Due GDPR Diligence при виході SaaS-проєктів на іноземні ринки

Розвиваєте свій продукт і плануєте виходити на європейський ринок?

Не забудьте про GDPR-аудит: і для продукту (власне, software або навіть hardware, якщо цей елемент присутній), і для бізнес-процесів (пошук і конвертація лідів, робота з клієнтами, маркетинг, найм європейських працівників, обробка платежів тощо). 

Чому це важливо?

Регулювання життєвого циклу персональних даних не зникає – і не зникне у найближчому майбутньому. І GDPR актуальний для будь-яких продуктів – і B2C, i B2B (i навіть В2В2С чи будь-якої іншої, яка не є повністю автоматизованою!).

Важливо, що GDPR існує і активно застосовується на європейському ринку уже багато років – і буде слугувати програмою для нанизування інших програм комплаєнсу в ЄС. Наприклад, у 2025 році компанії готуються до вступу в силу європейського AI Act і низки інших законів, які напряму чи дотично регулюють стосунки організацій з даними їхніх клієнтів. І навички, які регулятори отримали при дослідженні ПЗ на відповідність GDPR, нікуди не поділись.

Якщо раніше регулятор міг скаржитися на брак судової чи адміністративної практики, то у 2025 році він має дуже широку базу знань для роботи у формі рішень судів всіх інстанцій (від місцевих національних до Суду Справедливості ЄС і ЄСПЛ), адміністративних штрафів, позицій місцевих органів захисту даних, досліджень спілок захисту прав споживачів і навіть програм перевірки комплаєнсу великих технічних компаній на кшталт Microsoft або Google. 

GDPR не зникне

Незважаючи на заяви речників ЄС про потребу зменшити тягар адміністрування складних процесів на кшталт records of processing activities або data protection impact assessments для менших компаній, таких заяв не було щодо обовʼязків підтримувати безпеку даних на належному рівні або мати архітектуру для видалення даних. 

GDPR-комплаєнс вимагає часу – краще почати раніше

Компанія не зможе уникнути витрат на роботу зі скаргами користувачів, які сприймуть недолік процесу обробки даних за інцидент у безпеці, або на подолання наслідків витоків даних через відсутність програми захисту даних.

Репутація компанії під наглядом

Після аудиту перед виходом на ринок компанія знатиме, наскільки небезпечними насправді є її маркетингові заяви про безпечність систем і даних у них – і зможе вчасно виправити всі недоліки. 

Технічний (і операційний) борг переглянуті

Аудит допомагає виявити найбільш небезпечні недоліки та навчити команду звертати увагу на наслідки своїх дій – недбалого коду, ненадійних баз даних, невидалених переписок. 

Що треба знати вже зараз

GDPR-аудит не зможе прискоритися без втрат

Аудит охопить всі процеси обробки даних від їхнього отримання до видалення – це треба буде прослідкувати всі потоки (і пайплайни) на рівні окремого шматочка даних. 

Аудит даних вимагає компетенції та уваги

Всі спеціалісти і підрядники, залучені в обробку даних, мають бути охоплені аудитом і зацікавлені у тому, щоб виявити проблеми. 

Регулятори мають (багатий) досвід аудитів

У випадку перевірки чи особливо складного запиту команда не розумітиме як реагувати на питання та вкладатися у дедлайни відповіді. 

Витрати на недотримання

Штрафи за порушення GDPR можуть досягати 20 мільйонів євро або 4% від річного обороту компанії.

Проведення GDPR-аудиту – наслідок стратегічного мислення. Аудит вказує на зрілість компанії, виявляє “дитячі хвороби” її попередніх етапів, і змушує переглядати плани та ризик-апетити. Аудит допомагає порозумітися з регуляторами, навчити команду прораховувати наступні кроки, поглибити власне розуміння бажань і потреб клієнта.  А інколи саме GDPR-аудит підкаже SaaS-проєкту, куди рухатися далі – сфокусуватися на privacy-складовій функціоналу, створити кращі data handling practices чи навіть взагалі розпочати кампанію з комунікування приватності як конкурентної переваги – і доказ розуміння європейського ринку.

Катерина Дубас

Голова практики приватності в Legal IT Group

Переваги

Від хаотичного накопичення до ощадливого управління: виявляємо legal-проблеми, розглядаємо organisational (чи інколи навіть technical) рішення. 

Підтримка під час аудиту

Залишаємось на звʼязку з командою: пояснюємо, як GDPR впливає конкретно на них та їхню роботу. 

Гнучкість у форматах роботи

Ми працюємо з документами, опитувальниками, інтервʼю, драфтами, демо-версіями та будь-якими іншими інструментами. 

Зручний моніторинг прогресу

Домовляємось про регулярні синки, дзвінки, зустрічі або звіти, та переносимо результати на дешборди.  

Багаторічний досвід

Наші DPOs знають, за що хвилюється відділ маркетингу чи інформаційної безпеки, і шукають ефективні рішення.  

GDPR-аудит: процес

1. Оцінка аудит-проєкту.
2. Визначення обсягу обробки персональних даних та поточного рівня відповідності GDPR.
3. Виявлення циклів життя даних. Шукаємо дані, цілі їхнього збору, тривалість їхнього життя, міри захисту і ризики від обробки, і наносимо цю інформацію на карти руху даних.
4. Оцінка вендорів і партнерів. Проводимо vendor assessment і складаємо список DPAs для роботи з ними. 
5. Виявлення “розривів”. Проводимо gap assessment: виявляємо недоліки програми та рекомендуємо шляхи подолання “розривів” між законом і практикою. 
6. Складання плану дій. Створюємо action plan з рекомендаціями щодо пріоритетів подальших дій для досягнення комплаєнсу. 

GDPR-аудит – це момент істини: чи готові ви виходити на ринок ЄС? GDPR може стати статтею великих штрафних втрат для data-driven компаній, для компаній у В2С-(і В2В2С-) сегменті, для компаній у cloud / data management-бізнесі – і навіть для більш традиційних бізнесів у сфері медицини, логістики, освіти, роздрібної чи гуртової торгівлі тощо.

Перевірте себе – підготуйтесь до викликів на конкурентному та юридично освіченому ринку.