Знания и технологии

От сим-карты до баннера. Как работают с персональными данными операторы электросвязи

Деятельность мобильных операторов всегда была связана с обработкой огромного количества информации ограниченного распространения. Что изменилось в работе таких компаний с абонентами после выхода Закона «О защите персональных данных»? Какую информацию оператор может запрашивать у них и, наоборот, предоставлять? Как обеспечивается безопасность хранения и обработки персональных данных? В рамках проекта «Бизнес под защитой» при поддержке онлайн-сервиса «Битрикс24» эти вопросы Office Life задал юрисконсульту по внутреннему контролю за обработкой персональных данных компании А1 Анастасии Кунец.

Как государство регулирует правила обращения с личной информацией абонентов

Для белорусских операторов электросвязи принятие Закона «О защите персональных данных» не стало чем-то неожиданным. Они всегда работали в условиях достаточно жесткого государственного регулирования.

Во-первых, их деятельность связана с обработкой информации ограниченного доступа: сведений, составляющих тайну электросвязи, персональные данные, которые необходимо надежно хранить и защищать от всевозможных угроз информационной безопасности. Поэтому технологические и информационные системы мобильных операторов являются критически важными объектами информатизации и имеют особое значение для обеспечения информационной безопасности в стране.

Во-вторых, при обслуживании обычных абонентов операторы обязаны обеспечивать тайну электросвязи, которая гарантируется Конституцией страны и Законом «Об электросвязи», что связано с соблюдением конфиденциальности частной жизни граждан.

Анастасия Кунец,

юрисконсульт по внутреннему контролю за обработкой персональных данных компании А1

— Я бы сказала, что Закон «О защите персональных данных» встроился в работу по защите информации, которой мы и до этого занимались, сделав ее более комплексной и системной. Причем благодаря принятию этого закона у наших абонентов появилось больше прав и возможностей по реальному контролю за обработкой своих персональных данных, — говорит Анастасия Кунец.

«Без согласий можно замечательно жить». Разбираемся, как работать с персональными данными в лизинге

Какие данные могут обрабатываться без согласия абонента

Как указано в Законе «О защите персональных данных», согласие — это ключевое основание для обработки персональных данных. Однако законом предусмотрен перечень исключений, когда такое согласие не требуется. Их достаточно много, но самые распространенные случаи — когда речь идет о заключении и исполнении договора, исполнении обязательств в соответствии с законодательством и когда это предусмотрено законодательными и нормативными актами. И большинство операций при обслуживании абонентов мобильной связи как раз подпадают под эти исключения.

— Оказание услуг электросвязи осуществляется в соответствии с требованиями, установленными Правилами оказания услуг электросвязи (утверждены постановлением Совета Министров Республики Беларусь № 1055). Действия оператора жестко регламентированы: начиная от требований к порядку заключения и исполнения договора до качества оказываемых услуг. Но для обработки персональных данных, которые предоставляет абонент, заполняя регистрационную форму при получении сим-карты, согласие не требуется. Потому что это как раз является одним из исключений, предусмотренных статьей 6 Закона «О защите персональных данных»: заключение и исполнение договора, — объясняет специалист.

То есть большинство действий, связанных с обслуживанием абонентов — в центрах продаж, колл-центре, при получении информации о начислениях в мобильном приложении либо личном кабинете и др., — не требуют дополнительного согласия на обработку персональных данных, так как входят в условия исполнения договора оказания услуг электросвязи.

Зачастую у абонентов возникают вопросы при прохождении идентификации (например, чтобы получить информацию о начислениях либо что-то уточнить по своему договору). В таких случаях их просят назвать свои паспортные данные. Но здесь действует второе исключение: когда оператору необходимо исполнить свои обязательства по законодательству. Поскольку оператор обязан предоставлять информацию по договору только абоненту либо его представителю (в последнем случае требуется нотариально заверенная доверенность), то в соответствии с действующим законодательством об электросвязи он обязан удостовериться, что предоставляет данные законно, — то есть идентифицировать абонента.

Способов идентифицировать клиента немного: например, по голосу (но это связано с обработкой биометрических персональных данных, что является высокорисковым способом), по кодовому слову (менее надежно, так как на практике клиенты его не помнят либо вообще не выбирают такой способ идентификации) и, наконец, по паспортным данным.

Такие процессы, как удаленная идентификация клиентов, хранение обращений и предоставление информации по договору, требуют четких внутренних регламентов и надёжных цифровых инструментов для их автоматизации и контроля.

В этом помогает современная мультифункциональная платформа «Битрикс24», которая объединяет CRM, инструменты для совместной работы, управление проектами и автоматизацию рутинных задач. Компании могут безопасно выстраивать работу с клиентами, работать с чувствительной информацией и хранить персональные данные в полном соответствии с законодательством.

До 31 августа действует летняя акция — при покупке годовой подписки доступны скидки до 40% на облачные и коробочные версии «Битрикс24». Самое время перенести процессы в безопасную цифровую среду.

— В соответствии с требованиями законодательства об электросвязи предоставление финансовой информации клиентам, например детальной информации о начислениях за услуги связи, оплате, анализе списаний за конкретные периоды, осуществляется после предоставления клиентом паспортных данных. Подобные правила со стороны компании направлены в первую очередь на защиту интересов абонентов, — уточняет Анастасия Кунец.

От телефонной справки до видеокамер в подъезде. Как персональные данные изменили сферу телекоммуникации

Когда рассылки законны, а когда — нет

Самый распространенный случай, когда для обработки персональных данных абонента оператор должен получить его согласие, — это рекламные рассылки, к которым относятся, к примеру, новые услуги и полезные сервисы, с которыми оператор хочет ознакомить абонента.

— Хотя из каждого правила есть исключения, — поясняет Анастасия Кунец. — Согласие не требуется для направления абонентам рассылок, предусмотренных законодательством (например, сообщений МЧС, ОСВОД и т. п.).

Согласие на получение рекламной рассылки должно соответствовать требованиям Закона «О защите персональных данных», то есть оно должно быть свободным, однозначным и информированным. При этом нужно обязательно ознакомить абонента с его правами и предоставить информацию о том, как и какие его данные будут использоваться оператором для направления рассылки.

Проблема в том, что многие абоненты годами не коммуницируют с оператором, а просто пользуются услугами связи и оплачивают счета. Получить от них согласие можно только при личном визите в центры продаж компании и теоретически — по телефону. Почему теоретически? Потому что, как указано выше, для того чтобы согласие абонента было «настоящим», оно должно соответствовать требованиям закона. А еще — должно быть правильно зафиксировано, что тоже не всегда возможно в устной беседе.

Можно ли выкладывать в интернете фото квартиры без согласия владельца? Разбираемся с персданными в недвижимости

Как хранятся данные абонентов и почему их нельзя удалить

Еще один важный вопрос связан с хранением и удалением персональных данных. Абоненты довольно часто обращаются к операторам связи с требованием удалить всю информацию о себе, ссылаясь на Закон «О защите персональных данных». Но оказывается, в случае с электросвязью оператор не может просто удалить данные по требованию абонента, потому что по Правилам оказания услуг электросвязи он обязан хранить эту информацию не менее 5 лет даже после расторжения договора с абонентом. То есть отказ оператора в удалении данных в таком случае абсолютно законный.

С обращениями граждан вообще возникает много разных ситуаций, в том числе курьезных. Например, бывает, что жены или мужья обращаются в компанию с просьбой предоставить информацию о начислениях или детализацию звонков своих супругов. Разумеется, им отказывают, и это тоже по правилам. Потому что, как указано выше, получить информацию о фактах оказания услуг электросвязи, в том числе детализированные сведения о совершенных или принятых абонентом вызовах, может только сам абонент или его представители.

— Иногда граждане интересуются, насколько надежно защищены их персональные данные. У компании А1 есть собственный дата-центр, соответствующий стандарту Tier III – самому высокому уровню надежности в Беларуси. Кроме того что это сам по себе очень хорошо защищенный объект, все персональные данные там хранятся в аттестованном сегменте, к которому применяются специальные средства защиты информации. И без сложной процедуры допуска на этот объект невозможно даже попасть, не говоря уже о том, чтобы скопировать данные или передать третьим лицам, — объясняет Анастасия Кунец.

Кстати, после вступления в силу Закона «О защите персональных данных» обязательная подготовка сотрудников компании была дополнена как постоянным внутренним обучением и тренингами, так и обязательными и регулярными повышениями квалификации в области защиты персональных данных. К примеру, руководители А1 также прошли обучение в Национальном центре защиты персональных данных.

Размещая политику обработки персональных данных на сайте, оператор разъясняет абоненту, для каких целей и как он обрабатывает его данные. И тем самым дает абонентам возможность выбора — участвовать в обработке или нет. Как говорит Анастасия Кунец, таким образом оператор обеспечивает прозрачность обработки информации и демонстрирует честность перед своими клиентами.

Что банки знают о наших зарплатах? Разбираем особенности работы с персональными данными в сфере финансов

Фото: Envato Elements

Партнерский материал