Топ-8 бизнес-рисков: ошибки с персональными данными

Белорусские компании нередко обрабатывают значительные объемы персональных данных, что создает дополнительные риски для субъектов хозяйствования. Национальный центр защиты персональных данных видит восемь серьезных рисков для организаций, нарушающих законодательство при обработке личных сведений граждан.

Подписывайтесь на Telegram‑канал и Viber. Главное об экономике Беларуси — раньше, чем в новостях TelegramViber

Сферы особого внимания

Статистика показывает, что значительная часть жалоб граждан, связанных с нарушением обработки персональных данных (почти 40% от общего количества), приходится на организации торговли и сферы услуг. В частности, граждане жалуются на получение нежелательной рекламы, на истребование избыточной личной информации, а также на невозможность отозвать согласие на обработку персональных данных.

Поэтому НЦЗПД уделяет большое внимание сфере торговли и сервиса, в т.ч. электронной коммерции, которая сейчас в стране активно развивается.

Центр участвует в межведомственной рабочей группе по вопросам регулирования деятельности цифровых платформ и видит необходимость решать ряд вопросов в данной сфере.

«Они касаются трансграничной передачи личных данных, которые попадают в различные юрисдикции. К сожалению, из-за инцидентов, возникающих в связи с этим, страдают граждане Беларуси», – отметил директор НЦЗПД Андрей Гаев, выступая на конференции в рамках форума ТИБО.

Еще одна тема, которой регулятор уделяет особое внимание, – взаимодействие белорусских компаний с подрядчиками, привлекаемыми для оказания маркетинговых, рекламных и других услуг. Последние получают доступ к персональным данным заказчика, но иногда допускают крупные утечки, «поэтому этот аспект также нуждается в должном регулировании, и мы этому будем способствовать», подчеркнул директор центра защиты персональных данных.

«Должен быть разумный баланс между маркетинговой составляющей, получением прибыли и защитой информации, сохранением репутации бизнеса. Мы видим, что утечка личных данных серьезным образом влияет на репутационную составляющую компаний», – заявил А. Гаев.

Распространенные нарушения

Согласно наблюдениям регулятора, многие коммерческие организации пока не уделяют должного внимания вопросам защиты персональных данных, что в т.ч. порождает жалобы граждан на бизнес.

В частности, центр констатирует, что в некоторых случаях субъекты хозяйствования нарушают свободный характер получения согласия граждан на обработку персональных данных. Выражается это в том, что бизнес пытается получить общее согласие граждан на несколько не связанных между собой целей обработки данных.

Начальник управления контроля и аудита НЦЗПД Виталий Диско, выступая на конференции, обратил внимание, что жалобы граждан связаны также с тем, что они не могут никоим образом узнать на интернет-ресурсе, как компания будет обрабатывать собираемые персональные данные.

«Человек обращался в чат, в колл-центр, никакой помощи по данному вопросу не получил, и после этого направил жалобу нам», – привел В. Диско конкретный случай из практики.

По его словам, проблемы между пользователями и компаниями возникают также в связи с тем, что бизнес собирает избыточный объем персональных данных и рассылает рекламные сообщения, не имея на это правовых оснований.

Еще одна ситуация, которая, по мнению регулятора, может порождать недовольство граждан, – бесконечный период обработки личных сведений физических лиц.

«Опыт наших проверок показывает, что многие операторы обрабатывают персональные данные бесконечно. Гражданам не предоставляется возможности удаления личного кабинета на интернет-ресурсе, хотя такая опция должна быть», – подчеркнул В. Диско.

Регулятор считает, что субъектам хозяйствования не стоит обрабатывать персональные данные граждан, которые к ним длительное время не обращаются. Центр предлагает руководствоваться трехлетним сроком и, если в течение этого периода граждане в компанию не обращаются, аннулировать их личные кабинеты.

Проверки, штрафы, потеря репутации

Регулятор выделяет несколько возможных рисков в случае нарушения бизнесом законодательства по вопросам защиты персональных данных.

1. Большая вероятность появления жалоб и других претензий от граждан.

2. Проведение внеплановой проверки субъекта хозяйствования по вопросам соблюдения законодательства о защите персональных данных.

3. Привлечение к административной ответственности, т.е. наложение штрафа в случае выявления нарушений.

4. Вынесение требования о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе). Поскольку такая мера может привести к приостановке работы бизнеса, НЦЗПД прибегает к ней в исключительных случаях, когда находит грубые факты нарушения законодательства о персональных данных.

5. Выявляемые проблемы влияют на имидж и репутацию компании.

6. Нарушение системы защиты персональных данных, в т.ч. их «утечка». О таких фактах НЦЗПД регулярно информирует общественность. «Мы видим, что для многих организаций является критически важным отсутствие упоминаний о них в каком-то не позитивном контексте», – констатировал В. Диско.

7. Необходимость перестройки бизнес-процессов в тех случаях, когда они выстраиваются без учета мер по защите персональных данных.

8. Дополнение КоАП статьями об ответственности за нарушение требований в части кибербезопасности. В кодекс уже включены нормы о введении административной ответственности для организаций за нарушения, повлекшие киберинциденты высокого уровня. В случае обнаружения таких инцидентов, в т.ч. сопровождающихся утечкой большого количества персональных данных, штрафы будут налагаться как на физических, так и на юридических лиц.

Регулятор предлагает вести речь о принципе нулевой терпимости по отношению к различного рода утечкам персональных данных.

«С моей точки зрения, утечка персональных данных не является нормой для любой организации. Компании должны защищать персональные данные граждан, а не ссылаться на какие-то внешние факторы либо необходимость выделения значительных средств на защиту персональных данных», – подчеркнул в своем выступлении В. Диско.

Он предложил организациям руководствоваться следующим подходом: не можете защищать персональные данные – не собирайте, а если собираете, то минимизируйте риски возможного нарушения систем их защиты.

Практический опыт

Начальник сектора внутреннего контроля за обработкой персональных данных ООО «Санта Ритейл» Александр Григорович поделился с аудиторией конференции корпоративным кейсом, как в торговой сети для клиентов реализована программа лояльности (для привлечения и удержания клиентов) с учетом мер по защите личных сведений покупателей.

Для реализации программы лояльности было создано специальное ПО, которое размещено в защищенном контуре на территории Беларуси. К программе лояльности был предоставлен доступ только пользователям, находящимся на территории РБ. При этом реализовано три варианта участия клиентов в программе лояльности.

Первый – без предоставления персональных данных. В этом случае покупатель получает карту лояльности и может пользоваться ею в базовом режиме – накапливать и использовать бонусы с ограниченным функционалом.

Второй вариант – с предоставлением минимального набора персональных данных. В этом случае при предоставлении минимальных персональных данных для создания личного кабинета клиент получает дополнительные преференции.

Третий вариант – с предоставлением дополнительных персональных данных – пользователю программы лояльности становятся доступны специальные предложения торговой сети к гендерным праздникам, а также участие в рекламных играх.

При этом клиенты торговой сети могут в любой момент отозвать в один клик ранее данное согласие на обработку персональных данных. Следует отметить, что все действия в информационной системе программы лояльности логируются, что позволяет компании в любой момент подтвердить правомерность обработки личных данных граждан.

Источник «Экономическая газета»