Это краткое руководство о том, какие данные собирать, как хранить и защищать персональные данные клиентов и сотрудников в малом бизнесе Беларуси. Цель — снизить риски для компании и сохранить доверие клиентов без громоздких процессов и лишних затрат.
Что считать персональными данными и зачем их учитывать
Пример: маленькое кафе в Мозыре собирает имена, телефоны для доставки и даты дней рождения для рассылки скидок. Даже такой набор — персональные данные. Если данные не учитывать, риски: жалобы, штрафы, потеря клиентов.
Как сделать: составьте простой реестр данных в Excel или в CRM — строки: источник (касса, сайт, офлайн-форма), тип данных (ФИО, телефон, адрес), цель обработки (доставка, рассылка, бухгалтерия), срок хранения. Обновляйте раз в квартал.
Правовые основания и согласия: что нужно для рассылок и баз клиентов
Пример: салон красоты в Барановичах собирает контакты при записи по телефону и планирует отправлять SMS с акциями. Важный момент — у клиентов должно быть понятное согласие на рассылку.
Как сделать: при записи добавляйте одну фразу в чек-лист сотрудника: "Согласны получать SMS/письма о записи и акциях (да/нет)". Храните отметку в карточке клиента. Для онлайн-форм добавьте чекбокс без предзаполнения.
Хранение и доступ: как организовать безопасно и дешево
Пример: интернет-магазин из Гродно хранит базу клиентов на ноутбуке бухгалтера. Но ноутбук ломается, данные теряются или попадают посторонним.
Как сделать: перенесите базу в облако с надёжной авторизацией (двухфакторная через приложение), дайте доступ по ролям (менеджер видит заказы, бухгалтер — платёжные данные). Делайте резервные копии раз в неделю. Стоимость базового облачного тарифа в BYN нередко ниже стоимости одного часа простоя при проблеме с компьютером.
Передача данных третьим лицам и договоры с подрядчиками
Пример: маленькая пекарня в Витебске пользуется сторонним сервисом рассылок и бухгалтером-фрилансером. Передача данных без оформления отношений повышает риск утечки.
Как сделать: заключайте простые договоры о конфиденциальности с подрядчиками. В договоре укажите, какие данные передаются, цель, срок хранения и требования к безопасности (например, шифрование файлов, удаление по запросу). Если подрядчик использует облачный сервис, попросите краткое описание его мер защиты.
Уничтожение и сроки хранения: как не держать всё навсегда
Пример: небольшой магазин в Калинковичах хранит базы клиентов по годам и не удаляет неактивные контакты. Базы становятся устаревшими и увеличивают риски ошибок при рассылках.
Как сделать: установите правило хранения: активные клиенты — 3 года с последней покупки, потенциальные — 1 год без активности. По окончании срока удаляйте или анонимизируйте записи. В CRM настройте автоматическую архивацию и удаление.
Практические инструменты и бюджетные решения
Пример: парикмахерская в Вилейке хочет защитить данные, но бюджет ограничен. Можно использовать бесплатные или недорогие инструменты.
Как сделать: используйте менеджер паролей для учётных записей (есть бесплатные тарифы), включите автоматическое шифрование резервных копий в выбранном облаке, проверьте права доступа в используемых сервисах. Регулярный чек-лист безопасности — раз в месяц проверять, кому открыт доступ и есть ли старые аккаунты сотрудников.
Типичные ошибки
- Хранение баз на личных почтах и на локальных рабочих столах без бэкапов.
- Отсутствие записи о согласиях клиентов или использование предзаполненных чекбоксов.
- Передача данных подрядчику без простого договора о конфиденциальности.
- Неограниченный доступ сотрудников к финансовым и персональным данным.
- Отсутствие плана реагирования при утечке (что делать и кому сообщать).
Полезные ссылки: обзор правовых и практических шагов по работе с персональными данными в рассылках можно найти в материале RCS‑рассылки и персональные данные: закон и практические шаги для МСП Беларуси.
3 шага, которые можно сделать на неделе:
- Составить простой реестр данных (источники, цели, сроки) и сохранить копию в облаке.
- Добавить в процедуру записи клиента отметку о согласии для рассылок и обучить сотрудников.
- Проверить права доступа в основных сервисах и отключить лишние аккаунты бывших сотрудников.