Датская служба такси Taxa 4×35 получила штраф в 1,2 миллиона датских крон, оператор мобильной связи в Греции Cosmote – 6 миллионов евро, а Avast Software, поставщик антивирусного программного обеспечения, 13,9 миллионов евро. Что объединяет эти компании? Они нарушили правила Общего регламента по защите данных (GDPR) по анонимизации.
Мы спросили у GDPR юристов Stalirov&Co как не повторить опыт Taxa 4×35, Cosmote и Avast Software, и выполнить требования регламента.
Что такое анонимизация данных?
Анонимизация персональных данных – это процесс шифрования или удаления данных, после которых человека больше нельзя прямо или косвенно идентифицировать. Этот способ обработки данных является гарантией безопасности и требованием для GDPR compliance.
Существует несколько различных методов анонимизации персональных данных:
- Рандомизация. Цель метода состоит в том, чтобы разорвать связь между человеком и данными, не теряя при этом той информационной ценности.
- Обобщение. Метод позволяет уменьшить детализации данных. Это приведет к тому, что вы раскроете меньше данных о субъекте данных. Например, обобщение можно использовать для замены точного возраста человека возрастной группой.
- Маскировка. Метод включает замену или скрытие частей данных символами или случайными значениями.
Каждая компания, которая собирает, обрабатывает и хранит персональные данные должна внедрять методы анонимизации, чтобы уменьшить риск несанкционированного доступа и утечки. Как только бизнес внедрил анонимизацию, процессы важно описать в Политике конфиденциальности. Разработка или обновление документа – это gdpr услуга, которая позволяет выполнить требования ст. 12 GDPR и предоставить пользователям актуальную информацию про операции с их данными.
Почему Avast Software оштрафовали?
IT-компания была оштрафована чешским органом по защите данных на 13,9 миллионов евро за передачу Jumpshot, компании по исследованию маркетинговых рынков, данных примерно 100 миллионов пользователей. Такие данные включали псевдонимизированную историю посещений, привязанную к уникальным идентификаторам.
Клиенты Avast были введены в заблуждение и считали, что происходит обмен анонимными данными для анализа маркетинговых тенденций. Несмотря на заявления Avast об использовании надежных методов анонимизации, выяснилось, что часть данных не была анонимизирована так, как этого требует GDPR. Пользователей можно было идентифицировать, более того, цель обработки данных заключалась не только в статистическом анализе, как указывала компания Avast.
Avast нарушил доверие пользователей, поделившись личными данными, которые могут раскрыть не только личность, но и интересы, предпочтения, место жительства, финансовое положение, профессии и другие личные детали. Между тем, что написала компания в своей Политике конфиденциальности и фактической обработкой данных, оказалась большая разница.
Нарушение доверия со стороны компании и неспособность адекватно анонимизировать и защитить личные данные пользователей приводят к значительным штрафам и ущербу имиджа компании. Поэтому, бизнесу важно проводить аудит GDPR и уделять приоритетное внимание конфиденциальности и прозрачности данных в своих операциях.
Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co