Как защитить персональные данные клиентов?

Алексей: Друзья, привет! С вами снова подкаст «В ручном режиме» и я, Алексей Романенков, CEO компании Rookee. И сегодня мы говорим о персональных данных: как их правильно собирать, хранить и обрабатывать. Я пригласил замечательных экспертов: Юлию Рожкову, генерального директора сервиса email-маркетинга DashaMail, Александра Сильченко, основателя и исполнительного директора компании Stream Telecom, и известного вам гостя, уже побывавшего у нас в подкасте, Глеба Кащеева, генерального директора Sendsay.

Алексей: Коллеги, я слышал, что вы запускаете ассоциацию, которая ориентирована на разработку стандарта работы с данными. Расскажите, какая цель у ассоциации и что послужило причиной ее создания?

Глеб: Мы стали замечать, что законодательство в части работы с персональными данными, особенно через облачные сервисы, мягко говоря, не совершенно, и поэтому возникают случайные и преднамеренные утечки данных российских граждан за рубеж. Здесь проблема и в клиентах, которые не совсем разбираются в теме защиты персональных данных, и в иностранных сервисах, которые изображают из себя российские компании, но на самом деле осуществляют хранение данных за рубежом. Это целый пласт проблем, на который пока никто не обращал внимание.

Юлия: Вообще безопасность — это очень дорого. И если говорить про малый и средний бизнес, то, к сожалению,

Наша ассоциация будет помогать таким компаниям решать эти вопросы. С учетом нашей экспертности и опыта работы мы могли бы делиться с ними опытом и знаниями о том, что нужно сделать, чтобы проверить контрагентов, с которыми ты работаешь.

Александр: Идея ассоциации зародилась довольно давно. Мы хотели объединить рынок SMS и email, создать площадку, чтобы общаться на ней, обсуждать инициативы, которые можно передавать различным государственным структурам, смотреть, что происходит на рынке. Это была идея профессиональной ассоциации.

Но в связи с тем, что произошли определенные события и сейчас на рынке мошенники охотятся за персональными данными, идея ассоциации преобразовалась в то, что мы хотим ее сделать больше для защиты персональных данных. Потому что на текущий момент нет структуры, которая регулировала бы компании, собирающие данные о покупателях.

Со временем мы хотим прийти к формату СРО (саморегулируемая организация), чтобы мы могли вырабатывать стандарты, и коллеги им соответствовали.

Алексей: Понятно, ассоциация нужна, чтобы основные игроки рынка могли через ассоциацию общаться, в том числе с законодателем. Но у нас же есть закон «О приземлении интернет-ресурсов». Видимо, он не очень затрагивал сферу персонифицированных коммуникаций через мессенджеры, СМС, email? А ассоциация, судя по всему, должна этот пробел компенсировать?

Глеб: Он затрагивает все области. Просто, во-первых, мы работаем в очень чувствительной области. Мы действительно храним очень много данных. Компании, которые обслуживают email-рассылки, банки и ритейл, знают о клиенте достаточно много, в том числе состояние счета, историю покупок и пр.

И если эти чувствительные данные уходят за рубеж, то это вдвойне печально. Потому что одно дело — ушел номер телефона и email, а другое дело — ушла вообще вся история человека. Может быть, даже включая медицинские карты. Это совсем критично.

А во-вторых, закон работает, но его очень легко обойти. Достаточно любой компании из недружественных стран поставить себе на стол один сервер, даже включать не надо, и сказать: «У нас есть сервер в России. Вот он стоит, вот его адрес. Всё, мы продолжаем работать». Дело в том, что

Александр: Проблема глубже, чем просто расположение сервера. Еще важно учитывать, где сидят разработчики, кто владелец компании. Потому что одно дело, если они находятся в России, другое дело — на территории страны, где могут прийти и попросить поделиться персональными данными.

Юлия: В данном кейсе, когда обработка данных по факту происходит совершенно не там, где формально заявляет компания, получается, что здесь даже нет речи об утечке данных. Они априори сразу же оказываются не там, где они должны были быть.

Алексей: Будет ли ассоциация предоставлять программно-аппаратные решения?

Глеб: Ассоциацию основали три учредителя, которые предлагают технологические решения на своей базе. Бизнес может выбрать любого из нас.

Проблема малого бизнеса не столько в том, что они не могут обеспечить безопасность данных. На самом деле малый бизнес не представляет очень большой интерес для хакеров. Взламывать небольшой интернет-магазин, чтобы получить персональные данные клиентов — вероятность этого очень мала.

Проблема в том, что малый бизнес, не ориентируясь в рынке, нанимает облачные сервисы и передает персональные данные добровольно. Поэтому

Алексей: То есть членство в ассоциации будет определенным знаком качества?

Глеб: Можно стать членом ассоциации, а можно просто получить знак качества от ассоциации, который покажет, что сервис протестирован, и он безопасен. Для малого бизнеса этого достаточно.

Александр: Под угрозой атаки мошенников в основном находится крупный и средний бизнес. Соответственно, ассоциация будет предлагать аттестации, возможные решения для всех трех групп. У крупного бизнеса существуют индивидуальные защитные меры технологического порядка.

У малого бизнеса нет технических специалистов и возможности долго проверять сервисы. Для этого мы создаём ассоциацию, чтобы проводить аттестацию компаний и выработать стандарт качества. И благодаря аттестату соответствия бизнес будет понимать, что в этой компании данные будут защищены, и им не надо будет отдельно заниматься этим вопросом.

Алексей: Давайте рассмотрим ситуацию с e-commerce: бизнес нанимает логистическую компанию, чтобы доставить заказы. И в день, когда заказы развозятся, бизнес отдает в логистическую компанию сто адресов с телефонами, фамилиями, информацией о товаре.

Если это хорошая компания, то они развезли товары, и все данные, которые им выдали для доставки, выкинули. Тут возникают несколько вопросов: во-первых, эту пачку бумаг можно просто выкинуть, или ее нужно специальным образом утилизировать? А во-вторых, может быть, они взяли деньги за то, что развезли заказы, а потом этот объем данных, которые им дали для доставки, еще куда-то продали? Как ваша ассоциация планирует регулировать такие ситуации?

Глеб: Второе действие вообще незаконно. Но есть промежуточное состояние: развезли заказы и данные сохранили для себя. Это как раз нормально, не наказуемо. Они не могут делать маркетинговые коммуникации по этим контактам, потому что пользователи им разрешения не давали. Но они могут использовать эти данные для своего анализа.

Поэтому мы создаем ассоциацию для сертификации не только облачных сервисов, а для всех компаний, которые получают доступ к персональным данным. Здесь нет деления на IT-сервисы и логистику. Значок качества ассоциации может получить любая компания, которая работает с персональными данными.

Юлия: При этом здесь все равно нельзя исключать человеческий фактор. Пару лет назад был кейс, когда курьер выкинул в урну список заказов, который он развозил. Компания была оштрафована, потому что курьер не утилизировал персональные данные.

Юлия: Сейчас законодатели активно прорабатывают законы, связанные с обработкой персональных данных. В частности, одно из последних таких нововведений — это то, что Роскомнадзор требует, чтобы компания, которая занимается сбором персональных данных, имела обоснование, почему она собирает именно эти данные. Должна быть определена цель.

Алексей: Давайте рассмотрим пример сайтов по поиску работы. Пользователь указывает имя, весь предыдущий опыт работы, телефон, email. Данных много. Если даже человек нашел работу, то резюме может просто висеть. Оно ничье, оно всем доступно. И поэтому я затрудняюсь представить, как проконтролировать, не запрашивает ли компания избыточные данные?

Юлия: Я могу привести пример из ряда фантастики и того, что бы мне хотелось видеть в будущем в отношении обработки персональных данных. Например, вы приходите в клуб, охранник на входе просит подтвердить ваш возраст. Когда вы ему показываете паспорт, человек видит не только возраст, но и все паспортные данные — это все избыточное. Охранник должен подтвердить только то, что вам есть 18 лет. Было бы идеально, если можно было бы подтверждать только ту часть информации, которая нужна для оказания услуги клиенту.

Алексей: Может быть, решением являются платформы вроде «Госуслуг»?

Глеб: На самом деле они решают лишь половину проблемы. Потому что, во-первых, давайте будем честны, большинство пользователей не разбирается, какие данные запрашивает данный сервис в момент авторизации. Есть опытные пользователи, которые прочтут перечень запрашиваемых данных. А есть неопытные, которые тут же нажмут «ОК» и не будут читать, какую информацию сервису отдали «Госуслуги».

Во-вторых, любой бизнес может сказать: «Нам этих данных не хватает. Заполни про себя, пожалуйста, еще вот это». Это тоже логично.

И в-третьих, представьте себе, что человек авторизовался через «Госуслуги». Сервис получил данные о пользователе, дальше этот сервис отдает эту информацию в зарубежную компанию. И получается, что данные улетели на зарубежные сервера через «Госуслуги».

Александр: На самом деле здесь очень простая ситуация. Любой бизнес хочет знать о клиенте больше. Любой бизнес хочет знать день рождения твоей жены, чтобы прислать специальные предложения на эту дату.

Мы все хотим знать, как клиент думает, чтобы ему больше продать. Это нормально. Но бизнесу надо хранить эти данные очень аккуратно в соответствии с законодательством. Здесь должен быть тонкий баланс.

Юлия: Если говорить про маркетинг, то на самом деле это в интересах клиента, чтобы предложения были персонализированы. А чтобы бизнес мог так таргетироваться и предлагать только то, что действительно нужно аудитории, он должен знать эту аудиторию и собирать данные для такой персонализации.

Алексей: Роскомнадзор заявил, что в прошлом году количество утечек значительно возросло. Это следствие того, что мы всё дальше идем в цифровизацию, а при этом компетенции для работы с данными растут очень медленно?

Глеб: Во-первых, данных становится больше. Во-вторых, партнеров выбирают все еще халатно. По своему опыту могу сказать, что

Остальные компании просто отдают данные. В том числе очень крупные компании не спрашивают вообще ничего. Поэтому большинство утечек происходит через партнеров.

Алексей: А что пользователям делать после таких утечек? Менять номер телефона, email и все пароли?

Александр: Менять номер телефона и email — это сложно и бесполезно, потому что данные скорее всего когда-нибудь еще куда-нибудь утекут. Наверное, надо принять к сведению, как эти данные будут использоваться: мошенники будут звонить, что-то предлагая, используя ваше имя, адрес и историю заказов. Поэтому необходимо минимизировать предоставления данных.

Глеб: Есть полезные сервисы, которые могут показать, какие пароли были слиты. Так вы можете проверить нет ли среди списка чувствительных сайтов, где привязана ваша банковская карточка. Если слили пароль от интернет-магазина, то ничего важного там невозможно получить. А если слили пароль от банка, сервиса, где есть привязка карты, то на это стоит обращать внимание.

Алексей: Глеб, а если это один пароль на всё?

Александр: Тогда это проблема.

Глеб: Стоит поменять пароль.

Юлия: На самом деле нужно регулярно менять пароли.

Если утекли банковские данные, то надо менять банковскую карту, тут больше ничего не сделать. Лучше позаботиться заранее и предпринять больше защитных мер.

Алексей: Пока мы с вами говорили, я вспомнил совершенно анекдотичный случай. 20 лет назад, когда базы ГАИ были в общем доступе, это помогло моему товарищу. Он живет в одном из спальных районов Москвы. И его машину заперли на парковке, товарищ просто не мог выехать. И он взял эту базу номеров, нашел того, кто его запер, позвонил и сказал: «Будьте добры, уберите машину, пожалуйста». Иногда данные в открытом доступе спасают.

Глеб: У меня тоже была похожая ситуация. Мне позвонил добрый человек, сказал: «Тут вашу машину эвакуируют». И я смог оплатить штраф на месте, мне не пришлось никуда ехать. Он тоже нашел мой номер по базе ГАИ в открытом доступе. То есть это тоже утечка персональных данных, но лично для меня она сработала в плюс. Но это редкий случай.

Алексей: Глеб, но ты не возражал, откуда у человека твой номер?

Глеб: Он мне сразу сказал, как нашел мой номер. К человеку у меня претензий нет, он хорошее дело сделал. Претензии у меня к источнику, который распространяет мои данные, но с ним я ничего сделать не могу, к сожалению.

Алексей: Бывает, что штраф оплатить дешевле, чем принимать меры, которые требует закон. Расскажите, дешевле ли на берегу подумать о последствиях в случае с данными?

Юлия: Штраф за утечку персональных данных составляет около 300 тысяч рублей. Но сейчас в первое чтение прошел новый закон, где штрафы значительно выше и доходят до 15 миллионов.

И сейчас законодатель просто делает так, чтобы, как бы дорого ни было обеспечение безопасности бизнеса, это все равно выгоднее, чем платить штрафы. В ближайшее время мы ждем, что этот закон примут, и санкции будут значительно суровее.

Алексей: Что малому бизнесу стоит предпринять?

Глеб: Базовый набор — это посмотреть, какие данные бизнес хранит и есть ли у компании разрешение хранить эти данные. За это тоже штрафуют. Для этого проводят плановые проверки, а иногда поступают жалобы от человека, который считает, что его данные хранятся неправильно. Поэтому проверьте: зарегистрированы ли вы как оператор персональных данных и есть ли у вас разрешение пользователей на хранение этих данных.

Потом посмотрите на партнеров: кому вы эти данные передаете. Они так же зарегистрированы как операторы персональных данных? Где они их хранят? Где они их обрабатывают?

И последнее — когда у нас будет белый список ассоциации, бизнес может прийти и проверить, есть ли там его партнеры.

Александр: В нашем бизнесе еще очень важно, чтобы у бизнеса было согласие на распространение рекламной информации. Абонент должен сначала согласиться на получение рекламы, сервисного сообщения и т.д., а потом получать маркетинговое предложение от компании.

Еще важный момент: в мессенджерах WhatsApp и Viber обработка данных происходит на серверах вне России. Поэтому, если вы используете данные сервисы, вы должны уведомить Роскомнадзор, что персональные данные людей, которые вам их доверили, будут обрабатываться в определенной стране. За это тоже могут оштрафовать, но пока таких прецедентов нет.

Юлия: Помимо того, что нужно уведомить Роскомнадзор о том, что есть трансграничная передача данных, еще нужно и у пользователей получить согласие на эту трансграничную передачу данных. Этот пункт должен обязательно быть в политике в отношении обработки персональных данных, а она обязательно должна быть на сайте, и любой пользователь должен иметь возможность с ней ознакомиться.

Алексей: А достаточно ли только того, что это указано на сайте? Не нужно каждому пользователю выслать сообщение об этом?

Юлия: Активное действие со стороны пользователя необходимо, но это не обязательно должно быть сложное подписание на бумаге, скан и т.д. Чаще всего сейчас это все делается в цифровом виде: чекбокс в форме согласия, подтверждение по почте.

Алексей: Вы затронули очень интересную тему. Во-первых, уточняющий вопрос к Глебу. Ты говоришь, если вы работаете с персональными данными, вы должны зарегистрироваться как оператор персональных данных. Фактически онлайн-магазин любого размера должен зарегистрироваться?

Юлия: Да, мы все собираем данные. Нет сейчас компаний, которая не собирает.

Глеб: ИП с одним человеком регистрироваться не должно. Если у вас есть персональные данные сотрудников, то вам нужно пройти регистрацию как оператора персональных данных.

Александр: Если вы храните данные о двух клиентах — это уже база данных.

Алексей: А если предприниматель хранит данные в CRM-системе, а потом через нее осуществляет рассылку через мессенджеры, то бизнес должен предупредить об этом покупателей? Мы упомянули WhatsApp, но мы ничего же не знаем про Телеграм: как он хранит данные — большой вопрос.

Александр: Я бы порекомендовал, если что-то непонятно, задавать вопрос разработчику модуля. Или можно написать в Роскомнадзор запрос, чтобы они разъяснили по поводу конкретной ситуации. Они отвечают, разъясняют.

Глеб: Я поспорил бы с Алексеем. В Телеграме передача персональных данных не происходит. Текст сообщения в данном случае подвержен шифрованию и не хранится на сервере Телеграма, в отличие от WhatsApp.

Алексей: Подожди. Но ведь в Телеграме есть номер телефона, который является идентификатором пользователя, нет?

Глеб: Не обязательно. Это пожелание пользователя: отдать Телеграму номер телефона. Это делает сам пользователь в момент регистрации в Телеграме. Компания, которая общается с ним через Телеграм, здесь ни при чем. Но, конечно, желательно собирать у пользователей максимум разрешений, в первую очередь на передачу третьим лицам.

Алексей: Какие еще разрешения нужно запрашивать у пользователей?

Глеб: Нужно разрешение не только на сбор персональных данных, но и на передачу данных третьим лицам.

Если вы собираетесь использовать иностранные каналы, которые хранят данные на зарубежных серверах, тогда еще нужно получить разрешение на трансграничную передачу данных.

Алексей: Невероятно интересно, очень много нового для себя узнал. Когда ассоциация запустится?

Глеб: Ассоциация уже запустилась, она уже зарегистрирована. У нас будет большая пресс-конференция 25 апреля 2024 года, где мы объявим все детали наших ближайших планов.

Алексей: Тогда давайте будем завершать напутствиями для предпринимателей.

Юлия: Во-первых, я рекомендую быть избирательным в отношении партнеров. Внимательно смотрите на то, с кем вы работаете, кому вы передаете персональные данные.

Если же у вас есть свой собственный софт, тогда не жалейте средств, времени и сил на проверку безопасности вашего собственного софта. Проводите тесты. Есть специальные инструменты, где обученные люди будут имитировать хакерские атаки и выявлять уязвимости.

Александр: В первую очередь посоветуйтесь с юристом, который разбирается как в законе «О рекламе», так и в законе «О персональных данных».

Я думал, какую могу дать практическую рекомендацию, чтобы можно было отличить компании, которые работают и зарегистрированы в России. Но я нашел только один ответ: зайти и посмотреть, зарегистрирована ли эта компания как российская IT-компания, зарегистрирован ли ее софт в реестре отечественного программного обеспечения.

А когда будет ассоциация, соответственно, еще добавится логотип сертификации. И тогда будет 100% уверенность в компании.

Глеб: Я скажу, наверное, крамольную мысль для малого бизнеса. На самом деле, не всегда много данных – это хорошо. Потому что мой опыт показывает, что малый бизнес, получая много данных, ничего не может с ними сделать, это только умножает риски. Подумайте, прежде чем спрашивать день рождения любимой собачки, сможете ли вы это реально употребить или вы просто берете это на всякий случай. От этой информации риски увеличиваются, а толку от нее не прибавляется.

Алексей: Спасибо! Друзья, я желаю только успехов вашей ассоциации!