Кратко: я откажусь реализовывать массовый сбор персональных данных без явного согласия до подтверждения законности и рисков; инициирую оценку риска и предложу безопасные альтернативы. Ниже — что конкретно делать и какие аргументы привести работодателю.
Что делать (пошагово)
- Не выполнять задачу до проверки законности и целей обработки. Зафиксировать запрос письменно (email/issue).
- Обратиться к DPO / юридическому отделу для уточнения правового основания (GDPR, локальные законы).
- Провести DPIA (Data Protection Impact Assessment) для оценки рисков и мер смягчения.
- Предложить технические альтернативы (см. ниже) и PoC с минимальным набором данных.
- Если руководство настоит на незаконных действиях — отказаться и документировать отказ; при необходимости — эскалация или whistleblowing.
Юридические и нормативные аргументы
- Законность: под GDPR персональные данные можно собирать только при наличии правового основания (согласие, выполнение договора, законные обязательства, жизненно важные интересы, публичный интерес, законный интерес). Отсутствие явного согласия требует чёткой и документированной правовой базы.
- Штрафы: риски административных санкций (включая штраф до $4\%$ годового мирового оборота или \(\€20{,}000{,}000\) при GDPR).
- Права субъектов: обязательства по информированию, доступу, удалению, ограничению обработки и переносимости.
Этические и бизнес-аргументы
- Репутационные риски: утечка или раскрытие практики без согласия подорвет доверие пользователей и приведёт к оттоку.
- Коммерческие риски: потеря пользователей, негативная медийная реакция, снижение стоимости продукта.
- Безопасность: массовый сбор увеличивает атакуемую поверхность и потенциальный ущерб при утечке.
- Технический долг: построение системы для скрытого сбора позже потребует переработки, что дороже, чем сразу безопасная архитектура.
Технические и организационные меры — альтернативы и требования
- Принцип минимизации данных: собирать только необходимое для конкретной цели.
- Анонимизация / псевдонимизация перед хранением и обработкой (если возможно).
- Прозрачность и согласие: явный, информированный opt-in; записывать время/версию согласия.
- Опции отказа (opt-out) и лёгкие способы удаления данных пользователем.
- Шифрование данных в покое и при передаче, ролевой доступ, аудит логов.
- Сроки хранения и автоматическое удаление по политике.
- Логирование принятия архитектурных решений и юридических рекомендаций.
Как аргументировать работодателю (короткие тезисы для разговора)
- «Юридически это риск — нам нужен письменный вывод юриста/DPO, прежде чем начинать.»
- «Риск штрафов и репутации выше краткосрочной выгоды; построение compliant-решения дешевле в долгой перспективе.»
- «Можно получить нужную информацию законно: согласие, анонимизация или обоснование законного интереса с DPIA.»
- «Я могу подготовить прототип с минимизацией данных и план DPIA за N дней — это уменьшит риски и даст результат быстрее.»
Если работодатель настаивает на незаконном
- Отказать выполнять незаконную инструкцию; зафиксировать отказ письменно.
- Сообщить DPO/юристу и, при отсутствии реакции, руководителю выше уровня.
- Рассмотреть юридические/этические последствия для себя (включая возможность уведомления надзорного органа).
Короткое резюме для презентации руководству
- Проверить правовое основание и провести DPIA.
- Предпочесть: согласие / анонимизация / минимизация данных.
- Внедрить тех. меры: шифрование, доступ по ролям, удаление, логи.
- Объяснить финансовые и репутационные риски; предложить безопасный PoC.
Если хотите, могу составить шаблон письма к DPO/юристу и короткую презентацию для руководства.