Эксперт по защите данных: H&M оштрафовали на 35 млн евро, но GDPR не заставляет отказаться от инноваций

По словам эксперта по защите личных данных адвокатского бюро Hedman Андреса Оявера, GDPR не заставляет отказываться от инноваций, но основанные на больших данных продукты, услуги и технологии должны уважать основные права человека. ”Эмпирическое правило заключается в том, что личные данные не должны быть свободно доступны без ведома человека, а право человека на приватность не должно чрезмерно нарушаться. В качестве решения я вижу две возможности использования больших данных. Во-первых, можно использовать анонимные данные. Во-вторых, можно очень четко дать людям понять, что планируется делать с данными, и дать человеку право решать”, — пояснил он.

Если анализ данных и/или профилирование выполняется без ведома человека, это может привести к штрафам и ущербу репутации компании. Так недавно произошло в H&M, где личные данные сотрудников анализировались в больших масштабах без их ведома. Обработанные данные включали, например, отпуск сотрудника, диагнозы болезней и медицинские симптомы, семейное положение и религиозную принадлежность. ”Обработка личных данных сотрудников привела к наложению на предприятие штрафа в размере 35,3 миллиона евро, кроме того, каждый затронутый сотрудник получил компенсацию и, конечно же, нельзя игнорировать значительный репутационный ущерб”, — привел пример Оявер.

Использование личных данных регулируется определенными принципами во всей Европе — и все чаще во всем мире. ”Например, данные, собранные для одной цели, нельзя использовать для новой цели без ведома человека. Строгое требование согласия требуется для определенных данных и целей, для которых они используются”, — подчеркнул эксперт по защите личных данных Hedman.

Например, для компании, работающей с большими данными, это означает, что определенная аналитика может выполняться не на основе всей базы данных, а на основе ее части. ”Если 20% людей дает согласие на обработку данных, это означает, что аналитка может выполняться на основе только этих данных, а не всей базы”, — привел пример Оджавер. Кроме того, по его словам, необходимо учитывать и требования к хранению данных.

Персонализированные данные, цель хранения которых была достигнута, должны быть удалены или анонимизированы.

”В своей работе я ежедневно вижу, что, когда требования GDPR создают препятствия для компании, они думают не о решениях, а отказываются, чтобы избежать рисков. По моей оценке, следует прилагать больше усилий для анонимизации данных и создания моделей данных. Это может заполнить пробелы, которые в противном случае могут остаться в общей картине по причине GDPR”, — предположил Оявер.

По словам эксперта по защите личных данных, предприятиям часто сложно именно получить согласие от людей. ”Иногда их спрашивают, когда этого делать на самом деле не нужно, иногда их спрашивают неполностью, а бывают ситуации, когда их вообще не спрашивают. Это следствие сложной правовой базы, а не отсутствия интереса предприятий или намерения компаний умышленно обманывать клиентов”, — добавил он.