Ozon рассказал, как должна быть организована работа с персональными данными

При работе с большим количеством пользователей и партнеров следует учитывать эту специфику при организации работы с персданными.

Базовый принцип при построении системы защиты персональных данных — минимально необходимый доступ и минимально необходимый объем обработки: каждый сотрудник и система получают только те данные и только на тот срок, который действительно нужен для выполнения задачи.

Об этом рассказал «Клерку» руководитель практики защиты персональных данных Ozon Михаил Ратушный.

Еще один важный принцип — встраивание безопасности в процесс CI/CD, когда вопросы защиты и обеспечения корректности обработки персданных закладываются на этапе проектирования информационной системы.

«Мы не видим противоречия между развитием сервисов и защитой данных: все данные должны защищаться в одинаковой степени. При этом, разумеется, необходимо учитывать законодательные ограничения — в части обеспечения законной цели и правового основания для обработки данных в целях, отличных от целей изначального сбора. Это требует анализа в каждом конкретном случае с учетом специфики бизнеса, и мы относимся к этому особенно внимательно», — отметил Ратушный.

Практическую сложность представляет большой объем обращений, которые необходимо оперативно обрабатывать. Ведь это миллионы пользователей и тысячи партнеров. Решения, которые принимаются, должны быть максимально взвешенными и юридически безупречными. Как следствие — защита и обеспечение правомерности обработки данных пользователей.

В Ozon действуют единые правила и процедуры работы с персданными, обязательные для всех подразделений. Данные обрабатываются на одной платформе, что позволяет контролировать соблюдение единого технического стандарта. Дополнительно регулярно проводится обучение сотрудников для понимания возможных рисков и основных мер предосторожности.

Внутренние правила для сотрудников включают несколько ключевых принципов:

• не собирать данные, если они не нужны для конкретной цели;

• предоставлять доступ к данным только когда работа ведется с конкретным субъектом;

• удалять данные, когда они перестают быть необходимыми для цели, ради которой были получены.

В работе с партнерами и подрядчиками маркетплейс включает в договоры типовые условия, фиксирующие взаимные требования к обработке и защите персданных, проводит аудит партнеров и контролирует, как они соблюдают предъявленные требования.

Михаил Ратушный ожидает дальнейшее повышение затрат на внедрение решений по информационной безопасности, активное применение искусственного интеллекта в этой сфере и сопутствующие ИИ-риски.

Ранее мы писали, что за управление персональными данными должны отвечать и юристы, и ИТ.