Як створити політику конфіденційності, яка захистить вашу компанію та ваших клієнтів

Відповідно до закону про конфіденційність, a політика конфіденційності це заява або юридичний документ, який розкриває деякі або всі способи збору, використання, розкриття та керування даними клієнта або клієнта. Як правило, компанії діляться цими клієнтськими даними зі своїми сторонніми діловими партнерами. Шляхом щорічного інформування клієнтів/клієнтів за допомогою поштових повідомлень про практику конфіденційності компанії щодо збору та розповсюдження даних клієнта/клієнта, якими керує компанія, компанії виконують юридичні вимоги щодо захисту клієнта або клієнтів конфіденційність. Наприклад, ось Політика конфіденційності Google.

На постійній основі розпорядники даних в організації, головним чином ІТ, відповідають за безпеку та конфіденційність корпоративних даних.

У сукупності політика конфіденційності інформації важлива для ІТ-спеціалістів, спеціалістів із відповідності й інших у бізнесі, оскільки якщо клієнти/клієнти повідомляють компанію про те, що вони не хочуть, щоб їхня особиста інформація збиралася або передавалася, компанії повинні дотримуватися ці рішення; дані про цих осіб не можна продавати чи поширювати іншим.

В організаціях, де дані клієнта/клієнта є надзвичайно конфіденційними, наприклад у страхових, фінансових послуги та охорони здоров’я, працівники повинні практикувати захист конфіденційності, щоб інформація не була випадково спільний доступ.

Як використовувати ці правила політики

Те, як ви розробляєте та підтримуєте свою політику конфіденційності, залежить від вашого бізнесу, ваших клієнтів і галузі, у якій ви працюєте. Наведені нижче вказівки розбиті на загальні категорії, які ви повинні взяти до уваги під час належної перевірки під час розробки політики конфіденційності. Залежно від вашої бізнес-програми ключові моменти в кожній темі матимуть для вас різний ступінь важливості. Сконцентруйтеся на тих вказівках, які безпосередньо стосуються вашої бізнес-моделі, коли ви формулюєте політику, яка відповідає обставини вашої компанії, але обов’язково перегляньте інші теми, щоб не пропустити іншу відповідну сферу.

Хто повинен бути залучений

Політика конфіденційності – це внутрішня справа, яка стосується поведінки працівників із конфіденційною інформацією, але вона також має значний вплив і наслідки для ваших зовнішніх зацікавлених сторін, будь то ваша рада директорів та інвестори, ваші сторонні ділові партнери або ваші клієнтів. Тому, щоб повністю охопити всі сфери конфіденційності, міждисциплінарна команда повинна працювати разом у розробці політики. Ця команда має включати:

• IT
• Розпорядник даних корпоративної інформації
• Відповідність
• Адміністративний підрозділ компанії, який гарантує, що компанія актуальна та відповідає нормативним вимогам конфіденційності
• Юридичні працівники, які в курсі законодавчого законодавства та останнього прецедентного права щодо конфіденційності, повинні завжди надавати свій внесок у проекти та перегляди щодо конфіденційності та виконувати належну перевірку до них до їх введення в дію
• Сторонні ділові партнери, які, можливо, захочуть використовувати вашу інформацію про клієнта для маркетингу чи досліджень, але повинні розуміти обмеження інформації, яку ви можете їм надати
• Бізнес-функції/підрядники допоміжного персоналу, яким потрібен доступ до конфіденційної інформації, оскільки це безпосередньо впливає на їхні здібності виконувати свою роботу (наприклад, «запрошеному» хірургу потрібен доступ до історії хвороби пацієнта під час підготовки до делікатної операції).

Елементи, про які йдеться в політиці конфіденційності

Конфіденційність — це проблема, яка перетинає юридичні/відповідність вимогам, маркетинг/зв’язки з громадськістю та ІТ-функції до такої міри, коли міждисциплінарними командами мають бути розглянуті багато елементів. Елементи, які має враховувати політика конфіденційності, включають:

• Зобов'язання перед клієнтами/зацікавленими сторонами
• Як збирається та використовується інформація про клієнтів
• Як передається інформація про клієнтів
• Як відстежується активність облікового запису клієнта
• Як інформація про клієнта надається третім особам
• Захист даних і безпека
• Варіанти підключення чи відмови, які клієнти можуть зробити щодо своєї інформації
• Права конфіденційності клієнтів
• Контактна інформація компанії для клієнтів із запитаннями щодо конфіденційності
• Інформація для входу
• Дотримання конфіденційності
• Практика конфіденційності співробітників
• Збереження даних
• Ці елементи можна згрупувати в дві загальні категорії:
• Комунікації та маркетинг
• Право, відповідність та ІТ.

Комунікації та маркетинг

Зобов'язання перед клієнтами/зацікавленими сторонами

Заява про політику конфіденційності, яку компанії видають своїм клієнтам, повинна починатися з заяви про позицію компанії щодо того, як вона збирається захищати інформацію клієнтів. Багато компаній використовують цю початкову точку політики, щоб пояснити клієнтам, що їхні дані будуть зашифровані та зберігатимуться в безпеці, а також що дані не продаватимуться іншим. Компанія також заявляє, що політика конфіденційності та доступ до неї завжди будуть доступні для клієнтів і що про будь-які зміни політики клієнти будуть повідомлені.

Як збирається та використовується інформація про клієнтів

Політика конфіденційності, надана клієнтам, повинна пояснювати, як компанія планує використовувати інформацію про клієнтів (наприклад, для покращення продукти) і яку інформацію про клієнта компанія планує збирати для цієї мети (інформація про обліковий запис клієнта, перегляд історія тощо). Якщо компанія планує використовувати/збирати інформацію про місцезнаходження або особисту інформацію, яка зберігається на локальних пристроях користувачів, це також слід розкрити.

Як передається інформація про клієнтів

Політика конфіденційності компанії повинна повідомляти клієнтам про будь-які організації, яким компанія планує надавати інформацію про своїх клієнтів. Як правило, це афілійовані особи або сторонні ділові партнери компанії, які, на її думку, будуть додавати цінність для клієнтів.

Варіанти підключення чи відмови, які клієнти можуть зробити щодо своєї інформації

У політиці конфіденційності клієнтам слід пояснювати, які варіанти підключення або відмови від збереження конфіденційності їхньої інформації. Наприклад, компанії можуть надати клієнтам можливість прийняти (або відмовитися) від пропозицій від рекламодавців або стороннім діловим партнерам або відмовитися від анонімізації даних своїх клієнтів для цілей аналітики звітність.

Права конфіденційності клієнтів

Клієнти повинні бути проінформовані про свої права на конфіденційність згідно із законом. Наприклад, вони можуть мати право вимагати інформацію про те, чи розкривала компанія особисту інформацію третім особам сторонам і яким третім сторонам, для маркетингових цілей або чи компанія продала будь-яку їх особисту інформацію без їх згода.

Контактна інформація компанії для клієнтів із запитаннями щодо конфіденційності

Компанія повинна завжди надавати клієнтам адресу електронної пошти, номер телефону та фізичну адресу, щоб клієнти могли зв’язатися з нею з будь-якими запитаннями чи відгуками щодо політики конфіденційності.

Право, відповідність та ІТ

Як відстежується активність облікового запису клієнта

Компанії часто використовують файли cookie, щоб відстежувати, з яких веб-сайтів переходять користувачі та на які вони переходять після того, як відвідали веб-сайт компанії. Крім того, діяльність з використання можна відстежувати на самому веб-сайті компанії. У політиці конфіденційності має бути пояснено, як ці файли cookie використовуються для відстеження дій користувачів, а також той факт, що користувачі можуть скасувати відстеження файлів cookie, якщо захочуть. Однак перед тим, як політика буде оприлюднена для користувачів, юридичний відділ, відділ відповідності, маркетинг і ІТ повинні визначити, які шаблони дій користувачів слід відстежувати та як використовувати інформацію відстеження.

Як інформація про клієнта надається третім особам

Внутрішні юридичні відділи, відділ дотримання нормативних вимог та ІТ мають розробити політики та стандарти, які регулюватимуть, як інформація про клієнтів буде надаватися третім сторонам і які засоби захисту конфіденційності будуть запроваджені. У спільному маркетингу, коли клієнт отримує інформацію та може відмовитися від надання особистих даних інформацію, з якою компанія може надати пряму інформацію про клієнта та контактну інформацію ділові партнери. В інших випадках, як-от пропонована на продаж аналітична інформація, від компанії може вимагатися анонімізувати контакти та інформацію окремих клієнтів, щоб дані не можна було відстежити особи.

Захист даних і безпека

Заходи безпеки, безпечне зберігання та захист даних з метою забезпечення конфіденційності мають бути визначені як політика та як процедури, які активуються в ІТ, яка є зберігачем даних. ІТ-практики повинні відповідати вказівкам і стандартам, які видаються як з юридичних джерел, так і з джерел відповідності.

Інформація журналу

У рамках управління мережею ІТ веде серверні журнали, які автоматично збирають і зберігають відомості про те, як користувачі використовували онлайн-послуги компанії; їхні телефони та/або IP-адреси, час контакту, тривалість контакту тощо; тип використовуваного браузера, а також час і дати їх запитів на обслуговування; та інформація, зібрана файлами cookie на веб-сайті. З точки зору конфіденційності, ІТ-служба, юридичний відділ і відділ відповідності повинні визначати, як ця інформація буде використовуватися всередині країни, як вона має бути захищена гарантувати конфіденційність і безпеку осіб, які використовують веб-сайт компанії, і за яких обставин буде дозволено ділитися цим інформації.

Практика конфіденційності співробітників

У компаніях, які працюють у галузях високочутливої ​​інформації про клієнтів (охорона здоров’я, фінанси, страхування тощо), співробітникам часто потрібно спілкуватися з клієнтами онлайн, телефоном або особисто. У цей час можна поділитися конфіденційною інформацією. Керуючись рекомендаціями юридичного відділу та відділу відповідності, компанія повинна мати набір письмових політик, які регулюють ставлення до працівників клієнтів та їхньої особистої інформації, що супроводжується навчанням усіх працівників, які виконують функції, пов’язані з клієнтами та/або контактують із конфіденційною інформацією. інформації. Подібні політики та процедури конфіденційності мають бути введені в дію для ІТ-персоналу, якому доручено керувати та отримувати доступ до приватної інформації клієнтів. У рамках цього процесу ІТ-спеціалісти повинні вести обширні журнали, які відстежують доступ співробітників, ІТ-спеціалістів і бізнес-партнерів до інформації про клієнтів.

Дотримання конфіденційності

Компанії повинні розробити політику та процедури, які мінімально забезпечують щорічні аудити інформаційної безпеки та конфіденційності клієнтів і іншу інформацію, яка має важливе значення для підприємства, з циклами аудиту, що стосуються та документують будь-які зміни в існуючій конфіденційності інформації практики.

Збереження даних

ІТ-спеціалісти разом із сферами бізнес-користувачів, відповідністю та юридичними особами мають щорічно переглядати політику збереження даних, вносячи та документуючи зміни, якщо це необхідно. Зберігання даних конкретно визначає, як довго конфіденційна історія клієнтів зберігатиметься в корпоративних сховищах даних.

Розробка та реалізація політики

Цикли аудиту та відповідність нормативним вимогам

Компанії повинні проконсультуватися зі своїми юрисконсультами, регуляторними органами та аудиторами, щоб визначити, що потрібно перевірити в сферах конфіденційності інформації. У деяких випадках компанії також можуть мати процедури внутрішнього аудиту, які виконують їхні власні групи аудиту та відповідності. У рамках процесу аудиту та відповідності компанії повинні вживати заходів, щоб гарантувати, що їхня політика конфіденційності підтримується в актуальному стані останні нормативні та відповідні правила, а також своєчасне опублікування оновлень політики для клієнтів, ділових партнерів та інших зацікавлені сторони.

Оновлення та схвалення політики

Оновлення політики конфіденційності мають бути опубліковані негайно після затвердження. Список підписів для схвалення для цих оновлень має бути узгоджений у компанії та повністю виконаний до того, як набуде чинності будь-яке оновлення політики. Усі оновлення політики мають супроводжуватися негайним випуском, а також освітою/навчанням для працівників, яких стосується ця політика. Для кожної політики слід підтримувати історичний запис усіх оновлень.

Підписання політики працівниками

У рамках процесу інструктажу для нових працівників слід вимагати, щоб співробітники були призначені на посади, які пов’язані з проблемами конфіденційності. пройти навчання, прочитати політику та підтвердити, що вони прочитали всі політики щодо конфіденційності, перш ніж почати завдання. Необхідно вести записи про всі підписи працівників.

Порушення та штрафи

Порушення політики конфіденційності може призвести до серйозних наслідків для співробітників і для компанії. З цієї причини співробітники повинні бути проінформовані про те, що порушення політики конфіденційності може призвести до дисциплінарної відповідальності що призвело до звільнення з роботи та цивільного та/або кримінального переслідування відповідно до федерального та/або державного законодавства закони. Працівники, які беруть на себе обов’язки, пов’язані із захистом приватної інформації, мають бути зобов’язані прочитати та підписати корпоративну заяву про порушення та покарання, перш ніж вони приступлять до виконання завдань. Компанія повинна вести облік цих підписаних підтверджень співробітників про те, що меморандум про порушення/штрафи було прочитано та зрозуміло.

Також див

• Дослідники пропонують метод відстеження коронавірусу через смартфони, захищаючи конфіденційність
• Зустрічайте NordSec: компанія, що стоїть за NordVPN, хоче стати вашим єдиним пакетом конфіденційності
• AI: Хто відповідає за конфіденційність?
• Компанії з поганою практикою конфіденційності на 80% частіше постраждають від порушення даних (TechRepublic)
• Atlas ID пропонує орієнтований на конфіденційність шлях до безпечнішого робочого місця (TechRepublic)