Говорите клиенту всю правду и ничего лишнего: как связаны соблюдение №152-ФЗ и глубокая речевая аналитика

Цифровизация и персональные данные. Причем тут compliance?

Глобальная цифровизация и персональные данные: как соблюдать требования регуляторов не только в тексте, но и при разговоре с клиентом?

Что такое цифровизация экономики на сегодняшний день? Об этом все говорят, рассказывают дорогие и модные лекторы из международных консалтинговых компаний, но не все до конца понимают и осознают ключевые следствия из digital для бизнеса. В самом простом бытовом понимании — это предоставление возможности заключения сделки, продажи товара, услуги, любого сервиса или подписки нашему клиенту в цифровом режиме или цифровом мире, в интернете или даже в мобильном приложении. Бизнес утверждает, что сегодня нашему клиенту так удобнее и быстрее. Для увеличения прибыли — в этом бизнес как раз и заинтересован — мы стремимся максимально сократить время между желанием потребителя купить и фактической покупкой. Чем удобнее и быстрее в любом канале — на сайте, в мобильном приложении — клиент получает всю необходимую ему информацию и принимает решение о покупке, тем оперативнее компании получают деньги.

Если наш продукт, сервис или услуга чуть серьезнее, чем, например, шоколадка в вендинговом автомате, то для заключения сделки в цифровом пространстве необходимо рассказать нашему потенциальному заказчику о нас, а он в свою очередь должен дать информацию о себе: ФИО, возможно, адрес, номер своего телефона или даже e-mail для уведомлений. Все это называется персональными данными (ПДн), которые бизнес, будучи контрагентом потребителя, стремится и регулярно получает для оформления, заключения или подписания – электронного – юридических отношений с клиентом.

С некоторых пор перечень и категории ПДн определены в законе РФ, что стало необходимо из-за ущерба потребителям от противоправных действий, когда эта информация попадала к третьим лицам. Тогда государства, в числе которых страны Евросоюза и Россия, осознали, что граждан — заказчиков тех самых сервисов, товаров и услуг — нужно обязательно защищать в правовом поле и приняли профильные законодательные акты. Конечно, еще на слуху происшествия последних полутора лет: с тех пор, как стала доступна электронная цифровая подпись, у ряда клиентов с ее помощью неоднократно было украдено их единственное жильё; растет число утечек персональных данных в публичное пространство, видов мошенничества становится все больше — взлом аккаунтов в социальных сетях, мессенджеров, личных кабинетов в банках и даже баз сотовых операторов и почтовых сервисов. Помимо обычных пользователей, жертвами становятся корпорации — Сбербанк и ВТБ, ВымпелКом, Google и Яндекс, РЖД, даже департамент транспорта города Москвы. Ущерб исчисляется миллиардами рублей.

Близнецы братья: требования зарубежного EU GDPR и российского №152-ФЗ

В нашей стране для защиты клиентов, в том числе от мошенничества и утечек ПДн, сейчас действует №-152 ФЗ "О персональных данных". Принятый еще 27.07.2006 г. документ с развитием цифровизации пережил ряд дополнений. Например, летом 2017 г. была сильно ужесточена административная ответственность за его нарушения. Чтобы оценить адекватность и полноту его требований, давайте сравним их с соответствующей европейской практикой.

В Евросоюзе персональные данные защищает GDPR (General Data Protection Regulation), который определяет перечень данных, относящихся к категории персональных, способы их хранения и обработки юридическими лицами, а также ответственность за несоблюдение. Главное – эти законы в точности определяют права "субъекта персональных прав", т.е. потребителя, который делегировал данные бизнесу для покупки. Отсюда у зарубежных компаний, работающих на отечественном рынке, возникает большой вопрос: по требованиям какого закона следует работать и по каким нормам накажут в случае нарушений. Понятно, что по российскому 152-му. Но если в число ваших клиентов попадают и иностранные граждане, которым вы предлагаете свои товары, услуги и сервисы? Безусловно и европейский GDPR тоже в полной мере на вас действует. Самый распространенный пример подобных организаций — авиакомпании.

Права наших потребителей в законах очень схожи: подтверждение от бизнеса как оператора ПДн факта их получения и дальнейшего использования для заключения договоров; уточнение и уничтожение личной информации при прекращении юридических отношений; прекращение обработки и, что очень важно, получение полного перечня персданных — точно узнать, что именно компания знает. Ключевые и принципиальные отличия заключают в ответственности. Это размер штрафа и наказания, к которым может прибегнуть регулятор. В европейской правоприменительной практике размер наказания за нарушение GDPR по одному прецеденту – штраф – может составлять до 4% годового оборота компании и может достигать 20 млн евро. Обратите внимание, именно оборота, а не прибыли! Мера очень жесткая и дорогая, поэтому она крайне эффективно стимулирует избегать возможности потери, утраты, публикации, утечки предоставленных компании ПДн. Европейскому бизнесу – чем крупнее, тем больше – гораздо выгоднее предотвращать и пользоваться более современными технологиями. Они позволяют соблюдать законы о персональных данных, которые по сути и фактически являются законами о compliance.

Закон есть, но соблюдению не всегда уделяется должное значение, прецедентов и нарушений множество: начиная от тиражирования баз клиентов автосалонов с участием дилера, заканчивая "дырами" в обеспечении информационной безопасности. Поэтому, например, в 2016 г. Россия была на втором месте в мире по утечке ПДн в сеть. В следующем году также было зафиксировано увеличение на 80% объемов утечки конфиденциальной и персональной информации от организаций. Но несмотря на эту ситуацию, россияне, как субъекты права, осознали, что есть закон, который их защищает: граждане стали обращаться в суды по поводу некорректной обработки их ПДн. Только за первые шесть месяцев 2018-го зафиксировано около 18 тыс. таких обращений, что на 10% больше сопоставимого периода в прошлом году. Больше всего жители нашей страны предпочитают жаловаться на неправомерное использование персональных данных, нарушение требований конфиденциальности, порядка и условий хранения личной информации и нарушения, связанные с ее удалением после обработки. Лидеры по числу потенциальных нарушений — банки и кредитные организации, коллекторские агентства, Интернет-сайты и организации ЖКХ. Подчеркну, что наказание по №152-ФЗ за доказанное правонарушение — штраф максимальным размером до 75 тыс. руб.

Хоть сумма и сильно меньше 4% годового оборота, она является значимой для среднего домохозяйства, но для серьезной ответственности бизнеса этого, пожалуй, недостаточно. При оценке экономической целесообразности становится понятно, что соблюдение этого compliance с использованием технологий защиты обойдется на порядок дороже. Это и формирует стремительный тренд по серьезному ужесточению и повышению денежной ответственности, даже возникновению обязательной страховки бизнеса от подобных утечек — нарушения будут стоить дороже и дороже. Например, в январе 2019 г. Минкомсвязи РФ предлагало штрафовать операторов ПДН за утечку совершенно конкретно — отдельным законом.

Комплаенс – сегодня рано? Завтра будет поздно: голосовая аутентификация, запись разговоров и штрафы за нарушение цифрового законодательства

Давайте ещё раз вспомним о правах, которые совершенно одинаковы в №152-ФЗ и GDPR. На что же имеет право наш клиент и как это может быть интерпретировано на практике?

Первое — минимизация запрашиваемых персональных данных. Как бы бизнесу ни хотелось знать все, спрашивать он должен только необходимое и ничего лишнего. Поэтому, если вы не финансовая организация со сложной аутентификацией, а, например, оператор связи, то не нужно спрашивать девичью фамилию матери. Гражданин может на это пожаловаться, и по уже существующему закону вы будете обязаны заплатить ему в случае доказанности денежную компенсацию.

Второй — право на забвение, если субъект об этом попросил при прекращении бизнес, юридических или финансовых отношений.

Это значит, что компания должна безвозвратно стереть всю информацию "подчистую", включая имя и фамилию. Теперь представим, что у мобильного оператора был абонент, который решил уйти к другому поставщику услуг связи. Он пришел в филиал, написал заявление о завершении сотрудничества и переводе номера. Если же после этого клиент позвонил оператору по телефону — мы же все телефонные разговоры записываем — и контакт-центр узнал его по номеру, поздоровавшись "Иван Иванович, здравствуйте!", то бизнес нарушил закон. Казалось бы, мы таким образом хотим оказать неизменно качественный сервис, но это значит, что абонент может писать заявление в суд, прокуратуру — требование закона не было выполнено. Мы сами записываем разговоры, сами поздоровались с человеком, сами и заплатим ему 75 тыс. руб. в российском законодательстве и огромные деньги в европейском. Если такой клиент из ЕС позвонит, например, в российскую авиакомпанию, а она о нём не забыла, то претензии могут быть основаны на требованиях GDPR.

Третий и четвертый аспекты права — уточнение персональных данных и возможность запросить их в полном объеме. Они позволяют пользователю позвонить и запросить всю имеющуюся у нас информацию, также что-то добавить, изменить или уточнить в ней: фамилию, адрес, телефон и др. Бизнес обязан такие возможности предоставить, если же нет — на нем опять ответственность.

Пятое — контроль предоставления ПДн третьим лицам. Очень важный момент российского и европейского законов об обработке персональных данных – это согласие субъекта на обработку ПДн. Оно должно быть формально запрошено, формально выдано клиентом и зафиксировано. Поэтому если где-то — в каком-то бланке договора, например, телефонном разговоре или чате — клиент нам представился, мы зафиксировали его имя и отчество, не предупредив, что таким образом начали обрабатывать его ПДн, то можно ждать жалобу и штраф от регулятора.

Напомню, количество обращений граждан в суды растёт вместе с юридической грамотностью. Недалёк тот час, когда в какой-нибудь газете бесплатных объявлений можно будет увидеть, что юридически подкованный пенсионер получил компенсацию от, например, мобильного оператора за нарушение закона о персональных данных.

Особенности среды, требования законов, случаи применимости и ответственность мы проанализировали. Если организация хочет предотвратить все эти возможные финансовые потери в будущем, то в наш цифровой век уже вполне существуют технологии, которые позволяют соблюдать законы о ПДн и подтверждать это в России и Европе на уровне действующих технологических систем.