Сервис онлайн‑записи (услуги B2C): от риска штрафов за биометрию до безопасной модели

Было

Онлайн‑сервис записи к врачам/мастерам красоты с мобильным приложением.
В приложении хранились фото клиентов, сканы документов, история посещений и комментарии персонала.
Фото использовались для идентификации и маркетинга, но не были оформлены как биометрические ПДн, ничего не было сказано в согласии.
Отсутствовал понятный процесс, как клиент может потребовать удаление данных или прекращение обработки.
Настройки доступа: сотрудники салонов имели более широкий доступ, чем им нужно по должностным обязанностям.

Стало (по итогам аудита)

Переклассифицировали часть данных как биометрические, пересмотрели цели обработки и правовые основания с учётом 266‑ФЗ.
Разделили согласия:

- базовая обработка для оказания услуг;
- отдельное согласие на использование фото в рекламных материалах и публикацию профиля клиента (режим ПДн, разрешённых для распространения по 519‑ФЗ).

Ввели в приложение понятный интерфейс для:

- запроса на удаление данных;
- отзыва согласия на распространение/маркетинг;
- настройки приватности профиля.

Перенастроили роли доступа: мастерам видна только информация, необходимая для записи и оказания услуги, без лишних персональных и медицинских деталей.
Подготовили регламент обработки обращений субъектов ПДн и шаблоны ответов.

Результат для офера: «Сервис снизил риск штрафов за некорректную обработку биометрии и публичных данных, повысил доверие клиентов за счёт прозрачных настроек приватности и получил конкурентное преимущество: “наши клиенты контролируют свои данные в один клик”

Получить консультацию

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

Читайте по теме

22 июня 2024г.

Опасное заблуждение: "Системы информационной безопасности неэффективны и бесполезны! Это пустая трата денег!"

Что будет, если в один день на рабочем компьютере появится сообщение о том, что все данные и файлы зашифрованы, и необходимо заплатить выкуп в размере 130 000$, чтобы получить расшифрованные базы данных клиентов, информацию о продажах. Зашифровано все - даже база поставщиков, текущих отгрузок, движении товаров, не говоря уже про персональные данные сотрудников, и непонятно, кто, кому и что должен доставить и заплатить, в том числе зарплату. В результате в один день бухгалтер (“случайно”) активировал вирус на компьютере, данные 1С оказались зашифрованы, резерва не было, сегментации сети не было - все бизнес процессы процессы остановились за считанные минуты. Компания не смогла оправиться и оказалась разоренной, проще было начать бизнес с нуля.

19 октября 2024г.

Чеклист по защите сети компании

Создание надежной защиты для корпоративной сети — ключ к сохранению безопасности данных. В этом чеклисте собраны важнейшие шаги и рекомендации по обеспечению защиты сети компании, включая предотвращение утечек и защиту от внешних угроз.

16 ноября 2024г.

Как выбрать надежные средства защиты информации - полезные советы и рекомендации

Выбор надежных средств защиты информации — ключевой шаг для обеспечения безопасности бизнеса. В статье рассмотрим, на что обратить внимание при выборе решений, какие факторы важны для защиты данных и как избежать распространенных ошибок.