Wildberries и Russ: «Персональные данные — не товар»

Wildberries и Russ: «Персональные данные — не товар»

В 2024 году Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (152-ФЗ) исполнилось 18 лет, и на совершеннолетие он обзавелся невиданными прежде инструментами — оборотными штрафами за «утечки» персональных данных и уголовной ответственностью за неправомерную обработку незаконно полученных данных.

Это, конечно, не могло пройти незамеченным. О персональных данных говорят еще больше, чем прежде, компании ищут экспертов в сфере приватности или специалистов по организации обработки персональных данных.

В Wildberries и Russ сформирована полноценная функция Data Protection Officer (DPO), ответственная за организацию обработки персональных данных.

КЛЮЧЕВОЕ ТРЕБОВАНИЕ — БЫТЬ В КОНТЕКСТЕ

Мы исходим из того, что в основе всего лежит контекст обработки персональных данных — те обстоятельства, в которых данные были собраны, получены или даже созданы, цель их дальнейшей обработки, ожидания, которые есть у субъекта (например, у покупателя). Если данные оказываются «вырванными из контекста» (например, каким-то образом попадают в руки злоумышленника, который точно использует их не в тех целях, в которых покупатель предоставил их компании), это является неправомерной обработкой, нарушением закона.

Вырвать данные из контекста может и работник компании, который недостаточно внимательно следит за соблюдением правил обработки данных. Например, взять данные, предоставленные работником при трудоустройстве, и направить с их помощью рекламную рассылку — тоже нарушение, потому что без согласия субъекта меняется цель обработки данных.

Для того, чтобы обеспечивать высокий уровень защиты прав субъектов персональных данных и учитывать интересы всех прямых и косвенных участников обработки данных (субъектов, бизнеса, уполномоченных органов), рекомендуется принимать следующие меры.

ИНТЕГРАЦИЯ

Команда DPO должна быть не просто контролирующей функцией, не страшным «надсмотрщиком», а партнером, доверенным советником, помогающим, как мы говорим, сделать красивое еще и законным, а законное — еще и красивым. Уровень доверия к DPO можно сравнить с уровнем доверия доктору: обоим честно рассказывают, что произошло, спрашивают, насколько это критично, можно ли поправить и как в следующий раз сделать хорошо.

Для этого мы постоянно организуем выступления для всей компании, где рассказываем о развитии законодательства, о базовых понятиях (например, о том, что относится к персональным данным, а что — нет) и правилах работы с данными. Это позволяет говорить с бизнесом если не на одном языке, то хотя бы на близких диалектах одного языка.

Также большие выступления помогают найти ключевых контрагентов на самых разных уровнях — от исполнителей до топ-менеджмента, и каждый из них каждый день повышает степень покрытия требованиями DPO процессов, проектов и продуктов.

КОНТРОЛЬ

Мы выстраиваем отличные отношения с бизнес-командами, но человеку, как известно, свойственно ошибаться и, следовательно, терять контекст. Тема персональных данных — далеко не самая простая для понимания и использования в работе. Для того, чтобы снизить риск ошибки, мы используем систему двухуровневого контроля.

Первый уровень — операционный контроль, потоковое согласование инициатив, выявление рисков и рекомендации по их устранению. Через этот фильтр, через это «сито» проходят все новые инициативы.

Второй уровень — выражение того, что мы назвали shift everywhere privacy (по аналогии с концепцией shift left security, предполагающей проведение технического анализа на как можно более ранней стадии реализации идеи). Наша концепция — про проактивное взаимодействие с уже существующими процессами, проектами и продуктами через разного рода аудиты.

Итого, операционный контроль и аудиты как проекты, охватывающие разные предметные области, — весьма эффективный способ увеличения покрытия функции DPO.

Необходимо отметить, что успех работы функции DPO напрямую зависит от того, имеют ли владельцы процессов, проектов и продуктов ответственность за соблюдение требований DPO и понимают ли они эту ответственность. Мы считаем, что коллеги, фактически осуществляющие обработку данных, как и принимающие решения о том, что она будет осуществляться, — одни из самых главных адресатов требований DPO.

ИНФОРМИРОВАНИЕ

Ты можешь быть самым защищенным оператором, но какая разница, если твой субъект плачет? Мы уделяем особое внимание тому, чтобы обработка, которую мы осуществляем, была не только законной, но еще и понятной.

Для внешних пользователей мы подготовили и запустили лендинг (страницу, на которую пользователи попадают («приземляются»), нажав на ссылку — прим. ред.) о бережливом отношении к персональным данным, призванный рассказать пользователям о том, какие данные могут обрабатываться, для чего и почему об этом надо знать и заботиться (privacy.wildberries.ru). Он доступен всем без ограничения, и любой посетитель сразу видит наше основное кредо: «Персональные данные — не товар».

Кроме того, мы в Wildberries и Russ разработали концепцию киберосознанности — культуры, в которой каждый осознает свою ответственность и принимает необходимые действия для защиты данных и денег онлайн. Мы занимаемся системной просветительской работой по теме информационной безопасности среди сотрудников, покупателей, партнеров и продавцов. В частности, недавно был запущен пополняющийся ресурс «Гид по безопасности» (security.wildberries.ru), где собраны основные мошеннические схемы и способы противодействия.

Также мы следуем принципу «интерфейсной прозрачности», который подразумевает, что несмотря на то, что вся необходимая по закону информация уже содержится в правовых документах, любой интерфейс должен быть понятен пользователю в том числе без всяких документов. Например, если есть форма сбора данных, из нее должно быть понятно, для чего собираются данные.

Для профессионалов на рынке мы также стараемся быть полезными, делиться опытом и интересными кейсами. Например, недавно мы провели первое в истории компании мероприятие для экспертов в сфере приватности — Wildberries Privacy Day.

Мы продолжим развивать компетенции команды DPO, всегда готовы взаимодействовать с коллегами по профессии, делиться опытом и вместе делать обработку данных, за которую мы отвечаем, законной, безопасной и прозрачной для субъекта, бизнеса и уполномоченных органов.