Урок 1. Персональные данные: что нужно знать#
Цель: понять базовые требования к работе с персональными данными, чтобы не нарушить закон и не потерять доверие клиентов.
Что такое персональные данные#
Персональные данные (ПД) — это любая информация, которая позволяет идентифицировать человека:
- Очевидные: имя, фамилия, email, телефон, паспортные данные, адрес
- Косвенные: IP-адрес, геолокация, cookie, история покупок, медицинские данные
Если ваш агент работает с такими данными — вы обязаны их защищать.
Законы о персональных данных#
В России:
- ФЗ-152 «О персональных данных» (2006, обновлялся)
- Требует: согласие на обработку, защиту данных, уведомление Роскомнадзора (для крупных баз)
В Европе:
- GDPR (General Data Protection Regulation) (2018)
- Требует: явное согласие, право на удаление данных, право на экспорт, штрафы до €20 млн или 4% оборота
В мире:
- Похожие законы в США (CCPA), Канаде, Австралии и других странах
Что это значит для вас:
Если ваш агент работает с клиентами из России или Европы — вам нужно соблюдать эти требования (хотя бы на базовом уровне).
Базовые принципы работы с ПД#
1. Минимизация данных
Собирайте только те данные, которые действительно нужны для работы агента.
Плохо:
«Заполните анкету: имя, фамилия, дата рождения, адрес, паспортные данные, ИНН...» (а агент просто отвечает на вопросы по продуктам).
Хорошо:
«Как вас зовут и на какой email отправить ответ?» (минимум для связи).
2. Согласие
Получите явное согласие пользователя на обработку данных.
Пример:
☑️ «Я согласен на обработку персональных данных (имя, email) для получения ответа от бота. Политика конфиденциальности»
3. Безопасное хранение
Храните данные в защищённых системах:
- используйте HTTPS для передачи данных
- храните данные в проверенных сервисах (Google Sheets с ограниченным доступом, Airtable, CRM с шифрованием)
- не храните данные в открытых таблицах или файлах
4. Право на удаление
Пользователь может запросить удаление своих данных. У вас должна быть возможность это сделать.
Пример:
Пользователь пишет: «Удалите мои данные из базы». Вы удаляете его запись из Google Sheets / CRM.
5. Уведомление о нарушении
Если произошла утечка данных — вы обязаны уведомить пользователей и регулятора (в России — в течение 24 часов).
Типичные ошибки с ПД#
| Ошибка | Почему это проблема | Как исправить |
|---|---|---|
| Хранение паролей в открытом виде | Легко украсть, нарушение закона | Никогда не храните пароли; используйте OAuth |
| Таблица с клиентами доступна по ссылке | Любой может скачать базу | Ограничьте доступ (только вы + сервисный аккаунт) |
| Передача данных через HTTP (не HTTPS) | Данные передаются в открытом виде | Используйте только HTTPS |
| Нет политики конфиденциальности | Нарушение GDPR, пользователи не знают, что вы делаете с данными | Добавьте ссылку на политику конфиденциальности |
| Нет возможности удалить данные | Нарушение GDPR (право на забвение) | Сделайте форму или email для запроса на удаление |
Чек-лист «Безопасность ПД»#
- Собираю только необходимые данные (минимизация)
- Получаю согласие на обработку (чекбокс, явное подтверждение)
- Храню данные в защищённом месте (HTTPS, ограниченный доступ)
- Есть политика конфиденциальности (доступна по ссылке)
- Есть возможность удалить данные по запросу
- Не передаю данные третьим лицам без согласия
- Не храню пароли и платёжные данные (использую OAuth, Stripe)
Практический пример: бот квалификации лидов#
Какие данные собираем:
Имя, email, телефон, название компании, задача (текстом).
Что делаем:
- Минимизация: не спрашиваем адрес, ИНН, паспортные данные (они не нужны для квалификации)
- Согласие: добавляем чекбокс «Я согласен на обработку данных»
- Хранение: данные сохраняются в Google Sheets с доступом только для владельца + сервисного аккаунта
- Политика: добавляем ссылку «Политика конфиденциальности» (страница на сайте)
- Удаление: в политике указываем email для запроса на удаление (например, privacy@example.com)
Результат: агент работает законно и безопасно.