Знания и технологии

Можно ли выкладывать фото с корпоратива в соцсетях? Семь наивных вопросов о персональных данных

Ольга Пасияк
Защита персональных данных — вопрос для белорусского бизнеса сравнительно новый и воспринимается как что-то сложное. А потому не все компании готовы и хотят разбираться в тонкостях работы с персданными. Но порой все гораздо проще, чем кажется на первый взгляд. При поддержке онлайн-сервиса Битрикс24 в Беларуси Office Life запускает проект «Бизнес под защитой», где в серии материалов мы будем объяснять, почему не стоит игнорировать эту тему. На примере реальных бизнесов разберемся, каких ошибок можно избежать при работе с персональными данными, как правильный подход к их защите помогает росту компании и почему стоит инвестировать свое время в эту сферу уже сейчас. А начнем с самых распространенных (и порой наивных) вопросов от бизнеса о защите персональных данных. Спойлер: ответы могут вас удивить.
Можно ли выкладывать фото с корпоратива в соцсетях? Семь наивных вопросов о персональных данных
Виталий Диско
Виталий Диско,
заместитель начальника управления контроля и аудита НЦЗПД

1. Все привыкли, что персональные данные — это база клиентов или личные дела сотрудников. А есть ли какие-то неочевидные варианты «встречи» бизнеса с персданными?

— Во-первых, это cookie-файлы, которые используются «Google Аналитикой» и «Яндекс Метрикой», — говорит заместитель начальника управления контроля и аудита Национального центра защиты персональных данных Виталий Диско. — На их обработку в большинстве случаев нужно получать согласие. Второй момент — это номера телефонов. Есть ошибочное мнение, что номер телефона не позволяет идентифицировать человека. Но с его помощью вам могут доставлять неудобства звонками и рекламой. Потому мы говорим, что номер телефона также считается персональными данными. В-третьих, фото и видеоизображения человека тоже относятся к персональным данным.

2. Можно ли брать нужные для работы контакты клиентов из интернета?

— Есть заблуждение о том, что все персональные данные, которые находятся в интернете, общедоступные. Это не так, — обращает внимание Виталий Диско.

К общедоступным персональным данным можно отнести только те, которые распространены в соответствии с требованием закона. Например, информацию о руководителе организации, которая вывешивается на сайте. Относятся к ним и те данные, которые распространены самим человеком либо с его согласия. Но здесь нужно учитывать цель, с которой информация была опубликована.

— Очевидно, что ваши личные фото с отдыха в Instagram не могут быть использованы бизнесом в рекламных активностях, — объясняет на примере представитель Национального центра защиты персональных данных. — Важно понимать, что в интернете информация, в том числе персональные данные, находится далеко не всегда легально. Практика центра показывает, что зачастую номера телефонов людей попадают в сеть в результате утечки. Поэтому бизнесу рекомендуют с осторожностью использовать информацию, которая «блуждает» в интернете, отдавая приоритет официальным сайтам госорганов или компаний.

Рекомендации команды Битрикс24 в Беларуси

Для безопасной работы с данными клиентов важно следовать простым, вместе с тем критически важным правилам: 

  • использовать для работы сертифицированное, аттестованное ПО или ПО с декларацией соответствия требованиям Технического регламента в соответствии с законодательством Беларуси; 

  • при выходе обновления от разработчика регулярно и оперативно обновлять версию используемого программного продукта до самой актуальной; 

  • на уровне корпоративной культуры вашей компании закрепить порядок, роли и ответственность за доступ к данным; 

  • убедиться, что в вашей команде все сотрудники используют защищенные способы доступа к данным (настроена двухфакторная аутентификация, ведется постоянный контроль и учет доступов в соответствии с внутренними документами компании (политикой о правах доступа, например, и т. д.).


Можно ли выкладывать фото с корпоратива в соцсетях? Семь наивных вопросов о персональных данных

3. Сотрудник работает дома в CRM или едет с рабочим ноутбуком в отпуск. Как быть с персданными?

— Возможности нанимателя контролировать действия работников на удаленке крайне ограничены, — признает Виталий Диско. — С точки зрения закона о защите персональных данных сотрудника нужно в первую очередь предупредить о безопасных правилах работы с персданными, указать, что недопустимо оставлять без присмотра рабочий компьютер или мобильный телефон, клеить стикеры с паролями на крышку ноутбука. Небезопасно и пользоваться общественным вайфаем для решения рабочих задач. Компания также должна контролировать, к каким информационным ресурсам и системам имеет доступ работник, не являются ли они избыточными с учетом должностных обязанностей.

В то же время центр часто сталкивается с жалобами работников на излишний контроль за работой на удаленке. Например, иногда работодатели фиксируют абсолютно все действия, которые сотрудник совершает на компьютере, — нажатие клавиш, движение мыши, а также отслеживают местоположение работника с помощью установленного ПО на мобильном.

— Не во всех случаях это допустимо, и каждый из них мы разбираем отдельно, поэтому хотелось бы предостеречь нанимателя от избыточного контроля за действиями работников.

Пользователи Битрикс24 могут пользоваться приложением при работе в офисе и дома (если вы удаленный сотрудник) и быть спокойными, ведь все соединения с Битрикс24 происходят через шифрованный обмен данными (с использованием TLS), что гарантирует безопасность корпоративной информации и защиту паролей.


4. Как правильно получить согласие клиента для записи разговора в кол-центре?

Закон предъявляет серьезные требования к получению операторами согласия субъектов персональных данных. Оно должно быть свободным, однозначным и информированным. Как раз таки информированный характер согласия при обращении в кол-центр подразумевает, что клиенту предоставят информацию, предусмотренную статьей 5 закона «О защите персональных данных». Проще говоря, человек должен получить сведения о целях, правовом основании и сроках обработки его персональных данных, а также о своих правах. Но предоставить такой объем информации непросто, так как ее изложение требует времени.

Кол-центрам рекомендуют следующий механизм: предложить клиенту прослушать эту информацию, нажав на такую-то кнопку. При нажатии на другую кнопку клиент может выразить согласие на обработку без прослушивания, а нажав на третью — отказаться от такой записи. Таким образом получение согласия в кол-центре можно свести к необходимости выбора из нескольких опций. При этом оператор должен обеспечить возможность консультации и при отказе от записи разговора.

5. Можно ли размещать фото с корпоратива в своих соцсетях?

— При публикации в соцсетях фотографий с корпоративов и прочих мероприятий нужно быть крайне внимательным, чтобы не нарушить права других людей, — предупреждает Виталий Диско. — Закон «Об информации, информатизации и защите информации» устанавливает общий подход, по которому для обработки персональных данных, в том числе фото и видеоизображения, нужно согласие. Исключение — случаи, предусмотренные законодательством. И возможности распространения фотографий с корпоративов или одним человеком других людей (даже если они сделаны в «общественных местах») в исключениях нет. Конечно же, речь не идет о каком-то письменном согласии: достаточно просто спросить у своего коллеги, не будет ли он возражать против того, чтобы его фото появилось в соцсети. Публикация таких фотографий без получения согласия или при наличии возражений будет нарушением закона.

Можно ли выкладывать фото с корпоратива в соцсетях? Семь наивных вопросов о персональных данных

6. Можно ли вывешивать список дней рождения сотрудников в офисе?

Частая практика, когда компания либо профсоюз вывешивают где-то на видном месте список дней рождения сотрудников. Но далеко не всем работникам это нравится. И закон их в этом поддерживает!

— Такая информация может распространяться только при наличии отдельного согласия субъекта персональных данных. Компания должна получить согласие по правилам, установленным статьей 5 закона «О защите персональных данных». На сайте центра можно найти все методические материалы и формы документов по теме, в том числе форму получения согласия субъекта персональных данных.

7. Компания разыгрывает призы в соцсетях и предлагает в комментариях отметить «друга». Так можно?

Как правило, те, кто оставляет комментарии к записям о проведении розыгрышей призов в аккаунтах компаний, не получают никакого согласия у «друзей», сведения о которых они распространяют. Одновременно такие «друзья» участниками розыгрыша не являются и не могут самостоятельно удалить ссылки на свои страницы. Эти обстоятельства фактически сводят условия проводимых розыгрышей к принципу «распространи персональные данные и выиграй». В свою очередь, компания, видя отметку и новый аккаунт, осуществляет обработку персональных данных, для чего опять-таки нужно получать согласие. Но в данном случае нет возможности его получить, так как механизм соцсетей этого не позволяет.

Выходит, несмотря на то что описанная модель считается достаточно популярной и эффективной для привлечения покупателей и подписчиков в социальных сетях, речь идет о нарушении организацией требований законодательства о персональных данных.

В следующем тексте совместного проекта с Битрикс24 «Бизнес под защитой» мы разберем нюансы, связанные с персональными данными в e-commerce, на примере интернет-гипермаркета «21 век».

Фото: Envato Elements / pexels.com

Партнерский материал