Блог YNDX Family

Что такое Privacy Compliance и зачем это нужно бизнесу и IT-специалистам

Зачем Privacy Compliance бизнесу и IT-специалистам
Камиль Егелев, прайвеси консультант Yegelev Consulting и ex-руководитель группы комплаенса работы с персональными данными в юрдепе Яндекс Go, расскажет:
  • почему не получится просто отдать этот вопрос юристам
  • в чем отличие от инфобеза
  • как соответствовать требованиям при небольших ресурсах
  • какие риски для стартапов и зрелых бизнесов

YNDX Family

Материал подготовлен на основе онлайн-встречи YNDX Family, неофициального сообщества текущих и бывших сотрудников группы Яндекса. Присоединяйся к комьюнити, если ты тоже выпускник-яндексоид :)
А полную запись встречи можно посмотреть по ссылке на нашем YouTube канале.

Почему бизнесам важно соблюдать privacy compliance

Big Tech компании часто заявляют, в том числе и в рекламе, что они защищают данные пользователей.
Несмотря на это, многие из них получают огромные штрафы за нарушение privacy. Это относится не только к крупным бизнесам, особенно если дело принимает публичный характер.
❗ В 2019 году Facebook (Meta) оштрафовали на $5 млрд. Социальная сеть без разрешения пользователей передавала их данные другим компаниям для таргетированной рекламы, включая политическую рекламу.
Использование персональных данных должно:
  • быть эффективно для бизнеса. На самом деле, законы, защищающие персональные данные, направлены на то, чтобы позволить бизнесу использовать их в своих целях.
  • быть ожидаемо пользователем. Очень важно не скрывать от пользователей, как и для чего обрабатываются и используются персональные данные.
  • соответствовать законам и стандартам компании.

Почему это не только юридический вопрос

Вопросы прайвеси касаются каждой функции в компании и пронизывают большинство бизнес-процессов. По аналогии с коммерческой тайной.
1) Юридическая часть прайвеси комплаенса ограничивается требованиями законов, которые регулируют обращение с персональными данными, сроки их хранения, составлением списка необходимых документов и договоров, определением рисков.

2) Вторая важная часть – осведомленность команды о важности прайвеси комплаенса. Существует несколько тактик работы со стаффом:
  • обучение сотрудников, постоянное напоминание о том, что такое персональные данные, как компания их собирает и обрабатывает
  • в каждой команде назначается специалист, который знает о privacy compliance чуть лучше, он информирует коллег
3) Операционная часть состоит во внедрении в процессы и операции так называемой privacy-by-design. Например, разработчики при создании нового продукта или микросервиса следуют гайдлайнам, в котором зашиты требования по защите персональных данных (что позволено, к кому обращаться, если возник вопрос).

Отдел информационной безопасности

Некоторые компании решают поручить вопросы, связанные с privacy, отделу информационной безопасности. Это сделать можно, но:
  • работники инфобеза также должны быть хороши в юриспруденции и менеджменте
  • элементы информационной безопасности (CIA) дублируют принципы конфиденциальности, но не охватывают их полностью
Пересечения у этих направлений есть, но все-таки информационная безопасность смотрит на эту задачу под другим углом. Для инфобеза ключевая задача – защитить все данные в зависимости от их ценности для компании.
Разница между privacy compliance и информационная безопасность график
Источник: автор

Риски нарушения privacy compliance

  • приостановка процессов в бизнесе
Примеры: Meta – запрет на обработку персональных данных для поведенческой рекламы без прямого согласия пользователя, Yandex.Taxi – временный запрет на передачу данных в Россию, ChatGPT – временный запрет на обработку данных в Италии.
  • штрафы
Примеры: Meta – $5B в США, €1.2M в ЕС enforcementtracker.com
  • репутационный ущерб
Пример: утечка данных Equifax – рейтинг негативной репутации достиг -33%

Privacy compliance для малого бизнеса

  1. Будьте прозрачны в политике конфиденциальности. Воспользуйтесь преимуществами генераторов Privacy Policy и проконсультируйтесь со специалистом по защите конфиденциальности.
  2. Создайте обновляемый реестр обработок и категорий данных. Он должен легко экспортироваться в удобный и читаемый формат, чтобы при необходимости предоставить его властям.
  3. Внедрите конфиденциальность на ранних стадиях разработки продукта. Вносить изменения в существующие продукты и операции – очень дорого.

Какие инструменты могут помочь

Cookie Consent tools: инструменты такого типа сканируют сайт или приложение и обнаруживают куки, создают менеджер согласия и баннер.
Генераторы Privacy Policy: создают политику конфиденциальности в соответствии с GDPR, COPPA, CCPA/CPRA.

Privacy & Direct Marketing

Нужно ли получать отдельное согласие?
ЕС и Россия:
  • практически всегда нужно согласие (SMS, email, звонки)
США:
  • email и домашний телефон – согласие не нужно
  • SMS и звонки – два согласия (электронная подпись + подтверждение)
Мессенджеры и пуш-уведомления:
  • у каждой платформы свои правила
  • в России и ЕС нужно согласие

Одна стратегия privacy compliance для разного международного присутствия

Для директ-маркетинга: запрашивать согласие у пользователя – лучшая тактика.
Для того, чтобы учесть все законы: установите основные правила для всех и дополнительные правила для разных стран или выберите и соблюдайте самые строгие законы из всех правовых актов.

Соблюдение privacy compliance является ключевым аспектом для бизнеса. Прозрачность в обработке данных, обучение сотрудников, и использование соответствующих инструментов – всё это поможет бизнесу быть на верном пути. Ведь в конечном итоге, защита данных – это не только юридический вопрос, но и вопрос доверия пользователей к вашей компании.

Читай дальше