Зачем теперь мне персональность, ведь впереди омниканальность
Олег Брагинский, основатель «Школы траблшутеров» и директор «Бюро Брагинского»
У персональных данных три беды: честность, жадность, аморфность. Зачем правдиво указывать номер квартиры при интернет-заказе, если вам непременно позвонят. С улыбкой упредите курьера на предыдущем лестничном пролете. Оплатите, распишитесь, спокойно возвращайтесь домой.
Не понятна алчность банкиров к скрупулезному сбору информации на раннем этапе. С какой радости спрашивать Фамилию, Имя, Отчество. В систему кредитного скоринга не передаются математически не значимые поля анкет. Не подлежат обработке и замедляют начальное взаимодействие.
Рыхлость законотворчества прослеживается в строгости определений – при наличии единственного сотрудника или клиента вы уже считаетесь оператором персональных данных. С работниками проще – при малом штате ведите документооборот в бумаге. Кадровые документы храните в сейфе.
Ритейлерам лучше забыть о личностном общении, по крайней мере на официальном языке. При оформлении карт лояльности хитрости просты:
1. Не интересуйтесь ФИО. Сформулируйте вопрос так: «Как мы можем к вам обращаться?» Оставьте длину поля в 20 символов-квадратиков – аппликат не сумеет втиснуть три слова, ограничится двумя или даже неформальным обращением.
2. Не запрашивайте полную дату рождения. Числа и месяца вполне хватит, к тому же дамы нередко «умалчивают» год появления на свет. Еще ловчее узнавать не сколько человеку лет, а «сколько пережил зим». По формальным признакам это не будет годом рождения.
3. Разделяйте базы данных. Обращение «по имени» оставляйте себе, а номер телефона клиента с порядковым идентификатором передавайте оператору массовых рассылок. У вас не останется контактного номера, а у контакт-центра не будет индивидуализации.
4. Провоцируйте потребителя оставить данные. Не спрашивайте разрешения, а поощряйте клиента самостоятельно заходить на сайт и лично заполнять анкеты. При несогласии на обработку персональных данных удаляйте из базы и аннулируйте скидку.
5. Предусмотрите отзыв разрешения. Клиент вправе отозвать согласие на обработку личной информации. Вычеркивайте из списков, оставив мобильный телефон и адрес электронной почты. Без ФИО такие строки не будут считаться персональными, но вы сэкономите, включив режим молчания при дальнейшем общении с такими «умниками».
Если же ваша компетенция в обработке данных о визитерах выше среднего уровня:
1. Храните данные в России. Сеть деловых контактов LinkedIn насчитывает 500 млн участников и принадлежит Microsoft – третьей по стоимости компании планеты. Запрещена в РФ год назад (4 августа 2016 года) из-за отказа разместить серверы на территории страны.
2. Ограничьте доступ персонала к клиентским данным. При доказанной утечке информации и последующих судебных разбирательствах вам инкриминируют содействие неправомочному доступу. Запрещения формулируйте письменно, требуйте подписей.
3. Обратитесь в Роскомнадзор с запросом. Официально и от третьего лица, например, адвокатского объединения, поинтересуйтесь о мере ответственности за неуведомление о сборе, хранении и создании баз данных. Ответ будет туманным и беззубым.
4. Подавайте заявку в госорганы заранее. Уведомление о намерении осуществлять обработку персональных данных составьте заранее. Подготовьте полный пакет документов: положение, регламент, инструкцию по защите. Проконсультируйтесь с юристами и отправьте заявку под их контролем. Персонал запишите на формальный тренинг с сертификацией.
5. Контрактуйте профессионального обработчика. Вы же не занимаетесь изготовлением бумаги, очисткой воды для кулера, прокладкой последних миль интернета. Передайте базы данных профессионалам, пусть общаются с государством. Сосредоточьтесь на бизнесе.
Если вы игрок профессиональный, ставки будут выше:
1. Шифруйте информацию. Реляционные столбцы кодируйте с использованием аппаратных ключей. Заключите договора с криптолидерами, пропишите что, как, где сохраняется, предусмотрите ответственность поставщика.
2. Резервируйте носители. Раз облачные сервисы в России неразвиты, развивайте центры хранения и обработки данных. Настройте горячее резервирование, чтобы не приходилось передавать носители информации на ремонт и восстановление сторонним организациям.
3. Маркируйте выборки. При отработке запросов на контакт с пользователями или предоставлении выгрузок для аналитических целей проставляйте метки по регламенту. Сам регламент передайте на хранение нотариусу и ведите журнал выгрузок. При утечке круг «подозреваемых» сузится расшифровкой меток, проведенных внешними экспертами.
4. Закон суров, но это закон. Приготовьтесь к формальности «уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных». Не пеняйте на бюрократию – проще дословно выполнять предписание.
5. Регулятор не кровожаден. Дотошно изучите 152-ФЗ и добросовестно соблюдайте предписания. Зарезервируйте фонд на покрытие административного штрафа размером в 100 тыс. руб. и заранее попрощайтесь с деньгами. Так уплачивать морально легче.
По формальным признакам каждый нарушает законодательство, занося в CRM данные абонента «без его письменного согласия». За такой проступок физическим лицам, согласно букве закона, «светит» от 3 тыс. 5 тыс. руб. Должностным лицам – от 10 тыс. до 20 тыс. Если проштрафится ассистент, организации придется выложить от 15 тыс. до 75 тыс.
Будьте внимательны с целями сбора, обработки и хранения данных. Не оригинальничайте и лучше лишний раз их используйте. Не будите лихо, пока тихо. Подождем прецедентов с мощными игроками. Пусть сильные проложат лыжню, а пока – заверьте веб-страницы сайта у нотариуса.