Что такое принцип минимизации данных или Как беларуским ритейлерам защитить приватность покупателей

Поделиться

29 января мы писали, что в новой редакции правил дисконтной программы торговой сети "Санта" появился пункт о возможном предоставлении персональных данных участников дисконтной программы "по требованию государственных органов, обязательному для исполнения".

Как нам объяснили в компании, внеся указанный пункт в правила, "Санта" демонстрирует честность и открытость перед покупателями. Ведь любая торговая сеть обязана предоставить госорганам по их запросу персональные данные владельцев дисконтных карт, независимо от того, указано об этом в правилах участия в дисконтной программе или нет.

Marketing.by попросил экспертов из компании "Дата Прайваси Офис" рассказать, как в Беларуси обстоит вопрос с защитой персональных данных и что делать ритейлам, чтобы и закон соблюсти, и покупателям не навредить.

Сергей Воронкевич, основатель компании Data Privacy Office, тренер и ведущий консультант по защите персональных данных согласно GDPR (CIPP/E, CIPM, FIP, MBA):

Siarhei_Varankevich_9876_face_transparent.jpg

- Обработка персональных данных в Беларуси практически никак не регулируется. С 1 марта 2021 года в КоАП Республики Беларусь будут внесены штрафы за нарушение защиты персональных данных. Несмотря на то, что у нас появятся санкции, никаких норм или разъяснений в части защиты персональных данных пока нет. Пускай это немного странно, но как есть. Мы сможем узнать, как эти нормы будут применяться в Беларуси, только с приходом судебной практики, что произойдёт не раньше весны.

Что касается упоминания передачи госорганам данных в правилах дисконтной программы сети "Санта", то если подходить с точки зрения требований к политике приватности (политике конфиденциальности, как ее еще называют), то нужно было бы более точно определить, для каких целей информация предоставляется государственным органам. Сейчас то, что мы будем делать, это лишь попытка залезть в голову создателю политики приватности и вникнуть в то, как устроена работа с данными в этой компании.

Если бы это были европейские требования или, если бы действовал беларуский закон с соответствующей нормой, они были бы обязаны не просто кратко указать, куда планируют передавать данные, а ещё и уточнить детали: "Мы обязаны предоставить данные правоохранительным органам по их запросу в ходе расследования уголовного дела или в рамках оперативно-розыскной деятельности. В перечень предоставляемой информации входит имя, адрес, дата рождения, список покупок и время похода в магазин”.

Не знаю, существует ли цель этой обработки. В данном случае, похоже, что такие полномочия у правоохранительных органов действительно есть, особенно в свете принятого недавно Закона "Об оперативно-розыскной деятельности". 

Фактически, теперь можно проследить за человеком не только с помощью известных государственных баз, к которым есть доступ у соответствующих органов - о поездках, местах работы, суммах заработных плат, банковских вкладах и прочих деталях частной жизни. Сейчас, получается, появляется возможность составить более точный портрет человека, вплоть до покупательских привычек и вкусовых предпочтений.

5687.PNG

Пример анкеты для получения карты лояльности "Гиппо".

То есть, если бы "Санта" в политике приватности указали, для чего именно и какие данные они собирают, то с точки зрения прозрачности все было бы ок. Но с другой стороны, я считаю нарушением принципов защиты персональных данных то, что под видом карт лояльности и скидочных карт, декларируемая цель которых — позволить покупателям сэкономить, устанавливается слежка. И эта информация зачастую используется не для заявленных целей. 

Для цели "экономии" карточки должны и вполне могут быть анонимизированы или обезличены. Например, можно использовать псевдоним, а не реальное имя человека, а адрес и дата рождения вообще не нужны.

Есть ситуации, когда при создании дисконт-карты запрашивать имя и фамилию релевантно. Например, проведение розыгрыша или предоставление возможности восстанавливать карту с сохранением начисленных бонусов, так как будет необходима идентификация по паспорту.

Тут явно происходит нарушение принципа минимизации данных. Мне неизвестно, можно ли восстанавливать карты в "Санте", "Короне", "Виталюре". Но в случае со многими картами, у меня почему-то спрашивают дополнительную информацию обо мне и не предлагают эту возможность, что само по себе несправедливо и будет нарушать принцип будущего закона о персональных данных.

И важно иметь в виду, что, если даже вам нужна статистика и предпочтения покупателей, которые вы можете определить с помощью карточек (то есть, аналитические цели), то вам не нужны такие идентификаторы людей как имена, номера телефонов, почты и т.д. Для аналитики вы можете пользоваться псевдонимами. То есть, анонимизировать либо вообще исключить это поле из анкеты.

Тогда даже, если к вам обращаются государственные и правоохранительные органы, у которых формально есть право требовать эту информацию (беларуские законы написаны так, что у наших правоохранителей много полномочий, включая доступ не к индивидуальной записи отдельного покупателя, а ко всей базе), то вы не сможете её предоставить, так как она уже анонимизирована. 

pokupnik.jpg

Это даст вам возможность не предоставлять такие данные пользователей, с помощью которых они могли бы быть идентифицированы. Поделитесь, что “да, у нас есть такой пользователь и есть такая карточка. На этой карточке столько-то баллов, но история покупок нам не известна, потому что она анонимизируется, покупки анонимизируются, и мы не знаем, какие он покупки совершал, но знаем, на какую сумму и сколько баллов у него есть”. Это будет соответствовать законодательству о персональных данных, которое, в скором времени, вступит в силу. 

В тоже время, это не будет нарушением законодательства об оперативно-розыскной деятельности и правоохранительных органах, поскольку у вас такой информации просто не будет. 

Возможно, но не уверен, информацию о скидках (“начислениях на дисконт-карту”) можно предоставлять госорганам в ходе проверок, например, налоговых.

В любом случае, моя позиция и моя рекомендация всем магазинам, которые оказались в ситуации, в которой они обязаны будут предоставлять эту информацию:

  1. 1) лучше сделать, как "Санта". То есть, сообщить о том, что вы будете это делать. Это грамотно с точки зрения принципа прозрачности и доверия. Ведь наверняка есть те, кто скрыто предоставляют эту информацию, даже не оповестив покупателей. При этом, лучше даже добавить ещё больше подробностей, какие данные у них остаются и для каких целей. Это позволить избежать двусмысленности.
  2. Не собирайте лишние данные: удаляйте или анонимизируйте их, если для цели, для которой вы эту информацию собираете, достаточно анонимных данных, а не персональных. Тогда вы не навредите участникам своей программы в случае утечки, не подорвете доверие к собственным программам лояльности, а также удовлетворите требования государственных и правоохранительных органов.

В заключение хочу рассказать историю, которая произошла, по-моему, в Швеции, и является примером использования программ лояльности для других целей. Спойлер: магазин проиграл в суде. История была следующая: один из посетителей упал в магазине, а следом за ним и даже на него - стеллаж. Как итог, несколько телесных повреждений и разборки с магазином. Посетитель подал в суд на магазин, а магазин попытался проанализировать данные о регулярно приобретаемых товарах, чтобы использовать эту информацию для своей защиты.

По итогу “анализа” оказалось, что данный посетитель очень часто покупает алкоголь, а значит, вероятно, злоупотребляет и, предположительно, в день происшествия был пьян. И это не что иное как нарушение принципа ограничения целью. То есть, если изначальными целями были сбор статистики и анализ покупок для того, чтобы определить, какие продукты более востребованы, то организация не может использовать эту информацию в суде. Так вот, в кейсе суд не принял это доказательство, что является хорошим примером, так как информация, которую собирает магазин, должна собираться для конкретной цели и не использоваться для иной.

Мария Арнст, Data Protection Officer, GDPR консультант, исследовательница в области приватности (CIPM, TÜV, Strategic Privacy by Design, DPP)

mariya___kopiya-removebg-preview-e1564495944526-300x248.jpg

- В мире защиты персональных данных эталонным законодательством на сегодняшний день является Европейский Регламент о Защите Данных (GDPR). И не только потому что это законодательство с самыми большими штрафами в мире по защите данных, но и потому что оно спроектировано с целью дать людям больше контроля над их данными. А компаниям, которые их обрабатывают - больше ответственности.

Поэтому я думаю, если вопрос о неком идеале, то на сегодняшний день имеет смысл подразумевать GDPR. Следует, правда, оговориться, что, конечно, нельзя описать все правила GDPR в нескольких абзацах, но некоторые из самых важных - ниже.

Поскольку хранение, с точки зрения GDPR — это тоже обработка данных, то, следовательно, нужно соблюдать все правила комплаенса, даже если данные “просто лежат”. У такой обработки должна быть четко сформулированная и понятная цель - то есть, если мы данные собираем для того, чтобы дать людям возможность участвовать в акции, то после окончания акции эти данные уже цели не имеют, значит нужно удалять, и нельзя оставлять “на всякий случай".

Также, нужно, чтобы обязательно было правовое основание у этой обработки - иными словами, какое-то юридическое оправдание, на которое опирается обработка и которое делает эту обработку законной. Скорее всего, единственное, на что может опереться такая обработка — это согласие пользователей. 

Причем, очень важно, чтобы согласие было информированным, отдельным и отзываемым. То есть если, например, мы закапываем это согласие где-то глубоко на сайте в Политике Приватности, оно не будет считаться законным.

Также важно, чтобы обработка данных была прозрачной. Многие считают, что опубликовать детальный текст Политики Приватности — это достаточное информирование субъектов, хотя на самом деле мы все понимаем, что в том виде, в котором эти политики пишутся сейчас - их почти никто не читает, кроме юристов, конечно, которые их пишут. Поэтому в законе есть требование предоставлять ясную и четкую информацию об обработке. Это значит, что ответственность за информированность субъектов лежит на компании, обрабатывающей данные. Важно подавать информацию в понятной форме, простым языком, и в подходящий момент.

Ритейлеры при хранении данных об участниках дисконтных программ должны опираться на цели и на то, есть ли законное основание для обработки данных. Если оно есть (например, отдельное, информированное согласие от человека), и данные нужны для законной и сформулированной цели (например, дать людям возможность получать скидки за счет бонусной программы) - то такие данные скорее всего хранить (и обрабатывать) можно.

Следует также иметь в виду, что не все данные, которые возможно, у нас есть о человеке, нужны нам для этой конкретной цели. Например, нам необязательно знать, как человека зовут, чтобы предоставлять ему или ей скидку. Нам достаточно какого-то клиентского номера и данных о покупках (если, например, скидка зависит от истории покупок).

Если же цели для хранения нет (либо нет правового основания), то хранить такие данные будет нарушением. Один большой владелец недвижимости в Берлине за такое хранение получил штраф в 14.5 миллионов евро, потому что у них хранились данные всех людей, которые когда-либо снимали у них недвижимость, даже если эти люди уже давно не клиенты. То есть хранить данные следует ровно столько, сколько они отвечают заявленной цели.

Поделиться
Материалы по теме:
Обсуждение:
Читайте также: