Anton Tarasiuk: GDPR compliance як тригер продажів для data проектів
AI & BigData Online Day 2021
Website - http://aiconf.com.ua
Youtube - https://www.youtube.com/startuplviv
FB - https://www.facebook.com/aiconf
2. 02
Legal IT Group
Managing partner
в Legal IT Group.
Закінчив Академію адвокатури України та
розпочав свій професійний шлях юриста в
рекламному холдингу, спеціалізуючись на
digital проектах.
В 2014 році приєднався до Legal IT Group.
Кажуть, що ІТ право тоді тільки починалось і
ще не можна було використовувати інвойси
акти.
Рік за роком Антон допомагає клієнтам Legal
IT Group з ІТ контрактами, консультує з
питань структурування ІТ бізнесу та інших
Антон Тарасюк
3. 1. Обіг персональних даних в DATA/AI проектах
та його законність за GDPR;
2. Демонструємо GDPR compliance та продаємо
західним B2B клієнтам;
3. Фічі та фішки GDPR compliance для складних
механік в data science проектах
03
Legal IT Group
Адженда
5. Комплаєнс? Що це?
Комплаєнс (compliance) – стан компанії, коли вона
виконує всі вимоги закону (наприклад, GDPR).
Щоб перевірити, чи компанія у комплаєнсі,
проводиться gap analysis;
перевіряється поточний стан за кожною з вимог GDPR;
за можливості – формується перелік рекомендацій
та/або план наступних кроків.
Для gap analysis потрібно дослідити функціонал
(провести discovery).
У сукупності весь процес називається аудит.
05
Legal IT Group
6. Joint controllers
Виникає, коли два контролери спільно вирішують,
для яких:
цілей вони обробляють дані, і які
способи обробки використовують.
Вимагає наявності письмової угоди між двома
контролерами про розподіл обов’язків між компаніями.
Обов’язки можуть включати:
- відповідь на запити суб’єктів даних,
- аналіз законодавства країн, куди передаються дані,
- розміщувати у себе на сайті текст угоди про спільну
обробку даних тощо.
06
Legal IT Group
8. Які персональні дані
використовуються
при ремаркетингу
08
Legal IT Group
• Дані, які надаються користувачем
самостійно
• Дані, які збираються автоматично при
використанні соціальних мереж
• Дані, які створюються контролером на
основі наданої користувачем інформації
12. 1. APPLICABLE LAW
2. DATA PROTECTION OFFICER
3. REPRESENTATIVE OF
CONTROLLER OR PROCESSORS
NOT ESTABLISHED IN THE UNION
4. PRINCIPLES RELATING TO
PROCESSING OF PERSONAL DATA
5. PERSONAL DATA
6. CHILD CONSENT
7. PRIVACY NOTICE REVIEW
8. RIGHTS OF THE DATA SUBJECTS
9. PROCESSORS
10. RECORDS OF PROCESSING
ACTIVITIES
11. SECURITY OF PERSONAL DATA
12. PERSONAL DATA BREACH
13. DATA PROTECTION IMPACT
ASSESSMENT
13
Legal IT Group
Демонструємо
GDPR compliance
13. Фічі та фішки GDPR compliance
для складних механік
в data science проектах
12
Legal IT Group
15. 15
Legal IT Group
Збагачений профіль особи
• Зміна цілей обробки;
• Зміна контролера – продаж даних, купівля даних,
скраппінг тощо;
• Правова підстава для обробки: законний інтерес
• Змішування ролей: з процеса у співконтролери тощо;
• Зобов’язання про повідомлення особи про обробку її
даних:
• Реалізація прав на забуття і на доступ до даних;
• «Нераціональність» як підстава відмовитися від
повідомлення про обробку даних;
• Використання відкритих джерел або поєднання сетів
неперсональних даних тощо.
16. Підписання угоди з іншими
контролерами та DPA
16
Legal IT Group
• Зобов’язання
спільних контролерів
• Відповідальність
спільних контролерів
• DPA з процесорами
17. 17
Legal IT Group
Провести спільний DPIA
● обидва контролери повинні порівняти обсяги і чутливість зібраних даних
з вимогами статті 35 GDPR та національного законодавства чи списками
операцій, що вимагають проведення DPIA;
○ таргетинг на людей у вразливому становищі;
○ нав’язливість та глибина дослідження даних про конкретну особу;
○ природа причин рекламних кампаній (наприклад, вплив на виборчий
процес);
○ таргетинг по інсайтах, зокрема у формі чутливих даних тощо.
● скоріш за все, контролерам доведеться разом проводити DPIA, однак при
неоднаковій обізнаності у всіх етапах обробки відповідальною може бути
одна сторона;
● необхідно передбачити і включити засоби зниження ризиків та підготувати
DPIA у формі, що слугуватиме доказом відповідності GDPR (звіт, публікація
результатів на сайтах, повідомлення наглядового органу)