Как создать политику конфиденциальности, которая защитит вашу компанию и ваших клиентов

Согласно закону о конфиденциальности, политика конфиденциальности это заявление или юридический документ, в котором раскрываются некоторые или все способы сбора, использования, раскрытия и управления данными клиента или клиента. Обычно компании делятся этими данными о клиентах/клиентах со своими сторонними деловыми партнерами. Ежегодно информируя клиентов/клиентов по почте о политике конфиденциальности компании, касающейся сбора и распространения. данных о клиентах/клиентах, находящихся под управлением компании, компании выполняют требования законодательства по защите данных клиента или клиента. конфиденциальность. Например, вот Политика конфиденциальности Google.

На постоянной основе за обеспечение безопасности и конфиденциальности корпоративных данных отвечают распорядители данных внутри организации, в основном ИТ-специалисты.

В совокупности политики конфиденциальности информации важны для ИТ-специалистов, специалистов по соблюдению нормативных требований и других представителей бизнеса, потому что, если клиенты/клиенты сообщают компании, что они не хотят, чтобы их личная информация собиралась или передавалась, компании должны соблюдать эти решения; данные об этих людях не могут быть проданы или переданы другим лицам.

В организациях, где данные клиентов/клиентов чрезвычайно конфиденциальны, например, в страховании, финансовых услуг и здравоохранения, работники должны соблюдать меры защиты конфиденциальности, чтобы информация не была случайно общий.

Как использовать эти правила политики

То, как вы разрабатываете и поддерживаете свою политику конфиденциальности, будет зависеть от вашего бизнеса, ваших клиентов и отрасли, в которой вы работаете. Приведенные ниже рекомендации разбиты на общие категории, которые вам следует учитывать при комплексной проверке при разработке политики конфиденциальности. В зависимости от вашего бизнес-приложения ключевые моменты каждой темы будут иметь для вас разную степень важности. Сосредоточьтесь на тех руководящих принципах, которые имеют непосредственное отношение к вашей бизнес-модели, когда вы формулируете политику, которая соответствует обстоятельства вашей компании, но обязательно просмотрите другие темы, чтобы не упустить из виду еще одну важную область.

Кто должен участвовать

Политика конфиденциальности — это внутренний вопрос, который касается поведения сотрудников с конфиденциальной информацией, но он также имеет значительное влияние и последствия для ваших внешних заинтересованных сторон, будь то ваш совет директоров и инвесторы, ваши сторонние деловые партнеры или ваши клиенты. Поэтому, чтобы тщательно охватить все области конфиденциальности, над разработкой политики должна работать междисциплинарная группа. В эту команду должны входить:

• ЭТО
• Распорядитель корпоративной информации
• Согласие
• Административный орган компании, который обеспечивает актуальность компании и ее соответствие нормативным требованиям конфиденциальности.
• Юридический персонал, который знаком с действующим законодательством и последними прецедентами в области конфиденциальности и всегда должен вносить свой вклад и проводить комплексную проверку проектов или поправок, касающихся конфиденциальности, прежде чем они будут приняты.
• Сторонние деловые партнеры, которые могут захотеть использовать информацию о ваших клиентах для маркетинга или исследований, но должны понимать ограничения информации, которую вы можете им предоставить.
• Вспомогательный персонал, бизнес-функции/подрядчики, которым необходим доступ к конфиденциальной информации, поскольку это напрямую влияет на их возможности. выполнять свою работу (например, «гостевому» хирургу требуется доступ к истории болезни пациента при подготовке к деликатной операции).

Пункты, которые следует охватить в политике конфиденциальности

Конфиденциальность — это вопрос, который перекрывает функции законодательства/соответствия, маркетинга/связи с общественностью и ИТ до такой степени, что многие элементы должны решаться междисциплинарными группами. Элементы, которые должна учитывать политика конфиденциальности, включают:

• Обязательства перед клиентами/заинтересованными сторонами
• Как собирается и используется информация о клиентах
• Как передается информация о клиентах
• Как отслеживается активность учетной записи клиента
• Как информация о клиенте передается третьим лицам
• Защита данных и безопасность
• Выбор согласия или отказа, который клиенты могут сделать в отношении своей информации.
• Права клиента на конфиденциальность
• Контактная информация компании для клиентов с вопросами о конфиденциальности
• Информация для входа
• Соблюдение конфиденциальности
• Практика конфиденциальности сотрудников
• Хранение данных
• Эти элементы можно сгруппировать в две общие категории:
• Коммуникации и маркетинг
• Юридические вопросы, соблюдение требований и ИТ.

Коммуникации и маркетинг

Обязательства перед клиентами/заинтересованными сторонами

Заявление о политике конфиденциальности, которое компании публикуют для своих клиентов, должно начинаться с заявления о позиции компании относительно того, как она собирается защищать информацию клиентов. Многие компании используют этот начальный пункт политики, чтобы объяснить клиентам, что их данные будут зашифрованы и сохранены в безопасности и что данные не будут проданы другим лицам. Компания также заявляет, что политика конфиденциальности и доступ к ней всегда будут доступны клиентам и что при каждом изменении политики клиенты будут уведомлены.

Как собирается и используется информация о клиентах

Политика конфиденциальности, предоставляемая клиентам, должна объяснять, как компания планирует использовать информацию о клиентах (например, для улучшения продукты) и какую информацию о клиентах компания планирует собирать для этой цели (информация об учетных записях клиентов, просмотр история и др.). Если компания планирует использовать/собирать информацию о местоположении или личную информацию, которая находится на локальных устройствах пользователей, об этом также следует сообщить.

Как передается информация о клиентах

Политика конфиденциальности компании должна сообщать клиентам обо всех организациях, с которыми компания планирует делиться информацией о своих клиентах. Как правило, это филиалы или сторонние деловые партнеры компании, которые, по ее мнению, могут принести пользу клиентам.

Выбор согласия или отказа, который клиенты могут сделать в отношении своей информации.

Политика конфиденциальности должна объяснять клиентам, каковы их варианты согласия или отказа для сохранения конфиденциальности их информации. Например, компании могут предоставить клиентам возможность согласиться (или отказаться) от предложений рекламодателей или сторонним деловым партнерам или отказаться от анонимизации данных своих клиентов в целях аналитики. составление отчетов.

Права клиента на конфиденциальность

Клиенты должны быть проинформированы об их правах на конфиденциальность в соответствии с законом. Например, они могут иметь право запросить информацию о том, раскрыла ли компания личную информацию третьим лицам. лицам и каким третьим лицам в маркетинговых целях или в случае, если компания продала какую-либо их личную информацию без их согласие.

Контактная информация компании для клиентов с вопросами о конфиденциальности

Компания должна всегда предоставлять клиентам адрес электронной почты, номер телефона и физический адрес, чтобы клиенты могли связаться с ней с любыми вопросами или отзывами о политике конфиденциальности.

Юридические вопросы, соблюдение требований и ИТ

Как отслеживается активность учетной записи клиента

Компании часто используют файлы cookie, чтобы отслеживать, с каких веб-сайтов приходят пользователи и на какие веб-сайты они переходят после посещения веб-сайта компании. Кроме того, активность использования можно отслеживать на самом веб-сайте компании. Как эти файлы cookie используются для отслеживания действий пользователей, должно быть объяснено в политике конфиденциальности, а также тот факт, что пользователи могут отключить отслеживание файлов cookie, если захотят. Однако прежде чем политика будет опубликована для пользователей, юридические отделы, отделы обеспечения соответствия, маркетинговые и ИТ-специалисты должны определить, какие модели активности пользователей следует отслеживать и как использовать информацию отслеживания.

Как информация о клиенте передается третьим лицам

Внутренние юридические отделы, отделы по соблюдению нормативных требований и ИТ-отделы должны разработать политики и стандарты, которые определяют, как информация о клиентах будет предоставляться третьим лицам и какие меры защиты конфиденциальности будут реализованы. В рамках совместного маркетинга, когда клиент информируется и может отказаться от обмена личными данными. информацию, компания может поделиться прямой информацией о клиентах и ​​контактной информацией с деловые партнеры. В других случаях, например, если на продажу выставлена ​​аналитическая информация, от компании может потребоваться анонимизировать контакты и информацию отдельных клиентов, чтобы данные нельзя было отследить лица.

Защита данных и безопасность

Меры безопасности, безопасное хранение и защита данных в целях конфиденциальности должны быть определены как политика и процедуры, которые активируются в ИТ-отделе, который является хранителем данных. ИТ-практики должны соответствовать руководствам и стандартам, выпущенным как юридическими, так и нормативными источниками.

Информация журнала

В рамках управления сетью ИТ-отдел ведет журналы сервера, которые автоматически собирают и сохраняют сведения о том, как пользователи использовали онлайн-сервисы компании; их телефонные и/или IP-адреса, время контакта, продолжительность контакта и т. д.; используемый тип браузера, а также время и даты запросов на обслуживание; и информация, собранная с помощью файлов cookie на веб-сайте. С точки зрения конфиденциальности, ИТ-, юридические и нормативные органы должны определить, как эта информация будет использоваться внутри компании, как ее следует защищать. гарантировать конфиденциальность и безопасность лиц, использующих веб-сайт компании, и при каких обстоятельствах будет разрешено делиться этим информация.

Практика конфиденциальности сотрудников

В компаниях, работающих в отраслях с очень конфиденциальной информацией о клиентах (здравоохранение, финансы, страхование и т. д.), сотрудникам часто приходится взаимодействовать с клиентами через Интернет, по телефону или лично. В это время конфиденциальная информация может быть передана. Руководствуясь рекомендациями юридического отдела и отдела соблюдения нормативных требований, компания должна иметь набор письменных политик, определяющих, как сотрудники должны обращаться с клиентов и их личную информацию, сопровождаемое обучением всех сотрудников, выполняющих функции по работе с клиентами и/или контактирующих с конфиденциальной информацией. информация. Аналогичные политики и процедуры конфиденциальности должны быть приняты для ИТ-персонала, которому поручено управление частной информацией клиентов и доступ к ней. В рамках этого процесса ИТ-отдел должен вести обширные журналы, в которых отслеживается доступ сотрудников, ИТ-специалистов и деловых партнеров к информации о клиентах.

Соблюдение конфиденциальности

Компании должны разработать политику и процедуры, которые минимально гарантируют ежегодные проверки информационной безопасности и конфиденциальности клиентов и другая информация, имеющая решающее значение для предприятия, при этом циклы аудита учитывают и документируют любые изменения в существующей конфиденциальности информации. практики.

Хранение данных

ИТ-отделы вместе с подразделениями бизнес-пользователей, отделом соблюдения требований и юридическим отделом должны ежегодно пересматривать политику хранения данных, внося и документируя изменения по мере необходимости. Хранение данных конкретно определяет, как долго конфиденциальная история клиентов будет храниться в корпоративных хранилищах данных.

Разработка и реализация политики

Циклы аудита и соответствие нормативным требованиям

Компаниям следует проконсультироваться со своими юрисконсультами, регулирующими органами и аудиторами, чтобы определить, что необходимо проверить в области конфиденциальности информации. В некоторых случаях компании могут также иметь процедуры внутреннего аудита, которые выполняют их собственные группы по аудиту и обеспечению соответствия. В рамках процесса аудита и соблюдения требований компании должны предпринять шаги, чтобы гарантировать, что их политика конфиденциальности поддерживается в актуальном состоянии. новейшие нормативные правила и правила соответствия, а также своевременное предоставление обновлений политики клиентам, деловым партнерам и другим лицам. заинтересованные стороны.

Обновления и утверждения политик

Обновления политики конфиденциальности должны выпускаться немедленно после утверждения. Список подписей для утверждения этих обновлений должен быть согласован внутри компании и должен быть полностью выполнен до того, как какое-либо обновление политики вступит в силу. Все обновления политики должны сопровождаться немедленным выпуском, а также обучением/подготовкой сотрудников, на которых распространяется политика. Для каждой политики необходимо вести исторический учет всех обновлений.

Подписание полиса сотрудниками

В рамках нового процесса ориентации сотрудников необходимо потребовать, чтобы сотрудники были назначены на должности, связанные с вопросами конфиденциальности. пройти обучение, прочитать политики и подписать, что они прочитали все политики, касающиеся конфиденциальности, прежде чем приступить к работе задания. Необходимо вести учет всех подписей сотрудников.

Нарушения и штрафы

Нарушения политики конфиденциальности могут привести к серьезным последствиям для сотрудников и компании. По этой причине сотрудники должны быть проинформированы о том, что нарушение политики конфиденциальности может повлечь за собой дисциплинарные взыскания. ведущее к увольнению и включая увольнение, а также гражданское и/или уголовное преследование на федеральном уровне и/или уровне штата. законы. Сотрудники, принимающие на себя обязанности, связанные с защитой частной информации, должны быть обязаны прочтите и подпишите корпоративное заявление о нарушениях и штрафах, прежде чем приступить к своим обязанностям. Компания должна вести учет подписанных сотрудниками подтверждений того, что меморандум о нарушениях/штрафах был прочитан и понят.

Также см

• Исследователи предлагают метод отслеживания коронавируса через смартфоны, сохраняя при этом конфиденциальность
• Встречайте NordSec: компания, стоящая за NordVPN, хочет стать вашим универсальным пакетом конфиденциальности.
• AI: Кто несет ответственность за конфиденциальность?
• Компании с плохой политикой конфиденциальности на 80% чаще страдают от утечки данных (Техреспублик)
• Atlas ID предлагает ориентированный на конфиденциальность путь к более безопасному рабочему месту (Техреспублик)