Как гарантировать соблюдение законодательства в сфере обращения с персональными данными при организации гостевой сети WiFi?
Мы уже говорили о том, что в современном заведении, будь то кафе, ресторан, фитнес-центр или даже автомойка, гостевой WiFi является обязательным элементом сервиса. Но для владельца гостевой сети он может стать источником серьезных неприятностей и даже штрафов - если не соблюсти сложные требования законодательства РФ.
Они охватывают несколько сфер: от получения согласий от пользователя на сбор, обработку и хранения его данных - до хранения технических данных о работе сети. Впрочем, эти правила важны не только для юридической защиты компании, но и для корректной работы с пользователями и операторами связи.
Идентификация и согласия
Перед предоставлением доступа в интернет пользователь должен пройти идентификацию по номеру телефона через SMS или звонок. Это обязательное требование: без подтверждения номера доступ к Wi-Fi предоставлять нельзя.
Помимо этого необходимо получить от гостя согласие на обработку персональных данных и, при необходимости, отдельное согласие на получение рекламных сообщений. Без последнего согласия заведение не сможет отправлять гостю спецпредложения, напоминать о себе, если он давно не появлялся в вашем заведении, или предоставлять персональную скидку. Так что согласие на получение рекламы важно для маркетинга заведения - но предоставлять его гость не обязан. Факт акцепта (того, что клиент дал согласие) должен фиксироваться в логах так, чтобы его можно было доказать по запросу госорганов.
Хранение данных: зона ответственности бизнеса и оператора
Бизнес обязан хранить технические данные Wi-Fi: IP-адреса, MAC-адреса устройств, время начала и окончания сессии, а также точки подключения. Такие данные сохраняются минимум один год и должны быть защищены от изменения.
Местом хранения персональных данных могут быть
- локальные серверы компании (если они гарантированно защищены)
- облачные хранилища российских провайдеров с подтверждённой безопасностью
- специализированные сертифицированные центры обработки данных.
Всё, что касается хранения интернет-трафика, метаданных по «пакету Яровой» (неофициальное название двух законов, направленных на противодействие терроризму) и работы СОРМ-2/3 — это полностью зона ответственности оператора связи. Оборудование СОРМ устанавливается и обслуживается только оператором; бизнес, предоставляющий гостям Wi-Fi, не обязан его размещать.
Информационная безопасность и предоставление данных
Доступ к данным должен быть ограничен только уполномоченными сотрудниками, с применением шифрования, журналирования и иных мер защиты согласно требованиям федерального законодательства.
По запросу госорганов бизнес должен иметь возможность выгрузить технические данные и подтвердить полученные согласия и идентификацию пользователей.
Практика Hot-WiFi по соблюдению требований законодательства
Наша компания изначально строит сервисы с учётом всех регуляторных норм: обеспечиваем корректную идентификацию гостей, фиксируем и безопасно храним технические логи, предоставляем инструменты для получения согласий и соблюдаем требования 152-ФЗ. Мы в Hot-WiFi сотрудничаем с операторами связи для полного соблюдения ими СОРМ, что гарантирует заказчику полное соответствие действующему законодательству.