privacy-and-online-law
Как соблюдать новые законы о конфиденциальности данных для владельцев малого бизнеса
Table of Contents
Понимание нового ландшафта конфиденциальности данных
За последние несколько лет правила конфиденциальности данных значительно ужесточились, что обусловлено громкими нарушениями и растущим потребительским спросом на контроль над личной информацией. Для владельцев малого бизнеса соблюдение больше не является обязательным. Законы, такие как Общее положение о защите данных Европейского союза (GDPR) и Калифорнийский закон о конфиденциальности потребителей (CCPA), установили новые глобальные стандарты, а дополнительные законы на уровне штатов в Вирджинии, Колорадо, Коннектикуте и Юте уже действуют или скоро будут. Несоблюдение может привести к штрафам, судебным искам и потере доверия клиентов.
Это руководство проведет вас через практические шаги по достижению и поддержанию соответствия, даже с ограниченными ресурсами. Вы узнаете, что требуют законы о конфиденциальности данных, как проверять свою текущую практику, внедрять механизмы согласия, обрабатывать запросы прав потребителей и защищать свои системы. Следуя этим стратегиям, ваш малый бизнес может не только избежать штрафов, но и создать репутацию надежного распорядителя данных клиентов.
Соответствие конфиденциальности не является универсальным упражнением. Подход, который вы принимаете, зависит от юрисдикций, в которых вы работаете, объема и чувствительности данных, которые вы собираете, и вашей существующей инфраструктуры. Однако основные принципы - прозрачность, контроль, безопасность и подотчетность - универсальны. Даже если вы индивидуальный предприниматель или команда из пяти человек, шаги, изложенные здесь, могут быть масштабированы в соответствии с вашими ресурсами.
Ключевые законы о конфиденциальности данных, влияющие на малый бизнес
GDPR (Общий регламент по защите данных)
GDPR, введенный в действие с мая 2018 года, применяется к любому бизнесу, который предлагает товары или услуги физическим лицам в ЕС, независимо от того, где находится бизнес.
- Законные основания для обработки персональных данных (согласие, договор, юридическое обязательство, законный интерес и т.д.)
- Прозрачные уведомления о конфиденциальности, которые являются краткими, легко доступными и написаны на понятном языке
- Индивидуальные права: право доступа, исправления, удаления («право быть забытым»), ограничение обработки, переносимость данных и возражение
- 72-часовое уведомление о нарушении в надзорные органы, если нарушение не представляет опасности для субъектов данных
- Записи об обработке (статья 30) - технически необходимы для организаций с более чем 250 сотрудниками, но малые предприятия все еще должны документировать определенные виды обработки, особенно те, которые связаны с конфиденциальными данными или высоким риском.
Штрафы могут достигать 20 млн евро или 4% годового глобального оборота, в зависимости от того, что выше. Однако надзорные органы часто выдают предупреждения или выговоры за незначительные нарушения, совершенные малым бизнесом впервые. Ключ заключается в демонстрации добросовестных усилий.
Для малых предприятий за пределами ЕС, которые только изредка взаимодействуют с клиентами ЕС, GDPR может по-прежнему применяться, если вы отслеживаете поведение отдельных лиц в ЕС. Например, использование аналитических файлов cookie, которые отслеживают посетителей ЕС или рассылка целевых кампаний по электронной почте резидентам ЕС, запускает обязательства GDPR.
CCPA/CPRA (Закон о конфиденциальности потребителей Калифорнии / Закон о правах на конфиденциальность в Калифорнии)
CCPA вступил в силу в январе 2020 года, а CPRA ввела его в действие в январе 2023 года. Он применяется к коммерческим предприятиям, которые собирают личную информацию жителей Калифорнии и отвечают одному из этих порогов:
- Годовой валовой доход свыше $25 млн.
- Покупать, получать или продавать личную информацию 100 000 или более жителей или домохозяйств Калифорнии.
- Получение 50% или более годового дохода от продажи личной информации потребителей
Малые предприятия часто опускаются ниже этих порогов, но те, которые обрабатывают значительные объемы данных или продают данные, все еще должны соблюдать. Ключевые обязательства включают право знать, удалять, отказываться от продажи и недискриминацию. CPRA расширила защиту, чтобы включить конфиденциальную личную информацию (например, точное геолокация, расовое или этническое происхождение, данные о здоровье) и создала специальное правоохранительное агентство, Калифорнийское агентство по защите конфиденциальности (CPPA).
Даже если ваш бизнес не соответствует пороговым значениям CCPA, могут применяться аналогичные законы штата. Например, CPA Колорадо имеет более низкий порог дохода и применяется к предприятиям, которые обрабатывают персональные данные 25 000 или более потребителей и получают доход от продажи данных. Малые предприятия с национальной базой клиентов должны предполагать, что они подчиняются по крайней мере одному закону штата.
Другие законы США о конфиденциальности
Закон о защите данных потребителей Вирджинии (VCDPA), Закон о конфиденциальности Колорадо (CPA), Закон о конфиденциальности данных Коннектикута (CTDPA) и Закон о конфиденциальности потребителей Юты (UCPA) вступили в силу или скоро вступят в силу. Хотя они имеют общие черты с CCPA, существуют различия в порогах применимости, исключениях и принудительном исполнении. Например:
- VCDPA применяется к компаниям, которые контролируют или обрабатывают персональные данные не менее 100 000 потребителей или получают более 50% дохода от продажи данных более 25 000 потребителей.
- CPA Колорадо применяется к компаниям, которые обрабатывают данные более 100 000 потребителей или получают доход от продажи данных более 25 000 потребителей (в том числе некоммерческих организаций в некоторых случаях).
- КТДПА в Коннектикуте имеет те же пороги, что и в Колорадо, но включает 14-дневный период лечения первых нарушений.
- UCPA штата Юта требует от компаний с годовым доходом 25 миллионов долларов США и обработкой более 100 000 потребителей или получением более 50% дохода от продаж данных более 25 000 потребителей.
Малые предприятия, которые работают в нескольких штатах, должны отслеживать эти изменения. Практичный подход заключается в соблюдении самого строгого применимого законодательства, которое часто охватывает все основы.
Международные соображения
Помимо GDPR, законы, такие как бразильский LGPD, южноафриканский POPIA, японский APPI и канадский PIPEDA, могут применяться, если вы обрабатываете данные из этих юрисдикций. Глобальная тенденция заключается в усилении защиты, поэтому создание структуры конфиденциальности приносит пользу вам во всем мире. Если вы запускаете веб-сайт, доступный во всем мире, рассмотрите возможность внедрения платформы управления согласием, которая определяет местоположение пользователя и применяет соответствующие правила.
Для получения авторитетного руководства, обратитесь к руководству по защите данных UK ICO и CCPA FAQ генерального прокурора Калифорнии .
Оценка вашей текущей практики обработки данных
Провести аудит данных
Прежде чем вы сможете выполнить требования, вы должны знать, какие данные вы собираете, где они живут, как они текут и кто имеет доступ. Начните с простого инвентаря:
- Типы данных: Имя, адрес электронной почты, телефон, адрес, платежная информация, IP-адреса, поведение при просмотре, ручки социальных сетей и т. Д.
- Источники сбора: Формы веб-сайтов, CRM, маркетинг по электронной почте, точка продажи, сторонние интеграции (например, пиксель Facebook, Google Analytics, пиксель TikTok), каналы поддержки клиентов и офлайн-взаимодействия.
- Местоположение хранения: Облачные сервисы (AWS, Google Drive, Dropbox, OneDrive), локальные серверы, электронные таблицы, почтовые ящики, бумажные файлы.
- Обработчики данных: Любой поставщик или служба, которая обрабатывает данные от вашего имени (например, Mailchimp, Stripe, Shopify, HubSpot, Zendesk, AWS).
Документируйте все в карте данных или записи об обработке. Эта карта станет основой для всех последующих шагов по соблюдению. Используйте электронную таблицу с колонками для: категории данных, источника, места хранения, периода хранения, законной основы, сторонних процессоров и мер безопасности. Обновляйте ее по крайней мере ежегодно или всякий раз, когда вы добавляете новый инструмент.
Определить правовые основы для обработки
В соответствии с GDPR, большинство процессов обработки требует законной основы. Общие основы для малого бизнеса включают:
- Согласие: Для маркетинговых писем или несущественных файлов cookie. Согласие должно быть свободно предоставлено, конкретное, информированное и однозначное. Предварительно отмеченные поля не действительны.
- Договорная необходимость: Обработка необходима для выполнения заказа, доставки услуги или принятия мер по просьбе физического лица до заключения контракта.
- Законный интерес: Для предотвращения мошенничества, сетевой безопасности, прямого маркетинга (при условии отказа) или аналитики. Вы должны провести законную оценку интересов (LIA), балансируя свои интересы с правами потребителей.
- Юридическое обязательство: Для налоговых записей, бухгалтерского учета или соблюдения других законов.
- Жизненный интерес: Редкий, но используемый в чрезвычайных ситуациях.
В законодательстве США, например, в CCPA, «согласие» заменяется правом отказаться от продажи или совместного использования для кросс-контекстной поведенческой рекламы. Вы должны определить, какие действия по обработке запускают эти права и предоставить четкий механизм отказа (например, ссылка «Не продавать или не делиться моей личной информацией»).
Создание рамок соблюдения
Обновите свою политику конфиденциальности
Ваша политика конфиденциальности должна быть четкой, конкретной и легкой в поиске.
- Какие персональные данные вы собираете и из каких источников
- Цель сбора и законная основа (если GDPR) или бизнес-цель (для CCPA)
- Как вы делитесь данными (с третьими лицами, для маркетинга, для аналитики и т. д.)
- Права потребителей (доступ, удаление, отказ, переносимость, исправление) и способы их реализации
- Контактные данные для запросов о конфиденциальности (физический адрес и электронная почта)
- Дата последнего обновления
- Если применимо, раздел о файлах cookie и аналогичных технологиях
Используйте простой язык. Избегайте легализованного. Сделайте политику доступной через ссылку в нижнем колонтитуле вашего сайта, при оформлении заказа и при сборе персональных данных. Рассмотрим многоуровневый подход: краткое резюме со ссылками на полную политику.
Пример шаблонных ресурсов: PrivacyPolicies.com или Сроки Однако всегда настраивайте шаблоны, чтобы отразить ваши фактические практики — копирование общей политики может быть хуже, чем отсутствие таковой, если она неточна.
Механизмы исполнения согласия
Если требуется согласие (например, маркетинговые электронные письма, несущественные файлы cookie), вы должны получить явное, информированное и свободно предоставленное согласие.
- Баннеры согласия на использование файлов cookie: Разрешить гранулированный вариант для различных категорий (необходимо, аналитика, маркетинг). Не ставьте галочки. Предоставьте опцию «отклонить все», такую же заметную, как «принять все».
- Введите флажок в формы регистрации для рассылки новостей или регистрации учетной записи. Убедитесь, что они не требуются в качестве условия для получения услуги, если данные не необходимы для этой услуги.
- Отдельное согласие для различных целей обработки (один флажок для маркетинга по электронной почте, другой для обмена с партнерами, другой для персонализированной рекламы).
- Ведение записей: Запись, когда и как было дано согласие — метка времени, текст согласия, версия политики и идентификатор пользователя. Храните это доказательство в вашей CRM или платформе управления согласием.
Для отказа от CCPA достаточно простой ссылки на «Не продавать и не делиться моей личной информацией», но вы также можете использовать сигнал глобального контроля конфиденциальности (GPC).
Обработка запросов прав потребителей
Малые предприятия должны отвечать на запросы в определенные сроки (например, 45 дней в соответствии с CCPA, 30 дней в соответствии с GDPR).
- Назначить контакт с конфиденциальностью данных (может быть владельцем бизнеса или ответственным сотрудником).
- Создайте простую форму или адрес электронной почты для потребителей, чтобы отправлять запросы (например, [email protected]).
- Проверить личность запрашивающего (например, сопоставить электронную почту и имя с вашими записями; избежать запроса ненужной информации). Для запросов на удаление в соответствии с CCPA, вы должны проверить запрашивающего перед обработкой.
- Выполните запрос в пределах разрешенного окна (например, предоставьте все данные, которые хранятся, удалите их, отключите их от продажи или исправьте неточности). Для переносимости данных предоставьте данные в обычно используемом машиночитаемом формате (CSV, JSON).
- Зарегистрируйте запрос, предпринятые действия и дату завершения. Ведите учет в течение не менее 24 месяцев (требование CCPA).
Вы не можете дискриминировать потребителей, которые осуществляют свои права (например, отказывают в обслуживании, взимают разные цены, обеспечивают разное качество). Однако вы можете предложить финансовые стимулы для сбора данных, если они должным образом раскрыты и потребители выбирают.
Управлять продавцами и третьими лицами
Каждый поставщик, который обрабатывает персональные данные от вашего имени (обработчики данных), должен быть обязан по контракту защищать эти данные и помогать вам в соблюдении.
- Платформы почтового маркетинга (Mailchimp, Constant Contact)
- Платежные процессоры (Stripe, PayPal, Square)
- Поставщики облачных хранилищ (Google Workspace, Dropbox, AWS)
- Аналитические сервисы (Google Analytics, Facebook Pixel, Hotjar)
- Инструменты поддержки клиентов (Zendesk, Intercom)
- CRM (HubSpot, Salesforce, Pipedrive)
GDPR требует письменного соглашения об обработке данных (DPA). Многие крупные поставщики предлагают стандартные DPA, которые вы можете принимать в цифровом виде. Для небольших поставщиков вам может потребоваться договориться об одном. Отслеживайте, какие поставщики имеют доступ к данным, их субпроцессорам и их сертификатам безопасности (SOC 2, ISO 27001). Обновляйте свои записи всякий раз, когда вы меняете поставщиков.
Кроме того, рассмотрите политику конфиденциальности поставщиков: они продают или обмениваются данными? Если вы используете инструмент, который сам продает агрегированные данные, вы можете считаться «обменивающимися» данными в соответствии с CCPA и должны предложить отказ.
Безопасность данных и ответ на нарушения
Осуществление надлежащих мер безопасности
Соблюдение требований требует обеспечения безопасности данных. Уровень безопасности должен быть «соответствующим риску». Для малого бизнеса это обычно включает:
- Шифрование: Шифрование данных в состоянии покоя (на серверах, ноутбуках, мобильных устройствах) и в пути (использовать HTTPS на вашем веб-сайте, TLS для отправки электронной почты).
- Контроль доступа: Ограничение доступа к персональным данным только для сотрудников, которым это необходимо. Используйте надежные пароли (12+ символов), двухфакторную аутентификацию (2FA) и ролевые разрешения.
- Регулярные резервные копии: Храните резервные копии надежно (зашифрованные, внешние) и проверяйте процедуры восстановления по крайней мере ежеквартально.
- Обновления программного обеспечения: Сохраняйте CMS, плагины, темы и все системы исправленными. Включайте автоматические обновления, где это безопасно.
- Физическая безопасность: Запирайте офисы и файловые шкафы, содержащие бумажные записи.
- Безопасность сети: Используйте брандмауэры, безопасный Wi-Fi с WPA3 и VPN для удаленного доступа.
Рассмотрим базовую структуру кибербезопасности, такую как пять функций NIST Cybersecurity Framework: Идентификация, Защита, Обнаружение, Реагирование, Восстановление. Для малого бизнеса Инструментарий кибербезопасности CISA предлагает бесплатные ресурсы.
Создайте план реагирования на нарушения
Ни одна система не защищена на 100%. Подготовьтесь к потенциальному взлому, определив шаги:
- Сдерживание: Изолируйте затронутые системы, измените пароли и сохраните журналы (не удаляйте доказательства).
- Оценка: Определите, какие данные были раскрыты, сколько людей пострадало и, вероятно, причинил вред (кража личных данных, мошенничество и т. д.).
- Уведомление: В соответствии с GDPR, уведомить надзорный орган в течение 72 часов, если нарушение вряд ли вызовет риск. Многие законы штата США имеют аналогичные сроки (например, 45 дней для Калифорнии, 30 дней для Колорадо). Вам также может потребоваться уведомить пострадавших лиц без неоправданной задержки. Проверьте требования каждого штата — 65+ законов штата и территории в США имеют обязательства по уведомлению о нарушении.
- Ремедиация: Исправьте уязвимость, улучшите средства управления (например, внедрите 2FA, если еще не реализовано), и рассмотрите возможность предоставления услуг кредитного мониторинга или защиты личности, если были раскрыты конфиденциальные данные.
- Документация: Запись произошедшего, предпринятых действий и извлеченных уроков. Эта документация может помочь в нормативных запросах и улучшить будущие ответы.
Рассмотрим страхование кибер-ответственности, которое покрывает инциденты нарушения данных. Некоторые политики также предоставляют доступ к экспертам по реагированию на инциденты, адвокату и поддержке по связям с общественностью. Магазин для покрытия, которое соответствует вашей отрасли и профилю риска.
Ресурсы: Кибербезопасность FTC для малого бизнеса и Национальный альянс кибербезопасности .
Постоянное обслуживание и культура конфиденциальности
Тренируйте свою команду
Сотрудники зачастую являются самым слабым звеном в защите данных. Регулярная подготовка должна охватывать:
- Распознавание фишинговых писем, попыток порчи и социальной инженерии
- Правильная обработка данных клиентов (не оставляя экраны разблокированными, не отправляя конфиденциальную информацию по электронной почте незашифрованной, используя безопасную передачу файлов для больших документов)
- Процедуры реагирования на запросы доступа к данным (DSAR) и сообщения о нарушениях
- Немедленно сообщать о предполагаемых нарушениях, даже если вы не уверены, лучше сообщать о них внутри компании.
Ежегодное обновление - лучшая практика. Когда новые законы или судебные решения влияют на соблюдение, предоставляйте целевые обновления. Рассмотрите возможность использования платформы обучения конфиденциальности, такой как KnowBe4 или SANS Securing the Human.
Ведите учет деятельности по обработке
Даже если ваш малый бизнес освобожден от определенных требований к документации (например, статья 30 GDPR применяется к организациям с более чем 250 сотрудниками для полного учета, но малые предприятия все равно должны документировать обработку конфиденциальных данных или деятельность с высоким риском), ведение записи деятельности по обработке (ROPA) является хорошей привычкой.
- Имя и контактные данные вашей организации (контроллера) и любых совместных контроллеров
- Цели обработки
- Категории субъектов данных (клиенты, сотрудники, поставщики и т.д.) и персональные данные
- Категории получателей (включая третьи страны или международные организации)
- Сроки удаления, где это возможно (график хранения)
- Описание технических и организационных мер безопасности (ТОМ)
Хорошо поддерживаемый ROPA помогает вам отвечать на запросы регуляторов, демонстрирует добросовестность и упрощает соблюдение требований при выходе на новые рынки.
Регулярно пересматривать и обновлять
Конфиденциальность данных не является единовременным проектом. Законы развиваются, ваш бизнес меняется, и появляются новые технологии. Расписание ежеквартальных или двухгодичных обзоров:
- Проверьте новые законы о конфиденциальности в штатах или странах, где проживают ваши клиенты. Сравнительная таблица состояния IAPP является полезной ссылкой.
- Обновите свою политику конфиденциальности после любых существенных изменений в практике обработки данных (новые инструменты, новые цели, новый обмен).
- Реаудит сбора данных и интеграции третьих лиц не реже одного раза в год.
- Проверьте свой план реагирования на нарушение с помощью настольного упражнения — пройдите через смоделированный сценарий нарушения с вашей командой.
- Обзор соблюдения файлов cookie: по мере того, как браузеры постепенно отказываются от сторонних файлов cookie, ландшафт управления согласием меняется.
Используйте календарь соответствия или цифровой контрольный список, чтобы отслеживать сроки и задачи.
Обычные подводные камни и как их избежать
Предполагая, что вы слишком малы, чтобы быть нацеленным
Регуляторы все больше сосредотачиваются на малом бизнесе. Штрафы могут быть ниже, чем для крупных корпораций, но несоблюдение по-прежнему несет последствия, включая репутационный ущерб, потерю доверия клиентов и потенциальные судебные иски по групповым искам. Кроме того, доверие потребителей труднее восстановить для малого бизнеса. Многие регулирующие органы предлагают рекомендации и инструменты специально для малого бизнеса - используйте их.
Полагаясь исключительно на баннер cookie
Один только баннер cookie не соответствует требованиям. У вас должна быть законная основа для обработки, надлежащие соглашения с поставщиками и механизмы защиты прав потребителей. Баннер cookie - это всего лишь одна точка соприкосновения. Кроме того, убедитесь, что ваш баннер не сбрасывает файлы cookie до согласия (подход, основанный на согласии). Используйте платформу управления согласием, которая блокирует несущественные скрипты, пока пользователь не сделает выбор.
Игнорирование данных сотрудников
В то время как большинство законов сосредоточены на данных клиентов, личные данные сотрудников одинаково защищены. Убедитесь, что файлы HR, системы начисления заработной платы, записи об исполнении и данные проверки фона включены в сферу вашего соответствия. Сотрудники имеют права на доступ, исправление и удаление своих данных (хотя удаление может быть ограничено трудовым законодательством или законным интересом).
Сверхсбор данных
Собирайте только те данные, которые действительно необходимы для ваших деловых целей. Это не только снижает риск, но и упрощает соблюдение. Примените принцип минимизации данных: не собирайте номер телефона, если вам нужно только отправить подтверждение заказа по электронной почте. Регулярно очищайте данные, которые вам больше не нужны - установите четкие сроки хранения (например, удалите данные клиентов через 6 месяцев после последней покупки, если это не требуется для налоговых записей).
Пренебрежение оценками воздействия на защиту данных
В соответствии с GDPR, оценка воздействия на защиту данных (DPIA) требуется, когда обработка может привести к высокому риску для субъектов данных (например, систематическое профилирование, крупномасштабная обработка конфиденциальных данных, мониторинг общественного пространства). Малые предприятия должны провести DPIA, прежде чем внедрять любую новую технологию, которая обрабатывает личные данные новым способом, например, установка видеонаблюдения, использование чат-ботов ИИ или запуск поведенческой аналитики.
Использование технологий для соблюдения
Бюджеты малого бизнеса ограничены, но несколько доступных инструментов могут упростить соблюдение требований:
- Платформы управления согласием (CMP): Такие инструменты, как Cookiebot, Osano, OneTrust (имеет бесплатный уровень для небольших сайтов), и Fancy Analytics помогают управлять согласием на использование файлов cookie, записывать согласие и сканировать файлы cookie.
- Генераторы политики конфиденциальности: Iubenda, Termly и PrivacyPolicies предлагают настраиваемые шаблоны с регулярными обновлениями для юридических изменений.
- Управление запросами субъектов данных (DSR): Простые электронные таблицы или специальное программное обеспечение, такое как DataGrail или Transcend (предлагают бесплатные уровни). Для низкого объема может работать общий почтовый ящик с шаблонами.
- Управление рисками вендоров: Используйте электронную таблицу для отслеживания DPA, сертификатов безопасности и субпроцессоров. Инструменты, такие как Vendr или Vanta (корпоративный уровень, но может быть уменьшен).
- Картирование данных: Автоматизированные инструменты обнаружения данных, такие как Securiti, BigID или даже ручной процесс с использованием электронной таблицы.
Выберите инструменты, которые интегрируются с существующим технологическим стеком. Многие платформы CRM и электронной коммерции (Shopify, Squarespace, Wix) теперь включают в себя основные функции конфиденциальности - включите их и просмотрите их настройки. Например, Shopify имеет встроенные страницы конфиденциальности клиентов для CCPA и GDPR.
Кроме того, подумайте об использовании структуры конфиденциальности по дизайну. При оценке нового программного обеспечения спросите поставщиков об их практике обработки данных перед совершением.
Заключение: Конфиденциальность как конкурентное преимущество
Соблюдение новых законов о конфиденциальности данных не только об избежании штрафов. Потребители все чаще предпочитают вести бизнес с организациями, которым они доверяют. Будучи прозрачными в отношении практики обработки данных, уважая выбор потребителей и защищая личную информацию, ваш малый бизнес может выделиться на переполненном рынке.
Начните сегодня с простого аудита. Составьте карту ваших данных, обновите свою политику конфиденциальности и обучите свою команду. По мере роста вы будете накладываться на более формальные процессы. Инвестиции окупаются лояльностью клиентов, снижением юридического риска и операционной эффективностью - чистые данные и четкие процессы приносят пользу вашему бизнесу во многих отношениях, помимо соблюдения.
Помните, что вам не нужно достигать совершенства в одночасье. Прогресс, а не совершенство, является целью. Используйте ресурсы, предоставляемые регулирующими органами и специалистами по конфиденциальности, чтобы направлять вас. Каждый шаг, который вы делаете, приближает вас к надежному, устойчивому малому бизнесу.
Для дальнейшего чтения обратитесь к официальному руководству из раздела конфиденциальности FTC и Международной ассоциации профессионалов в области конфиденциальности (IAPP) .