Для многих компаний в Беларуси работа с персональными данными пользователей до сих пор остается формальностью, «страшной политикой на сайте» или реестром, скопированным у соседа. Почему такой подход – прямая угроза репутации и работе компании в целом, как регулятор реагирует на нарушения и как бизнесу защитить себя? Об этом в интервью MYFIN рассказала юрисконсульт по внутреннему контролю за обработкой персональных данных компании А1 Анастасия Кунец.
От штрафов до остановки бизнеса: риски формального подхода
– Для многих компаний работа с персональными данными до сих пор – это что-то непонятное и страшное. Типичная история: однажды написали политику по работе с персональными данными, скопировав документ у колег по отрасли, и забыли. А она с 2021 года лежит на сайте.
Так же и с реестром – «посмотри у соседа, давай напишем, чтобы он был». Но сфера защиты персональных данных – крайне динамичная. Она меняется постоянно: регулятор выпускает разъяснения, появляются новые жалобы от пользователей.
Что происходит, когда эта «бомба» срабатывает?
– Все смотрят на европейскую практику применения GDPR с миллиардными штрафами для корпораций вроде Meta. Но мы должны отталкиваться от белорусских реалий. Штрафы у нас варьируются от 50 до 200 базовых величин. Однако фактически штрафы предусмотрены за каждое нарушение, а значит в ходе разбирательств таких нарушений может быть обнаружено на не один десяток штрафов.
И есть момент, который, наверное, в нашей ментальности бьет по бизнесу сильнее штрафов – это репутационный риск. Белорусы ценят порядочность в бизнесе. Людям не нравится, когда их вводят в заблуждение.
- потребительские кредиты
- кредиты на авто
- бизнес-кредиты
- кредиты на жилье
- вклады
- займы
- продукты РКО
- кредитные карты
- дебетовые карты
- услуги лизинга новых авто
- услуги лизинга авто с пробегом
- услуги лизинга авто для бизнеса
Был кейс, когда руководитель предприятия проигнорировал запрос регулятора. Ответить надо было в течение 5 дней, но что-то пошло не так, ответа в ожидаемый срок не было и в итоге его привлекли к административной ответственности. А это ущерб для репутации компании, для доверия клиентов, да и для его карьеры как руководителя.
Есть и куда более суровая мера наказания – запрет обработки персональных данных. Для бизнеса это значит, что вы вообще ничего не можете делать: работники не могут работать, услуги оказывать нельзя, привлекать и удерживать клиентов – тоже. Формально это называется «приостановление обработки персональных данных на икс (X) месяцев». Для любого бизнеса, большого или малого, это может быть фатальным. Прибыли нет, а издержки есть.
Поэтому в защите персональных данных всё взаимосвязано. Бизнес пугают регулятором, но это их работа. Даже сама политика и реестр персональных данных – это не формальность, а карта процессов вашей компании. Вы должны понимать: какие данные собираете, зачем, где храните, кто имеет к ним доступ, кому передаете. И эта карта должна соответствовать текущей реальности.
Типичные ошибки: от «галочки за клиента» до 12 согласий вместо договора
– Одна из самых распространенных историй в нарушениях обработки персональных данных – это неверное получение согласия на рекламу. Причем люди у нас уже все обучены: если не дал согласия – рекламу получать не должен. Но бизнес зачастую подменяет понятия. Типичный фрод: «Вы подписали со мной договор, значит, я буду слать вам рекламу». Или согласие прячут в договоре мелким шрифтом среди других пунктов.
Бывает и обратная, абсурдная крайность. Был кейс, когда для заключения договора на банковское обслуживание человеку нужно было дать 12 отдельных согласий на обработку данных. Пока он все галочки не поставит – договор не заключат. Бизнес таким образом пытается «набрать» базу согласий, но это тоже незаконное ограничение клиента в его желании заключить договор.
Наш регулятор, как и европейские коллеги, чётко разделяет типы cookie. На необходимые, функциональные cookie-файлы, которые обеспечивают работу сайта (например, чтобы не выкидывало из личного кабинета при переходе на другую страницу сайта), согласие не требуется. Угрожать пользователю, что сайт «сломается», если ты не дашь согласие на cookie, тоже нельзя – потому что это неправда.
Мировая тенденция такова, что все устали от рекламных баннеров. Они уже раздражают, и от этой технологии, вероятно, будут отходить. Но и другая крайность – просто написать «Привет, я обрабатываю куки, спасибо» – тоже неправильно. Нужно искать компромисс, исходя из интересов пользователя.
Внутренний контроль и автоматизация: как не утонуть в Excel и проверках
Как компании понять, что у них всё в порядке с персональными данными, и что делать, чтобы избежать проблем?
– Желательно разобраться с проблемой до визита регулятора. Нас, бизнесов, много, а он один. По закону есть обязательная мера – назначить ответственного за внутренний контроль. Его задача – выявлять, где процессы не актуальны, где нет оснований для обработки данных, а где они нужны.
Многие думают, что можно «отсидеться на задней парте», если тебя нет в публикуемом плане проверок. Но хочется напомнить, что есть и внеплановые проверки. И вот тогда начинается история, что «юрисконсульт Лена или Петя за ночь напишут документы». Ответ: нет, это нереально. Скорее всего, они пойдут копировать у соседа, а в документе останется старое название чужой компании, где-то на N-ой страничке, ненужные элементы и практики чужой политики обработки персональных данных. Регулятор же будет задавать вопросы и требовать пояснений.
Для решения этих проблем компания А1 создала свой SaaS-сервис для ведения реестра. Мы сами через всё это прошли и поняли, что нужен инструмент, который автоматизирует эту рутину. Наш продукт «Реестр обработки персональных данных» – это первое в Беларуси облачное (SaaS) решение. Клиент оплачивает подписку и сразу начинает им пользоваться, не тратясь на инфраструктуру и внедрение.
Он позволяет в режиме реального времени визуализировать и актуализировать все процессы, видеть статусы. Это спасение для малого бизнеса, где нет отдельного специалиста, и оптимизация для крупного бизнеса, который всегда в фокусе проверок. Можно быстро предоставить отчёт для регулятора, а не лихорадочно искать старые Excel-файлы.
Утечки данных, ИИ и будущее регулирования
Все мы слышали за последний год о громких утечках персональных данных белорусов. Что в этом случае стоит делать: пытаться тихо отсидеться или бежать за помощью к регулятору?
– Кто-то пользуется этим вариантом: «авось пронесёт». Но утечки часто затрагивают не одно лицо, а целые массивы данных, которые используются в разных сервисах. Есть требование закона – в течение 3 дней уведомить регулятор. Да, первый раз это страшно, но это история про внутреннюю «санитарию». Нужно понять, как защитить данные, чтобы это не повторилось. Вы помните, были кейсы, когда одну и ту же компанию взламывали дважды.
Есть еще подход у некоторых компаний, чтобы сэкономить: ИИ, тот же ChatGPT, за нас все сделает, напишет ответ регулятору, составит политику обработки персональных данных и т.д. Насколько это реально?
– Это отдельная тема для сбора разных курьезных и печальных кейсов. Нужно просто понимать, что ИИ прекрасно «галлюцинирует», особенно в юриспруденции. Он может придумывать законы, ссылаться на несуществующие или устаревшие нормы. За рубежом уже есть случаи, когда адвокатов лишали лицензии за использование сгенерированных исков.
Применять нейросети нужно с большой осторожностью, особенно без «закармливания» его персональными или коммерческими данными. Сейчас же часто идут по простому пути: ИИ пишет жалобы, ИИ же пишет ответы. Получается диалог двух генеративных моделей, а при проверке реальным человеком наступает конфуз.
Ожидаются ли изменения в законодательстве о персональных данных?
– В этом году все в сфере персональных данных ждут внесения изменений в закон. Прошло пять лет, накопилась правоприменительная практика. Мы ожидаем, что некоторые изменения пойдут в сторону субъектов данных – например, могут увеличить сроки ответа на запросы. Сейчас это 5 рабочих дней, что для бизнеса часто слишком сжатый срок.
Также, вероятно, будут дополнены обязательные меры защиты персональных данных (знаменитая статья 17). Опыт утечек и взломов показал, где есть уязвимости. Фокус будет на безопасном хранении данных, а в Беларуси есть компании, которые могут предоставить такие надежные сервисы.