Персональные данные в законе: как бизнесу правомерно работать с информацией клиентов
Денис Лукаш, DPO Infobip Евразия, в интервью Дмитрию Озману, директору по развитию Forbes Russia, рассказал, на ком именно лежит ответственность за безопасность персональных данных, какая информация собирается с помощью файлов cookie и как будет меняться законодательство в сфере в ближайшее время
На данный момент в законе «О персональных данных» представлено довольно формальное понятие о том, что именно следует называть персональными данными, считает Денис Лукаш. Если говорить в общем, то это все данные, которые относятся к человеку и могут воздействовать на его права — в большей степени речь идет о праве на неприкосновенность частной жизни. Однако специалист отмечает, что закон нужен не для запретов в обработке, а для баланса соблюдения прав субъекта и оператора персональных данных.
«Когда вы обрабатываете огромное множество данных, вы должны делать это прозрачно, предоставить человеку полную информацию. При необходимости взять согласие нужно обосновать, зачем вы это делаете, а не просто так накапливать данные для какого-либо случая», — отмечает спикер. Не стоит забывать, что некоторая информация о пользователях может собираться в минимальном количестве, но от этого она не перестает быть персональными данными и не означает, что обезличена.
Односторонние согласие является только одним из оснований обработки персональных данных. В российском законе представлены условия, когда можно обрабатывать персональные данные без согласия, утверждает Лукаш. Например, когда есть какой-либо закон, договор. Специалист советует пользователям тоже проявлять инициативу: найти политику обработки персональных данных компании и посмотреть договор.
С недавнего времени в этой сфере появилась отдельная профессия — специалист по персональным данным компании. По словам представителя Infobip Евразия, он помогает устраивать бизнес-процессы, связанные с персональными данными, так, чтобы они были эффективными, использовать те инструменты и алгоритмы, которые решают вопросы управления рисками и проектного менеджмента.
При выборе систем, которые позволяют коммуницировать компаниям с пользователями и использовать их персональные данные, эксперт советует обратить внимание несколько вещей. Во-первых, кто является владельцем этой системы и в какой стране обрабатываются персональные данные этой системы, так как это может быть страна, не обеспечивающая должный уровень защиты прав субъектов. Во-вторых, система должна обеспечивать выполнение требований к локализации баз, содержащих персональные данные. И в-третьих, нужно соблюдать права субъектов персональных данных. Также стоит проверить подрядчика по линии информационной безопасности и репутации.
Что касается трендов в ближайшем будущем, здесь ожидается изменения российского законодательства, в частности по совершенствованию механизмов правовой обработки персональных данных, связанных с технологиями искусственного интеллекта и Big Data, считает Денис Лукаш.
*Информационная поддержка