Почему защита персональных данных необходима всем современным бизнесам
- 6 октября, 2022
- Бизнес, Защита данных
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Введение
Сейчас все компании работают с персональными данными, хотите вы этого или нет. Вы продвигаете свои продукты не на офисы, а на конкретных представителей организации: ваша команда маркетинга и продаж создаёт похожие аудитории в Facebook по базе CRM, запускает медийно-контекстную рекламу и настраивает ретаргетинг в Google Ads и РСЯ, отправляет e-mail рассылку, собирает регистрации на мероприятия, добавляет контактные формы на сайт для вопросов. Люди делятся с вами одной из самых больших своих ценностей – персональной информацией (ФИО, контактный телефон, должность и, само собой, данные о компании). Они вам доверяют, и важно их не подвести и сохранить лояльность компаний, с которыми вы работаете. Как раз об этом принципы защиты персональных данных.
Вы можете рискнуть и положиться на везение, ведь как топ-менеджер или CEO, вы наверняка знаете, что рисковать нужно и тот, кто не рискует, не создаёт значимый на мировом рынке продукт и не зарабатывает миллионы. Риск помогает осваивать новые возможности, но это не касается вопросов взаимоотношений с клиентами и легальности ведения бизнеса, особенно при выходе на другие рынки.
Следует понимать, что проблемы с защитой персональных данных сопровождаются большими репутационными издержками – о вас напишут в СМИ, социальных сетях, рассылках. Учитывая, что вы работаете в сегменте B2B, будьте уверены, что информация появится и в рассылках по контрагентам.
Дополнительным «бонусом» станет большой штраф от надзорного органа, если вашим продуктом пользуются не только компании в СНГ, а и Европе, США, ОАЭ и т.д. Сумма приличная – до 20 000 000 евро. В СНГ также есть свои национальные законы, но штрафы просто чуть поприятнее.
Что такое защита персональных данных и почему об этом стали активно говорить 4 года назад?
Вы не только продвигаете свои продукты, а и пользуетесь сторонними сервисами. К примеру, CRM-системой, где специалисты по продажам фиксируют все договоренности с клиентами и партнёрами. Порой туда вносится даже информация о простуде человека как причина несостоявшейся продажи. Как вы думаете, каким образом отреагируют ваши клиенты, если вдруг произойдёт утечка? Вероятно, задумаются о сотрудничестве с вашей платформой и выяснять кто прав/виноват не будут. Одним из пунктов комплаенса является выбор соответствующих стандартам защиты персональных данных контрагентов.
Следовательно, ваши контрагенты, которые заботятся о приватности своих клиентов, могут задать вам вопросы о выполнении требований регулирования.
К тому же, если вашим продуктом начинает пользоваться компания из ЕС, то возникает потребность в оформлении трансграничной передачи данных из неадекватной юрисдикции (к примеру, России) в адекватную (страну ЕС).
Эти требования изложены в Общем регламенте по защите персональных данных в ЕС (GDPR), который появился 4 года назад и стал своего рода потрясением и объявил новую «эру» защиты персональных данных. Действие Регламента охватывает не только компании, зарегистрированные в ЕС, а имеет экстерриториальный принцип. GDPR применяется даже к обработкам тех компаний, которые находятся в СНГ, к примеру, если вы используете различные сервисы для отслеживания действий субъекта на сайте, или имеете хотя бы одного сотрудника в ЕС, или предлагаете товары/услуги на рынке Европы.
Регламент не был создан, чтобы помешать бизнесу и не запрещает использование данных, просто делает это не только выгодным для компании, а и безопасным для клиентов.
Консалтинг по национальным законам
Приведение проектов, процессов, продуктов и компании в соответствии с международными и локальными законами: GDPR, ССPA, UAE PDPL, PIPL и других.
Зачем B2B-компаниям нужна защита персональных данных?
Причин, на самом деле, несколько, и не все они касаются ведения бизнеса без финансового риска. Перечисляем топ-5.
01
Соблюдение приватности своих сотрудников, клиентов и партнеров не только защищает бизнес от штрафов, а и серьезно влияет на репутацию организации. Нарушение защиты данных может повлиять на отношение клиентов и общественности к вашему бизнесу. Если вы не можете защитить данные, сможете ли вы предоставить сервис, который отвечает заявленным требованиям? Возможно, вы видели, как все обсуждали штраф продуктов для распознавания лиц Clearview. Или может штраф в отношении компании Caixabank, предоставляющей финансовые услуги? Информация об инцидентах со всеми деталями до сих пор сохранилась в истории браузера – так просто не избавиться.
02
Сегодня экологичный бизнес ассоциируется с надежными и приятными для сотрудничества компаниями. Приватность – один из ключевых принципов современного бизнеса. Приятно, когда можно доверять и быть уверенными, что оплаченный сервис для бизнеса не создаст дополнительную угрозу.
03
Звучит необычно, но принцип приватности помогает навести порядок в хранилище данных. Дело в том, что хранение лишних данных не только наказуемо, а и даёт большую нагрузку на операционную деятельность.
04
По данным Enforcement Tracker (сервис, где перечислены все финансовые взыскания по GDPR), штрафы могут достигать десятки, а то и сотни миллионов евро. Разве можно выстраивать долгосрочную стратегию бизнеса, имея риск получения штрафа в таком немалом размере?
05
Некоторые бизнесы ставят приватность в основу маркетинговых и PR-кампаний. К примеру, Apple заявляет, что «Privacy is a fundamental human right. At Apple, it’s also one of our core values». Данный принцип отражается на многих биллбордах, баннерах и видеороликах. Говоря о B2B сегменте, некоторые компании говорят о соответствии требованиям защиты персональных данных на своём сайте и в своих маркетинговых сообщениях. Важно помнить и про то, что порой речь идёт не просто о конкурентном преимуществе, а о невозможности заключить договор о сотрудничестве, если вы не соблюдаете GDPR. Одно из требований защиты персональных данных – взаимодействие только с соответствующими сервисами. Так что, вы можете выбрать: либо получить конкурентное преимущество, либо попасть в список «опасных» контрагентов.
На какие законодательства стоит обратить внимание?
Спустя почти 4 года GDPR остаётся золотым стандартом. Многие национальные законы базируются на правилах Регламента и лишь добавляют свои фишки.
Важную роль в мире играют такие законы, как CCPA (Закон штата Калифорния о конфиденциальности потребителей), Закон Японии о защите личной информации и Китайский закон о защите персональных данных (PIPL), Федеральный закон о защите данных ОАЭ, вступивший в силу в январе 2022 года.
Если вы соответствуете GDPR, который по-прежнему является глобальным стандартом, то вашу компанию можно достаточно легко адаптировать под любой национальный закон в сфере приватности.
А что, если выбрать игру в рулетку: вдруг повезёт?
Вам действительно может повезти, и вы можете остаться не замеченным, однако шанс, как в казино, равен 50%. Остальная половина приходится на то, что штраф, да еще и немаленький, схлопотать всё-таки можно. За последние три месяца согласно Enforcement Tracker выдано 92 штрафа, при том, их количество растёт в геометрической прогрессии – неудивительно, ведь это их KPI. И, безусловно, выбирая тактику риска, помните о репутационных издержках, которые сохраняются в истории поисковиков на долгие годы.
И кому всем этим заниматься?
Кому заниматься внедрением требований GDPR – это, конечно, отдельный вопрос. Многие руководители, услышав, что это закон, поручают дело юристу. Однако защита персональных данных – это больше о процессах, нежели документах (хотя об этом тоже).
Вы можете обучить юриста, HR и специалиста по ИБ работе с персональными данными на специализированных курсах, но вы должны принимать, что внедрение требований будет занимать почти все временные ресурсы сотрудников, а значит – будут страдать другие задачи.
Как вариант, можно нанять специального специалиста или команду на аутсорс. Второй вариант привлекательнее, ведь вам не нужно заниматься поиском сотрудника, поддерживать его энтузиазм, прокачивать профессионализм. Профессиональная команда, имея сотни решенных кейсов, может очень быстро решать возникающие вопросы и за оговоренный срок сделать ваш бизнес комплаенс.
В нашей команде Data Privacy Office все старшие и ведущие консультанты сертифицированы по международным стандартам (CIPP/E, CIPT, CIPM, FIP) и реализовали десятки проектов в IT-компаниях, включая очень крупные, с большим количеством обработок, проекты.
Мы работаем с такими компаниями, как Alfa-Bank, Wargaming, Arrival, EPAM, Chevron и те, кого мы не можем называть, так как ценим конфиденциальность своих клиентов. В списке «засекреченных» есть топовые компании в СНГ.
Как правило, наша работа включает три этапа: 1) проводим аудит и определяем пробелы; 2) составляем план действий, чтобы как можно быстрее устранить наиболее рискованные моменты; 3) работаем над процессами вместе с командами компании и составляем необходимые документы. Начальный аудит мы проводим бесплатно, чтобы определить объём работ перед договоренностями о реализации проекта.
Это подход, который уже был опробован на более 100 проектах и зарекомендовал себя как наиболее эффективный. Наша цель не только внедрить требования защиты персональных данных, но и сохранить цели бизнеса.