Главное Свежее Вакансии   Проекты
😼
Выбор
редакции
2 243 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Как владельцам сайтов не потерять всё и не остаться должными

Основатель «Школы траблшутеров» Олег Брагинский предостерегает от вольностей обращения с персональными данными.

К нам в Школу Траблшутеров регулярно обращаются с задачами по развитию и выводу бизнеса на новые рубежи. Ещё чаще владельцы озабочены решением возникших проблем и минимизацией последствий, когда в погоне за прибылью забывают, что бизнес — шанс на успех, а риски не зависят от итогов. Становится обидно за ошибки незнания, невнимательности, чрезмерной доверительности сотрудникам. Тушим пожары постфактум.

Мы со слушателем Школы Траблшутеров Владиславом Черновым хотим рассказать, как не стать жертвой нехватки знаний в сфере приватности персональных данных, чем может обернуться безразличие, и что можно сделать во избежание проблем. Тема актуальна для сайтов и компаний, нацеленных на европейский и американский рынки, имеющих там серверы или сотрудников, включая фрилансеров.

Зачем мне это всё нужно


Конечно, можно сказать, что следить за бюрократией должны «специально обученные люди», есть дела поважнее, а в крайнем случае заплатим штраф рублей 500 и займёмся более серьёзными вещами. А что, если размер наказания за нарушение составит 20 миллионов евро или 4% от годового оборота? А вдруг заведут уголовное дело? Настолько ли доверяете сотрудникам контроль ситуации, чтобы спать спокойно? Или уже готовы вникнуть в суть вопроса?

Кроме материального наказания возможны: приостановка деятельности организации, внесение в чёрные списки, репутационные риски, связанные с потерей доверия клиентов. Резонансный пример — утечка персональных данных канадского сервиса для замужних людей, ищущих связи на стороне. Регистрация на портале проводилась бесплатно, а за удаление аккаунта брали 20 долларов. После разглашения информации и попадания в сеть фирма потеряла большую часть пользователей и увязла в судебных спорах.

Помните ли, как создавали свой сайт? Скорее всего, наняли, иногда и без договора, агентство или фрилансера. Поставили задачу создать интернет-магазин с каталогом товаров, совместимостью с бухгалтерией на ярком голубом фоне (хорошо, пусть фон будет розовым), постарались ускорить выпуск, торговались. Фрилансер пропадал на месяц и выдал продукт на-гора, где есть всё заказанное, включая гламурный фон.

Спустя пару лет вдруг появляется предписание Роскомнадзора о том, что деятельность компании нарушает «Закон о персональных данных» или, что ещё хуже — GDPR (General Data Protection Regulation). Обращение к фрилансеру ничего не даёт — работал «по техзаданию» или вообще «абонент недоступен». Если договор и был, вы вправе требовать всё, что прописано, но не более, а если задание заполнять юридическую документацию и приводить в соответствии с законом оплачено не было, то и спрашивать не с кого.

Следующий, кого можно отправить на тушение пожара — юрист. Он всё обдумает, изучит практику и объявит вердикт: ситуация сложная, будем судиться, действия неправомерны, шансы есть, подадим апелляцию, кассацию, даже если и заплатим штраф, то взыщем с фрилансера в виде регресса. Сможете долгое время кормить юриста и всю его семью, включая двоюродную тётю. А то, что вы в это время думаете не о бизнесе, а о том, как уйти от ответственности, «к делу не пришьёшь».

Для кого актуальна приватность персональных данных


Если вы владелец сайта, собираете email’ы и логины для рассылки, клиенты заполняют анкету с указанием ФИО и паспортных данных, накапливаете информацию о покупках, номерах банковских карт, геолокации, национальности. Если сотрудники оформляются в отделе кадров, получают заработную плату, то вы автоматически подпадаете под 152-ФЗ «О персональных данных».

Если в дополнение к вышеизложенному имеете отношение к Евросоюзу или его гражданам, то приватность данных точно превращается в GDPR. Она актуальна для всех, кто:

  • работает с EC или нанимает там сотрудников, включая фрилансеров;
  • перевёл сайт на один из европейских языков;
  • зарегистрировал фирму или филиал;
  • имеет пункт выдачи товара;
  • таргетирует туда рекламу;
  • разместил сервера.

Закон вступил в силу в 2018, и за прошлый год Европа взыскала 55 млн евро штрафов. Пользователь Facebook выложил пост, 1’000 человек взаимно увидели email’ы, последовало наказание в 1’000 евро. В похожей ситуации сама социальная сеть заплатила за утечку данных 5 млрд долларов. Греческая аудиторская компания «PWC», проводившая обучение по GDPR, была оштрафована за неправильное оформление документов сотрудников на 150 тыс. евро.

Политика конфиденциальности актуальна, в первую очередь, для материально обеспеченных стран. Там за информацией идёт постоянная охота как со стороны маркетологов, так и хакеров. Даже при жёстких законах и внедрённой системе мероприятий по информационной безопасности утечки носят регулярный характер. Кроме того, европейские правила через два года планируют ввести и в России, а по действующим законам о персональных данных собираются ужесточить ответственность вплоть до уголовной.

Что обязаны делать? Проводить обучение сотрудников соблюдать конфиденциальность личной информации, получать информированное согласие пользователей, зарегистрироваться в надзорных органах, регулирующих обработку персональных данных в стране Евросоюза, уведомлять регулятора в случае утечки в течение 72 часов, назначить официального представителя в Евросоюзе по вопросам обработки информации, устранять последствия нарушений, удалять или корректировать данные граждан при обращении.

В информированном согласии должно быть отражено:

  1. для какой цели;
  2. как долго храним;
  3. как регистрируем;
  4. кому передаём информацию;
  5. что делаем и как обрабатываем.

Как подготовиться


Обеспечить сохранность сведений, утвердить внутренние регламенты политики компании в сфере обработки персональных данных, назначить инспектора по защите, обучить сотрудников, провести проверки деятельности по обработке материалов, стандартизировать документы и механизмы реагирования на запросы европейских регуляторов, задокументировать внутренние процессы, ограничить передачу информации в третьи государства, назначить ответственных лиц.

Что можно сделать ещё


Лучше подготовиться к сюрпризам, проверить самому подпадает ли компания под регламент GDPR, есть ли в организации сотрудники компетентные в этом вопросе или стоит привлечь наёмных. Выяснить насколько дружественна атмосфера общения с пользователями и надзорным регулятором. Важна скорость ответов на запросы, репутация фирмы, проводившей защитные мероприятия, серьёзность нарушений и желание устранить последствия.

Читайте также:

Как на американском рынке продавать плагины из России

Чему стоит поучиться у самой запоминающейся рекламы: пять важных уроков для маркетолога

Как руководить разработкой в продуктовой компании: чеклист для стартапера

Как небольшая компания из России помогает армии США, Google и UEFA моделировать реальный мир

+1
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Первые Новые Популярные
Комментариев еще не оставлено
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.