От телефонной справки до видеокамер в подъезде. Как персональные данные изменили сферу телекоммуникации
— Наша компания предоставляет более сотни различных услуг для юридических и физических лиц, и информация о них размещена на более двух десятках сайтов. Для обеспечения работоспособности бизнес-процессов задействовано более 100 особо ценных информационных систем, которые обрабатывают персональные данные, — объясняет Роман Кислов, начальник сектора по внутреннему контролю за обработкой персональных данных в «Белтелекоме».
В телекоммуникации обрабатывается очень много персональных данных, подчеркивает наш собеседник. В «Белтелекоме», который в том числе предоставляет телевидение Zala и интернет ByFly, насчитывают около 3,9 млн абонентов. Число активных абонентов ByFly и Zala, в том числе в составе пакетов услуг, превышает 2,5 млн. Услугой «Видеоконтроль» пользуются более 350 тыс. абонентов жилой застройки и более 12 тыс. юрлиц. В итоге речь идет о значительной обработке персданных, используемых в бизнес-процессах.
У защиты персданных в телекоммуникации много особенностей, поэтому профильное Министерство связи и информатизации оперативно вносит изменения в отраслевые документы. В итоге у «Белтелекома», например, есть законное право записывать голоса абонентов при обращении в службу технической поддержки 123 без согласия на обработку персональных данных — это предусмотрено правилами оказания услуг электросвязи.
— Более того, мы считаемся одним из старейших операторов, который устанавливал не только домашние телефоны, но еще и оказывал услуги телеграфной связи, — говорит Роман. — У нас между собой завязано много информационных систем, которые не просто поддерживаются в эксплуатационном состоянии, а должны между собой взаимодействовать, защищаться, в них обрабатывается огромное количество персданных. Операторы, которые приходили после нас, уже оптимизировали эти процессы. Есть у нас и лицензия мобильного оператора, и мы эту тему развиваем, что приведет к внедрению дополнительных процессов по персональным данным.
Но и это еще не все. Как оператор персональных данных компания занимается и розничной торговлей, и зарядными станциями для электромобилей Evika!, где в приложении логины и пароли абонентов. И любой информационный ресурс предполагает опять-таки обработку персданных, некоторые из них связаны с другими бизнес-процессами, например связь с системой биллинга, возможность получать различные услуги через кабинет пользователя.
На выходе получается разнообразная система, которая затрагивает практически все отрасли нашей жизни — от строительства, транспорта, телекоммуникации до виртуальных и облачных технологий. И в компании не скрывают, что порой приходится делать много запросов в Национальный центр защиты персональных данных, чтобы расставить все точки над «i» в каких-то процессах.
«Почтовый ящик, на который обращаются клиенты, принадлежит мне»
— Мы были первыми, кого проверял Национальный центр защиты персональных данных. Это было в 2022 году, — рассказывает наш собеседник. — Мы столкнулись с тем, что «Белтелеком» уже умел защищать свои информационные ресурсы, где обрабатывались персональные данные, потому что за весь период нашей деятельности у нас не было ни одной утечки из информационных систем, которые могли бы нарушить права граждан. Дело в том, что изначально система «Белтелекома» строилась очень грамотными людьми. Впоследствии на производственных базах Международного центра коммутации и Информационно-расчетного центра были выстроены основные базы, которыми пользуется вся страна. Кроме того, у нас все оборудование, используемое в сети электросвязи, прошло государственную сертификацию, а сейчас есть еще и свой аттестованный центр кибербезопасности.
При этом в компании подчеркивают, что самое главное — это абоненты и их лояльность, поэтому и защита их данных должна быть не формальной, а надежной и прозрачной.
— В нашей политике есть пунктик, что, если наши абоненты видят в чем-то нарушение, у них есть возможность обратной связи. Для этого указан почтовый ящик, на который можно обратиться, он принадлежит мне, — уточняет Роман Кислов. — Это сделано специально для того, чтобы все процессы, которые могут возникать, были напрямую завязаны на сектор, который мог бы вовремя реагировать. По каждому сообщению первым делом устанавливаем, был ли этот факт, ведь зачастую обращение связано с тем, что человек просто не понимает, что такое персональные данные.
Когда обращения клиентов падают в личную почту, начинается ручной квест: переслать, проконтролировать, не забыть. Кто ответственный? Где статус? Кто сообщил клиенту, что все в работе? В потоке писем и задач могут потеряться детали — а вместе с ними и доверие. Бизнес не может позволить себе хаос. Нужна мультифункциональная среда, где каждое обращение зафиксировано, задача назначена, сроки контролируются.
Онлайн-сервис «Битрикс24» решает это. Платформа объединяет CRM-инструменты для совместной работы и управления проектами в одном месте. Обращения из почты автоматически превращаются в задачи. Все прозрачно: видно, кто отвечает, на каком этапе решение, где «узкие горлышки». Команда работает синхронно, а не по принципу «кто первый увидел — тот и отвечает». Права доступа гибкие: каждый видит только то, что касается его задач. Это упрощает работу, защищает информацию от утечек и снижает риск ошибок.
Важным шагом в защите персональных данных в компании стало обучение персонала, который работает с абонентами, и пересмотр всех связанных с ними бизнес-процессов. Эксперт подчеркивает, что с одной системой защиты не будешь в безопасности, так как самый большой риск утечки информации — это сами работники, которых нужно правильно обучить, чтобы они могли сохранять конфиденциальную информацию.
Провели и инвентаризацию локальных актов документов, которые регламентируют деятельность абонентов.
— Когда к нам пришел НЦЗПД, у нас реестр составлял порядка 30 страниц, или около 200 бизнес-процессов. После того как мы разобрались в тонкостях работы с новым законодательством, число бизнес-процессов, в которых задействованы персональные данные, выросло в 10 раз, до 2 тыс., — говорит специалист, подчеркнув при этом, что без реестра обработки персональных данных невозможно работать в больших организациях и выстраивать грамотный процесс.
Как установить видеонаблюдение и не нарушить закон о персданных
В сфере телекоммуникации пользователи чаще всего задают вопросы по системе видеонаблюдения. Когда «Белтелеком» предоставляет эту услугу юридическим лицам, он выступает в роли уполномоченного лица по обработке персональных данных, а оператором становится непосредственно юрлицо, которое определяет цели персональных данных. Проще говоря, именно оно отвечает за процесс, а «Белтелеком» — только за безопасность данных, которые обрабатывают в аппаратно-программном комплексе. Роман Кислов подчеркивает: к сожалению, не все юрлица понимают, что они становятся оператором персональных данных и свою ответственность перед законом.
С видеонаблюдением для физлиц еще сложнее: такую услугу оказывают как в многоквартирных домах, так и в частных. И тут есть различия как по предоставлению самой услуги, так и по организации внутри информационной системы.
— Когда к нам пришла проверка, нужно было объяснить правовые основания предоставления этой услуги, — говорит наш собеседник. — Для юрлиц понятно: исходя из требований законодательных актов в охранной и строительной деятельности, как правило, при разработке проектно-сметной документации определяют, что видеонаблюдение необходимо для уменьшения фактов хищения, сохранности имущества и тому подобное. Но операторы, которые предоставляют видеонаблюдение в многоквартирных домах, должны понимать, что дом разбит на подъезды и каждый абонент имеет право подключиться только к камерам в своем подъезде либо на общей территории, например, обзор на автостоянку или детскую площадку. В противном случае он будет нарушать права другого гражданина. И здесь пришлось перестраивать многие процессы, нужно было написать технические требования, как эта система должна работать, как разграничить доступ пользователей — это большой труд программистов, ведь ранее система видеонаблюдения представляла собой общий программный комплекс, который просто снимает и показывает.
Представитель «Белтелекома» уверен: изначально для операторов связи важно в технические требования при закупке систем и платформ видеонаблюдения вносить подробную информацию о сложности услуги, чтобы, когда к тебе приходят вендоры с такими предложениями, они понимали, насколько затратный продукт будет внедрен в этот процесс.
— Мы здесь были первопроходцами, и спасибо Национальному центру защиты персональных данных, который услышал нас и понял, что видеонаблюдение сегодня внедряют всюду и законодательство нужно как-то применить к этому процессу, — говорит Роман Кислов. — В итоге появилась межведомственная комиссия, в которую входило и наше Министерство связи и информатизации, и другие ведомства, в том числе Министерство ЖКХ, которые определяли, какие правовые основания могут быть для предоставления услуги в многоквартирных жилых домах. Эта масштабная работа, на которую потребовалось около двух лет, привела к дополнению статьи 159 Жилищного кодекса.
При этом наш собеседник уточняет, что, если речь идет о товариществе собственников, это одно требование законодательства, а если дом относится к управляющим организациям — то есть нюансы, связанные с передачей имущества. Тот же частный дом может быть разделен на отдельные участки, и тут нужно понимать, какие согласия должен предоставить абонент, чтобы услуга была оказана. В многоквартирных домах есть еще и тонкость с записью звука, которая возможна опять-таки только с согласия жильцов. А угол обзора камеры еще на уровне проекта требует согласия всех владельцев квартир, чьи права будут затронуты.
— И здесь мы опять упираемся в работников, которым предстоит подключать услуги, разбираться в этих нюансах и быть немного юристами, — отмечает Роман. — И каждого из них нужно обучить, а у нас более 10 тыс. сотрудников, которые обрабатывают персональные данные, причем их нужно обучать раз в пять лет. Мы пошли таким путем: наше управление по работе с персоналом разработало и внедрило обучающую платформу, где используются личные кабинеты для работников, куда положили интерактивные страницы по «нормативке», активные семинары, по которым нужно сдать тестирование, набрав не менее 85% правильных ответов. Кроме того, мы работаем и с Белорусской государственной академией связи по обучению сотрудников службы технической и консультативной поддержки 123, технических сотрудников и специалистов продаж. Обучение проходит на базе «Белтелекома».
Бумажные справочники ушли в историю?
Одним из правовых оснований обработки персональных данных считается согласие. У «Белтелекома» есть автоматизированная система, и когда абонент обращается в офис продаж компании, специалист по продажам предлагает дать согласие на рассылку рекламы и акций, что важно для коммерческой организации.
— Например, мы не обрабатываем номер мобильного телефона без правового основания, если абонент сам нам его не даст. Причем он нам предоставляет свой номер только для договорной работы — по всем другим целям, за исключением исходящих из актов законодательства, нужно письменное или в электронном виде согласие, — говорит Роман Кислов.
Нужно также согласие на внесение номера телефона в справочно-информационную службу о номерах телефонов квартир и организаций 109. По словам нашего собеседника, абонент, если хочет оформить в сервисном центре себе телефонный номер, получает из автоматизированной системы договор и бланк заказа, в котором как раз и спрашивают, желает ли человек, чтобы его персональные данные были внесены в базу 109. Он отмечает «да» или «нет», в случае отрицательного ответа в базу его не вносят.
— Когда только появились справочные службы и бумажные телефонные справочники, не было законодательства, которое бы запрещало распространение сведений о телефонном номере, месте установки телефонного аппарата и фамилии, имени и отчества абонента. Только с ноября 2008 года вступил в силу закон об информации, информатизации и защите информации. И там уже было одним из требований, что если вы хотите обрабатывать персональные данные, то должны получить согласие, но не было прописано, в каком виде, — уточняет эксперт. — В итоге оператор просто спрашивал, согласны ли, ставил галочку и вносил номер в базу. Сейчас же, если абонент не хочет, чтобы его персональные данные предоставлялись по справке 109, он обращается к нам с письменным заявлением, и мы его оттуда исключаем. Речь идет только о тех согласиях, которые даны до 7 мая 2021 года.
Проще говоря, в 2025 году нельзя просто взять и выпустить старый-добрый бумажный справочник номеров условно Полоцка или Лиды — как минимум понадобится согласие каждого человека.
Непросто и с теми номерами, которые все же попали в справку 109. Если предоставляемые данные будут принадлежать не одному человеку, номер телефона не дадут. Специалист справочной службы вежливо попросит предоставить более точные данные, и при получении дополнительной информации автоинформатор назовет искомый номер телефона. Кроме того, «Белтелеком» ведет учет, какому телефонному номеру сообщались сведения об абоненте, тем самым заботясь о безопасности клиентов.
Когда много клиентов, важно, чтобы процесс получения согласия был автоматизированным, — подытоживает Роман. — Жалко, что пока у нас в стране мало продуктов, которые помогают нашим DPO в автоматизированном учете персональных данных и в том, как их передают третьим лицам. Конечно, определенные продукты есть, но их крайне мало, а цена в итоге высокая. Но персональные данные затрагивают всех, и в наших людях постепенно формируется идеология защиты своих прав, и в будущем это станет частью морали каждого гражданина.
Фото: Envato Elements
Партнерский материал
