Як бізнес захищає дані клієнтів під час війни. Опитування 15 підприємств
Команда проєкту «Індекс захисту персональних даних 2023» (ГО «Інтерньюз-Україна») спробувала дослідити, як приватний бізнес працює з персональними даними клієнтів в умовах війни, опитавши представників 15 компаній у чотирьох містах, що відгукнулися на пропозицію взяти участь у дослідженні. Серед них - великі і малі компанії, що працюють у сферах роздрібної торгівлі, IT, медіа, транспортних та банківських послуг, виробництва медичного обладнання.
Такий зріз не є репрезентативним і не претендує на цілісність картини.
Персональні дані дозволяють ідентифікувати особу, зазвичай це комбінації даних, як-то прізвище, електронна пошта, номер телефону, вік, стать, яку споживачі послуг надають на вимогу компаній приватного сектору. Надалі даними розпоряджаються компанії, що нерідко передають її третім сторонам. Під час війни, розпорядження персональними даними є особливо чутливим, зокрема й з огляду на ризики для військових та членів їхніх родин.
Першочерговим завданням опитування було оцінити, чи компанії — учасниці дослідження переглянули свої корпоративні політики щодо персональних даних клієнтів. Також дослідники продемонстрували контекст, у якому працює український бізнес під час війни, загрози і ризики, з якими стикаються підприємці та як вони їх долають.
Що показало опитування 15 компаній, проведеного ГО «Інтерньюз-Україна» наприкінці 2022-го й на початку 2023-го:
- 10 з них втратили клієнтів через повномасштабне вторгнення, але 5 здобули нових;
- 6 зберегли штат, у 6-ти були незначні скорочення, а в трьох - масові;
- 9 компаній збирають адреси електронної пошти клієнтів, 9 - номери телефонів, 7 - імена, прізвища, 4 - локації (можна було обрати кілька варіантів); 5 компаній відповіли, що не збирають жодних даних під час реєстрації на сайті чи сервісі;
- 12 мають протоколи для швидких дій у разі надзвичайних ситуацій / кризи / війни, а саме:
- 12 – у разі тривалої відсутності енергопостачання;
- 8 – у разі тривалої відсутності зв’язку на випадок хакерських атак та протокол захисту на випадок окупації території, де розміщений головний офіс;
- 8 компаній посилили свій захист за допомогою технологічних рішень. Деякі оновили політики конфіденційності;
- 14 дозволили співробітникам працювати дистанційно, разом з тим 8 з 15 – не контролюють місцеперебування своїх працівників/-ць, що може становити ризик
для опрацювання персональних даних клієнтів.
- 9 компаній передбачили захищені протоколи для роботи в онлайні та
комунікації в цифровому просторі для своїх співробітників. Захищені
протоколи поступово стають стандартом роботи в приватному секторі;
- у 12 чітко прописані правила доступу до персональних даних клієнтів і його мають лише певні категорії співробітників.
Повний текст дослідження дивіться тут.
Дослідження створено в межах проєкту «Актуалізація конфіденційності в цифровій сфері в Україні» (Індекс захисту персональних даних 2022), що реалізується ГО «Інтерньюз-Україна», за підтримки ABA ROLI Ukraine / Rule of Law Initiative.
