Учимся обеспечивать конфиденциальность данных: 10 шагов в рамках мастер-класса Алексея Мунтяна
22 сентября в 18.00 в рамках прикладного исследовательского проекта по теме: «Защита приватности на онлайн-платформах» в НИУ ВШЭ, целью которого является правовое исследование поведения субъектов персональных данных (далее – ПДн) на онлайн-платформах и подходов онлайн-платформ к защите цифровой приватности субъектов персональных данных, прошел мастер-класс «10 практических шагов Data Privacy Compliance для Интернет-ресурсов».
Спикером выступил Алексей Мунтян, основатель компании Privacy Advocates, эксперт в области приватности, соучредитель и член Правления Ассоциации профессионалов в области приватности (RPPA.ru). Алексей уже 14 лет работает в данной сфере, поэтому его советы полезны аудитории.
Спикер рассказал о 10-ти шагах Data Privacy Compliance для Интернет-ресурса. Остановимся подробнее на каждом:
Шаг 1. Чтобы сервис работал в соответствии со 152-ФЗ, нужно проводить анализ процессов обработки ПДн в рамках ресурса, изучать функционал ресурса и его контента, собирая и исследуя аналитику по маркетинговым и информационным рассылкам.
Шаг 2. У сервиса (оператора ПДн) должно быть определено ответственное лицо. Именно это лицо, по мнению спикера, может проконтролировать корректное использование оператором доменного имени, дизайна и контента, систем управления и информационно-технологической инфраструктуры.
Шаг 3. Нужно выполнять требования о локализации в РФ баз с ПДн. Эксперт подчеркнул, что ПДн должны собираться на территории РФ, и рассказал о некоторых особенностях реализации требований о локализации ПДн, производных от ранее собранных ПДн.
Шаг 4. Если оператор использует внешние сервисы, он должен формализовать такие отношения. Например, заключая соглашения о поручении на обработку ПДн. Спикер отметил, что такое поручение обработки ПДн дается в первую очередь виртуальным хостингам, облачным сервисам, сервисам по администрированию и технической/административной поддержке.
Шаг 5 и 6. С пользователями ресурса нужно договориться о том, что их юридически значимые действия фиксируются с помощью сервиса. Конфиденциальности, целостность и доступность логируемой информации – вот к чему должен стремиться оператор, следуя принципу «data minimization».
Принцип «Data minimization» означает, что контролер данных должен ограничить сбор личной информации, используя свое прямое отношение и потребность в достижении определенной цели. Он также должен хранить данные только до тех пор, пока это необходимо для достижения этой цели.
Шаг 7. Мониторинг и аналитическое исследование поведения пользователей должно быть легализовано. Здесь особый интерес представляют файлы «cookies». Зачастую они необходимы для надлежащей работы сайта или для сбора информации о том, как посетители сайта с ним работают.
«Cookies» – это небольшие текстовые файлы, которые веб-сайты размещают на устройстве пользователя во время просмотра. Сами по себе файлы cookie безвредны и выполняют важные функции для веб-сайтов. Это основной инструмент, который рекламодатели используют для отслеживания онлайн-активности пользователя, а при определенных обстоятельствах они могут считаться персональными данными.
Шаг 8 и 9. Маркетинговые и информационные рассылки, а также публикация ПДн должны осуществляться при наличии согласий пользователей. Алексей Мунтян рассказал о различных механизмах подписки на рассылку – о моделях «silent opt-in» и «opt out».
Первая модель подразумевает то, что пользователь активно выражает согласие на получение рассылки. Например, пользователь проставляет «галочку» в пустом чек-боксе «Согласен на получение рекламных материалов.
Вторая – что пользователь в упрощенной форме выражает несогласие на получение рассылки. Например, в условиях обслуживания включено согласие пользователя на получение рассылки, а также включен отдельный чек-бокс «Не согласен на получение рекламных материалов», в котором пользователь может проставить галочку. Эта модель сопряжена с юридическими рисками для и возможным снижением лояльности пользователей.
Шаг 10. Роскомнадзор нужно уведомлять об обработке и трансграничной передаче ПДн. Данное уведомление необходимо и в том случае, если оператор обрабатывает только данные работников в соответствии с ТК РФ.
Больше об обеспечении конфиденциальности данных от Алексея Мунтяна
можно узнать в его телеграм-канале
Автор текста: Черкашина Анастасия, студентка 3 курса НИУ ВШЭ
Нашли опечатку?
Выделите её, нажмите Ctrl+Enter и отправьте нам уведомление. Спасибо за участие!
Сервис предназначен только для отправки сообщений об орфографических и пунктуационных ошибках.