DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Лучший способ сохранить информацию — не иметь ее: специалист по GDPR о сборе личных данных, которого лучше избегать

 

Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, дал интервью Вel.biz, в котором рассказал, почему бизнесу лучше избегать сбора личных данных и что делать с теми, что уже накопились.

Источник: https://bel.biz/heroes/opinion/luchshij-sposob-sohranit-informatsiyu-ne-imet-ee-spetsialist-po-gdpr-o-sbore-lichnyh-dannyh-kotorogo-luchshe-izbegat/ 

 


 

В погоне за лидами маркетологи научились собирать такое количество личной информации, что она стала токсичной из-за злоупотреблений, сливов и неумелой работы с ней. Все реже люди хотят делиться «личным», и все выше уровень недоверия к тем, кто их об этом просит.

Сергей Воронкевич относит себя к тем специалистам, кто подходит к вопросам безопасности с позиции уважения приватности. Он за этичное обращение с персональными данными на старте бизнеса, во избежание наступления критических ситуаций вроде утечек.

 

Самый лучший способ, чтобы у бизнеса не пропадала информация, это её не иметь, —  считает Сергей. 

 

Ну это же невозможно, — возразят маркетологи, владельцы бизнеса, сборщики и торговцы лидами. Мы живем во время, когда персональные данные собирают все и вся. На это Сергей спокойно отвечает, что во многих случаях сбор личных данных клиентов — лишний. Без него можно обойтись или минимизировать настолько, чтобы решать конкретные задачи, не более того.

— Конечно, вполне разумно располагать контактной информацией от клиента, чтобы иметь возможность с ним связаться, особенно, если человек проявил заинтересованность в продукте, — считает специалист. Но совершенно незачем знать его дату рождения, второй электронный ящик или место жительства.

Эту информацию Сергей, его коллеги, работающие в области защиты персональных данных, а также законы, считают избыточной и токсичной. Маркетологи, скорее всего, с ними не согласны. Ведь, например, знание локации позволяет четче настроить таргетированную или наружную рекламу. А дни рождения — повод лишний раз напомнить о продукте спецпредложением. 

— Да, маркетологи возразят мне и будут неправы. Потому что в долгосрочной перспективе они и их заказчики хотят иметь лояльных клиентов с высоким уровнем доверия к себе. А мы пока движемся к пропасти, подрывающей это доверие, — уверен Сергей Воронкевич. 

Люди, понимая, как много можно сделать с их номером телефона или адресом, все меньше хотят ими делиться. В большинстве случаев они не желают получать поздравления ко Дню рождения от малознакомых людей или брендов. Хотя бы потому, что эти поздравления неискренние и служат единственной цели — что-то продать. 

 

Когда приватность человека часто нарушается таким образом, он перестает доверять даже тем, кто этого и не собирался делать. 

 

Законы в области персональных данных не про то, как мешать бизнесу работать. Наоборот, они помогают вернуть доверие к бизнесу. А для этого нужно дать человеку уверенность в том, что его личные данные защищены и ими не будут злоупотреблять. Важно сохранить контроль человека над своими данными. Тогда он будет более охотно ими делиться, а не нервничать всякий раз, когда  запрашивают его имя или контактный номер.

В 2015 году в Европейском союзе проводились исследования, показавшие, что бизнесы ежегодно теряют около 60 млрд евро именно на ситуациях, когда человек беспокоится за свои персональные данные и отказывается от покупки. 

Таким образом, считает Сергей, в краткосрочной перспективе сбор данных приносит дивиденды, но в долгосрочной перспективе бизнес и маркетологи в проигрыше. Глобально идет подрыв доверия к цифровому бизнесу, экономике и услугам. 

 

Как определить границы объема сбора данных?

 

— Общее и главное правило — брать ровно столько данных, сколько необходимо для достижения конкретной цели. Скажем, какие данные вам необходимы, если вы проводите семинар или конференцию? Чтобы пригласить на нее людей и сбросить ссылку на трансляцию достаточно одного мейла. Если у вас еще одна цель — продать свои услуги, и поэтому вы проводите семинар, достаточно спросить людей про заинтересованность, чтобы не беспокоить их лишний раз, — рекомендует Сергей Воронкевич. 

У людей есть разные способы самозащиты — фейковые номера, вымышленные имена, дополнительные аккаунты, которые существуют исключительно для того, чтобы регистрироваться на мероприятия, получать чек-листы и оформлять дисконты. Сергей советует задавать себе тестовый вопрос, а что будет, если человек обманет, указывая свои данные? Смогу ли я ему оказать услугу или нет?

Например, сможете ли вы пригласить на свое мероприятие человека, указавшего свое имя как Арнольд Шварценеггер, если при этом мейл он оставил верный? Конечно сможете. Значит, имя можно либо не спрашивать вовсе, либо сделать поле ввода необязательным или дать возможность назваться так, как человек желает, чтобы к нему обратились. В данном случае цифровая безопасность бизнеса обеспечивается тем, что он избавляется от рискового актива в виде излишней информации, за сохранность и использование которой несет ответственность. 

Сергей Воронкевич называет излишние персональные данные токсичными по нескольким причинам. Во-первых, злоупотребление: чем больше данных, тем проще ими манипулировать. А злоупотребление вызывает недоверие. Во-вторых, — законы, принятые в демократических государствах и предполагающие серьезные санкции за нарушения в области защиты персональных данных. Поэтому специалист советует внимательно рассмотреть способы достижения вашей цели, и если ее возможно достичь без сбора персональных данных, то лучше выбрать этот путь.

— Если вам нужно выяснить, исполнилось ли человеку 18 лет, то спросите его об этом, а не просите указать дату рождения. Избыточная точность в данном случае создает риски. Так что, отвечая на вопрос, где грань между избыточной информацией и необходимой, скажу так, она лежит в правильной формулировке ваших целей. В конце-концов, вы всегда с согласия человека можете получить дополнительную информацию о нем, — говорит Сергей. 

Если вы хотите поздравить клиента с религиозными праздниками, спросите предварительное согласие и уточните его религию. Возможно, найдутся желающие получать поздравления с Ханукой, Пасхой или Рамаданом от вас, но большинство, скорее всего, откажется.

 

Конечно, цифровая этика, уважение приватности это хорошо. Но уже давно о нас собраны и собираются массивы данных, которые непонятно где и как хранятся. К тому же, руководители все чаще хотят знать как можно больше о поведении своих сотрудников в рабочее время. Как быть с этим?

 

— Я вижу тенденцию, что ситуация меняется и значительно. Выходные дни на фабриках и заводах и восьмичасовой рабочий день тоже появились не сразу. Кто-то начал первым, несмотря на то, что это выбивалось из тогдашнего представления о норме. А затем все участники рынка последовали примеру. Сейчас появляются все новые законы и они становятся все строже. И это уже не просто вопросы этики и справедливости. Есть законы и регуляторы, которые следят за их исполнением. И это задает новый тренд, — убежден Сергей.

Сейчас не модно и даже противно подсматривать за своими сотрудниками. По крайней мере, в демократическом обществе. Еще лет десять назад, вспоминает Сергей, у сотрудника бы не возникло вопросов, если бы его босс проверил рабочий ноут. Но сегодня истории о том, как компания через софт или устройства следит за своими сотрудниками все чаще рассматриваются в судах. И решения обычно не в пользу компаний.

— Если говорить о слежке и мониторинге за действиями сотрудников, то нужно понимать, что приходя на работу, люди не перестают быть людьми. У них есть личная жизнь, обстоятельства и общение, которое может вторгаться в рабочее время. В бизнесе невозможно без творчества, а творчеству необходима определенная степень свободы. И такой работник более выгоден работодателю, чем механический исполнитель. Правила рабочих отношений из индустриальной эпохи в новой реальности больше не эффективны, — уверен специалист по цифровой безопасности. 

Слежка подрывает доверие, а зарплата — не единственный мотиватор, ради которого ходят на работу. Корпоративные границы сегодня сдвигаются в сторону большего доверия и, соответственно, степени свободы для сотрудников. 

 

А как быть тем, у кого уже много чужих персональных данных?

 

Здесь, убежден Сергей, не обойтись без постановки процессов в компании, внедрении технических мер и обучения персонала. Сотрудники должны понимать, какая информация требует особенного бережного отношения, а какой нужно своевременное удаление. Необходимы четкие правила использования, передачи и удаления информации.

Данные имеют свойство накапливаться. И если в них содержится много чувствительной личной информации, они превращаются в подобие ядерных отходов, которые в случае утечки или потери могут нанести необратимый вред клиентам и компании.

 

Какие компании проявляют интерес к защите персональных данных?

 

На примере своих клиентов Сергей говорит, что спрос и потребность в privacy, настраивании, адаптации приложений и продуктов под принципы защиты персональных данных, выше в Евросоюзе. Во многом, это объясняется выработанными там законами и спросом на защиту личных данных у населения. Дело в том, что жители Евросоюза испытывают на себе большее давление по причине постоянной охоты за их данными. Они более платежеспособны, а значит представляют интерес для бизнесов и мошенников со всего мира. 

— Спрос на privacy у американцев и европейцев и осознанность в этой области определяется не образованием или культурой, а частотой и глубиной проблем, с которыми люди сталкиваются в этой сфере. К нам часто приходят небольшие и средние бизнесы из Евросоюза и просят разработать под них privacy не только и не столько из-за требований законов, а для того, чтобы повысить уровень доверия клиентов к себе. Это позволяет им больше заработать и даже повысить цену за продукт, который хорошо защищает данные своих пользователей. Еще одна из причин обращения к нам — отказ европейских заказчиков или партнеров работать с компанией, если у нее вопрос защиты персональных данных не проработан по европейским стандартам. Они требуют соблюдения GDPR и корректного обращения с персональными данными, иначе отказываются работать.  

Расписание курсов загружается, подожди несколько секунд