Блог
Проектируемая конфиденциальность в коучинге: забота о персональных данных клиентов
Светлана Половинкина, выпускница Erickson BY & UAE, бизнес-коуч, ментор, эксперт в области маркетинговых исследований.
В 2016–2018 гг. координировала проект по сбору персональных данных пользователей методом опроса в IT компании в рамках подготовки к вступлению в силу GDPR. Разработала Survey Policy (Политику проведения опросов) для внутреннего использования и обучающие материалы по сбору персональных данных для студентов и интернов.
В 2016–2018 гг. координировала проект по сбору персональных данных пользователей методом опроса в IT компании в рамках подготовки к вступлению в силу GDPR. Разработала Survey Policy (Политику проведения опросов) для внутреннего использования и обучающие материалы по сбору персональных данных для студентов и интернов.
Во время обучения в школе Erickson много говорят об этике и конфиденциальности. Это является основой доверия, т.к. коуч постоянно имеет дело с личной информацией о клиенте, его окружении, его мыслях и чувствах, отношении к событиям и людям, узнает о целях клиента и планируемых способах достижения этих целей. Коуч создает безопасную среду, благодаря которой клиент раскрывается, свободно исследует свое поведение и планирует будущее. Неотъемлемая составляющая конфиденциальности – это также и безопасность персональных данных, которые клиент открывает коучу. Только клиент в праве решать, какие сведения раскрывать третьим лицам. В определенных случаях обнародованные сведения могут нанести ущерб репутации и коммерческой деятельности клиента.
Любые операции, совершаемые с персональными данными, называются обработкой. К таким операциям относятся:
Обрабатывая чьи-либо персональные данные, вы несете ответственность перед владельцем этих данных (субъектом персональных данных) обеспечить их защиту и использовать в соответствии с той целью, с которой они собирались.
В чем же заключаются обязательства коуча в процессе обработки персональных данных клиентов? Для удобства рассмотрим, взаимодействие коуча с клиентом на различных этапах.
- сбор,
- хранение,
- изменение,
- использование,
- передача,
- распространение,
- систематизация,
- обезличивание,
- уничтожение и др.
Обрабатывая чьи-либо персональные данные, вы несете ответственность перед владельцем этих данных (субъектом персональных данных) обеспечить их защиту и использовать в соответствии с той целью, с которой они собирались.
В чем же заключаются обязательства коуча в процессе обработки персональных данных клиентов? Для удобства рассмотрим, взаимодействие коуча с клиентом на различных этапах.
19.02.2024
Современные тенденции в мире таковы, что в будущем защита персональных данных будет строиться не на страхе наказания за нарушения, а на качественно организованных бизнес-процессах. Чтобы заслужить доверие клиентов, бизнес должен обеспечить безопасное движение данных пользователей в каждой точке контакта. Защита персональных данных должна быть встроена во все бизнес-процессы, технологии и сервисы, так называемая «проектируемая конфиденциальность» (Privacy by Design). Это применимо и в коучинге.
Что же такое персональные данные?
Это сведения, которые позволяют определить личность (физическое лицо), которой они принадлежат. Данные остаются персональными до тех пор, пока в них присутствуют какие-либо признаки, которые могут установить эту личность. Такие признаки могут быть как прямыми, так и косвенными.
В коучинге прямо идентифицирующими данными клиентов могут быть:
Коучинг проходит в формате живого разговора коуча и клиента. Персональная информация в основном собирается через вопросы коуча, когда клиент сам решает, что рассказывать. В историях клиентов может содержаться много деталей, которые в совокупности косвенно могут идентифицировать личность, например, пол, возраст, должность, сфера деятельности, посещаемые места, семейное положение, имена родных или клиентов и др. Также клиенты могут рассказывать о ситуациях из своей жизни, взаимоотношениях, профессиональных достижениях. Даже не называя имен, определенные факты могут быть узнаваемы другими людьми. К коучам часто приходят по рекомендации, и есть вероятность невольно раскрыть секреты своих клиентов, делясь их кейсами.
Что же такое персональные данные?
Это сведения, которые позволяют определить личность (физическое лицо), которой они принадлежат. Данные остаются персональными до тех пор, пока в них присутствуют какие-либо признаки, которые могут установить эту личность. Такие признаки могут быть как прямыми, так и косвенными.
В коучинге прямо идентифицирующими данными клиентов могут быть:
- имя и фамилия,
- телефон,
- email,
- никнейм в социальных сетях и мессенджерах и т.д.
Коучинг проходит в формате живого разговора коуча и клиента. Персональная информация в основном собирается через вопросы коуча, когда клиент сам решает, что рассказывать. В историях клиентов может содержаться много деталей, которые в совокупности косвенно могут идентифицировать личность, например, пол, возраст, должность, сфера деятельности, посещаемые места, семейное положение, имена родных или клиентов и др. Также клиенты могут рассказывать о ситуациях из своей жизни, взаимоотношениях, профессиональных достижениях. Даже не называя имен, определенные факты могут быть узнаваемы другими людьми. К коучам часто приходят по рекомендации, и есть вероятность невольно раскрыть секреты своих клиентов, делясь их кейсами.
Каким образом коуч может показать своим клиентам, что их данные под защитой?
Начало отношений коуча и клиента
Согласно закону, предоставление персональных данных должно быть добровольным, осознанным и осуществляться с определенной целью. Первая коучинговая встреча — это в том числе и процесс получения законного согласия клиента. Для принятия осознанного решения о работе с коучем клиент должен получить правдивую информацию о коучинге, сессиях, организационных и финансовых вопросах, ответственности за результат и т.д. Также стоит обозначить, что клиент имеет возможность прекратить работу с коучем в любой момент и отозвать свои персональные данные.
Коучу важно задумываться о том, какая именно информация необходима для коучинга. Нельзя собирать персональные данные в большем объеме, чем это необходимо для достижения цели, которая озвучена клиенту. Например, стоит подумать, насколько необходимо составлять подробный профиль клиента, предлагать клиенту пройти различные психологические тесты или собирать все существующие контактные данные клиента. Если это важно для коучинга и клиент согласен, то такую информацию можно собирать.
Юридические лица предоставляют клиентам ссылку на Политику обработки персональных данных, где должны быть указаны все возможные категории собираемых персональных данных, способы их обработки и перечень людей и юр лиц, которым они могут передаваться, а также сроки хранения персональных данных. Такие сведения обычно указываются в Пользовательском соглашении, которое должно быть опубликовано в открытом доступе.
Коучу важно задумываться о том, какая именно информация необходима для коучинга. Нельзя собирать персональные данные в большем объеме, чем это необходимо для достижения цели, которая озвучена клиенту. Например, стоит подумать, насколько необходимо составлять подробный профиль клиента, предлагать клиенту пройти различные психологические тесты или собирать все существующие контактные данные клиента. Если это важно для коучинга и клиент согласен, то такую информацию можно собирать.
Юридические лица предоставляют клиентам ссылку на Политику обработки персональных данных, где должны быть указаны все возможные категории собираемых персональных данных, способы их обработки и перечень людей и юр лиц, которым они могут передаваться, а также сроки хранения персональных данных. Такие сведения обычно указываются в Пользовательском соглашении, которое должно быть опубликовано в открытом доступе.
Проведение коучинговой сессии
Клиенты должны быть проинформированы о целях сбора персональных данных. Применительно к коучинговой сессии необходимо говорить о целях любых записей. Важно озвучить, что во время сессии коуч может делать письменные пометки, и сообщить, как они будут использоваться. Такие записи тоже содержат персональные данные, и все действия с этими данными должны быть совершены в соответствии с принципами закона.
Отдельным образом должно быть получено согласие на ведение аудиозаписи сессии. Фото, видео- и аудиозаписи могут косвенно установить личность через физические особенности (специфика речи и голоса, типичные фразы, изображение лица, рост, вес, походка, жесты, телосложение, татуировки, шрамы и пр.). Такие данные называются биометрическими. Каждый раз нужно проговорить цель ведения записи и получить согласие клиента в виде четкого ответа (голосом на аудио или в письменном виде).
Важно, чтобы персональные данные обрабатывались именно с той целью, которая была озвучена клиенту. К примеру, если аудиозапись сессии была сделана для обучения коуча (например, для прохождения менторинга или экзамена), то ее нельзя использовать в качестве портфолио коуча во время переговоров с новыми клиентами. Также все собранные контактные данные клиентов для ведения учета сессий не могут быть использованы для рассылки рекламы.
Отдельным образом должно быть получено согласие на ведение аудиозаписи сессии. Фото, видео- и аудиозаписи могут косвенно установить личность через физические особенности (специфика речи и голоса, типичные фразы, изображение лица, рост, вес, походка, жесты, телосложение, татуировки, шрамы и пр.). Такие данные называются биометрическими. Каждый раз нужно проговорить цель ведения записи и получить согласие клиента в виде четкого ответа (голосом на аудио или в письменном виде).
Важно, чтобы персональные данные обрабатывались именно с той целью, которая была озвучена клиенту. К примеру, если аудиозапись сессии была сделана для обучения коуча (например, для прохождения менторинга или экзамена), то ее нельзя использовать в качестве портфолио коуча во время переговоров с новыми клиентами. Также все собранные контактные данные клиентов для ведения учета сессий не могут быть использованы для рассылки рекламы.
После коучинговой сессии
После того, как персональные данные собраны, возникает вопрос хранения и использования. По каждой категории персональных данных должен быть определен срок хранения, по истечении которого они должны быть удалены или обезличены без возможности восстановления. Определить этот срок можно на основании времени, которое требуется для реализации цели. Например, после прохождения обучения, когда проведены все менторинги и сданы экзамены, нужно удалить аудиозаписи и транскрибации сессий (на всех носителях и, в том числе, отозвать предоставленный доступ третьим лицам или попросить их удалить данные). После завершения работы с клиентом по прошествии определенного времени необходимо удалять пометки коуча, сделанные во время сессий.
Длительность хранения также может определяться сроком возможности разрешения спорных ситуаций, например, чтобы иметь возможность доказать клиенту качество оказанных услуг или чтобы восстановить историю коучинговой работы с клиентом, если он/она готов(-а) вернуться к коучингу через некоторое время. Главное, чтобы сроки хранения были определены и соблюдались.
Один из важнейших вопросов в отношении персональных данных – это ответственность перед клиентом за безопасность этих данных. Коуч должен обеспечить все необходимые меры, чтобы не допустить утечку или неправомерное использование сведений клиентов. Здесь стоит обратить внимание на то, как вы храните и передаете персональные данные клиентов:
Возможно, наименее очевидный тип хранимых персональных данных, это заметки коуча, которые делаются во время сессии. Кто может увидеть эти записи? В случае, если кто-то из клиентов поделится с вами своей бизнес-идеей, то даже записи коуча могут послужить причиной утечки ценной для клиента информации, если они станут доступны конкурентам или попадут не в те руки.
Длительность хранения также может определяться сроком возможности разрешения спорных ситуаций, например, чтобы иметь возможность доказать клиенту качество оказанных услуг или чтобы восстановить историю коучинговой работы с клиентом, если он/она готов(-а) вернуться к коучингу через некоторое время. Главное, чтобы сроки хранения были определены и соблюдались.
Один из важнейших вопросов в отношении персональных данных – это ответственность перед клиентом за безопасность этих данных. Коуч должен обеспечить все необходимые меры, чтобы не допустить утечку или неправомерное использование сведений клиентов. Здесь стоит обратить внимание на то, как вы храните и передаете персональные данные клиентов:
- Кто имеет доступ к вашему персональному компьютеру?
- Кто имеет доступ к корпоративному или облачному хранилищу?
- Какими способами вы передаете данные?
- Насколько вы доверяете третьим лицам, которым передаете данные, и есть ли с ними договоренность об удалении персональных данных после реализации цели?
- Защищаете ли вы паролем данные при передаче?
- Ограничиваете ли вы доступ к данным при передаче определенному кругу лиц?
Возможно, наименее очевидный тип хранимых персональных данных, это заметки коуча, которые делаются во время сессии. Кто может увидеть эти записи? В случае, если кто-то из клиентов поделится с вами своей бизнес-идеей, то даже записи коуча могут послужить причиной утечки ценной для клиента информации, если они станут доступны конкурентам или попадут не в те руки.
После окончании срока хранения персональных данных они должны быть полностью удалены или обезличены (т.е. удалены идентификаторы, которые позволяют установить личность). Обезличенные данные больше не регулируются законом о защите персональных данных, но могут регулироваться соглашением о неразглашении. Также к персональным данным не относятся сведения в обобщенном виде, например, графики, таблицы, выводы в отчетах по результатам исследования, отчеты о деятельности компании за период и т.д. Коучи могут делиться статистикой запросов своих клиентов по категориям, количеством проведенных сессий, сегментацией своих клиентов по каким-либо признакам, если эти признаки не выдают конкретных клиентов, например, если это единственный игрок на рынке в этой сфере или один из лидеров отрасли.
Если же вы просили клиента пройти опрос или психологический тест, то таким образом персональные данные могли быть собраны, так называемым, пассивным способом, например, могли фиксироваться данные о геолокации, IP адресе, модели девайса, версии операционной системы и браузера, cookies и т.д. Стоит заранее проверить, какие данные собираются этим инструментом и отключить по возможности запись несущественных для результата клиента метрик. Если же что-то из этого записывается инструментом, то необходимо проинформировать клиента о том, что сбор данных не анонимный. После завершения работы с клиентом эти данные также должны быть удалены или обезличены.
Итак, коучинговый процесс может быть организован таким образом, чтобы клиентам предоставлялась безопасность персональных данных по умолчанию. С чего стоит начать создание процессов, которые обеспечат безопасную обработку персональных данных?
Если же вы просили клиента пройти опрос или психологический тест, то таким образом персональные данные могли быть собраны, так называемым, пассивным способом, например, могли фиксироваться данные о геолокации, IP адресе, модели девайса, версии операционной системы и браузера, cookies и т.д. Стоит заранее проверить, какие данные собираются этим инструментом и отключить по возможности запись несущественных для результата клиента метрик. Если же что-то из этого записывается инструментом, то необходимо проинформировать клиента о том, что сбор данных не анонимный. После завершения работы с клиентом эти данные также должны быть удалены или обезличены.
Итак, коучинговый процесс может быть организован таким образом, чтобы клиентам предоставлялась безопасность персональных данных по умолчанию. С чего стоит начать создание процессов, которые обеспечат безопасную обработку персональных данных?
Шаг 1: проведите ревизию всех персональных данных, которые вы собираете, и составьте их перечень. Проанализируйте, что из этого все еще необходимо для оказания коучинговых услуг, а что уже стоит удалить.
Соберите все, что сможете найти на вашем персональном компьютере, в телефоне и на других носителях, в облачных хранилищах, мессенджерах, электронной почте, ваших пометках и других каналах. Данные могут храниться в различных форматах (в виде документов, аудио- и видеозаписей, контактов, текстом и таблицей и т.д.). Возможно, вы обнаружите то, о чем уже забыли.
Шаг 2: определите категории субъектов персональных данных и наборы данных о них.
К категориям субъектов могут относиться клиенты, сотрудники, кандидаты на вакансии, партнеры и др. Клиенты в свою очередь могут быть текущими и ушедшими, зарегистрированными и незарегистрированными (либо другая сегментация, применимая к вашему случаю).
Шаг 3: опишите процессы обработки персональных данных для каждой категории субъектов: типы и объемы данных, цели сбора, сроки хранения, группы доступов к данным, способы хранения и передачи, уничтожение или обезличивание и др.
Важно вести учет всех данных и четко представлять путь их движения на всех этапах. Для разных категорий субъектов могут быть применены различные процессы обработки персональных данных. Ко всем категориям субъектов должны применяться одни и те же принципы закона о защите персональных данных. Интересы субъектов персональных данных должны помещаться в центр проектирования процессов.
Шаг 4: расставьте приоритеты и составьте план построения процессов.
Возможно, перестройка некоторых процессов займет много времени. Но главное начертить путь движения персональных данных по вашим процессам и сделать это движение прозрачным и подконтрольным вам. Лучше автоматизировать те процессы, где можно устранить ручной труд, чтобы снизить влияние человеческого фактора.
Если вдруг в начале реорганизация процессов обработки персональных данных покажется вам сложной задачей, то стоит посмотреть дальше и определить, ради чего большего все эти усилия. Задайте себе вопросы:
Для меня персональные данные – это не только набор законодательно определенных мер, но и прежде всего культура обращения с данными: как я забочусь о безопасности своих данных в сети и как я поступаю с данными моих клиентов, коллег, друзей, знакомых, случайных контактов. Важно не только следовать закону, но и создавать эту культуру своими действиями и осознанностью, которые являются основой нашей безопасности и доверия друг к другу.
Соберите все, что сможете найти на вашем персональном компьютере, в телефоне и на других носителях, в облачных хранилищах, мессенджерах, электронной почте, ваших пометках и других каналах. Данные могут храниться в различных форматах (в виде документов, аудио- и видеозаписей, контактов, текстом и таблицей и т.д.). Возможно, вы обнаружите то, о чем уже забыли.
Шаг 2: определите категории субъектов персональных данных и наборы данных о них.
К категориям субъектов могут относиться клиенты, сотрудники, кандидаты на вакансии, партнеры и др. Клиенты в свою очередь могут быть текущими и ушедшими, зарегистрированными и незарегистрированными (либо другая сегментация, применимая к вашему случаю).
Шаг 3: опишите процессы обработки персональных данных для каждой категории субъектов: типы и объемы данных, цели сбора, сроки хранения, группы доступов к данным, способы хранения и передачи, уничтожение или обезличивание и др.
Важно вести учет всех данных и четко представлять путь их движения на всех этапах. Для разных категорий субъектов могут быть применены различные процессы обработки персональных данных. Ко всем категориям субъектов должны применяться одни и те же принципы закона о защите персональных данных. Интересы субъектов персональных данных должны помещаться в центр проектирования процессов.
Шаг 4: расставьте приоритеты и составьте план построения процессов.
Возможно, перестройка некоторых процессов займет много времени. Но главное начертить путь движения персональных данных по вашим процессам и сделать это движение прозрачным и подконтрольным вам. Лучше автоматизировать те процессы, где можно устранить ручной труд, чтобы снизить влияние человеческого фактора.
Если вдруг в начале реорганизация процессов обработки персональных данных покажется вам сложной задачей, то стоит посмотреть дальше и определить, ради чего большего все эти усилия. Задайте себе вопросы:
- Что приобретут мои клиенты, если в коучинговый процесс будет встроена «проектируемая конфиденциальность»?,
- Что станет возможным для моих клиентов, если я создам для них наиболее безопасную среду?,
- Что изменится для меня как коуча, когда я буду уверен(-на) в том, что персональные данные моих клиентов находятся под надежной защитой?
Для меня персональные данные – это не только набор законодательно определенных мер, но и прежде всего культура обращения с данными: как я забочусь о безопасности своих данных в сети и как я поступаю с данными моих клиентов, коллег, друзей, знакомых, случайных контактов. Важно не только следовать закону, но и создавать эту культуру своими действиями и осознанностью, которые являются основой нашей безопасности и доверия друг к другу.
Полезные ссылки:
- Понятие персональных данных определяется на уровне законодательства страны, на территории которой действует субъект персональных данных и/или оператор, который обрабатывает персональные данные. В Республике Беларусь это закон «О защите персональных данных» (2021 г.)
- https://pravo.by.
- На территории Евросоюза действует Общий регламент о защите данных – GDPR (The EU General Data Protection Regulation). Многие страны, в том числе в Беларусь, пересмотрели законы о защите персональных данных, создавая аналоги GDPR или используя отдельные практики. GDPR также применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании. Видео о том, что такое GDPR
- https://www.youtube.com/watch.