Заряжено на приватность: система управления персональными данными для производителя счётчиков радиации
- Manufacturing
- SME
Что общего у карманного счётчика Гейгера, интернет-магазина и социальной платформы? На первый взгляд — немного. Но в цифровой экосистеме нашего клиента они образуют единый маршрут данных: пользователь покупает устройство, подключает его к приложению, создаёт маршруты измерений (треки), публикует результаты на интерактивной карте и взаимодействует с другими участниками сообщества.
Рассказываем, как мы выстроили систему управления персональными данными для продукта на стыке физического устройства, мобильного приложения, интернет-магазина и социальной платформы.
Запрос
К нам обратилась европейская компания — разработчик карманных счётчиков Гейгера, которая создаёт вокруг своих устройств цифровую экосистему.
Клиенту требовалось процессы обработки персональных данных в соответствие с законодательством, прежде всего с GDPR.
Основная сложность была не в формальном применении требований GDPR к отдельным процессам, а в том, чтобы выявить и снизить риски, возникающие на стыке четырёх разных сред. Нужно было одновременно проанализировать, как данные из устройства, интернет-магазина, приложения и социальной платформы могут быть сопоставлены между собой, и выстроить единый правовой подход, который учитывает эти связи, но при этом не замедляет развитие продукта и запуск новых функций.
Наше решение
Мы определили, когда данные измерений и маршрутов становятся персональными, снизили риски сопоставления данных из разных частей экосистемы, оценили влияние социальных функций и поведенческой аналитики на приватность и превратили эти выводы в работающую систему управления данными. По итогам проекта мы сформировали пакет необходимых документов и технических заданий для отдела разработки.
Ведущий консультант проекта
Наталья Анисимова,
CIPP/E, AIGP, FIP.
Ключевые вопросы проекта
Для выполнения этого проекта нам понадобилось ответить на пять основных вопросов, которые поставила перед нами архитектура продукта:
- В какой момент данные физического устройства становятся персональными?
- Как снизить риск сопоставления сведений из разных частей экосистемы?
- Можно ли считать результаты измерения уровня радиации данными о здоровье?
- Как меняются риски, когда интерактивная карта приобретает функции социальной платформы?
- Как использовать поведенческую веб-аналитику, не создавая избыточных рисков для пользователей?
Как мы отвечали на эти вопросы
В какой момент данные физического устройства становятся персональными?
На первый взгляд счётчик Гейгера — это обычный датчик, который фиксирует уровень радиации в окружающей среде. Однако устройство не только сохраняет результаты измерений, но и может формировать маршрут, который содержит данные о местоположении.
Кроме того, каждому прибору присваивается уникальный идентификатор. Сам по себе он не всегда позволяет установить личность владельца. Но если идентификатор связан с учётной записью, историей маршрутов или другой доступной информацией, он позволяет соотнести измерения и перемещения с конкретным пользователем.
Это похоже на номерной знак автомобиля: отдельно он представляет собой набор символов, но вместе с дополнительной информацией позволяет связать автомобиль с владельцем и проследить его маршрут.
Таким образом, данные устройства относятся к персональным, если с учётом контекста и разумно доступных средств они могут быть связаны с идентифицированным или идентифицируемым пользователем. Связь с учётной записью — один из факторов, но не единственный: значение могут иметь уникальный идентификатор устройства, геолокация, временные метки и устойчивые паттерны маршрутов.
Исходя из этого, мы:
- — определили, какие идентификаторы действительно необходимы для работы каждой функции;
- — выявили сведения, от сбора или передачи которых можно отказаться;
- — зафиксировали связи между устройством, учётной записью и маршрутами измерений;
- — учли эти связи при разработке правил доступа, хранения и удаления данных.
Как снизить риск сопоставления данных из разных частей экосистемы?
Одна из ключевых сложностей проекта была связана с возможностью сопоставления данных из разных источников.
Например:
- — в интернет-магазине пользователь указывает адрес электронной почты и адрес доставки;
- — на интерактивной карте он авторизуется через Google-аккаунт, добавляя имя, псевдоним и фотографию профиля;
- — затем загружает маршрут измерений, созданный с помощью устройства.
Компания не сопоставляет эти массивы данных целенаправленно. Однако в европейской практике защиты данных такая ситуация известна как «эффект мозаики» (Mosaic Effect): при определённых условиях разрозненные сведения о покупке, учётной записи, устройстве и маршрутах могут быть сложены вместе и отнесены к одному человеку.
Поэтому мы анализировали не только каждый процесс по отдельности, но и риски возникновения эффекта мозаики на их пересечении.
Для снижения таких рисков мы предусмотрели:
- — разделение данных, используемых для разных целей;
- — отказ от избыточных идентификаторов;
- — отвязку маршрутов от учётной записи, если дальнейшее хранение связи не требуется;
- — разные сроки хранения для заказов, профилей и маршрутов;
- — повторную оценку при запуске функций, создающих новые возможности для сопоставления данных.
Можно ли считать результаты измерения уровня радиации данными о здоровье?
Это был один из наиболее сложных вопросов проекта.
В исследованной конфигурации продукта мы пришли к выводу, что результаты измерений окружающей среды не раскрывали фактическое или предполагаемое состояние здоровья пользователя и поэтому не рассматривались как данные о здоровье. Этот вывод относился к конкретной архитектуре и функциональности продукта.
Счётчик фиксировал уровень радиации в окружающей среде. Продукт не рассчитывал индивидуальную дозу облучения, не оценивал состояние организма и не формировал выводы о возможных последствиях для конкретного человека.
Следовательно, сведения не становились данными о здоровье только потому, что были связаны с радиацией.
При этом правовая квалификация может измениться вместе с функциональностью продукта.
Например, если компания начнёт:
- — рассчитывать индивидуальную дозу облучения, исходя из посещенных локаций;
- — определять персональный риск на основе истории маршрутов и измерений;
- — формировать рекомендации, связанные со здоровьем пользователя;
- — делать выводы о физическом состоянии человека;
- — передавать подобные выводы клиникам, страховщикам или другим организациям;
потребуется повторно оценить, раскрывают ли исходные данные и сформированные на их основе выводы сведения о здоровье пользователя.
В рамках нашего проекта мы зафиксировали текущую правовую квалификацию и определили изменения продукта, которые должны стать основанием для повторной оценки.
Как меняются риски, когда карта приобретает социальные функции?
Публичная карта измерений и социальная платформа создают разные уровни риска.
Пока на карте отображаются только результаты измерений без связи с профилем, основное значение имеют точность координат, идентификатор устройства и возможность сопоставить разные маршруты.
Но когда к маршрутам добавляются профиль пользователя, фотография, псевдоним и комментарии, набор измерений может превратиться в историю перемещений конкретного человека.
Особенно значимыми становятся риски:
- — определения места жительства или работы;
- — выявления привычных маршрутов;
- — наблюдения за перемещениями;
- — нежелательного контакта;
- — автоматизированного сбора сведений с публичной карты.
С учётом характера, масштаба, контекста и целей обработки мы пришли к выводу, что социальные функции могли создавать высокий риск для прав и свобод пользователей, и провели оценку воздействия на защиту данных (DPIA).
По итогам оценки мы согласовали набор технических и организационных мер и встроили в архитектуру продукта принципы защита данных на этапе проектирования и по умолчанию (Privacy by Design и Privacy by Default). В зависимости от готовности соответствующей функции они внедрялись в ходе проекта либо включались в дорожную карту:
1) Настройки по умолчанию и контроль времени:
- — новые маршруты остаются приватными, их публикация требует отдельного подтверждения;
- — перед первой публикацией пользователь получает понятное объяснение её последствий;
- — маршрут может публиковаться с задержкой, чтобы снизить риск слежки в реальном времени.
2) Инструменты управления для пользователя:
- — возможность скрыть или размыть район дома и другие чувствительные точки;
- — настройка географических ограничений для отдельных локаций;
- — прозрачные инструменты редактирования и удаления профиля, комментариев и маршрутов.
3) Защита от третьих лиц и модерация:
- — технические меры против автоматизированного сбора информации (скрапинга);
- — ограничение индексации профилей и маршрутов поисковыми системами;
- — процедура модерации и рассмотрения жалоб.
Как использовать поведенческую веб-аналитику, не создавая избыточных рисков для пользователей?
Отдельную оценку воздействия на защиту данных (DPIA) мы провели для Microsoft Clarity, используемой в интернет-магазине клиента.
Система позволяет анализировать действия посетителей: куда они нажимают, как добавляют товары в корзину и на каком этапе прекращают оформление заказа. Такая аналитика может включать детальную запись пользовательских сессий и использование браузерных идентификаторов.
Поэтому нам было важно не только определить правовое основание для использования инструмента, но и ограничить объём данных, цели обработки и доступ к отдельным записям.
По итогам оценки мы определили требования к настройке и использованию аналитики. Для соблюдения приватности пользователей мы порекомендовали компании:
- — прекращать или ограничивать записи при переходе к оплате;
- — маскировать элементы, которые могут содержать персональные или платёжные данные;
- — проверять состав передаваемых идентификаторов и настраивать доступные механизмы ограничения сбора;
- — ограничивать доступ сотрудников к записям отдельных сессий;
- — учитывать сроки хранения, которые установлены поставщиком, и внутренние ограничения на использование данных;
- — запускать необязательную аналитику только после получения требуемого согласия через платформу управления cookie.
Так, компания сохранила возможность анализировать работу интернет-магазина, но ограничила использование инструмента задачами, для которых не требуется формировать избыточный профиль конкретного пользователя.
Как мы превратили выводы в систему управления данными
Ответить на отдельные правовые вопросы было недостаточно. Требовалось создать систему, которая продолжит развиваться вместе с продуктом. Мы разделили работу на три ключевых этапа:
1. Глубокая правовая диагностика и картирование
Мы восстановили фактический путь данных через все четыре среды (магазин, устройство, приложение, соцсеть). На этой основе составили карту потоков данных и реестр обработок: определили правовые основания для каждого процесса, оценили риски трансграничных передач и подготовили систему документов (от внутренних политик до понятных пользователям уведомлений).
2. Правовой стресстест пользовательского пути
Чтобы юридическая архитектура не оторвалась от реальности продукта, мы не ограничились интервью с командами. Мы самостоятельно прошли все ключевые сценарии от покупки прибора до удаления профиля. Это позволило найти и устранить разрывы между формальными регламентами и тем, как экосистема работает на самом деле в интерфейсе.
3. Перевод права в технические таски
Юридические выводы мы трансформировали в конкретные требования к разработке. Для каждой рекомендации зафиксировали: какой экран нужно изменить, какая команда отвечает и на каком этапе нужна проверка. В результате защита данных перестала быть этапом «написания политик» и стала частью продуктовой разработки и операционного цикла компании.
Строите комплаенс для сложной экосистемы?
Наши сертифицированные консультанты помогут провести аудит, выстроить систему защиты персональных данных и переведут требования законов в конкретные задачи для продукта. Чтобы узнать больше, переходите на эту страницу или запишитесь на бесплатную консультацию.
Вывод
Физическое устройство сегодня — это не просто прибор в коробке, а ядро сложной сети из цифровых сервисов и социальных взаимодействий. Систему защиты данных здесь нужно выстраивать вдоль всего пути пользователя, а не зацикливаться на отдельных приложениях.
В результате нашей работы над проектом компания получила не просто набор шаблонных документов, а работающий механизм, который позволяет безопасно масштабировать продукт. Мы перевели абстрактные требования GDPR в конкретные настройки архитектуры и интерфейса. Это снизило регуляторные и репутационные риски при развитии социальных функций и позволило существенно сократить объём данных и риски, связанные с маркетинговой аналитикой.
Часть решений была внедрена разработчиками сразу, остальные зафиксировали в продуктовой дорожной карте с распределением зон ответственности. Сейчас мы продолжаем сопровождать компанию в рамках программы аутсорсинга Data Privacy Manager.
Рассылка Data Privacy Office
А в ней — скидка 10 % на курс GDPR DPP, полезные материалы от экспертов и наши новости.