18 и 20 марта прошел WB Privacy&Day – одно из самых крупных мероприятий в сфере организации обработки и защиты ПД. Более 40 спикеров обсудили регулирование и практику обработки ПД, устройство privacy-функции внутри компании и ее связь с IT, UX/UI, e-com и внутренними процессами.
Делимся полезными наблюдениями с выступления Артема Дмитриева, управляющего партнера Comply.
1. Бизнес расширяется на ино-рынки: как правильно настроить privacy-функцию, чтобы не замедлить развитие?
Золотой стандарт для всех рынков и локальные эксцессы
● Чтобы выход на новый рынок был не «с чистого листа», а являл собой кастомизацию существующего продукта, нужно закладывать модульную конструкцию вашей privacy-программы как документов, так и процедур. Выпадающие специфичные требования могут быть урегулированы отдельно, но базис – общий.
● Это еще значит и то, что privacy-программа должна быть космополитична – базироваться на ключевых принципах, общих для всех рынков присутствия, и уж точно не быть привязана к конкретной юрисдикции.
● Наконец, комплаенс-артефакты, например RoPA, должны быть реюзабельными для большинства рынков. Это поможет быстро адаптироваться, не выстраивая все заново для каждой страны.
● В конце концов, это означает, что иногда придется в зависимости от рынка делать чуть больше императивно требуемого, а иногда – меньше. О втором как раз смотрите ниже.
Приоритизация ресурсов
● Не всегда возможно выполнить все privacy-требования на новом рынке и особенно до go-live. Важно учитывать реальные риски энфорсмента в этой стране. Например, в странах Персидского залива и Бразилии регуляция GDPR-центрична с несколькими особенностями, но энфорсмент пока минимален. Выводы делайте сами 🥹
● Или если у вас нет локального присутствия в стране, то значит ли это, что надо соблюдать, например, весьма специфичные требования в Турции к регистрации у надзорного органа и к подписанию SCC с мокрой подписью или в Израиле, включая регистрацию баз данных и уведомление регулятора о их безопасности. Скорее всего регуляторы, у которых, будем помнить, весьма ограниченный бюджет, до вас не доберутся без локального присутствия, если вы не Google или Facebook, конечно.
Топ-риски при масштабировании
● Нарушение гайдлайнов Apple, Google или payment-провайдеров. Например, Apple может исключить приложение или заблокировать новый релиз, если обнаружит несоответствие с их требованиями, которые часто идут дальше самых консервативных позиций регуляторов.
● Отрицательные новости о вашем бизнесе в новой юрисдикции могут привести к серьезным потерям. Пиар-риски могут стать причиной утраты доверия со стороны клиентов и партнеров. И даже привести к расследованию локальных органов, которые также читают новости.
● Штрафы – точно страшное, но для большинства – не самое. Ведь даже в случае с GDPR, многие компании оспаривают штрафы в суде, затягивая процесс на годы. Например, Amazon недавно успешно оспорил штраф на 700 млн евро, который был наложен еще в 2021 году.
2. Иногда маленькие «фичи» имеют накопительный эффект и до неузнаваемости могут поменять продукт. Как быть и не потерять ничего из виду?
Настройка процессов
● Важна операционная эффективность privacy-функции. Важно, чтобы privacy-контроли были интегрированы в бизнес-процессы. И интегрирован должен быть именно контроль, а не человек с титулом DPO.
● Первая линия контроля или контроль изменений «на земле» именно за бизнесом, а уже потом подключается DPO. Например, сделать sign-off на базе пре-ассессмента и собранной информации бизнес-инициатором самостоятельно.
Необходимые действия
● Предоставить бизнесу инструментарий и self-сервисы. Это могут бытьописание процесса и playbook’и, чек-листы, дерево вопросов, формы для заполнения и пр. Все, что поможет бизнесу выполнять делегированный им контроль.
● Проводить выборочный контроль. Необходимо запланировать точечные проверки, чтобы убедиться, что все работает и бизнес делает, что должно.
● Внедрить процесс эскалации при критичных ошибках. Если что-то важное ускользнуло, бизнес должен реагировать и устранять проблемы. Только так можно создать атмосферу взаимного уважения и доверия.
● Установить метрики и KPI. Причем, что важно, метрики именно для бизнеса, а не DPO. За первичный контроль отвечает именно бизнес, если ему объяснили «что и как» и дали для этого удобные инструменты. Не DPO должен быть ответственным за все проверки, а бизнес – условно за качество и своевременность заполнения пре-ассессмент формы.
● Внедрить SLA для DPO, чтобы «опрозрачить» процесс для бизнеса. Бизнес должен понимать сроки и параметры согласования, чтобы согласиться в этом участвовать.
● И наконец, основное – заручиться поддержкой стейкхолдеров, ибо без этого напрямую к бизнесу со своими светлыми идеями вряд ли удастся пробиться.