Privatnost nije samo dokument
Svaki moderan SaaS proizvod ima politiku privatnosti. Većina njih govori prave stvari.
One opisuju koji se podaci prikupljaju, kako se koriste, koje kategorije primalaca ih dobijaju, koliko dugo se čuvaju i kako korisnik može da ostvari svoja prava.
To je neophodno — ali nije dovoljno.
Politika privatnosti vam govori šta dobavljač obećava da će uraditi. Arhitektura proizvoda vam govori šta bi mogao da uradi.
Ako politika kaže "ne prodajemo vaše podatke", a arhitektura je izgrađena na infrastrukturi oglašivačke tehnologije, onda politika nosi veliki teret. Ako politika kaže "čuvamo vaše podatke bezbednim", a sistem drži na okupu dvadeset eksternih servisa, politika daje obećanja o delovima sistema koje dobavljač ne može u potpunosti da kontroliše.
Verujemo da privatnost prvo treba da bude vidljiva u arhitekturi, a tek potom opisana u politici.
Šta zapravo znači "kroz arhitekturu"
Privatnost kroz arhitekturu je ideja da sama struktura sistema treba da ograniči kako se podaci mogu prikupljati, pristupati im, obrađivati i deliti.
To je razlika između "biramo da ne radimo X" i "izgradili smo platformu tako da je X nepraktičan".
Prvo je kultura. Drugo je ograničenje.
Kulture se menjaju. Ograničenja su stabilna.
Odluke koje je oblikuju
Privatnost kroz arhitekturu nije jedna funkcija. To je niz malih odluka, ponavljanih tokom godina.
Odabir da komponente vodimo interno umesto da podatke usmeravamo kroz eksterne servise. Odabir da smanjimo kategorije podataka koje prikupljamo. Odabir da se ne integrišemo sa ekosistemima oglašavanja ili bihejvioralnog praćenja. Odabir da poslovne podatke čuvamo u regionima koje naši korisnici očekuju. Odabir da radne prostore držimo izolovanim. Odabir da ne analiziramo sadržaj korisnika radi marketinških uvida.
Nijedna od tih odluka sama po sebi nije dramatična. Kumulativni efekat je ono što oblikuje platformu.
Šta namerno ne prikupljamo
Korisna vežba je obrnuta od tipičnog sažetka privatnosti.
Ne prikupljamo bihejvioralne profile vašeg tima za ciljanje oglasa. Ne snimamo reprodukcije sesija korišćenja radnog prostora. Ne postavljamo praćenje između sajtova iz oglašivačkih mreža unutar autentifikovane platforme. Ne prikupljamo podatke za koje ne možemo da opravdamo potrebu.
Svaka dodatna tačka podataka koju platforma prikuplja jeste odluka o privatnosti. Većina platformi greši na strani više. Mi grešimo na strani manje.
Šta namerno ne delimo
Ne postoji preprodaja informacija o korisnicima. Ne postoji deljenje sa marketinškim partnerima. Ne postoji tok podataka ka brokerima podataka. Ne postoji "anonimizovani" skup podataka koji se licencira trećim stranama.
Kada dobavljač kaže "možemo deliti agregirane, anonimizovane podatke sa našim partnerima", vredi razumeti šta ta rečenica zapravo dozvoljava. Mi to nismo želeli da napišemo.
Šta namerno ne čuvamo zauvek
Zadržavanje rezervnih kopija postoji, iz razloga operativne pouzdanosti i regulatornih obaveza. Naše periode čuvanja dokumentujemo u Politici privatnosti.
Ali van tih izričitih rokova čuvanja, brišemo ono što nam više nije potrebno. Ne čuvamo informacije o korisnicima neograničeno dugo kao podrazumevano pravilo. Ne držimo podatke ugašenih naloga spremnim za slučaj da se "možda vratite". Ne gomilamo informacije za buduće ideje o proizvodu.
Ako nije bilo potrebe da ih zadržimo, brišemo ih.
Zašto je minimizacija važna
Minimizacija podataka je jedan od osnovnih principa GDPR-a. To je takođe i dobro inženjerstvo.
Svaki dodatni podatak koji sistem čuva jeste nešto što treba zaštititi, obezbediti, praviti rezervne kopije, replicirati, održavati usklađenim i na kraju obrisati. Manje podataka znači manju površinu za odbranu.
Za naše korisnike to takođe znači manje brige. Informacije koje postoje jesu informacije koje ste vi tamo uneli — ne duga senka bihejvioralnih metapodataka za koje bi neko, negde, jednog dana mogao da pronađe upotrebu.
Zašto je izolacija važna
Svaki KIMISUITE radni prostor je logički izolovan od svih ostalih. Vaši poslovni podaci se ne mešaju sa sadržajem drugih korisnika. Operacije između radnih prostora se ne dešavaju podrazumevano. Funkcionalnost između radnih prostora je opcionalna i izričita.
Ta izolacija je ugrađena u način na koji platforma funkcioniše, a ne samo u politiku.
Zašto arhitektura pobeđuje marketing
Svakom dobavljaču je lako da na marketinškoj stranici napiše "privatnost je u našem DNK". To ništa ne košta.
Teže je donositi arhitektonske odluke koje ograničavaju samu platformu — odluke koje treba braniti svaki put kada se pojavi neki konkurentski zahtev.
Interni timovi će tražiti više bihejvioralnih podataka. Prodajni timovi će tražiti bogatije profile korisnika. Marketing će želeti reprodukcije sesija. Neki budući investitor će predložiti monetizaciju "anonimizovanih" skupova podataka.
Odgovor na sve to, kroz arhitekturu i kroz nameru, jeste ne.
Završne misli
Politika privatnosti može da opiše šta dobavljač želi da radi.
Arhitektura platforme određuje šta dobavljač može da radi.
Odabrali smo da to dvoje uskladimo — i da ih tako usklađene održimo kako platforma raste.
Ako vaše poslovanje čuva važne informacije unutar SaaS platforme, vredi pažljivo pogledati to podudaranje.
Nastavite da čitate Seriju o poverenju:
← Prethodno: Ko može da pristupi vašim poslovnim podacima?
→ Sledeće: Šta se dešava sa vašim podacima kada otkažete?
Započnite svoj besplatni probni period od 14 dana · Pogledajte KIMISUITE cene