Или как компании обрести преимущество на рынке с помощью тренда на защиту персональных данных своих клиентов
Data Privacy или безопасность персональных данных — самый большой тренд на сегодня.
Если прошлые 15 лет активно развивались сбор и обработка данных, происходил расцвет таргетированной и контекстной рекламы, то сейчас сбор стал чем-то обыденностью, а мир переключился на защиту. Этот тренд продлится как минимум 5-10 лет, а компании, которые лучше всего смогут защитить своего пользователя, получат наиболее лояльного и платежеспособного клиента.
Как обрести преимущество на рынке
Безопасность персональных данных становится мотивом принятия решений, касающихся больших групп людей и целых государств.
Вспомним закон о локализации и последующую блокировку в России соцсети LinkedIn, которая не перенесла серверы в РФ и незаконно собирала и передавала информацию о гражданах, не являющихся ее пользователями. Мессенджер WhatsApp был оштрафован на 4 млн рублей за отказ локализовать в РФ базы данных россиян (по ч. 8 ст. 13.11 КоАП РФ), соцсети Facebook и Twitter получили повторные штрафы 15 млн и 17 млн руб. соответственно (по ч. 9 ст. 13.11 КоАП РФ). За нарушение правил локализации на 3 млн рублей была оштрафована компания Google (также по ч. 8 ст. 13.11 КоАП РФ).
Об угрозах в сфере приватности говорят ведущие общественные деятели, журналисты, политики, звезды ИТ-индустрии. Стоило Илону Маску в своем Twitter порекомендовать защищенный мессенджер Signal, и акции компании Signal Advance выросли на 1100% — хоть это оказался и не тот Signal, но эффект поразителен.
Стив Джобс еще в 2010 году заявил, что защита данных пользователей является основным приоритетом компании. По сей день Apple постоянно совершенствует решения, обеспечивающие конфиденциальность клиентов, и сегодня компания владеет той информацией, которая не всегда есть даже у спецслужб. Отпечатки пальцев взрослых и детей по всему миру, распознавание лица, геолокация, далее будет сетчатка глаза. Люди охотно пользуются iPhone и платят за него большие деньги, не в последнюю очередь благодаря сильному Privacy-позиционированию.
Причем тут малый и средний бизнес?
Защитой персональных данных нужно заниматься каждой компании, которая хранит и обрабатывает персональные данные, независимо от организационно-правовой формы или вида деятельности.
Персональные данные — это любая информация о физическом лице: ФИО, email, телефон, не говоря уже про адрес и дату рождения.
- Если у вас в штате 5-10 сотрудников, то вы уже храните и используете их персональные данные для начисления зарплаты и обязаны соблюдать закон.
Если у вас даже нет сотрудников, есть только сайт, на котором вы собираете заявки от пользователей с указанием имени и контактов — вы являетесь оператором персональных данных и обязаны соблюдать закон.
Для малого бизнеса, на первый взгляд, все просто: достаточно внедрить согласия, оферты, cookie на сайт. Однако такой подход обычно приводит к тому, что согласия просто скачиваются из интернета, а не составленные должным образом документы становятся причиной для исков и штрафов РКН.
Со средним бизнесом сложнее: нужно приводить в соответствие с законом о персональных данных внутренние процессы компании. Обычно для этого заказывают аудит и консалтинг у профильных компаний, в ходе которого консультанты будут:
общаться в рабочее время с сотрудниками разных отделов
выявлять, в каких бизнес-процессах используются ПДн, как они собираются, обрабатываются, уничтожаются
проверять связанные с этими процессами документы
по итогам аудита помогут внедрить новые процессы и документы в компании
Однако с течением времени, когда в компании будут открываться новые отделы и направления, появляться новые сотрудники, все необходимо будет делать по-новой. Поэтому к консультантам следует обращаться ежегодно — либо нанять специалиста в штат. Сколько все это стоит и что будет, если игнорировать этот вопрос, рассказываем дальше.
Что будет, если не следовать 152-ФЗ, GDPR и другим законам о защите персональных данных
- Претензии и судебные иски субъектов персональных данных
Издержки: расходы на консалтинг и юристов
Финансовые потери: от 400 000 рублей
- Репутационный ущерб, который незамедлительно сказывается на финансовом состоянии компаний
Издержки: расходы на PR и работу с репутацией
Финансовые потери: от 500 000 рублей до годового оборота компании
- Штрафы за нарушение законодательства о персональных данных, за неустранение нарушений, а также за непредставление сведений в Роскомнадзор
Финансовые потери: от 30 тысяч рублей до 18 млн рублей
Как следовать закону о персональных данных и не разориться?
Нередко задачи, которые делегируют руководители на правовые и финансовые департаменты, не выполняются, а непрофильными сотрудниками допускаются ошибки, так как для работы с Privacy все же необходимо дополнительное образование или повышение квалификации.
Привлечение внешних специалистов стоит дорого: минимальная поддержка консалтинговой компании с внедрением шаблонов документов обойдется в сумму от 400 тыс. рублей. При этом приведение процессов в соответствие с 152-ФЗ и реагирование на запросы субъектов должно происходить регулярно.
Найм квалифицированного специалиста в штат будет стоить от 200 тыс. рублей в месяц, при этом на поиск опытного сотрудника потребуется не один месяц: сейчас на рынке кадровый голод.
В этой ситуации разумным решением становится обучение собственного штатного сотрудника, например, корпоративного юриста, практическим навыкам Data Protection Officer. Образование для такого специалиста обойдется примерно в 80 тыс. рублей.
Обучение рекомендуем доверить ведущим специалистам Privacy в России — в этом случае можно рассчитывать на получение актуальных практических знаний, которые специалист сможет применять в дальнейшей работе.
После окончания онлайн-курса Data Protection Officer от компании Б-152 выпускник сможет обращаться с вопросами к своим преподавателям, высокооплачиваемым практикам рынка, тех самых, у которых сопровождение стоит от 400 тыс. рублей.
С 2022 года игнорировать закон станет дороже
В апреле 2022 в Госдуму был внесен законопроект, которым вводится обязанность организациям незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти, а также обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Кроме этого, с 30 до 10 дней сокращаются сроки исполнения операторами запросов органов власти и граждан по вопросам, связанным с незаконной обработкой персональных данных.
На операторов возлагается и обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в тридцатидневный срок. Примерно так выглядит схема процесса реализации права физических лиц от получения требования до предоставления акта об уничтожении (превью из материалов курса Data Protection Officer от Б-152):
Реализация отзыва согласия на обработку по запросу субъекта данных — трудоемкий процесс, отнимающий много времени сотрудника, если нет специальной подготовки, навыков, шаблонов и налаженной автоматизации. В него вовлечено множество людей, отделов, систем, которые необходимо контролировать. Поэтому бизнесу придется выделять как минимум отдельного сотрудника на роль DPO и внедрять автоматизацию. При этом неподготовленный сотрудник будет тратить очень много времени на каждую такую задачу.
На практическом онлайн-курсе Data Protection Officer от Б-152 мы даем все необходимые документы и главное — практические знания, как выглядит такой процесс в реальных компаниях, какие дополнительные инструменты можно привлекать, что и как можно автоматизировать, чтобы решать эти задачи проще и быстрее.
Подводя итог
Итак, наличие квалифицированного Data Protection Officer дает бизнесу следующие преимущества:
- Репутацию компании, которая заботится о безопасности персональных данных своих клиентов
- Контроль профессионала над процессами защиты ПДн клиентов и сотрудников компании
- Защиту от репутационных рисков
- Защиту от жалоб и судебных исков субъектов защиты ПДн
- Защиту от штрафов и блокировок уполномоченными гос. органами