Предотвратить и обезвредить: утечки персональных данных
Как хранить персональные данные, не допускать их кражи и не получать штрафы от регуляторов
Утечки персональных данных – одна из главных тем 2019 года, и едва ли не первостепенный враг цифровизации бизнеса. Например, 10 июня стало известно об очередной массовой краже данных – под угрозой оказалась персональная информация 900 тысяч пользователей. А такие технологические гиганты, как Google или Facebook и вовсе предстают империями зла на фоне частых сообщений об их утечках персональных данных.
Но если вы владелец бизнеса, подмоченная репутация – еще не конец ваших проблем в случае кражи персональной информации. Если вы заранее не позаботились о безопасности хранения персональных данных своих клиентов, а вездесущие русские хакеры слили вашу базу данных клиентов, помимо скандала вы получите еще и значительные штрафы. Чтобы с вашим бизнесом такое никогда не случилось, мы расскажем вам, как собирать и хранить персональные данные.
Никто не знает о персональных данных
Сначала разберемся, какие данные и почему оказываются у компании на руках. Допустим, у вас интернет-магазин с доставкой – и чтобы ее организовать, вам нужен телефон, ФИО, адрес клиента, серия и номер паспорта. Такая и другая личная информация и есть персональные данные.
Когда мы понимаем, о ком идет речь, данные становятся персональными. В противном случае речь идет об агрегированных (деперсонализированных) данных. Даже имя само по себе — это еще не ПДн. Если у авиакомпании покупают билеты два человека с одинаковым ФИО, то точно определить, о ком речь, можно по дате рождения и паспорту, или по номеру телефона. Тогда ПДн становится комбинация имя + телефон + дата рождения.
Оператор персональных данных — это компания, которая собирает и использует персональные данные. Школа иностранных языков собирает данные для имейл-рассылок, а косметолог сохраняет карточки клиентов. Владелец сайта с личным кабинетом, формой подписки, регистрации или обратной связи — тоже оператор.
Обработка персональных данных — это любая манипуляция с личной информацией клиента: копирование ФИО посетителя в клиентскую базу, обновление номера телефона клиента, распечатка карточек пациентов клиники. Каждый человек, который делает что-то с данными — обработчик.
Собираем персональные данные правильно
Закон “О персональных данных” строго регламентирует все процедуры, которые касаются сбора ПДн. Вот что важно помнить.
- Собирайте только необходимые данные. Компания имеет право собирать только те персональные данные, которые необходимы для продажи товара или оказания услуги. Для доставки товара нужны ФИО и адрес, для подписки на рассылку — имя и электронная почта. Нельзя в таких случаях спрашивать о месте работы, весе или отношении к Владимиру Владимировичу.
- Не забудьте взять согласие клиента. Строго запрещено собирать данные без согласия клиента. Согласием считается бумажный документ, подписанный лично клиентом, или галочка в поле «я соглашаюсь на обработку моих персональных данных».
Как не получить штраф в 250 000
Подготовьте официальные документы. Закрепите регламент работы с персональными данными в официальных документах компании. Распишите все до мельчайших подробностей, например, как и где вы собираетесь хранить данные, кто конкретно имеет к ним доступ, как защищать персональные данные, когда их уничтожать.
Будьте начеку, убедитесь, что у вашей фирмы есть:
- Политика обработки персональных данных. Если у компании есть сайт, документ нужно разместить там на видном месте.
- Приказ о назначении сотрудника, который отвечает за организацию обработки персональных данных.
- Правила доступа к персональным данным.
- Правила защиты персональных данных.
- Правила ведения учета материальных носителей персональных данных.
- Правила учета носителей биометрических данных. Это нужно банкам, частным клиникам или косметологическим салонам.
Проявляйте бдительность — не раскрывайте данные третьим лицам, даже если те просят очень вежливо. Если вы храните ПДн на компьютере или в локальной сети компании, защитите все документы или папки с данными паролем. Желательно, чтобы он был чуть сложнее, чем 12345qwerty. Чтобы любопытствующие не получили доступ к данным на бумаге, спрячьте папки в шкафу под замком или в сейфе.
Обезвредить интернет-угрозы
Чтобы минимизировать риск кибер-утечек, можно удалять персональные данные в течение 30 дней после того, как клиент получил товар или услугу.
Но если вы хотите сохранить ФИО, телефон или имейл для того, чтобы рассказывать о своих акциях и приглашать клиента на реснички, запросите бессрочное согласие на обработку и хранение его персональных данных. Кстати, такое согласие можно отозвать — для этого нужно написать заявление на имя компании о прекращении обработки данных.
Чтобы у вас не спарсили всю БД и не добавили штраф в придачу, создавайте разные базы с данными клиентов для разных целей. Например, вы собираете персональные данные клиентов интернет-магазина. 75 человек дали согласие на получение рекламных материалов по электронной почте, а 100 человек — на получение подарков в день рождения. По закону, нужно создать две разные базы клиентов, потому что у их персональных данных разные цели обработки. Объединять базы нельзя.
Храните деньги в сберегательной кассе, а персональные данные
По разному, в зависимости от способа, которым вы их собирали. Данные можно получить через интернет, вручную или отсканировав документы, которые заполнял клиент.
Нарушители будут наказаны
Вот какие штрафы грозят тем, кто невнимательно читал нашу инструкцию:
- Хранение персональных данных без согласия их владельца — штраф 15-75 тысяч рублей.
- Игнорирование вопросов о способах обработки персональных данных — штраф 10-40 тысяч рублей.
- Игнорирование просьб уточнить, заблокировать или уничтожить персональные данные — штраф 10-45 тысяч рублей.
- Ненадежная защита данных — штраф 10-50 тысяч рублей.
- Нет политики конфиденциальности — штраф 5-30 тысяч рублей.
Не забывайте, что штрафы за нарушение закона о персональных данных могут суммироваться. Это значит, что за неправильную обработку и хранение данных одного клиента вы можете получить сразу несколько штрафов. А санкции в виде подпорченного общественного мнения могут оказаться еще вреднее штрафов.
ха )) ой насмешили . Лично мне , 5 раз делали детализацию на спорт по моему номеру в билайн за 1500 рублей. о чем вы пишите тут а ?
Ну так учить всех как хранить ПД проще, чем у себя порядок навести.
+ на мою компанию в Москве оформили корпоративный договор )) билайн блин
постите накипело
Комментарий удален модератором
Комментарий недоступен