирует все процедуры, которые касаются сбора ПДн. Вот что важно помнить.

  • Собирайте только необходимые данные. Компания имеет право собирать только те персональные данные, которые необходимы для продажи товара или оказания услуги. Для доставки товара нужны ФИО и адрес, для подписки на рассылку — имя и электронная почта. Нельзя в таких случаях спрашивать о месте работы, весе или отношении к Владимиру Владимировичу.
  • Не забудьте взять согласие клиента. Строго запрещено собирать данные без согласия клиента. Согласием считается бумажный документ, подписанный лично клиентом, или галочка в поле «я соглашаюсь на обработку моих персональных данных».

Как не получить штраф в 250 000

Подготовьте официальные документы. Закрепите регламент работы с персональными данными в официальных документах компании. Распишите все до мельчайших подробностей, например, как и где вы собираетесь хранить данные, кто конкретно имеет к ним доступ, как защищать персональные данные, когда их уничтожать.

Будьте начеку, убедитесь, что у вашей фирмы есть:

  • Политика обработки персональных данных. Если у компании есть сайт, документ нужно разместить там на видном месте.
  • Приказ о назначении сотрудника, который отвечает за организацию обработки персональных данных.
  • Правила доступа к персональным данным.
  • Правила защиты персональных данных.
  • Правила ведения учета материальных носителей персональных данных.
  • Правила учета носителей биометрических данных. Это нужно банкам, частным клиникам или косметологическим салонам.

Проявляйте бдительность — не раскрывайте данные третьим лицам, даже если те просят очень вежливо. Если вы храните ПДн на компьютере или в локальной сети компании, защитите все документы или папки с данными паролем. Желательно, чтобы он был чуть сложнее, чем 12345qwerty. Чтобы любопытствующие не получили доступ к данным на бумаге, спрячьте папки в шкафу под замком или в сейфе.

Обезвредить интернет-угрозы

Чтобы минимизировать риск кибер-утечек, можно удалять персональные данные в течение 30 дней после того, как клиент получил товар или услугу.

Но если вы хотите сохранить ФИО, телефон или имейл для того, чтобы рассказывать о своих акциях и приглашать клиента на реснички, запросите бессрочное согласие на обработку и хранение его персональных данных. Кстати, такое согласие можно отозвать — для этого нужно написать заявление на имя компании о прекращении обработки данных.

Чтобы у вас не спарсили всю БД и не добавили штраф в придачу, создавайте разные базы с данными клиентов для разных целей. Например, вы собираете персональные данные клиентов интернет-магазина. 75 человек дали согласие на получение рекламных материалов по электронной почте, а 100 человек — на получение подарков в день рождения. По закону, нужно создать две разные базы клиентов, потому что у их персональных данных разные цели обработки. Объединять базы нельзя.

Храните деньги в сберегательной кассе, а персональные данные

По разному, в зависимости от способа, которым вы их собирали. Данные можно получить через интернет, вручную или отсканировав документы, которые заполнял клиент.

Собрали данные в Интернете. Что было в Интернете, остается в Интернете. Это касается и оставленных на сайте персональных данных клиента. Обычно данные из форм хранятся на сервере и защищаются компанией-провайдером. Запомните, что база персональных данных обязательно должна находиться на сервере отечественного производителя.

Собрали данные вручную. Все, что вы оставляете в анкетах после успешно сделанного маникюра или когда заполняете форму для карточки лояльного покупателя - имя и номер телефона, имейл, пол — сотрудники компании сами вбивают в базу данных. Это может быть простая табличка в Excel или база клиентов в CRM-системе.

Отсканировали данные. Если вы собираете сканы документов, нужно обеспечить для них специальное хранилище. Это может быть жесткий диск компьютера, флэшка, локальная сеть компании или облачное хранилище.

Собрали данные на бумаге. Как ни крути, а до тотальной цифровизации и мечты экологов о бизнесе без бумажек еще далековато. Пока мы не вступили в светлое будущее, неустанно плодящиеся бумажные документы с персональными данными клиентов нужно хранить под замком или в сейфе. Папки с бумажными документами нужно разделить на группы, где одна группа — одна цель передачи персональных данных. Например, персональные данные клиентов и сотрудников нельзя хранить вместе. Всегда запирайте кабинет с этими папками и составляйте официальный документ со списком людей, которые обрабатывают ПДн или имеют доступ в это помещение.

Нарушители будут наказаны

Вот какие штрафы грозят тем, кто невнимательно читал нашу инструкцию:

  • Хранение персональных данных без согласия их владельца — штраф 15-75 тысяч рублей.
  • Игнорирование вопросов о способах обработки персональных данных — штраф 10-40 тысяч рублей.
  • Игнорирование просьб уточнить, заблокировать или уничтожить персональные данные — штраф 10-45 тысяч рублей.
  • Ненадежная защита данных — штраф 10-50 тысяч рублей.
  • Нет политики конфиденциальности — штраф 5-30 тысяч рублей.

Не забывайте, что штрафы за нарушение закона о персональных данных могут суммироваться. Это значит, что за неправильную обработку и хранение данных одного клиента вы можете получить сразу несколько штрафов. А санкции в виде подпорченного общественного мнения могут оказаться еще вреднее штрафов.

0
5 комментариев
Александр Викторович

ха )) ой насмешили . Лично мне , 5 раз делали детализацию на спорт по моему номеру в билайн за 1500 рублей. о чем вы пишите тут а ?

Ответить
Развернуть ветку
Nikita Stepnov

Ну так учить всех как хранить ПД проще, чем у себя порядок навести.

Ответить
Развернуть ветку
Александр Викторович

+ на мою компанию в Москве оформили корпоративный договор )) билайн блин

Ответить
Развернуть ветку
Александр Викторович

постите накипело

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Раскрывать всегда