GDPR compliance та впровадження GDPR: який алгоритм?

GDPR Compliance: Від теорії до практики

GDPR став справжнім викликом для бізнесу. Компанії часто запитують: «Що таке GDPR? Які документи потрібно підготувати, щоб виконати його вимоги? Чи вистачить просто Політики приватності на сайті, щоб стати compliant?»

Але відповідь очевидна – ні. Відповідність GDPR – це не про формальності, а про реальні процеси. Це не разова дія, а безперервний цикл адаптації, співпраці та впровадження рішень, які дійсно працюють. Політики самі по собі нічого не змінюють – важливо, щоб вони діяли на практиці.

Саме тому, GDPR compliance – це не просто набір правил чи документів. Це жива система, яка інтегрується в бізнес-процеси та змінює підхід до роботи з персональними даними. Це культура privacy first, де захист інформації користувачів – не просто вимога, а стандарт мислення.

То як виглядає справжній GDPR compliance? Давайте розбиратися.

Найпопулярніше питання: Чи існує стандартний пакет документів для GDPR compliance?

Відповідь проста – ні. Кожен бізнес унікальний, як і його процеси. Одній компанії достатньо Excel-таблиці для обліку даних, а інша використовує складні алгоритми прогнозування поведінки користувачів. Тому просто скопіювати документи з іншого сайту не тільки неефективно, а й нечесно щодо власних клієнтів.

Як казали в одному культовому фільмі: «Шануй споживача свого». Ви ж не змусите користувачів погоджуватися на обробку їхніх персональних даних відповідно до шаблонного документу, який навіть не враховує особливості вашого бізнесу?

Що ж робити? Відповідь, як і у Морфеуса: «Не де, а коли». І якщо цей момент настав, починати варто з GDPR-аудиту.

Алгоритм впровадження GDPR

Розглянемо кожен етап детальніше:

КРОК 1 – GDPR аудит

Аудит GDPR – це фундаментальний етап, який визначає, наскільки компанія відповідає нормам регламенту щодо обробки персональних даних. Його ключовий результат – створення карти руху персональних даних та підготовка gap assessment, який окреслює розрив між поточними бізнес-процесами компанії та вимогами GDPR.

Завдяки аудиту можна зрозуміти, чи підпадає компанія під дію GDPR і які саме заходи потрібно реалізувати для відповідності. Вимоги до різних компаній варіюються в залежності від їхньої юрисдикції, масштабів обробки даних та специфіки діяльності. Тому без якісного аудиту неможливо ефективно впровадити GDPR compliance.

КРОК 2 – GDPR план

Наступний етап – це розробка стратегії та визначення чітких кроків для досягнення відповідності GDPR. На основі gap assessment створеного в результаті аудиту, здійснюється планування конкретних кроків по досягненню GDPR compliance.

Характерні документи:

• Compliance Project Initiation Document – в цьому документі ми ініціюємо підготовку до впровадження GDPR.
• Preparation Project Plan – детальний план дій щодо імплементації GDPR в компанії.
• Gap Assessment (in the result of audit) – оцінка «прірви» між тим, як персональні дані обробляються зараз і що необхідно змінити для приведення процесів у відповідність з GDPR.
• Compliance Evidence
• Internal Audit Procedure – умови time-to-time аудиту з метою оцінки і переоцінки стану справ по GDPR.

Тут варто звернути увагу, що GDPR compliance може відрізнятися залежно від специфіки бізнесу компанії. Наприклад, вимоги для аутсорсингових компаній та adtech-платформ мають свої нюанси, оскільки кожна сфера діяльності передбачає унікальні підходи до обробки персональних даних. Детальніше про те, як особливості галузі впливають на підготовку дорожньої карти до GDPR-комплаєнсу, можна прочитати тут. (розвиток нішевих практик)

Метою підготовки плану є визначення конкретних кроків (дорожньої карти), по якій необхідно рухатися компанії для приведення своєї діяльності у стан GDPR compliance.

КРОК 3 – Внутрішній GDPR compliance

Можна виділити наступні блоки документів, які є типовими для внутрішнього GDPR комплаєнсу: 

Збір даних та контроль за передачею даних – Визначаємо, як саме і на якій підставі збираються персональні дані, як довго вони зберігаються, які операції з даними проводяться.

Характерні документи:

• Personal Data Mapping Procedure – розписуємо принципи формування карти руху персональних даних та юридичних фактів, які необхідно врегулювати в рамках передачі / обробки / збагачення даних.
• Annex A1. Personal Data Capture Form (users as data subjects)
• Annex A2. Personal Data Capture Form (employees as data subjects)
• Annex B. Records of Processing Activities
• Records Retention and Protection Policy

Ролі та відповідальності – Визначаємо ролі кожного із співробітників / засновників Компанії в обробці персональних даних, встановлюємо рівень доступу, необхідність підвищення кваліфікації

Характерні документи:

• Roles and Responsibilities – вказуємо, які саме завдання будуть делеговані на залучених осіб в рамках компанії
• Competence Development Procedure – описуємо процедури і необхідні умови для підвищення компетенції внутрішніх стейкхолдерів всередині компанії.
• Information Security Awareness Training (ENG / UKR) – можливий додатковий тренінг з інформаційної безпеки.
• Handbook for Employee – супер книга. Звичайно ж, це не зовсім книга, а скоріше guide для співробітника, в якому вказані ключові аспекти роботи з персональними даними компанії і конкретно його роль в цьому процесі.
• Access Control Policy – документ, що пояснює, куди кому можна заглядати, а куди заборонено і чому. Адже чим менше людей знає секрет, тим надійніше.

! Працівники компанії та GDPR – Хтось з працівників більш активно задіяний в обробці персональних даних, а хтось не задіяний зовсім. В той же час, працівники, яким проведено тренінг по GDPR та зрозумілою мовою пояснено – яким чином компанія перебуває в compliance з GDPR та як піклується про персональні дані можуть пропустити культуру privacy first через себе та нести її далі, таким чином, підвищуючи довіру до компанії. А ще, це добре для HR брендингу! Запитайте у Вашого HRD та піарника. 

DPIA & DPO – Визначаємо необхідність проведення DPIA і призначення DPO.

Характерні документи:

• DPIA necessity report – документ покликаний визначити, чи потрібна така штука як Data protection в організації.
• DPIA Procedure
• DPIA Report
• DPO necessity report – визначаємо, чи потрібен DPO і чому

Безпека персональних даних – Визначаємо режим захисту інформації в компанії.

Характерні документи:

• Information Security Policy – один з найсерйозніших документів в організації. За легендами, його повинен затверджувати суворий дядько з вусами і товстими пальцями, але це не так. Але саме в ньому визначаються заходи, що необхідні для інформаційної безпеки компанії.
• Information Security Incident Response Procedure

Personal Data Breach Procedure – Визначаємо алгоритм дій у разі витоку персональних даних (Data breach)

Характерні документи:

• Personal Data Breach Notification Procedure – в разі витоку даних, компанія зобов’язана про це повідомити. Така вимога. Тому, потрібно бути готовими, мати процедуру і знати, що потрібно робити.
• Personal Data Breach Notification Form
• Personal Data Breach Register

КРОК 4 – Регулюємо відносини з користувачами

Privacy policy documents – Готуємо документи для користувачів – політики, згоди на обробку персональних даних і простою мовою розповідаємо користувачам про їхні права.

Характерні документи:

• International Transfer Procedure – буває так, що компанія в Україні, дані європейців, а процесор в США.
  Що робити? Мати політику.
• Privacy Policy – мабуть головний документ в контексті відносин з користувачами. Гарно, зрозумілою мовою, в дружній манері, варто роз’яснити користувачам як, навіщо і чому ми можемо обробляти їх персональні дані.
• Privacy Notice Procedure – тут ми розповідаємо про те, як саме ми повідомляємо про обробку персональних даних наших користувачів і піклуємося про них.
• Cookies Policy – політика про печиво. Ми повинні розповісти, які кукіз ми закидуємо на пристрій користувача, як потім стежимо за ним та дізнаємося його таємниці і бажання.
• Consent form – документ, яким користувач висловлює свою згоду на обробку персональних даних, скажімо, при реєстрації на сайті.
• Cookies Consent Form – такий документ Ви точно бачили. Майже на кожному сайті. Мовляв, «привіт, а ми тут печивом розважаємось, ок?»

Rights of data subjects – Визначаємо процедури і форми для реалізації прав суб’єктів персональних даних і ведення обліку звернень

Характерні документи:

• Request and Complaints Procedure
• Request and Complaints Form
• Request and Complaints Register – ми повинні реєструвати хто саме  звертався до нас із запитами про видалення даних, наприклад. Але от питання – як зареєструвати звернення того, хто зажадав видалити інформацію? В такому випадку залишаємо лише зовсім небагато, а краще засекречену і псевдонімізіровану і заховану на дні морському.

! Тут варто пам’ятати, що користувачі можуть звернутись не лише до вашої компанії, а й до місцевих authority, якщо вважатимуть, що ви оброблюєте їх персональні дані якось не так. 

Звісно, потрібно працювати в превентивному руслі – спілкуватись з користувачем, реалізовувати його права відповідно до регламенту, але у випадку отримання листа безпосередньо від authority, необхідно буде продемонструвати і GDPR compliance в цілому, і в конкретному кейсі з користувачем. З такою комунікацією допоможе DPO або privacy manager на аутсорсі!

КРОК 5 – Регулюємо відносини з контрагентами

Data transfer policies & Data processing agreements – Визначаємо вимоги до контрагентів компанії для можливості передачі персональних даних та готуємо договори, необхідні для такої передачі.

Характерні документи:

• Supplier Assessment Procedure – ми не можемо передавати дані будь-кому, тому повинні скорити контрагентів. Також вони повинні відповідати нашим найсуворішим вимогам.
• Controller-Processor Agreement Policy
• Data Processing Agreement (controller / controller) – найважливіший документ, який ми можемо підписувати з нашими партнерами. Тут ми визначаємо який саме scope інформації передається, умови роботи з нею і так далі.

Для того, щоб передавати дані контракторам, спочатку треба оцінити – чи в комплаєнсі вони з GDPR. В якій юрисдикції вони зареєстровані, чи законно туди передавати дані, взагалі. Яка роль буде у конкретного контрагента – контролер чи процесор, а можливо і ко-контролер. Для менеджменту відносин з підрядниками / партнерами щодо персональних даних використовуються відповідні процедури, контракти. Коли вони розроблені і зрозумілі, і, скажімо, Head of Legal робить договір з новим контрагентом, узгодження privacy питань не має стати перепоною для співпраці.  

КРОК 6 – Демонструємо відповідність GDPR

Створюємо карту руху потоків персональних даних, пояснюючи правові аспекти кожного з етапів руху таких даних в рамках бізнес-процесів компанії. Також створюємо презентацію, яка демонструє GDPR compliance.

Характерні документи:

• Data Flow Diagram – найважливіший документ, який показує рух персональних даних в рамках нашої компанії
• Initial Mapping – початковий ескіз карти руху даних. Ми можемо оновлювати цей документ по мірі створення нових бізнес-процесів
• Compliance Data Mapping – тут ми до нашої карти прив’язуємо конкретні правові підстави. Наприклад – згода дозволяє брати дані в роботу. Обсяг згоди визначає, що ми можемо робити з ними далі. Наступним етапом може бути передача цих даних в хмару відповідно до DPA.
• Evidence of Compliance presentation – все люблять слайдики. А ці слайдики – чарівні. У цій презентації пояснюється вся суть GDPR compliance відповідно до документів, які підготувала компанія для роботи з персональними даними. Гарненько, на фірмовому бланку та по суті. 

Висновки

Більшість GDPR-документів оформлюється англійською мовою, але ті, що призначені для публічного доступу, наприклад Privacy Policy, мають бути перекладені мовою країни, де працює компанія. Проте одного лише правильного оформлення недостатньо. Політики та договори потрібно постійно переглядати й оновлювати, оскільки бізнес-процеси змінюються, з’являються нові форми обробки персональних даних, а користувачі надають нові згоди.

Деякі документи, наприклад початковий GDPR-план, можуть здаватися статичними, але на практиці вони теж змінюються з розвитком компанії. GDPR compliance – це безперервний процес, який починається з аудиту, але ніколи не завершується. Це щоденна робота, яка робить компанію сильнішою та допомагає клієнтам ефективно керувати своїми персональними даними.

Ба більше, впровадження реального, працюючого GDPR може стати конкурентною перевагою. Компанії, які демонструють відповідальне ставлення до захисту даних, виграють у довгостроковій перспективі, адже прозорість та безпека даних – це те, чого очікують сучасні споживачі.

Щоб оцінити рівень готовності вашої компанії до GDPR compliance, пропонуємо скористатися чек-листом нижче. А якщо потрібна допомога – заповніть наш GDPR-опитувальник, і ми допоможемо вам зробити цей процес максимально ефективним.

Чек-лист

1. Чи обробляються у вашій компанії персональні дані?

Персональні дані – це будь-яка інформація, що дозволяє ідентифікувати особу:

• номери телефонів клієнтів
• IP-адреси
• cookies-файли
• інші дані, які можуть вважатися персональними

2. Чи застосовується до вашої компанії GDPR?

GDPR поширюється на компанії, якщо:

• вона зареєстрована в ЄС і обробляє дані осіб з ЄС
• вона зареєстрована в ЄС і обробляє дані осіб з інших країн
• вона знаходиться за межами ЄС, але працює з персональними даними осіб з ЄС

Щоб визначити, чи націлена ваша діяльність на ринок ЄС, зверніть увагу на:

• доступність сайту мовами ЄС
• можливість оплати в євро
• реєстрацію домену в ЄС
• доставку товарів або послуг у країни ЄС

3. Чи обробляє компанія чутливі персональні дані?

До спеціальних категорій даних належать:

• расова чи етнічна приналежність
• політичні погляди
• релігійні переконання
• дані про здоров’я, біометричні та генетичні дані
• дані про судимості
• тощо

Такі дані потребують посиленого захисту та спеціальних підстав для обробки.

4. Чи враховані вимоги національного законодавства?

Кожна країна ЄС може мати додаткові вимоги. 

5. Чи передаються персональні дані до третіх країн?

Передача даних за межі ЄС дозволена лише за умови:

• рішення про відповідність (adequacy decision)
• використання стандартних контрактних положень (SCCs) 
• впровадження корпоративних правил захисту даних (BCRs)
• отримання явної згоди суб’єкта даних

6. Яку роль у процесі обробки даних виконує компанія?

Ваша компанія є:

• Контролером – визначає цілі та способи обробки даних
• Оператором – обробляє дані за вказівкою контролера

Залежно від ролі, відрізнятимуться відповідальність та обов’язки компанії.

7. Чи потрібен вашій компанії Data Protection Officer (DPO)?

DPO є обов’язковим, якщо:

• компанія є державною установою
• компанія обробляє великі обсяги персональних даних
• компанія обробляє чутливі дані
• тощо

DPO відповідає за контроль дотримання вимог GDPR та комунікацію з регуляторами.Для детальних пояснень, розширеного чек-листа та чіткого розуміння наступних кроків запрошуємо ознайомитися з повною статтею за посиланням.