Внедрение Privacy by Design в программное обеспечение по распознанию лиц

dpo
Заказчик
Компания-разработчик вне ЕС поставляет программное обеспечение корпоративным клиентам, находящимся в ЕС. Многие продукты нацелены на работу с биометрическими персональными данными. Одному из таких клиентов для дополнительной продажи услуг необходима идентификация одновременно больших масс своих посетителей. Получение письменного согласия на обработку чувствительных данных (распознавание лиц) будет затруднительно и дорого, а другие основания не подходят.
dpo
Цели и задачи проекта
  • Определить обязанности контролера и процессора в части обработки и предоставления доступа к биометрическим данным.
  • Провести аудит ПО на соответствие правилам GDPR.
  • Оценить возможность внедрения Privacy by Design.
  • Защитить компанию от риска получить штраф или жалобу за нарушение GDPR.
  • dpo
    Краткое описание проекта
    Из ст. 9 GDPR, которая запрещает обработку биометрических данных, есть лишь несколько исключений. Консультант DPO проанализировал цели, масштаб и характер планируемой обработки, организационно-технические возможности заказчика и пришёл к выводу, что можно использовать исключения, упомянутые в пункте а второго параграфа ст. 9 GDPR. Было разработано индивидуальное решение, которое гарантирует приватность посетителей с учетом Privacy by Default. Помимо прочего, были рассмотрены возможности анонимизации данных и использования иных категорий персональных данных, способы перенесения обработки на устройства самих посетителей.
    dpo
    Результаты проекта
    Было выработано решение, которое позволяет получить явно выраженное согласие на обработку чувствительных данных 100+ тысяч клиентов за один день. Данное решение не требует больших финансовых затрат и заключается в организационном изменении. Посетители выражают свое согласие действием без заполнения каких-либо документов, но при этом оно отвечает всем предъявляемым GDPR требованиям (добровольное и не является предусловием для оказания услуг, легко отзываемое, информированное).

    Консультант

    Сооснователь и директор DPO LLC. Тренер и ведущий консультант
    Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016

    Сергей дал сотни консультаций по вопросам GDPR бизнесам по всему миру. Помог привести в соответствие с GDPR более 50 компаний и продуктов.

    в LinkedIn

    Рекомендуемые услуги

    Аудит
    Аудит
    Аудит соответствия Регламенту. Внешние и внутренние аудиты соответствия Регламенту проектов, процессов или отдельных обработок данных.
    Внедрение GDPR
    Программа внедрения GDPR Roadmap+
    Обучение и менеджерское сопровождение рабочей группы по внедрению GDPR.