«Ситуация, когда удаленно могут взломать кассы магазина, — реальность». Зачем ретейлу вкладывать в защиту персданных

Источник:
Ольга Пасияк
20.12.2024 11:20
Среди самых массовых сфер по обработке персональных данных можно уверенно назвать ретейл. Здесь и карты лояльности, и розыгрыши призов, и видеонаблюдение в торговых залах. Чем больше магазин или торговая сеть, тем длиннее список бизнес-процессов, которые затрагивают личные данные покупателей. В очередном материале проекта «Бизнес под защитой» при поддержке онлайн-сервиса Битрикс24 в Беларуси разбираем тонкости работы с персональными данными в торговых сетях на примере компании «Санта Ритейл».

Что знает о покупателях магазин, когда выдает карту лояльности

Александр Григорович,
ответственный за защиту персональных данных компании «Санта Ритейл»

— Требования по обработке и защите персональных данных одинаковые для всех организаций, разница лишь в объеме и количестве бизнес-процессов. К примеру, у нас большая компания, и в укрупненном виде это около 30 процессов, в которых обрабатываются персданные, — от проведения рекламных игр и программы лояльности до сайта и видеонаблюдения, — говорит Александр Григорович, ответственный за защиту персональных данных компании «Санта Ритейл».

Специалист объясняет, что для контроля за всеми процессами в компании ведут реестр обработки персданных. У бизнес-процессов могут быть разные правовые основания их обработки, но по некоторым из них ничего, кроме согласия, применить невозможно. Например, это касается участия в рекламной игре или получения рекламной рассылки.

Именно поэтому для ретейла важно, чтобы ответственным за внутренний контроль был человек, который понимает процессы, происходящие в торговой сети, подчеркивает наш собеседник.

Компания должна тщательно разработать политики и другие документы, необходимые по закону «О защите персональных данных», а также проводить обучение персонала, определить порядок доступа, ведь в торговых сетях большое количество сотрудников, которые непосредственно работают с персданными, — от кассира до руководителей подразделений. Обязательна и техническая криптографическая защита. И конечно, все это требует существенных затрат времени и ресурсов.

В качестве примера Александр Григорович приводит социальную программу лояльности, которую торговые сети предлагают по соглашению с МАРТ. Она дает скидку в 10% для некоторых категорий покупателей. Причем в данном случае часть персданных связана со здоровьем, поэтому и защищенность такая, чтобы их видели только определенные лица.

Как это работает на практике? Человек один раз пришел в магазин, написал заявление и показал, что у него есть нужный документ, например пенсионное удостоверение, после чего приобрел карту со скидкой, объясняет представитель торговой сети.

— Продавец видит только номер карты, все остальные процессы происходят автоматически в информационной системе, а то, что это социальная карта, видно уже в чеке. Но какая именно — для многодетных, пенсионеров или инвалида, не понятно. Это как один из факторов, который исключает злоупотребление со стороны персонала.

Если покупатель захочет, он может присоединиться и к другим программам лояльности, получать уведомления от торговой сети, но здесь уже нужны другие согласия на обработку персональных данных.

— Например, возьмем такой процесс, как клиентская поддержка по рассылкам. У нас это происходит через дачу согласий на обработку персданных в личном кабинете. Направление чека на электронную почту для минимизации использования кассовой ленты также доступно на сайте через получение согласия через галочку.

Эксперт подчеркивает: акция «Купи три и заплати за два» не подразумевает обработку персданных. Но и при наличии карты лояльности есть тоже два варианта обработки данных. Если хотите просто получать определенную скидку без предоставления персональных данных, можно воспользоваться обезличенной картой. Но в таком случае вы не получите дополнительные бонусы, например ко дню рождения.

Просят ли клиенты в торговых сетях убрать данные из программ лояльности?

— Программа лояльности это выгодно, и обычно клиенты не видят смысла из нее выходить. Но люди обращаются в торговые сети в связи с изменением персональных данных: поменял фамилию, потерял карточку, стал пенсионером.

Что нужно учесть магазину при проведении рекламных игр и розыгрышей

— Персональные данные при проведении рекламной игры обрабатывает уполномоченное лицо, которое выступает в роли организатора. Торговая сеть в этом случае не организатор, а уполномоченное лицо. В противном случае по закону в розыгрышах не могли бы участвовать наши работники, а также связанные с ними лица. Представьте, человек у нас работает грузчиком, и, выступай мы в роли организатора, шанса на участие лишились бы все его родственники, то есть автоматически исключается очень много людей. А так как мы заинтересованные лица, у нас не могут участвовать в рекламной игре только те, кто занимает руководящие должности, им просто не начисляются игровые коды, — объясняет механику специалист по защите персональных данных компании «Санта Ритейл».

Здесь идет большая обработка персональных данных, которая связана в том числе с получением согласий на обработку персданных. Скажем, правила рекламной игры занимают несколько страниц, и весь процесс, который в них описан, все равно начинается с обработки персональных данных, иначе ретейлер просто не сможет определить, кому начислить игровой код.

Бывают ситуации, когда человек зарегистрировался под одной фамилией, а по факту у него другая, и в таком случае призы он не может получить, так как выдают их при предъявлении паспорта.

— По хранению данных другая ситуация: на сайте расписано, что мы изначально обрабатываем персданные всех участников программы лояльности как по согласию, то есть берем фамилию, имя, отчество, дату рождения и номер телефона, а также карту и игровые коды, которые начисляются, — говорит Александр Григорович. — А уже данные победителей храним, исходя из того, что это наша обязанность по законодательству о проведении рекламных игр, — в течение трех лет.

Кроме того, рекламные игры освещают через интернет, в том числе соцсети. Если снять видео и разместить его в соцсетях, это подразумевает трансграничную передачу данных. Поэтому при съемке победителей заключают договор, фактически как с актерами, и тогда у компании немного другое основание обработки персданных.

Может ли победитель рекламной игры отказаться от съемки?

Если победитель против съемки, он не заключает договор и его не снимают. Но есть требование законодательства, и все равно его имя и фамилию разместят в списке победителей в газете «Рэспублiка» и на сайте компании. Это происходит, чтобы исключить злоупотребление.

В современном мире большого ретейла профессиональные подрядчики, такие как рекламные агентства, играют ключевую роль в привлечении внимания покупателей и продвижении брендов. Например, когда вы готовите запуск рекламной игры, вам необходимо выполнить целый ряд обязательных шагов по регистрации этой активности. Важно наладить с агентством сотрудничество, так, чтобы оно было эффективным и безопасным для обмена необходимыми данными.

Битрикс24 Коллабы помогают сотрудничать. Это пространство, где идеи превращаются в действия и команды работают как единое целое.

Коллабы — отдельное пространство для совместной работы с внешними командами и клиентами внутри вашего Битрикс24. В этой платформе заказчики и подрядчики работают как единая команда, что способствует лучшему взаимодействию и упрощению процессов. Все необходимое для продуктивной работы — мессенджер, видеозвонки, управление задачами и календарь — собрано в одном месте.

Битрикс24 Коллабы доступны бесплатно на любом тарифе. Инструмент может помочь ретейлерам быстро запускать рекламные акции и не беспокоиться о потере важной информации в множестве чатов.

Чек-лист: как провести рекламную игру и не нарушить закон о персданных

  • Самый главный момент — база, которая содержит персданные клиентов. Она должна соответствовать требованиям законодательства.

  • Естественно, прежде чем размещать правила рекламной игры, их нужно зарегистрировать. В правилах должно быть написано, каким именно образом персональные данные будут обрабатываться.

  • Так как у нас возникает бизнес-процесс — проведение рекламной игры, — соответственно, компания тоже должна его декларировать в политике обработки персональных данных.

  • Следующий вопрос — сотрудники торговой сети, которые будут собирать эти персональные данные и обрабатывать. Они должны пройти обучение и контроль знаний, чтобы обрабатывать данные именно так, как написано в правилах.

  • Поскольку организаторы рекламной игры привлекают уполномоченных лиц, они тоже должны соответствовать требованиям закона «О защите персональных данных».

  • Создаем комиссию, которая также обрабатывает персданные. Соответственно, все ее участники тоже должны быть обучены и обязаны пройти соответствующий контроль знаний.

  • Далее проводим сам розыгрыш, а в нем участвует маркетинг, который отвечает за видеозапись. Для этого тоже нужно документальное оформление, так как планируется обработка видеозаписей, что относится к персданным. Поэтому люди, которые осуществляют видеосъемку, должны соответствовать требованиям законодательства по обработке персданных.

  • Человек получил игровые коды, ему начислили бонусные баллы — все это делает информационная система, а в определении победителя участвуют физические лица, работники торговой сети и уполномоченные лица, так как выигрышные игровые коды определяются путем выпадения номеров из лототрона. Они также должны владеть нюансами обработки персданных.

Зачем ретейлу инвестировать в защиту персданных

Александр Григорович обращает внимание, что незаконность обработки персданных внесли в концепцию национальной безопасности Беларуси. А у наших соседей можно наблюдать тенденцию введения оборотных штрафов за утечки персданных.

— Национальный центр защиты персональных данных может не только инициировать проверку, но и приостановить обработку персданных на шесть месяцев. Для ретейла, который останется без программ лояльности и маркетинговых мероприятий, это грозит уменьшением потока клиентов.

По словам специалиста, важно понимать: если вы думаете о конкурентоспособности, значит, вы должны думать и о защите любых данных своих клиентов. Ведь защищаемая информация содержит не только персданные, но и коммерческую тайну.

— Для компании важно декларировать, что она надежно защищает данные клиентов. Например, для этого у нас есть и защищенный контур, и аттестация информационных систем. Это положительно влияет на отношение клиента к бренду. Согласно мировым исследованиям, 85% потребителей не будут делиться своими данными с компанией, которой они не доверяют. Для клиента важно понимать, что он передает свои персональные данные в организацию, в которой надлежащий уровень защиты, его данные не утекут и ему не будут звонить и предлагать условный массаж, — говорит представитель «Санта Ритейл».

Второй момент — торговая сеть ищет для сотрудничества, скажем, компанию, которая занимается видеосъемкой. Так как эта компания будет обрабатывать персданные победителя рекламной игры, то будет выступать в роли уполномоченного лица. Торговая сеть берет на себя роль оператора персданных и несет ответственность за их обработку уполномоченным лицом.

— Значит, перед заключением договора о сотрудничестве нужно проверить, соответствует ли условный видеограф требованиям законодательства. Да, чтобы соблюсти нормы законодательства, нужны инвестиции: обучиться, назначить ответственного, который должен быть в штате, а не на аутсорсе, поставить «антивирусники» и криптографическую защиту, что существенно повышает вероятность заключения с таким лицом договора на обработку персональных данных при оказании услуг.

Еще одна опасность — киберугрозы, когда к технологическому оборудованию могут подключиться удаленно, взломав информационную систему.

При отсутствии должной защиты ситуация, при которой удаленно взломали кассы торговой сети, вполне реальна.

— Сейчас первая задача в кибербезопасности — минимизация персональных данных. Нужно сделать так, чтобы база была минимальна и малоинтересна. Например, только телефон и имя, без места жительства и других подробностей. Интерес для киберпреступников представляют более детальные или объединенные базы, поэтому идет разделение баз — не надо в одной корзине хранить все, — подытоживает Александр Григорович.

7 советов для защиты данных в компании (подойдут не только ретейлу!)

  1. Не реже раза в год проводите аудит безопасности, причем он должен охватывать как технические меры, так и правовые, организационные.

  2. Создайте четкий план действий на случай утечки данных.

  3. Проводите регулярные тренинги для сотрудников.

  4. Инвестируйте в технологии защиты.

  5. Внедряйте концепцию прозрачности: клиенты должны знать о том, как их данные обрабатываются и защищаются.

  6. Сотрудничайте с внешними экспертами: это могут быть как технические проверки, так и юридическая консультация по соблюдению норм законодательства о персональных данных и защите информации.

  7. Мониторьте и анализируйте угрозы.

***

В следующем материале совместного с Битрикс24 проекта «Бизнес под защитой» мы разберем на примере медицинского центра «Экомедсервис» особенности работы с персональными данными в медицине.

Фото: Павел Садовский / Office Life, Envato Elements

Партнерский материал