Заряжено на приватность: система управления персональными данными для производителя счётчиков радиации

Что общего у карманного счётчика Гейгера, интернет-магазина и социальной платформы? На первый взгляд — немного. Но в цифровой экосистеме нашего клиента они образуют единый маршрут данных: пользователь покупает устройство, подключает его к приложению, создаёт маршруты измерений (треки), публикует результаты на интерактивной карте и взаимодействует с другими участниками сообщества.

Рассказываем, как мы выстроили систему управления персональными данными для продукта на стыке физического устройства, мобильного приложения, интернет-магазина и социальной платформы.

система управления персональными данными для производителя счётчиков радиации
Запрос

К нам обратилась европейская компания — разработчик карманных счётчиков Гейгера, которая создаёт вокруг своих устройств цифровую экосистему.

Клиенту требовалось  процессы обработки персональных данных в соответствие с законодательством, прежде всего с GDPR.

Основная сложность была не в формальном применении требований GDPR к отдельным процессам, а в том, чтобы выявить и снизить риски, возникающие на стыке четырёх разных сред. Нужно было одновременно проанализировать, как данные из устройства, интернет-магазина, приложения и социальной платформы могут быть сопоставлены между собой, и выстроить единый правовой подход, который учитывает эти связи, но при этом не замедляет развитие продукта и запуск новых функций.

Наше решение

Мы определили, когда данные измерений и маршрутов становятся персональными, снизили риски сопоставления данных из разных частей экосистемы, оценили влияние социальных функций и поведенческой аналитики на приватность и превратили эти выводы в работающую систему управления данными. По итогам проекта мы сформировали пакет необходимых документов и технических заданий для отдела разработки.

Ведущий консультант проекта

Наталья Анисимова,
CIPP/E, AIGP, FIP.

Ключевые вопросы проекта

Для выполнения этого проекта нам понадобилось ответить на пять основных вопросов, которые поставила перед нами архитектура продукта:

Как мы отвечали на эти вопросы

В какой момент данные физического устройства становятся персональными?

На первый взгляд счётчик Гейгера — это обычный датчик, который фиксирует уровень радиации в окружающей среде. Однако устройство не только сохраняет результаты измерений, но и может формировать маршрут, который содержит данные о местоположении.

Кроме того, каждому прибору присваивается уникальный идентификатор. Сам по себе он не всегда позволяет установить личность владельца. Но если идентификатор связан с учётной записью, историей маршрутов или другой доступной информацией, он позволяет соотнести измерения и перемещения с конкретным пользователем.

Это похоже на номерной знак автомобиля: отдельно он представляет собой набор символов, но вместе с дополнительной информацией позволяет связать автомобиль с владельцем и проследить его маршрут.

Таким образом, данные устройства относятся к персональным, если с учётом контекста и разумно доступных средств они могут быть связаны с идентифицированным или идентифицируемым пользователем. Связь с учётной записью — один из факторов, но не единственный: значение могут иметь уникальный идентификатор устройства, геолокация, временные метки и устойчивые паттерны маршрутов.

Исходя из этого, мы:

  • — определили, какие идентификаторы действительно необходимы для работы каждой функции;
  • — выявили сведения, от сбора или передачи которых можно отказаться;
  • — зафиксировали связи между устройством, учётной записью и маршрутами измерений;
  • — учли эти связи при разработке правил доступа, хранения и удаления данных.
Как снизить риск сопоставления данных из разных частей экосистемы?

Одна из ключевых сложностей проекта была связана с возможностью сопоставления данных из разных источников.

Например:

  • — в интернет-магазине пользователь указывает адрес электронной почты и адрес доставки;
  • — на интерактивной карте он авторизуется через Google-аккаунт, добавляя имя, псевдоним и фотографию профиля;
  • — затем загружает маршрут измерений, созданный с помощью устройства.

Компания не сопоставляет эти массивы данных целенаправленно. Однако в европейской практике защиты данных такая ситуация известна как «эффект мозаики» (Mosaic Effect): при определённых условиях разрозненные сведения о покупке, учётной записи, устройстве и маршрутах могут быть сложены вместе и отнесены к одному человеку.

Поэтому мы анализировали не только каждый процесс по отдельности, но и риски возникновения эффекта мозаики на их пересечении.

Для снижения таких рисков мы предусмотрели:

  • — разделение данных, используемых для разных целей;
  • — отказ от избыточных идентификаторов;
  • — отвязку маршрутов от учётной записи, если дальнейшее хранение связи не требуется;
  • — разные сроки хранения для заказов, профилей и маршрутов;
  • — повторную оценку при запуске функций, создающих новые возможности для сопоставления данных.
Можно ли считать результаты измерения уровня радиации данными о здоровье?

Это был один из наиболее сложных вопросов проекта.

В исследованной конфигурации продукта мы пришли к выводу, что результаты измерений окружающей среды не раскрывали фактическое или предполагаемое состояние здоровья пользователя и поэтому не рассматривались как данные о здоровье. Этот вывод относился к конкретной архитектуре и функциональности продукта.

Счётчик фиксировал уровень радиации в окружающей среде. Продукт не рассчитывал индивидуальную дозу облучения, не оценивал состояние организма и не формировал выводы о возможных последствиях для конкретного человека.

Следовательно, сведения не становились данными о здоровье только потому, что были связаны с радиацией.

При этом правовая квалификация может измениться вместе с функциональностью продукта.

Например, если компания начнёт:

  • — рассчитывать индивидуальную дозу облучения, исходя из посещенных локаций;
  • — определять персональный риск на основе истории маршрутов и измерений;
  • — формировать рекомендации, связанные со здоровьем пользователя;
  • — делать выводы о физическом состоянии человека;
  • — передавать подобные выводы клиникам, страховщикам или другим организациям;

потребуется повторно оценить, раскрывают ли исходные данные и сформированные на их основе выводы сведения о здоровье пользователя.

В рамках нашего проекта мы зафиксировали текущую правовую квалификацию и определили изменения продукта, которые должны стать основанием для повторной оценки.

Как меняются риски, когда карта приобретает социальные функции?

Публичная карта измерений и социальная платформа создают разные уровни риска.

Пока на карте отображаются только результаты измерений без связи с профилем, основное значение имеют точность координат, идентификатор устройства и возможность сопоставить разные маршруты.

Но когда к маршрутам добавляются профиль пользователя, фотография, псевдоним и комментарии, набор измерений может превратиться в историю перемещений конкретного человека.

Особенно значимыми становятся риски:

  • — определения места жительства или работы;
  • — выявления привычных маршрутов;
  • — наблюдения за перемещениями;
  • — нежелательного контакта;
  • — автоматизированного сбора сведений с публичной карты.

С учётом характера, масштаба, контекста и целей обработки мы пришли к выводу, что социальные функции могли создавать высокий риск для прав и свобод пользователей, и провели оценку воздействия на защиту данных (DPIA).

По итогам оценки мы согласовали набор технических и организационных мер и встроили в архитектуру продукта принципы защита данных на этапе проектирования и по умолчанию (Privacy by Design и Privacy by Default). В зависимости от готовности соответствующей функции они внедрялись в ходе проекта либо включались в дорожную карту:

1) Настройки по умолчанию и контроль времени:

  • — новые маршруты остаются приватными, их публикация требует отдельного подтверждения;
  • — перед первой публикацией пользователь получает понятное объяснение её последствий;
  • — маршрут может публиковаться с задержкой, чтобы снизить риск слежки в реальном времени.

2) Инструменты управления для пользователя:

  • — возможность скрыть или размыть район дома и другие чувствительные точки;
  • — настройка географических ограничений для отдельных локаций;
  • — прозрачные инструменты редактирования и удаления профиля, комментариев и маршрутов.

3) Защита от третьих лиц и модерация:

  • — технические меры против автоматизированного сбора информации (скрапинга);
  • — ограничение индексации профилей и маршрутов поисковыми системами;
  • — процедура модерации и рассмотрения жалоб.
Как использовать поведенческую веб-аналитику, не создавая избыточных рисков для пользователей?

Отдельную оценку воздействия на защиту данных (DPIA) мы провели для Microsoft Clarity, используемой в интернет-магазине клиента.

Система позволяет анализировать действия посетителей: куда они нажимают, как добавляют товары в корзину и на каком этапе прекращают оформление заказа. Такая аналитика может включать детальную запись пользовательских сессий и использование браузерных идентификаторов.

Поэтому нам было важно не только определить правовое основание для использования инструмента, но и ограничить объём данных, цели обработки и доступ к отдельным записям.

По итогам оценки мы определили требования к настройке и использованию аналитики. Для соблюдения приватности пользователей мы порекомендовали компании:

  • — прекращать или ограничивать записи при переходе к оплате;
  • — маскировать элементы, которые могут содержать персональные или платёжные данные;
  • — проверять состав передаваемых идентификаторов и настраивать доступные механизмы ограничения сбора;
  • — ограничивать доступ сотрудников к записям отдельных сессий;
  • — учитывать сроки хранения, которые установлены поставщиком, и внутренние ограничения на использование данных;
  • — запускать необязательную аналитику только после получения требуемого согласия через платформу управления cookie.

Так, компания сохранила возможность анализировать работу интернет-магазина, но ограничила использование инструмента задачами, для которых не требуется формировать избыточный профиль конкретного пользователя.

Как мы превратили выводы в систему управления данными

Ответить на отдельные правовые вопросы было недостаточно. Требовалось создать систему, которая продолжит развиваться вместе с продуктом. Мы разделили работу на три ключевых этапа:

1. Глубокая правовая диагностика и картирование

Мы восстановили фактический путь данных через все четыре среды (магазин, устройство, приложение, соцсеть). На этой основе составили карту потоков данных и реестр обработок: определили правовые основания для каждого процесса, оценили риски трансграничных передач и подготовили систему документов (от внутренних политик до понятных пользователям уведомлений).

2. Правовой стресстест пользовательского пути

Чтобы юридическая архитектура не оторвалась от реальности продукта, мы не ограничились интервью с командами. Мы самостоятельно прошли все ключевые сценарии от покупки прибора до удаления профиля. Это позволило найти и устранить разрывы между формальными регламентами и тем, как экосистема работает на самом деле в интерфейсе.

3. Перевод права в технические таски

Юридические выводы мы трансформировали в конкретные требования к разработке. Для каждой рекомендации зафиксировали: какой экран нужно изменить, какая команда отвечает и на каком этапе нужна проверка. В результате защита данных перестала быть этапом «написания политик» и стала частью продуктовой разработки и операционного цикла компании.

Строите комплаенс для сложной экосистемы?

Наши сертифицированные консультанты помогут провести аудит, выстроить систему защиты персональных данных и переведут требования законов в конкретные задачи для продукта. Чтобы узнать больше, переходите на эту страницу или запишитесь на бесплатную консультацию.

Вывод

Физическое устройство сегодня — это не просто прибор в коробке, а ядро сложной сети из цифровых сервисов и социальных взаимодействий. Систему защиты данных здесь нужно выстраивать вдоль всего пути пользователя, а не зацикливаться на отдельных приложениях.

В результате нашей работы над проектом компания получила не просто набор шаблонных документов, а работающий механизм, который позволяет безопасно масштабировать продукт. Мы перевели абстрактные требования GDPR в конкретные настройки архитектуры и интерфейса. Это снизило регуляторные и репутационные риски при развитии социальных функций и позволило существенно сократить объём данных и риски, связанные с маркетинговой аналитикой.

Часть решений была внедрена разработчиками сразу, остальные зафиксировали в продуктовой дорожной карте с распределением зон ответственности. Сейчас мы продолжаем сопровождать компанию в рамках программы аутсорсинга Data Privacy Manager.

Рассылка Data Privacy Office

А в ней — скидка 10 % на курс GDPR DPP, полезные материалы от экспертов и наши новости.

Поможем навести такой же идеальный порядок в персональных данных

Запишитесь на бесплатную консультацию с нашим консультантом, чтобы оценить текущую систему защиты персональных данных в компании и получить список шагов по ее улучшению.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.