Как работать с персональными данными клиентов: чек-лист для бизнеса
Государство все внимательнее следит за оборотом персональных данных россиян. Недавно даже прозвучало предложение признать их нематериальным благом граждан. Не меньше в ответственном подходе к личной информации клиентов заинтересован и бизнес, ведь он напрямую связан с лояльностью потребителей.
Беспокоит ли компания звонками и сообщениями тех, кто не давал на это согласие? Запрашивает ли избыточную личную информацию при оказании услуг? Заботится ли о том, чтобы данные клиентов не оказались в открытом доступе?..
Константин Степанов — исполнительный директор российской IT-компании HFLabs — подготовил чек-лист для компаний, которые хотят корректно работать с персональными данными и не ставить под угрозу отношения с клиентами — специально для Daily Moscow.
Проведите аудит тех данных, которые вы запрашиваете у клиентов
Если ваша компания работает с персональными данными клиентов, то первый вопрос, на который нужно честно ответить — действительно ли все эти данные вам нужны? Точно ли требуются, например, домашние адреса или сканы паспортов? Необходимы ли они по закону или вы собираете их по своему усмотрению? В каких бизнес-процессах используется полученная информация?
Если какие-либо клиентские данные вам объективно не нужны, откажитесь от их дальнейшего сбора.
Иногда узнать больше о своих потребителях можно из уже имеющихся данных. Например, телеком-компания может найти клиентские записи с одним адресом и таким образом вычленить домохозяйства. Эту информацию можно использовать в маркетинговых целях.
Проверьте анкеты и формы на сайтах
Иногда организации буквально вынуждают клиентов раскрыть свои данные. Например, в форме на сайте делают все поля обязательными для заполнения. Это плохая практика: клиент откажется от покупки, если он не хочет «светить» информацию о себе. Или, что тоже неприятно, сообщит недостоверные сведения.
Так компания получит «мусорные» данные — номер телефона, по которому нельзя дозвониться, или адрес электронной почты, которого не существует. В дальнейшем она будет тратить деньги на рекламные звонки или маркетинговую рассылку и недоумевать, почему информация до клиента не доходит.
Если вы просите клиентов предоставить какие-либо данные о себе, всегда объясняйте, зачем они вам нужны.
Используйте простые формулировки — это повышает доверие к компании.
Выясните, как вы собираете и храните согласия на обработку персональных данных
В России планируют создать единую систему управления согласиями на обработку персональных данных. Предполагается, что в будущем каждый человек сможет через Госуслуги отозвать согласие, которое он когда-либо предоставлял коммерческой или государственной организации. Несмотря на то, что точные сроки запуска такой системы неизвестны, готовиться к нововведению лучше уже сейчас.
Первое и самое главное: разберитесь, как вы обрабатываете согласия клиентов, отслеживаете их актуальность и срок действия. Если счет клиентов и согласий идет на миллионы, поможет специальное программное обеспечение, которое управляет новыми и ранее собранными согласиями, а также ведет учет их версий.
Не забывайте, что за рекламное сообщение, на которое клиент не давал своего разрешения, можно получить штраф.
Кстати, ответственная работа с персональными данными включает и своевременное их удаление. Например, в случаях когда человек отозвал согласие на обработку персональных данных или срок такого согласия истек.
Убедитесь, что сотрудники знают правила работы с персональными данными
Если клиентские данные попадают в открытый доступ — это всегда стресс и для бизнеса, и для клиентов. Этим летом HFLabs опросил представителей 170 российских компаний, и 62% опрошенных признали, что в их компаниях утечки возможны или уже происходили. По оценкам Минцифры, в 70% случаев в этом виноваты сотрудники организаций, имеющие доступ к базам данных.
Минимальные правила «цифровой гигиены» для сотрудников, которые работают с персональными данными клиентов и партнеров компании:
— не копировать чужие персональные данные на личный компьютер;
— не оставлять свой компьютер без присмотра, тем более с открытыми программами;
— никому не передавать права для доступа в рабочие IT-системы;
— не использовать общедоступный Wi-Fi для подключения к корпоративным приложениям;
— не распространяться о том, что есть доступ к персональным данным клиентов.
Расскажите сотрудникам и об ответственности за преднамеренное разглашение чужих данных. Например, в Башкортостане недавно возбудили уголовное дело против сотрудника салона сотовой связи, который «слил» детализацию телефонных соединений жителя республики.
В идеале доступ к личной информации клиентов сотрудники должны получать через специальную программу. Она позволяет отследить, кто, когда и какие данные просматривал.
Данные клиентов и их счета, договоры лучше хранить в разных IT-системах. Это вопрос элементарной безопасности: если вся клиентская информация лежит в одной системе, то при утечке в открытом доступе окажется полный комплект не только персональных данных, но и покупок, которые делал тот или иной человек.
Так злоумышленники легко узнают о его платежеспособности, предпочтениях. В дальнейшем они смогут использовать эти сведения для социальной инженерии.
Примите во внимание технологии, которые упрощают работу с персональными данными
К таким технологиям относится, например, умное маскирование данных. Оно позволяет передавать клиентские данные внутри компании (например, аналитикам или дата-сайентистам) в маскированном виде, при котором нельзя установить, кому эти данные принадлежат. При этом значимые атрибуты данных (например, код города или регион) сохраняются.
Так больше сотрудников компании получают возможность работать с персональными сведениями, а риски бизнеса сведены к минимуму.
Еще одна технология — хеширование персональных данных.
Представим, что данные клиента по закону нужно удалить (истек срок их обработки), но в будущем бизнес хочет узнать этого человека, если тот обратится в компанию снова. Это актуально в случаях, когда, например, речь идет о мошеннике.
В этом случае можно прибегнуть к хешированию данных. Личные сведения человека будут удалены без возможности восстановления, но связи с его договорами или другими документами в IT-системах будут сохранены. По ним и можно будет «узнать» нового-старого клиента.
Фото на обложке: DeepMind Design