Камиль Егелев, прайвеси консультант Yegelev Consulting и ex-руководитель группы комплаенса работы с персональными данными в юрдепе Яндекс Go, расскажет:
- почему не получится просто отдать этот вопрос юристам
- в чем отличие от инфобеза
- как соответствовать требованиям при небольших ресурсах
- какие риски для стартапов и зрелых бизнесов
YNDX Family
Материал подготовлен на основе онлайн-встречи YNDX Family, неофициального сообщества текущих и бывших сотрудников группы Яндекса. Присоединяйся к комьюнити, если ты тоже выпускник-яндексоид :)
А полную запись встречи можно посмотреть по ссылке на нашем YouTube канале.
Почему бизнесам важно соблюдать privacy compliance
Big Tech компании часто заявляют, в том числе и в рекламе, что они защищают данные пользователей.
Несмотря на это, многие из них получают огромные штрафы за нарушение privacy. Это относится не только к крупным бизнесам, особенно если дело принимает публичный характер.
❗ В 2019 году Facebook (Meta) оштрафовали на $5 млрд. Социальная сеть без разрешения пользователей передавала их данные другим компаниям для таргетированной рекламы, включая политическую рекламу
Использование персональных данных должно:
- быть эффективно для бизнеса. На самом деле, законы, защищающие персональные данные, направлены на то, чтобы позволить бизнесу использовать их в своих целях.
- быть ожидаемо пользователем. Очень важно не скрывать от пользователей, как и для чего обрабатываются и используются персональные данные.
- соответствовать законам и стандартам компании.
Почему это не только юридический вопрос
Вопросы прайвеси касаются каждой функции в компании и пронизывают большинство бизнес-процессов. По аналогии с коммерческой тайной.
1) Юридическая часть прайвеси комплаенса ограничивается требованиями законов, которые регулируют обращение с персональными данными, сроки их хранения, составлением списка необходимых документов и договоров, определением рисков.
2) Вторая важная часть – осведомленность команды о важности прайвеси комплаенса. Существует несколько тактик работы со стаффом:
- обучение сотрудников, постоянное напоминание о том, что такое персональные данные, как компания их собирает и обрабатывает
- в каждой команде назначается специалист, который знает о privacy compliance чуть лучше, он информирует коллег
3) Операционная часть состоит во внедрении в процессы и операции так называемой privacy-by-design. Например, разработчики при создании нового продукта или микросервиса следуют гайдлайнам, в котором зашиты требования по защите персональных данных (что позволено, к кому обращаться, если возник вопрос).
Отдел информационной безопасности
Некоторые компании решают поручить вопросы, связанные с privacy, отделу информационной безопасности. Это сделать можно, но:
- работники инфобеза также должны быть хороши в юриспруденции и менеджменте
- элементы информационной безопасности (CIA) дублируют принципы конфиденциальности, но не охватывают их полностью
Пересечения у этих направлений есть, но все-таки информационная безопасность смотрит на эту задачу под другим углом. Для инфобеза ключевая задача – защитить все данные в зависимости от их ценности для компании.
Риски нарушения privacy compliance
- приостановка процессов в бизнесе
Примеры: Meta – запрет на обработку персональных данных для поведенческой рекламы без прямого согласия пользователя, Yandex.Taxi – временный запрет на передачу данных в Россию, ChatGPT – временный запрет на обработку данных в Италии.
- штрафы
Примеры: Meta – $5B в США, €1.2M в ЕС enforcementtracker.com
- репутационный ущерб
Пример: утечка данных Equifax – рейтинг негативной репутации достиг -33%
Privacy compliance для малого бизнеса
- Будьте прозрачны в политике конфиденциальности. Воспользуйтесь преимуществами генераторов Privacy Policy и проконсультируйтесь со специалистом по защите конфиденциальности.
- Создайте обновляемый реестр обработок и категорий данных. Он должен легко экспортироваться в удобный и читаемый формат, чтобы при необходимости предоставить его властям.
- Внедрите конфиденциальность на ранних стадиях разработки продукта. Вносить изменения в существующие продукты и операции – очень дорого.
Какие инструменты могут помочь
Cookie Consent tools: инструменты такого типа сканируют сайт или приложение и обнаруживают куки, создают менеджер согласия и баннер.
Генераторы Privacy Policy: создают политику конфиденциальности в соответствии с GDPR, COPPA, CCPA/CPRA.
Privacy & Direct Marketing
Нужно ли получать отдельное согласие?
ЕС и Россия:
- практически всегда нужно согласие (SMS, email, звонки)
США:
- email и домашний телефон – согласие не нужно
- SMS и звонки – два согласия (электронная подпись + подтверждение)
Мессенджеры и пуш-уведомления:
- у каждой платформы свои правила
- в России и ЕС нужно согласие
Одна стратегия privacy compliance для разного международного присутствия
Для директ-маркетинга: запрашивать согласие у пользователя – лучшая тактика.
Для того, чтобы учесть все законы: установите основные правила для всех и дополнительные правила для разных стран или выберите и соблюдайте самые строгие законы из всех правовых актов.
Соблюдение privacy compliance является ключевым аспектом для бизнеса. Прозрачность в обработке данных, обучение сотрудников, и использование соответствующих инструментов – всё это поможет бизнесу быть на верном пути. Ведь в конечном итоге, защита данных – это не только юридический вопрос, но и вопрос доверия пользователей к вашей компании.