31 января состоялось первое мероприятие от Wildberries, посвящённое вопросам приватности и защиты персональных данных, — Wildberries Privacy Day.
Это был трёхчасовой марафон выступлений, дискуссий и обмена опытом, который вышел за рамки привычных сообществу тем — таких как ужесточение ответственности за утечки данных и проблемы бизнеса, вызванные отсутствием гармонизации законодательства на международном уровне.
Спикеры из WB, OZON, Сбера, Яндекса, независимые эксперты, в том числе из RPPA и Privacy Advocates, встретились, чтобы обсудить основные вызовы сферы и поделиться лучшими практиками. В этой статье поделимся тезисами с конференции.
Информационным партнёром выступило крупнейшее русскоязычное сообщество экспертов в сфере приватности — Regional Privacy Professionals Association (RPPA).
Wildberries Privacy Portal: новый проект для защиты персональных данных
Конференцию открыл Кирилл Зюбанов, CDPO Wildberries, представив новый проект — Wildberries Privacy Portal — сайт о бережном отношении к персональным данным.
Кирилл отметил, что приватность — это состояние информированного контроля за нашими данными, которое обеспечивается балансом между информированием и предоставлением контроля.
«Мы системно развиваем киберосознанность, то есть культуру безопасного поведения, в которой человек осознаёт свою ответственность за сохранность денег и данных и предпринимает необходимые действия для их защиты. Новый сайт о персональных данных — ещё один элемент такой работы».
Кирилл также рассказал о концептуализации — методике приведения основных понятий и требований в сфере приватности к единому знаменателю. По его словам, это позволяет обеспечить необходимый минимум мер ещё до принятия решения о масштабировании бизнеса.
Роль DPO: как видят бизнес, регулятор и общество
Сергей Пашковский (Positive View) поделился своим взглядом на роль DPO.
Он отметил, что хороший DPO должен не только понимать букву закона, но и чувствовать его дух, а также разбираться в бизнес-ценностях и проявлять готовность отклоняться от популярных и проверенных направлений организации процессов.
«Тип DPO, к которому нужно стремиться, — это человек, который всегда начинает с духа закона, а не с буквы».
Сергей также предостерёг аудиторию от неразумного принятия рисков:
«Принимая решения об управлении риском, необходимо помнить, что за каждой абстрактной концепцией, за каждым запросом стоит субъект — человек со своими желаниями, тайнами и интересами».
Международное развитие бизнеса и DPO: кто кого?
Михаил Ратушный (OZON) рассказал о своём подходе к сопровождению международного бизнеса. Он отметил, что применимость законов о приватности в разных юрисдикциях остается вызовом, — это может зависеть от разных факторов.
«Задача DPO — не бежать за бизнесом, а идти вперёд вместе с ним и пытаться периодически его обгонять, потому что количество юрисдикций достаточно обширное».
Трансграничная передача: в поисках идеальной юрисдикции
Дмитрий Якименко и Александр Воронцов (Wildberries) обсудили проблему поиска «идеальной юрисдикции» для трансграничной передачи данных.
Проверка по ПД в Республике Беларусь: чего бояться на самом деле?
Евгения Казачковская (Wildberries) поделилась опытом взаимодействия с уполномоченным органом по защите прав субъектов персональных данных в Республике Беларусь. Она отметила, что уполномоченный орган уделяет особое внимание мельчайшим деталям процессов и их соответствию как законодательным требованиям, так и локальным правилам оператора.
«Если бы я могла посоветовать что-то каждому белорусскому DPO, я бы посоветовала помнить, что формализм не пройдёт, и иметь в виду, что уполномоченный орган уже может иметь в виду вашу организацию…»
Ответственность за утечки ПД: необходимость риск-ориентированного подхода
Во втором блоке конференции спикеры сосредоточились на вопросах риск-менеджмента в сфере приватности.
Алексей Грибанов (Яндекс) проследил историю становления регулирования в РФ и подчеркнул, что при оценке последствий утечек данных необходимо учитывать вред не только субъекту, но и публичным интересам.
«Даже если в закон в ближайшее время не будут внесены изменения, ничто не мешает при оценке последствий утечек использовать методологию, учитывающую вред субъекту, публичным интересам, идентифицирующий потенциал данных и другие факторы».
Разница между принятием и управлением прайваси-рисками — взгляд прайвасиста
Герман Сабиров (Сбер) рассказал о теории управления privacy-рисками, подходах к оценке таких рисков, а также привел конкретные кейсы использования отдельных методов управления privacy-рисками.
«Когда говорят о privacy-рисках, чаще всего первой ассоциацией является их принятие. Это неправильно. Надо помнить, что помимо принятия существуют и иные методы управления рисками: митигация, передача и уклонение.
Выстроенная система управления рисками по персональным данным, интегрированная в общую систему управления отдельными видами рисков в компании, позволяет использовать весь доступный арсенал методов реагирования на такие риски.
Без эффективной системы управления privacy-рисками: работающих подходов к их идентификации, оценке и обработке, реализация таких рисков отдается на волю случая, ставя под угрозу не только чувствительные данные клиентов, но и достижение основных целей деятельности компаний-операторов персональных данных».
Оценка прайваси-рисков — взгляд со стороны бизнеса
Александр Партин (Privacy Advocates) завершил конференцию, предложив взглянуть на риски глазами бизнеса. Он отметил, что то, что кажется серьёзным риском для экспертов, может быть неочевидным для менеджмента, и предложил способы донесения этих рисков до бизнеса.
Что включать в оценку риска для бизнеса
То, что интересно нашей целевой аудитории:
Частные интересы
Угроза личной безопасности (уголовная ответственность, дисквалификация, увольнение)
(Не)достижение личных КРІ
Общие интересы
(Не)достижение финансовых и иных целей компании (оборотные штрафы)
Угроза устойчивости бизнес-процессов (предписание)
Вред деловой репутации компании (негатив в СМИ, влияние на стоимость акций компании, негативные публичные высказывания лидеров мнени).
Итоги и планы на будущее
Wildberries Privacy Day стал важным шагом в развитии сообщества экспертов по приватности. Организаторы пообещали продолжать проводить подобные мероприятия в течение 2025 года.
Оставайтесь на связи, развивайте киберосознанность и помните: приватность начинается с каждого из нас!
