Коммуникативная недостаточность культуры приватности

Автор: Елена Себякина - консультант, эксперт в области приватности, член RPPA.
02.11.2020

В этом небольшом анализе автор попытается обобщенно выявить источник некоторых коммуникативных проблем правоотношений приватности.

Сегодня в лице некоторых государственных операторов персональных данных можно наблюдать активное уклонение от роли оператора, в том числе, через отказ признавать персональные данные таковыми.

Целью такого непризнания является попытка избежать вступления в правоотношения приватности с субъектами и избавиться от необходимости коммуницировать с ними.

В свою очередь, нежелание общаться с субъектами (которые также часто являются клиентами, спонсорами и избирателями оператора) и обоюдное избегание вступления в отношения — составляют корневое противоречие культуры приватности и порождают многие нарушения, в том числе неуведомление субъектов о наличии обработки их персональных данных и, как следствие, невозможность реализовать свои права.

При этом операторы весьма замотивированы на обработку персональных данных, но без вступления в какие-либо отношения с субъектами, в обход таких отношений. Ведь данные — это топливо экономики, эффективного управления и прогресса.

Зачастую стороны таких правоотношений взаимно не желают находиться в них, поскольку не имеют мотивации или выгоды для себя.

Субъекты не желают передавать свои данные, поскольку не испытывают доверия ни к операторам, ни, тем более, к темным лошадкам—последующим получателям. Субъекты недостаточно информированы о надежности операторов, а чаще, наслышаны об их ненадежности или даже опасности (недавняя ситуация вокруг сервиса Zoom).

Не сформирована потребность субъекта в обработке, не обрисованы выгоды, причинно-следственная связь между обработкой и бенефитами для субъекта. Лишь операторы-единороги предлагают субъектам отношения обработки данных как выгодные для самих субъектов. Напротив, многие лидеры рынка «продают» клиентам идеи отделения от социума, отказа от публичности, противостояния миру, полному угроз для приватности. На этом строятся многие современные рекламные кампании: Apple, DuckDuckGo, ExpressVPN и другие. Ежедневные утечки формируют устойчивое недоверие к операторам, особенно допускающим теневое распространение и незаконную торговлю данными.

Где недоверие, там страх. Qui timetur, timet.

В свою очередь, оператор не желает нести бремя ответственности за охотно обрабатываемые им данные, нести издержки, нанимать «лишних» людей для гарантии и реализации прав субъектов. Часто оператор не признает за собой наличия власти в силу обладания информацией о частной жизни субъекта; меряет «серьезность» данных по субъективной шкале вреда или количеству субъектов (не в пользу ни данных ни субъектов). Забывая, что и одна жизнь важна. Что и одно-единственное разглашение может сломать чью-то судьбу.

Отсутствие равноправия и баланса интересов ведёт к сопротивлению обеих сторон не только вступлению в отношения, но часто и к непризнанию факта наличия таких отношений (например, через отрицание персональности данных, неуведомление субъектов о начале и целях обработки, уклонение от роли оператора).

Такое нежелание общаться напоминает семейную пару в разводе, не правда ли?

Хотим ли мы как субъекты или как операторы продолжать такие нездоровые отношения? Нравится ли обеим сторонам оставаться в них? Или же мы хотим работать над отношениями, повышать доверие одних за счет ответственности и уважения со стороны других?

Или нам проще расстаться друг с другом в поисках лучших субъектов и новых операторов?

Если говорить о работе над отношениями, то придется решать вопрос: как же побудить оператора уважать, вызывать доверие у субъектов и мотивировать их на отношения?

Обычно мотивацией и побуждениями в организациях занимаются функции PR и маркетинга. В тех компаниях, где они были использованы при внедрении программы приватности, субъекты испытывают доверие к оператору, поскольку это была профессиональная коммуникация с клиентом, заинтересовывающая, демонстрирующая уважительное отношение к клиенту как к равному, а не как к угрозе. В таких программах приватности субъекты ощущают эмпатию и заботу оператора, пользуются множеством механизмов реализации прав, не блуждают впотьмах в поисках ответов на миллионы своих вопросов и не испытывают желание немедленно разорвать отношения с таким оператором.

Конечно, встречается и нескрываемое потребительское отношение к клиенту как ресурсу или источнику денег. Это не лучшая мотивация для правоотношений приватности.

В то же время, юристы, комплаенс и специалисты по информационной безопасности привыкли (в силу так популярного сегодня риск-ориентированного подхода) выстраивать образ субъекта персональных данных как источник угрозы или претензий. В их повседневной профессиональной деятельности недовольный клиент/сотрудник/субъект – это враг компании.

Такое позиционирование партнера явно разрушительно для любых отношений. Если продукты и процессы строятся на противостоянии субъекту, то доверия они вызвать не смогут, как и желания быть в правоотношениях с таким оператором.

Для профессионалов в области PR и маркетинга (особенно нейромаркетинга и бихевиористики) такой подход к проблемному клиенту недопустим, ведь на кону стоит репутация бренда и стоимость акций. Риски же от потери доверия и эскалации конфликта с субъектом персональных данных чреваты для оператора, точно такими же последствиями, плюс штрафы и привлечение топ-менеджмента к ответственности.

Известно, что выгоды компаний от доверительных отношений с клиентами огромны, в значит, применимы и для отношений приватности:

1. доверие способствует лояльности и удержанию субъектов;
2. субъекты раскрывают больше данных, участвуют в опросах и мероприятиях оператора, если доверяют ему, а значит оператор получает больший фидбэк для совершенствования продуктов и сервисов;
3. риск жалоб и споров, связанных с обработкой персональных данных сократится, если субъект убедится в обоснованности и ценности обработки для него лично, будет сам в ней заинтересован;
4. сократятся времязатраты персонала на ответы субъектам по их запросам, если они получат своевременную и полную информацию об обработке в доступной форме, а также если реализация их прав будет доступна по клику в личном кабинете;
5. субъект персональных данных, испытывающий доверие к оператору, будет рекомендовать его своим знакомым, и сам будет возвращаться снова и снова.

Где же оператору изыскать внутренние силы, способные продвигать идеи уважения и эмпатии к субъекту персональных данных на корпоративном уровне, чтобы вызвать его доверие, и тем самым, снизить риск реализации сценария: субъект ⇒ претензия?

Представляется, что выстроить такие отношения компании поможет независимый DPO, который будет выполнять функцию омбудсмена по правам субъектов персональных данных и относиться к субъектам как к равным партнерам. Такой специалист должен обладать прокачанным эмоциональным интеллектом, чтобы влиять на поведение коллег и субъектов, а также уметь активно и эффективно коммуницировать от лица оператора. При этом, стоит отметить, что совмещение роли DPO с перечисленными разделом выше функциями будет явно не в пользу субъектов, и, вероятно, приведет к правовой эндогенности.

Достаточно ли усилий самого оператора по выстраиванию доверия с субъектами, либо нужны существенные изменения законодательства или правоприменительной практики?

На первый взгляд, российское законодательство предусматривает механизмы для обеспечения открытости и доверия между сторонами правоотношений по обработке персональных данных, а также для активного общения сторон. В частности, п. 3 ст.18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее—Закон) обязывает операторов (если данные получены не от субъекта) до начала обработки информировать субъекта о себе, представителе, цели и правовом основании обработки, предполагаемых пользователях персональных данных, правах субъекта, источниках данных.

Вспомните, пожалуйста, когда в последний раз вы получали уведомление от отечественных операторов персональных данных по п. 3 ст. 18 Закона? А от государственных, муниципальных органов и госкорпораций?

Норма Закона есть, но на практике ее как будто нет.

Преследуя цели повышения доверия и снижения риска претензий, оператор должен не только исполнять обязанности, возложенные на него Законом, но и проявлять эмпатию к субъектам, предоставляя им максимум информации в комфортной и понятной форме, своевременно и полно.

При таких условиях коммуникативный кризис правоотношений по обработке персональных данных может быть преодолен, а стороны начнут получать удовлетворение и выгоды от взаимодействия друг с другом.