Внедрение Privacy by Design в программное обеспечение по распознанию лиц

Customer
Заказчик
Компания-разработчик вне ЕС поставляет программное обеспечение корпоративным клиентам, находящимся в ЕС. Многие продукты нацелены на работу с биометрическими персональными данными. Одному из таких клиентов для дополнительной продажи услуг необходима идентификация одновременно больших масс своих посетителей. Получение письменного согласия на обработку чувствительных данных (распознавание лиц) будет затруднительно и дорого, а другие основания не подходят.
Goals and objectives of the project
Цели и задачи проекта
  • Определить обязанности контролера и процессора в части обработки и предоставления доступа к биометрическим данным.
  • Провести аудит ПО на соответствие правилам GDPR.
  • Оценить возможность внедрения Privacy by Design.
  • Защитить компанию от риска получить штраф или жалобу за нарушение GDPR.
  • Brief description of the project
    Краткое описание проекта
    Из ст. 9 GDPR, которая запрещает обработку биометрических данных, есть лишь несколько исключений. Консультант DPO проанализировал цели, масштаб и характер планируемой обработки, организационно-технические возможности заказчика и пришёл к выводу, что можно использовать исключения, упомянутые в пункте а второго параграфа ст. 9 GDPR. Было разработано индивидуальное решение, которое гарантирует приватность посетителей с учетом Privacy by Default. Помимо прочего, были рассмотрены возможности анонимизации данных и использования иных категорий персональных данных, способы перенесения обработки на устройства самих посетителей.
    Results of the project
    Результаты проекта
    Было выработано решение, которое позволяет получить явно выраженное согласие на обработку чувствительных данных 100+ тысяч клиентов за один день. Данное решение не требует больших финансовых затрат и заключается в организационном изменении. Посетители выражают свое согласие действием без заполнения каких-либо документов, но при этом оно отвечает всем предъявляемым GDPR требованиям (добровольное и не является предусловием для оказания услуг, легко отзываемое, информированное).

    Консультант

    Сертифицированный консультант no GDPR и директор DPO LLC Сергей Воронкевич CIPP/E, CIPM, MBA
    Сергей Воронкевич CIPP/E, CIPM, MBA
    Сертифицированный профессионал в области информационной приватности. Европа CIPP/E MBA IGC Bremen University of Applied Sciences Сертифицированный менеджер в области информационной приватности CIPM
    Сооснователь и директор DPO LLC. Тренер и ведущий консультант
    Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016
    Сооснователь и директор DPO LLC. Тренер и ведущий консультант
    Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016

    Сергей дал сотни консультаций по вопросам GDPR бизнесам по всему миру. Помог привести в соответствие с GDPR более 50 компаний и продуктов.

    в LinkedIn

    Рекомендуемые услуги

    Аудит
    Аудит
    Аудит соответствия Регламенту. Внешние и внутренние аудиты соответствия Регламенту проектов, процессов или отдельных обработок данных.
    Software
    Software
    SaaS-продукты в области управления защитой персональных данных, которое рекомендует наша компания.