Тенденции: как бизнес работает с ПД
Рынок персональных данных в России стремительно растет и становится всё более ценной частью цифровой экономики. Среди основных факторов роста рынка ПД: повсеместная цифровизация бизнеса; внедрение облачных технологий и Big Data; увеличение числа онлайн-сервисов, работающих с ПД.
Большие компании давно подходят к работе с ПД с ответственностью, нанимая в штат узкоспециализированных специалистов (DPO), а также сотрудников в сфере кибербезопасности, контролируя весь процесс и внедряя специальные процедуры и регламенты. А малый и средний бизнес, в свою очередь, в лучшем случае работает с ПД формально, используя шаблонные конструкторы документов и не учитывая при этом специфику внутренних процессов в компании. И как результат — допускают грубые нарушения или вообще не придают значения этому вопросу.
Таким образом, на сегодняшний момент компании работают с персональными данными тремя способами: хорошо, но дорого; плохо или никак.
Топ-3 ошибки, которые совершают компании при работе с персональными данными
Первая и главная ошибка — это установка «пока штрафы не пришли, можно не беспокоиться». И это самое большое заблуждение. Внимание к вопросам персональных данных постоянно растет, размеры штрафов повышаются. И кроме потенциальных репутационных потерь, компании рискуют в какой-то момент получить существенные штрафы.
Приведу пример одного из реальных кейсов наших клиентов. Компания занимается установкой и обслуживанием климатического оборудования. Еще до того, как организация начала корректно работать с ПД, руководитель часто произносил фразу: «Что-то я не слышал о ситуациях, когда моих знакомых штрафовали». Но спустя время началась волна штрафов за некорректную работу с данными. После чего компания решила в срочном порядке за месяц приводить в порядок все процессы по работе с ПД, чтобы избежать такой же участи. Настройка процессов заняла всего несколько недель, но это происходило в горящем режиме, когда бизнес не был сфокусирован на заработке, а старался как можно скорее нивелировать риски. Как результат — просадка по выручке на 15% в сравнении с аналогичным периодом годом ранее.
Вторая ошибка — это запуск сайтов или рекламных кампаний без заблаговременного решения вопроса по сбору и обработке ПД. Довольно частая ситуация: маркетологи решили запустить новый лендинг или промоакцию, в течение двух месяцев работали над идеей и визуалами, всё подготовили к запуску, но абсолютно забыли про настройку работы с персональными данными потенциальных участников акции.
В результате юристы или специалисты по кибербезопасности блокируют запуск РК на долгое время. И маркетологи начинают экстренно решать вопрос: к кому идти, куда бежать, чтобы как можно скорее решить вопрос с корректным сбором данных.
Например, у нас есть довольно крупный клиент, который обратился в нашу компанию за 4 дня до запуска сайта. На тот момент на нем не был реализован корректный процесс сбора данных: не было ни форм согласий, ни разработанных политик, ни регистрации в РКН. И это притом, что подготовка к запуску сайта у них длилась уже несколько месяцев. Но вспомнили про персональные данные только в последний момент, когда обратились к юристу, и он забил тревогу. Безусловно, настроить процесс за 4 дня возможно, но это сильно выбивает команду из колеи, теряется фокус перед запуском, а юристу приходится отложить практически все задачи, чтобы оперативно закрыть этот вопрос.
Третья ошибка — в компании не определились, кто и как будет заниматься вопросом персональных данных. Юрист считает, что это задача (или ее часть) специалистов по кибербезопасности или IT. А они, в свою очередь, считают, что это вопрос чисто юридический. Как итог — работу с ПД не контролирует никто, а руководству преподносится информация, что всё в порядке.
Однажды мы в 1ОПД проводили касдев и пригласили на собеседование и юриста, и руководителя IT-направления. И ровно как в сценарии третьей ошибки, они кивали друг на друга. Юрист говорил: «У нас всё отлично, насколько я знаю, этим занимается отдел IT, это же сайт». А айтишник, в свою очередь, утверждал обратное: «Это же юридический вопрос, там у юристов всё должно быть на контроле». То есть по факту никто в компании не был ответственным за правильный сбор и обработку ПД, в то время как уже на этапе первичной оценки сайта мы нашли у них ошибки, которые могли повлечь штрафы в общей сумме на 1,5 миллиона рублей.
Федеральный закон №152-ФЗ «О персональных данных» регулирует работу российских компаний с ПД и дает четкие рекомендации, как корректно обрабатывать и хранить персональные данные, чтобы избежать штрафов. Каждый год в закон вступают новые поправки. И сейчас закон включает в себя более 10 видов штрафов, а их общая сумма может достигать 18 миллионов рублей.
Сейчас на рынке есть три основных способа корректного сбора персональных данных в интернете: с помощью собственных внутренних ресурсов, специальных конструкторов и шаблонов, профильных сервисов на аутсорсе.
На что компаниям обращать внимание при выборе партнера для работы с ПД?
Несмотря на наличие в штате собственных специалистов, многие компании принимают решение нанять внешнего партнера, который специализируется исключительно на работе с ПД. Это снижает риск человеческого фактора и существенно экономит время экспертов в области персональных данных. В такой ситуации необходимо выбирать компанию, которая предоставляет качественное сопровождение и всегда будет на связи в случае возникновения вопросов.
Разберем на конкретном примере одного из наших клиентов — IT-компании. У них возникла следующая ситуация: сначала они хотели самостоятельно закрыть вопрос с персональными данными. У юридического отдела компании вопросов было больше, чем ответов, поэтому они начали искать профильного сотрудника в штат — DPO. Качественных специалистов на рынке мало, а их поиск — это дополнительная потеря времени и нервов руководителя. Компания обратилась к нам в 1ОПД, чтобы мы помогли не только с аутсорсом работы с персональными данными, но и с правильно выстроенными процессами, так как в любом случае необходимо было подключение различных департаментов.
В рамках такой работы мы идем по стандартному пути: разъясняем очень большой команде на стороне клиента — маркетологам, юристам, разработчикам и кибербезам, как должен проходить процесс, какие сложности могут возникнуть и как корректно внедрять те или иные изменения. В результате в компании передумали нанимать специалиста DPO в штат, сэкономили ресурсы HR-персонала и руководителя, при этом все заинтересованные отделы получили четкую и прозрачную картину, как работать с ПД и — главное — кто теперь за это ответственный.
Что в итоге
Главные ошибки, которые приводят к проблемам, задержкам, а иногда к финансовым и репутационным потерям:
- В компании уверены, что за неправильный сбор и обработку ПД не штрафуют.
- Компания запускает сайт или рекламу до настройки сбора и обработки ПД.
- В компании нет ответственного за вопрос ПД.
Однозначно каждой компании, которая так или иначе работает с клиентскими данными, стоит продумать все детали этого взаимодействия. Не нужно надеяться, что именно ваш бизнес не заметят и не выпишут штраф. Обязательно следует назначить человека, который будет отвечать за всё, связанное с ПД. Если у вашей компании есть ресурсы, можно наладить процессы своими силами, главное — сделать это вовремя.
А для тех компаний, которые не хотят самостоятельно погружаться в процесс, лучшим решением будет найти партнера с комплексной экспертизой. Такой подрядчик сможет закрыть вопрос работы с ПД под ключ: как с технической, так и с юридической точки зрения.
