Управлять нельзя оставить - что нужно знать ИТ-руководителю о согласиях на обработку персональных данных

<p><strong>С недавних пор тема согласий на обработку персональных данных - одна из самых актуальных для бизнеса. Масштаб проблем, связанных с накопившимися согласиями, многим уже понятен, но как разобраться с этими авгиевыми конюшнями, пока представляют далеко не все. Михаил Березин, директор по продуктам российской ИТ-компании HFLabs, рассказывает, что можно предпринять. </strong></p> <h3>Почему это важно</h3> <p>Хотя бы потому, что государство плотно взялось за согласия. Предполагается, что в будущем россияне смогут предоставлять и отзывать их прямо на портале Госуслуг. Там же будет размещен перечень согласий, который граждане подписывали при получении государственных, муниципальных и коммерческих услуг. Такой проект предложило Минцифры, и его уже поддержал президент.</p> <p>Второй аргумент: оборот персональных данных все больше волнует клиентов крупных компаний. Представители одного из страховщиков не так давно рассказали, что за последние два года количество отозванных согласий у них увеличилось в несколько раз. Такая динамика наглядно демонстрирует, что осознанность граждан растет и все большему количеству людей не все равно, кто и где использует их личные данные. А еще можно вспомнить громкую историю, когда житель Уфы выиграл суд у банка после того, как тот прислал ему рекламное СМС. Поскольку гражданин согласие на обработку своих персональных данных и получение коммерческих предложений не давал, то клиент взыскал компенсацию морального вреда и судебные издержки.</p> <h3>Чем плохи "галочки" в ИТ-системах</h3> <p>Каждый день люди явно и неявно дают согласия на обработку своих персональных данных: ставят галочки на сайтах, заполняют формы на пунктах охраны, подписывают приложения к договорам и страховкам. И в отличие от упомянутого жителя Уфы, многие даже не замечают, как много данных они отдают, и не задумываются, как долго (и разнообразно!) сведения о них будут использовать организации.</p> <p>А теперь посмотрим, как устроена работа с согласиями в крупных компаниях.</p> <p>Честно - чаще всего никаким порядком там и не пахнет. Большинство компаний (речь о банках, страховых организациях, ретейле, телеком-операторах) хранят бесчисленные бумажные формы, которые то и дело меняются.</p> <p>Если перейти на уровень ИТ-систем, то в операционных будут свои "галочки" согласий, а в маркетинговых - свои. Плюс отдельные списки "жалобщиков" - клиентов, которые пишут жалобы на коммуникации в ФАС и Роскомнадзор. Пока таких клиентов немного, компании стараются выделять их в отдельные списки и всяческих избегать. Более того, все эти "галочки" и списки никак друг с другом не связаны, и часто установка в одной системе никак не влияет на другие. Попробуйте провести эксперимент и отозвать свое согласие на какой-то контакт в банке или страховой компании через службу поддержки. Скорее всего, это ничем не закончится, потому что процесса как такового просто не существует. Так что первым шагом должно стать наведение порядка с согласиями и их унификация на уровне компании, а потом уже объединение и интеграция с централизованным решением.</p> <h3>От хаоса к полной прозрачности</h3> <p>Как должна строиться корректная работа с согласиями? На первом этапе важно создать каталог - единое место, в котором можно хранить все согласия и учитывать их разные версии. При этом форма согласия (много-много непонятного юридического текста) распадается на конкретные разрешения, которые действуют ограниченное время. Например, на коммуникацию по определенному контакту или передачу данных определенному партнеру. В каталоге должна быть возможность эту связку выстраивать.</p> <p>Следующий шаг - объединение нескольких подписанных клиентом форм (в разное время, в разных местах, о разных продуктах) в конкретные суммарные разрешения. Например, если в одной форме было разрешение на контакт по емейлу до 2023 года, а в другой - до 2025-го, то в профиле клиента остается объединенный эталонный вариант разрешения.</p> <h3>Профит для бизнеса</h3> <p>В сентябре на конференции CDI Conf 2022, посвященной клиентским данным, эксперты много говорили о том, какие преимущества получит бизнес при правильном управлении согласиями. Сошлись на том, что важно не только сделать работу с согласиями прозрачной, но и объяснить разным подразделениям в компании, какой профит они смогут извлечь из этого.</p> <p>Возьмем, к примеру, маркетинг. Для маркетологов важно количество лидов, поэтому часто на согласия они не обращают внимания (разве что на тех самых злостных жалобщиков). Иногда маркетологи даже протестуют против наведения порядка в согласиях, потому что это может серьезно уменьшить базу контактов. Но давайте взглянем на это с другой стороны: взаимодействие с клиентами без их согласия ухудшает впечатление о компании, повышает репутационные риски и оборачивается штрафами.</p> <p>Если работа с согласиями выстроена корректно, колл-центр будет звонить и отправлять сообщения только тем клиентам, кто дал на это согласие. А маркетинг и юристы смогут увидеть, какими данными можно обмениваться с партнерами. Управление согласиями пригодится и для взаимодействия с регуляторами: если компания знает, на основании какого документа она имела право отправить клиенту СМС два месяца назад, никакие претензии и проверки ей не страшны.</p>