В начале мероприятия гостей приветствовал управляющий директор по юридическим вопросам «Авито» Александр Смирнов. Он рассказал, что «Авито» проводит бизнес-завтрак в рамках празднования Дня защиты персональных данных в компании. «Это большое мероприятие, которое направленно на повышение осведомленности сотрудников о правильной работе с личной информацией», — поделился Смирнов.
Первой прошла панельная дискуссия «От комплаенса к доверию: зрелость компаний в области работы с персональными данными». Ее модератором выступила руководитель практики правовой поддержки защиты данных «Авито» Марина Юфа. Она отметила, что сегодня защита персональных данных становится кросс-функциональной задачей, в которую вовлечены специалисты различных подразделений. «Мы уже выросли из ситуации, когда можно просто дообучить юриста и сделать его ответственным за обработку персональных данных. Все больше компаний выстраивают полноценные privacy-функции, то есть функции конфиденциальности, которые, кроме юристов, включают специалистов по информационной безопасности, связям с общественностью и государственными органами, управленческим процессам. И ключевые вопросы, которые стоят перед участниками рынка — как организовать взаимодействие этих людей, определить приоритеты и критерии эффективности?», — заявила модератор.
Соучредитель Сообщества профессионалов в области приватности (Regional Privacy Professionals Association, RPPA.pro) Кристина Боровикова согласилась с тем, что сегодня privacy-экспертиза в бизнесе сильно изменилась, причем в лучшую сторону. Раньше ключевой метрикой был набор определенных документов, без особого внимания к их содержанию и происходящим внутри процессов приватности изменениям, а сегодня все чаще на первое место выходят инструменты учета данных, аналитика эффективности функции и встраивание процессов приватности в бизнес-процессы самой компании. Важным инструментом достижения этих целей может стать составление матрицы распределения ответственности (RACI), которая закрепит роли каждого эксперта в конкретной задаче, отметила спикер. RACI — это инструмент для управления отношениями в команде, сделанный в виде таблицы, с помощью которой распределяют ответственность, полномочия и роли.
По мнению руководителя функции DPO «Самоката» Елизаветы Дмитриевой, на первом этапе в компании обязательно должен быть человек, который будет выстраивать процессы обработки и защиты персональных данных. Еще она обратила внимание на необходимость автоматизации такого контроля. «Эффективность любого технологического бизнеса определяется прежде всего умением контролировать данные и управлять ими. Автоматизация в этом смысле — не только строчки кода или регламентов, а прежде всего отлаженный процесс взаимодействия людей, который происходит с использованием информационных систем. Чем прозрачней процесс для всех вовлеченных, тем меньше ресурсов будет тратиться, а результат будет соответствовать целям бизнеса», — сказала Дмитриева.
Руководитель направления правовой защиты данных Сбербанка Герман Сабиров продолжил дискуссию о построении доверительных отношений с субъектами и обратил внимание на необходимость формирования осознанного подхода в применении правовых оснований обработки персональных данных в контексте принципов законности и справедливости.
Компании уже на этапе разработки новых IT-продуктов должны задумываться над интересами субъектов персональных данных и взвешенно подходить к используемым правовым основаниям обработки. Мы должны быть с ними честными: не нужно навязывать согласия там, где они излишни.
Подход операторов, основанный исключительно на администрировании сбора и отзыва согласий, безнадежно устарел, отметил Сабиров. По мнению спикера, необходимо активно использовать и иные правовые основания, в том числе законный интерес. Он рассказал, что крупные операторы с развитой privacy-функцией рассматривают возможность разработки или уже применяют методику оценки законного интереса для конкретных процессов обработки, если в рамках проектируемых процессов соблюдают установленные в законе критерии. «Важнейшим из них является правило о ненарушении прав субъектов, смысл которого сводится к нахождению баланса между правами и законными интересами оператора и субъектов персональных данных, с учетом разумных ожиданий последних», — отметил эксперт.
На второй части мероприятия гости беседовали на тему: «Есть ли место балансу интересов пользователя и компании в российский практике?». Модератором дискуссии выступила директор по стратегическим проектам Ассоциации больших данных (АБД) Ирина Левова. Она вместе с собравшимися обсудила, как компании могут самостоятельно повысить уровень защищенности пользовательских данных.
Крупные игроки технологического рынка все активней подключаются к процессу саморегулирования. Например, в этом году «Яндекс», «Авито», «Т-Банк» и «Вымпелком» подписали отраслевой стандарт защиты данных.
Руководитель службы комплаенса и обучения информационной безопасности «Яндекс» Анна Зинчук обратила внимание, что новый стандарт не просто определяет принципы и механизмы надежного хранения и защиты данных, но и позволяет объективно оценить зрелость внутренних процессов, сформировать стратегию их усовершенствования. В ближайшее время к нему должны присоединиться и другие участники рынка, поделилась спикер.
В ходе дискуссии руководитель группы правового сопровождения работы с персональными данными «Яндекса» Алексей Грибанов поднял вопрос ответственности операторов при инцидентах безопасности персональных данных.
Регулирование нужно менять так, чтобы соблюсти баланс интересов между пользователями и бизнесом.
Еще одной темой обсуждения стал принцип минимизации хранения персональных данных для снижения рисков. Метод предполагает хранение только тех данных, которые необходимы для заявленных целей. Из минусов: такой подход требует внедрения дополнительных организационно-технических мер. Руководитель практики защиты персональных данных Ozon Михаил Ратушный отметил, что этот принцип должен применяться на практике, включая использование синтетических данных и раздельное хранение персональной информации. Эксперт уверен: «Это позволит снизить потенциальные риски и повысить защиту данных».
Юфа отметила, что прозрачная коммуникация с пользователями — один из ключевых факторов, повышающих доверие. «Исследования показывают, что простой и доступный язык согласий на обработку персональных данных снижает уровень тревожности пользователей, помогает им разобраться в том, какие документы и согласия действительно необходимы. Мы в Авито понимаем важность развития privacy-культуры, поэтому активно работаем на тем, чтобы все документы были максимально понятны нашим пользователям», — сказала Юфа.
Исследования показывают, что простой и доступный язык согласий на обработку персональных данных снижает уровень тревожности пользователей, помогает им разобраться в том, какие документы и согласия действительно необходимы. Мы в Авито понимаем важность развития privacy-культуры, поэтому активно работаем на тем, чтобы все документы были максимально понятны нашим пользователям
Подводя итоги встречи участники определили отраслевой стандарт для бизнеса: в процессе обработки персональных данных на первый план должны выходить интересы пользователей. Инструменты и подходы, которые использует бизнес, должны быть прозрачны и удобны. Это позволит повысить уровень взаимного доверия и обеспечить надежную защиту данных, уверены эксперты.