«Здесь был Вася»: как защитить персональные данные людям и компаниям
Для начала, как бы просто это не звучало, не раздавать свои персональные данные направо и налево. А компаниям -- не собирать те данные, которые они не в состоянии обработать и надежно сохранить. Сегодня, 28 января, – день защиты персональных данных. По этому случаю составил максимально простой чек-лист для тех, кому не все равно, где и как фигурирует их личная информация. А также рекомендации для компаний, которые имеют дело с данными клиентов и хотят использовать их эффективно.
Личные данные — кому и зачем?
Зачем вообще следить за своими персональными данными? Как минимум за тем, чтобы они не оказались в руках тех, кто будет надоедать с рекламой или звонить от имени службы безопасности банка. А еще, получив доступ к чужим данным, злоумышленники могут оформить кредит или зарегистрировать фирму-однодневку (и ваша жизнь наполнится новыми открытиями. Но точно не самыми приятными).
Перед тем, как предоставить той или иной компании сведения о себе, проверьте:
кому и зачем вы передаете свои данные. Можно ли без этого обойтись? Утечки могут случиться в любой компании, а штрафы за них в России невелики. Поэтому мой совет — оставлять как можно меньше данных при заполнении разных форм и согласий.
как соотносится деятельность организации и ее интерес к вашим персональным данным. Нет вопросов, если паспортные данные запрашивает банк перед тем, как дать вам крупную сумму в кредит. А если их попросит магазин одежды при оформлении карты лояльности? Такое, кстати, тоже иногда происходит.
- согласны ли вы на передачу своих данных третьим лицам. Часто в согласиях, которые мы все подписываем, содержится пункт о том, что организация может передавать персональные данные клиентов своим партнерам. Иногда указано, кому именно и зачем, а иногда нет. Скажем, банк может указать, что отправляет ваши данные в бюро кредитных историй на проверку. Но иногда все далеко не так прозрачно. Конкретные партнеры, которым передаются данные, могут быть не перечислены, или их список может меняться. Также не забывайте, что согласие на обработку и использование персональных данных можно отозвать полностью или частично. Например, поставить запрет на любые рекламные звонки и сообщения.
SSL-сертификат. Он удостоверяет подлинность веб-сайта банка или другой компании, которой вы передаете важные персональные данные. Для этого в адресной строке браузера наведите курсор на замок рядом с адресом сайта и убедитесь, что SSL-сертификат выдан именно этой организации. Так вы избежите передачи личных данных на фишинговые ресурсы.
Резюме: всегда смотрите, кто и зачем просит у вас данные. Если есть вопросы и сомнения — не оставляйте. Ну а если вы подозреваете, что ваши персональные данные оказались в руках мошенников или вы уже пострадали от их незаконного использования, обращайтесь к юристам — например, в созданный под эгидой Роскомнадзора Центр правовой помощи гражданам в цифровой среде.
Данные для сервиса… или нет?
Желание бизнеса собрать больше персональных данных клиентов вполне понятно. В идеальном мире чем больше компания знает о своих потребителях, тем лучше ее сервис: при звонке клиента сразу же называют по имени, а информацию ему присылают вовремя и на действующую почту. Но в реальности собранные данные далеко не всегда используются так, как надо.
Мы в HFLabs занимаемся тем, что помогаем крупным компаниям (банкам, страховщикам, ритейлу, телекому) навести порядок с клиентскими базами данных — убрать дубликаты, почистить несуществующие адреса, автоматически проверить, не включен ли клиент в черный список регуляторов. Но нередко мы сталкиваемся с тем, что данные, которые бизнесу удалось собрать, никак не используются. Даже так: все гонятся за тем, чтобы собрать побольше, но игнорируют или недооценивают то, что уже есть.
Вот несколько вопросов, которые помогут проанализировать состояние клиентских данных в вашей компании:
Есть ли у вас данные о клиентах, которые потом не используются? Если да, то почему и зачем вы их продолжаете собирать?
Знаете ли вы, для чего вам необходимы те или иные данные о клиентах? Например, иногда компании вводят обязательное поле для указания электронной почты. Если человек не захочет ее оставлять, он напишет недействительный адрес или почту, которой не пользуется. И бизнес ничего не поймет: вроде бы данные есть, но достучаться по ним до клиента невозможно. В такой ситуации проще оставить поле пустым, чтобы знать точно, что все собранные данные о человеке «честные» и актуальные.
Объясняете ли вы клиентам, для чего и какие данные вы собираете и как вы это делаете? Наверняка такая информация есть на вашем сайте или в тексте согласия, но чем более понятным и простым языком она написана, тем больше доверия вызывает у потребителей.
Выстроена ли у вас работа с согласиями, которые предоставляют клиенты? Бывает, что клиент просит не звонить и не писать ему с предложениями о кредитах. В одной из систем это отмечают, но, например, данные для рассылки по электронной почте маркетологи берут из другой системы. И вуаля — в почте снова письмо с рекламой ипотеки! В идеальном мире таких ситуаций быть не должно.
- Насколько легко пользователю на вашем сайте оставить свои данные? Есть ли подсказки, удобная форма? Все это тоже идет на пользу вашим отношениям с клиентом.
Почему это важно? На высококонкурентном рынке мелочей не бывает. В конечном счете у всех банков примерно одинаковые процентные ставки, а у страховых компаний очень похожие условия. Поэтому во многих компаниях создаются даже блоки «заботы о клиентах». В случае с персональными данными заботу проявить не так уж сложно: объясняйте, зачем собираете данные, не просите больше, чем нужно, а там, где данные нужны, помогайте их быстро заполнить.
P. S. Автор осознает, что в этом тексте собраны далеко не все способы защиты персональных данных. Их, конечно, намного больше. Речь, скорей, о том, что многие в принципе не задумываются, где и какие сведения о себе оставляют. В комментариях можно дополнять и рассказывать, что именно делаете вы для защиты персональных данных. Ну или написать, что вас это совсем не волнует:)
Еще есть такая рекомендация: если нужно кому-то отправить фотографию паспорта или ее делает курьер (например, при оформлении банковской карты), на свободное место на странице паспорта можно положить небольшой листочек с надписью "фото для такого-то банка". Если данные куда-то утекут и будут использованы не по назначению, будет проще доказать, что они украдены.
Хочу поделиться собственным опытом. По работе приходится передавать клиентам ксерокопию своего паспорта (для доверенности на предоставление интересов в суде). Я сделал специальную копию паспорта, в которой поверх изображения 2-3 страницы паспорта наложена надпись "Не для финансовых сделок". Для нотариуса мои данные видны, а для документов по получению какого-либо кредита - надпись будет препятствием. Можно, конечно, все зафотошопить, но тогда эксперт докажет, что файл был модифицирован, и сделка в дальнейшем будет признана недействительной. Существует ли риск? Да. Так что не предоставляйте без особой причины свои данные.
В идеале каждый гражданин должен разделять контакты по направлениям: контакт для личной жизни, для банков, для магазинов - чтобы мошеннику было сложнее подстроиться под настоящий банк или личный контакт. Напр., клиент оставил номер сотового для кредита в банке. А через неделю на этот номер звонит "брат мужа дочери" и просит взаймы пару тысяч... Ну и прием, который порой используют продавцы на @ВИТ0 - заводят временный сотовый, который потом блокируют, при этом телефон для личных целей не сообщается и он чист как совесть кредитного менеджера банка....
согласен)
Было бы интересно пойти еще дальше, сделать одноразовые телефонные номера. Или номера ограниченного срока действия:) То, что сейчас apple делает с почтой, предлагая оставить на форме вместо реального адреса специально сгенерированный.
Хороший совет. Я сразу вспомнил, как меня попросили для бронирования машины в прокате переслать в whatsapp фотографии паспорта и водительского удостоверения.