Как управлять рисками приватности, обсудили эксперты на «Вечере с Privacy Advocates»

Дата публикации: 17 октября 2023

Как управлять рисками приватности, обсудили эксперты на «Вечере с Privacy Advocates»

12 октября на площадке АНО «Цифровая экономика» состоялся «Вечер с Privacy Advocates», организованный при поддержке кластера «РАЭК / Privacy & Legal Innovation». 

Спикеры обсудили риск-ориентированный подход, персональные данные и искусственный интеллект, место персональных данных в комплексной системе комплаенс, управление рисками приватности и другие актуальные вопросы. Делимся выжимкой основных тезисов.

Риск-ориентированный подход

В ЕС действует статья 35 GDPR. Data protection impact assessment. По ней компании должны заранее продумывать процессы обработки данных так, чтобы не задеть интересы субъектов персональных данных. 

В России такого нет. Есть оценка возможного вреда субъектам. Но нет ответа на вопрос, что такое риск-ориентированный подход. 

Госорганами с июля 2021 г. применяется система оценки и управления рисками при проведении мероприятий по контролю (надзору) в области персональных данных.Но даже если смотрим на этот механизм, для частного бизнеса он не подходит.

Что делать небольшой компании? Самая главная цель — контроль рисков с учётом вашей риск-толерантности. 

6 принципов риск-менеджмента:

  • Не навреди.

  • Активное взаимодействие.

  • Не существует универсальной методики.

  • Чем проще, тем лучше.

  • Ограниченный срок годности результатов риск-менеджмента.

  • Нет документированной информации — нет риск-менеджмента. 

Как реализовать? Анализируем активности, выявляем отклонения, занимаемся управлением теми рисками, которые выявили на двух предыдущих фазах.

Персональные данные и искусственный интеллект

Государство очень осторожно относится к регулированию в области ИИ.

Основные угрозы от использования ИИ в области персональных данных:

  • создание фейковых видео и аудио с известными людьми;

  • подмена личности, чтобы взять кредит, каршеринг и т.д.

Парсинг персональных данных для обучения ИИ

С гражданско-правовой точки зрения ключевой вопрос - есть ли нарушение прав владельца базы данных. А для этого важно оценить, в каком объеме компания инвестировала средства и силы в её создание.

С антимонопольной точки зрения может иметь значение доля компании на рынке и наличие признаков недобросовестной конкуренции. Так, в одном деле небольшая компания пожаловалось, что другая компания, крупная, закрыла её роботу доступ к своей открытой базе данных. ФАС поддержал небольшую компанию.

Обучение ИИ на базе персональных данных — самостоятельная цель их обработки. 

Обработка персональных данных с помощью ИИ. Если это полностью автоматизированная обработка, нужно соблюдать специфические требования закона.. Также нужно знать условия использования внешних ИИ-систем, если компания приобретает этот сервис у стороннего подрядчика. 

Только на основе обезличенных персональных данных можно качественно обучать системы ИИ. Но делается в этой области пока мало. Законопроект висит в Госдуме с 2021 года. Им напрямую разрешается коммерческим компаниям обезличивать персональные данные, а правила такого обезличивания должен принять Роскомнадзор. 

Зачем знать судебную практику в сфере персональных данных 

Отрасль развивается стремительно, и мы можем многое узнавать из подходов судов.

Лишь около 5% субъектов готовы дальше бороться и обжаловать решения судов. Это говорит о том, что большинство компаний не придают особого значения делам в области персональных данных и не тратят ресурсы на судебные процессы.. 

Суды обычно назначают 60 тыс. рублей штрафа. Практика не варьируется ни от причин инцидента, ни от признания вины, ни от характера нарушения. Возможно, ситуация изменится, когда придут оборотные штрафы.

Дело медицинского центра «Хелфи». Сотрудники уничтожали носители, выкидывая их в ведро. Удалось избежать штрафа из-за истечения срока давности. 

Дело 2ГИС. Компании помогли локальные нормативные акты. Субъект персональных данных направил 213 обращений в УФАС, и суд отметил его недобросовестность. 

Рекомендательные сервисы 

Если сайт использует рекомендательные технологии, необходимо разместить документ, устанавливающий правила применения рекомендательных технологий. В этих правилах должны быть отражены описание процессов и методов таких технологий, а также виды сведений, относящихся к предпочтениям, которые используются для предоставления информации. 

Персональные данные — важная часть системы комплаенс

Оператор персональных данных должен иметь:

  • внутренние локальные документы о порядке обработки персональных данных;

  • политику в отношении персональных данных в открытом доступе;

  • назначить ответственного за организацию обработки персональных данных сотрудника.

Комплаенс-система обеспечивает создание такой экосистемы в организации, которая формирует превентивную защиту от внутренних и внешних угроз , повышает эффективность предприятий, выраженную в росте целевых показателей.

Автоматизация управления рисками

Управление рисками можно разбить на выявление, оценку и реагирование. На первом этапе автоматизированная система классифицирует риски: утечки, локализация, репутационные риски, взаимодействие с третьими лицами и т.д. Система предложит типизированные меры. Система не ограничивает пользователя справочниками, а выступает помощником. Оценка тоже может быть автоматизированной: логику можно заложить в систему, задачи будут приоритезированы, и их можно будет решать последовательно. Система может направлять уведомления, что поменялось законодательство или стало больше утечек в мире. 

Смотреть видеозапись: https://www.youtube.com/live/xt4ZRji6nqk?si=5arg23LELjJtwjMG