Пять вопросов

которые советы директоров должны задать в отношении этики и защиты данных

Информационная революция продолжает трансформировать бизнес-модели с новыми потоками доходов. Однако вместе с ней возникают новые риски, связанные с соблюдением требований к защите персональной информации и этике данных в рамках этих моделей.

Ваша организация стремится монетизировать разнообразные данные, полученные посредством инициатив в области прогнозной аналитики, искусственного интеллекта и интернета вещей, но учитывает ли она влияние, которое могут оказать на ожидаемую доходность таких инвестиций Закон Калифорнии о защите персональных данных потребителей (CCPA) или Директива ЕС о конфиденциальности онлайн-данных (ePrivacy Regulation)? Чтобы получить исчерпывающий ответ на этот вопрос, руководители вашего бизнеса, директор по маркетингу, директор по обработке и анализу данных и директор по защите персональной информации должны будут выработать общую точку зрения на уровень риска вашей компании, возникающего в связи с предполагаемым недобросовестным или неэтичным использованием новых данных на рынке.

Советы директоров могут управлять деятельностью руководства в этой области и внести свой вклад в его работу, рассмотрев возможность включения в повестку своего следующего заседания перечисленных далее вопросов.

1. Насколько эффективна наша стратегия работы с данными?

Данные начинают менять бизнес-стратегии компаний во всех секторах экономики. 64 % руководителей бизнеса полагают, что в будущем управление данными станет отличительным признаком. Для некоторых компаний это реальность уже сейчас. Совет директоров должен попросить руководство объяснить стратегию компании по работе с данными и описать в общих чертах, для каких целей осуществляется сбор данных, управление ими и как они используются. Зачем компания собирает данные? Предназначена ли бизнес-стратегия, основанная на данных, увеличивать продажи и доходы, улучшать обслуживание клиентов, укреплять доверие и взаимоотношения, дифференцировать бизнес или обеспечивать конкурентные преимущества? Существует ли важная информация, которая нужна компании, но которой у нее нет, или сомнительные данные, которые имеются у компании, но больше ей не нужны? Как только совет директоров поймет эту стратегию, он сможет обсуждать с руководством, насколько эффективно она реализуется. Совет директоров может попросить руководство скорректировать стратегию и изменить планы по достижению целей в области работы с данными. Совет директоров также захочет узнать, имеются ли у руководства определенные количественные показатели риска в отношении этой стратегии для принятия взвешенных решений.

2. Насколько готова компания предоставлять доказательства соблюдения требований органам, регулирующим защиту персональной информации?

Компании, которые собирают и используют персональные данные, должны пристально следить за законодательством по защите персональной информации. Самый жесткий закон в области защиты персональной информации – Общий регламент ЕС по защите данных (GDPR) – вступил в силу 25 мая 2018 г. Компании, которые не соблюдают его требования, могут подвергнуться штрафу в размере 4 % совокупной выручки, а также коллективным судебным искам. Советы директоров также должны иметь представление о других нормативно-правовых актах в области защиты персональной информации. Например, ЕС также пересматривает свою Директиву о конфиденциальности онлайн-данных. А недавнее принятие законодательным собранием штата Калифорния Закона о защите персональных данных потребителей (CCPA), скорее всего, вызовет лавину корпоративных инициатив в области защиты информации во всех секторах экономики. Советы директоров должны поинтересоваться у руководства, что именно предпринимает компания для соблюдения положений законодательства о защите персональной информации. Обеспечивает ли руководство соблюдение компанией сроков выполнения требований, оставаясь при этом в рамках бюджета, выделенного на обеспечение нормативно-правового соответствия? Как только компания начнет выполнять эти требования, ей необходимо будет разработать программу соблюдения требований законодательства о защите персональной информации, обеспечивающую постоянный мониторинг ситуации. Советы директоров должны удостовериться в том, что руководство внедрило необходимые процессы и средства контроля для снижения любого риска, связанного с такой информацией и ее использованием.

3. Соответствуют ли планы компании по внедрению новых технологий и анализа данных новым ожиданиям рынка?

Директора захотят заглянуть дальше требований действующего законодательства и рассмотреть этические вопросы, связанные с использованием данных. Тот факт, что компания собирает данные, не означает, что она может или должна их использовать или предоставлять доступ к ним третьим сторонам. Стандарты, регламентирующие этику данных или их «добросовестное» использование, представляют собой новую тему, обсуждаемую практикой, то есть четкие правила или законы, регулирующие использование компаниями персональных данных клиентов, имеются не во всех случаях. Например, многие компании расширяют использование таких технологий, как искусственный интеллект и машинное обучение, в рамках своих бизнес-моделей, направленных на повышение стоимости бизнеса. Имеется очень мало положений (если они вообще существуют), регламентирующих этот вид использования данных, что может подвергнуть такие компании критике за несоблюдение этических норм. Директорам нужно будет обсудить с руководством, как установить «границы дозволенного» с точки зрения этики и защиты персональной информации и обеспечить, чтобы компания за них не выходила. Советы директоров также захотят спросить о том, как компания оценивает влияние новых продуктов или независимых партнеров на соблюдение требований этики и защиты персональной информации. Такие процессы оценки рисков должны стимулировать инновации на основе использования данных, а также выполнение требований регулирующих органов и удовлетворение других ожиданий рынка.

4. Сколько нам в прошлом стоило снижение риска, связанного с защитой персональной информации, и как наша бизнес-стратегия меняет наши будущие риски?

Риск, связанный с защитой данных, выходит на первый план и включается в первую десятку рисков для все большего числа компаний. Согласно анализу официальных данных, проведенному PwC, в 2017 г. компании уплатили штрафы, пени и компенсации за нарушения в области защиты персональных данных и обеспечения безопасности на сумму более 600 млн долл. США. Чтобы обеспечить эффективную реализацию своей руководящей роли, советы директоров должны понимать размер ущерба для текущего финансового положения своей компании в случае наихудшего сценария реализации риска, связанного с защитой персональных данных. При включении в планы компании внедрения новых технологий, запуска новых продуктов, выхода на другие географические рынки и приобретения других компаний советы директоров также должны убедиться, что руководство имеет единую точку зрения на новые риски, возникающие у компании в связи с данными бизнес-планами.

5. Обеспечена ли система защиты персональной информации компании достаточными ресурсами, чтобы поддерживать планы роста?

Проблемы, связанные с защитой персональных данных и их использованием, могут усложняться по мере развития компании. Чем больше клиентов она привлекает, тем больше данных о них она может собирать, анализировать и использовать. С ростом объемов собираемой и используемой компанией информации повышается значение ее стратегической концепции в области защиты данных. Концепция должна включать непрерывный процесс анализа и каталогизации используемых данных и прогнозируемой потребности в них. Ее необходимо сопоставить с анализом участников экосистемы в цепочке создания стоимости данных. Также она должна предусматривать ограничения на использование данных и надлежащую систему управления рисками, обеспечивающие принятие внутренних решений и создание стоимости в полном объеме. Совет директоров должен знать о концепции и рассматривать все возникающие проблемы в рамках своей функции контроля за рисками.

Если совет директоров регулярно встречается с представителями руководства, задает вопросы и получает ответы и информацию, он сможет эффективно контролировать выполнение корпоративной программы по обеспечению конфиденциальности, защиты персональных данных и соблюдения требований законодательства и реализовывать стратегию компании в области использования данных.

Более подробная информация о защите персональных данных приводится в отчете «Усиление конфиденциальности информации и укрепление доверия в мире, которым движут данные», который содержит результаты Глобального исследования тенденций информационной безопасности 2018 года и 21-го опроса руководителей крупнейших компаний мира.

Источник: Five Questions Boards Should Ask About Data Ethics and Privacy

Контакты

Алексей Фегецин
Партнер, корпоративное управление, PwC Россия
Тел: +7 (495) 967 6403
E-mail

Наталья Наумова
Корпоративное управление и оценка эффективности cоветов директоров, PwC Россия
Тел: +7 (967) 104 5457
E-mail

Елена Дубовицкая
Директор, корпоративное управление и устойчивое развитие, PwC Россия
Тел: +7 (495) 967 6441
E-mail

Мы в социальных сетях