«GDPR для водолазів: основи поведінки в океані даних» — що треба знати бізнесу
Якщо ви керуєте бізнесом, працюєте в ІТ, маркетингу чи HR — персональні дані стали частиною вашої щоденної рутинної роботи. Зрозуміти, як не порушити правила, уникнути штрафів і водночас вибудувати довіру до бренду — непросто. Проте GDPR (Загальний регламент захисту даних ЄС) не обов’язково має бути складним.
Команда Legal IT Group створила практичну й легку для розуміння книгу «GDPR для водолазів: основи поведінки в океані даних», яка допоможе бізнесу орієнтуватися у вимогах європейського регламенту без зайвої «води».
У цій статті — короткий гайд по головних темах книги, з якими має ознайомитись кожен, хто працює з персональними даними.
Що всередині книги?
Вплив GDPR на фінанси, комплаєнс і роботу компанії загалом
Необхідність у врівноваженні інтересів резидентів європейського ринку та імпортерів зумовила екстериторіальний принцип дії Регламенту. Філософія проста: аби мати доступ, імпортери мають відповідати усім кліматичним умовам ринку, і правила поводження з даними стоять на чи не найпершому місці.
Юридичні зобов’язання породжують організаційні процеси, що неминуче збільшує витрати бізнесу, а також впливає на обсяги продажів в онлайн-сфері.
Галузеве регулювання персональних даних
Компанії можуть опрацьовувати широкий спектр персональних даних: інформацію про здоров’я, генетичні, біометричні дані, дані відеоспостереження, дані дітей, працівників тощо. Чимало нових викликів у сферу захисту персональних даних додав також розвиток штучного інтелекту, машинного навчання, інтернету речей (Internet of things — IoT) та інших технологій.
Саме тому для бізнесу важливо розуміти специфіку регулювання окремих типів даних, щоб грати за правилами GDPR і не порушувати права людей.
Архітектура програмного забезпечення та орієнтований на GDPR бізнес-аналіз
Разом архітектура програмного забезпечення і бізнес-аналіз можуть допомогти бізнесу захистити конфіденційність та персональні дані своїх клієнтів відповідно до вимог GDPR або іншого законодавства у сфері приватності.
Використання персональних даних у продажах: do’s and don’ts
Найефективнішіі продажі залежать від обробки персональних даних: саме вони часто вирішують, чи може продавець достатньо точно персоналізувати свою пропозицію, щоб потрапити в суть потреби.
GDPR у маркетингу
Маркетингова діяльність здебільшого регулюється Загальним регламентом захисту даних (GDPR), а в деяких випадках — Директивою 2002/58/EC. GDPR застосовується до всіх прямих маркетингових комунікацій, поштою, телефоном, факсом, електронною поштою чи іншим способом. GDPR також застосовується до онлайн-реклами, націленої на окремих осіб на основі їх історії вебперегляду.
Технічна та клієнтська підтримка і виконання зобов’язань
У цьому розділі йдеться про важливий аспект GDPR комплаєнс — роботу з запитами від суб’єктів даних (осіб, чиї персональні дані обробляються). Часто саме працівники технічної або клієнтської підтримки можуть отримати GDPR-запит серед інших запитів, тому важливо знати, як його виявити, та правильно зреагувати, про що пам’ятати і чого не робити у випадку отримання такого запиту.
Інформаційна безпека і робота з витоками даних
У цьому розділі ми розглянемо загальні питання безпеки даних з точки зору GDPR, який запровадив єдині правила захисту, що поширюються на всіх учасників процесу обробки персональних даних резидентів ЄС.
Технічні аспекти GDPR compliance: технічні і організаційні заходи охорони персональних даних
GDPR закріплює основоположні принципи обробки персональних даних, але, при тому, у самому Регламенті не згадуються конкретні технології чи методики. Таким чином, для приведення системи у відповідність до Регламенту, необхідно черпати інформацію зі сторонніх джерел. Логіка Регламенту полягає в тому, що варіативність сценаріїв, особливості кожного окремого кейсу та динаміка галузі не дозволяють створити чіткі інструкції, що будуть оптимальними протягом довгого часу.
Фактично, технічні аспекти GDPR комплаєнсу є своєрідною збіркою настанов, рекомендацій та віддзеркаленням актуальної практики.
Privacy Tech рішення & PETs як частина GDPR compliance
PETs — це історія не лише про приватність в контексті комплаєнсу з GDPR, а й про безпеку використання персональних даних і даних в цілому, тому вказані вище технології можуть застосовуватись і в кібербезпекових проєктах, і в зовсім інших нішах. Те, як технологія розвивається та комерціалізується, зазвичай визначає ринок. Створюються нові стартапи, які розвивають конкретні напрями та пробують отримувати клієнтів та інвестиції. Все це формує нову екосистему, де вбудова приватності на технологічному рівні стає нормою.
Обробляємо персональні дані кандидатів та працівників (GDPR vs Employment / Candidate Sourcing)
Усе починається з рішення знайти нову людину в команду: ви складаєте вимоги до резюме, обираєте сервіс для пошуку й аналізу кандидатів, софт для інтерв’ю і тестування, хмарне сховище для зберігання резюме…
Кандидат проходить кілька етапів, перш ніж він стане частиною команди.
Privacy program for beginners: Maturity (and gap) assessment
Підзвітність (accountability) є одним із принципів захисту даних. Цей принцип покладає на компанію відповідальність за дотримання GDPR та встановлює, що компанія повинна продемонструвати свою відповідність (комплаєнс), тобто реалізувати необхідні процедури та розробити документи.
Створення програми приватності — це насправді і є реалізація принципу підзвітності. Програму приватності можна пояснити як процес розробки та прийняття документів (як внутрішніх, так і зовнішніх) та проведення процедур для забезпечення захисту персональних даних.
У цьому розділі ми визначили основні аспекти, на які компанія повинна звернути увагу при побудові своєї програми приватності, щоб впевнитись, що всі персональні дані обробляються безпечно і в комплаєнсі з GDPR.
Карта дій для створення програми захисту персональних даних (або ж privacy program roadmap): Документація
У цьому розділі йдеться про GDPR-документацію: які процеси, що стосуються обробки персональних даних в межах компанії, варто задокументувати, які існують вимоги та яким чином здійснюється цей процес.
Зверніть увагу, що перелічені нижче документи та процедури стосуються тільки деяких напрямків виконання компанією законодавчих вимог щодо обробки персональних даних і не стосуються усіх вимог та відповідних процедур, закріплених у GDPR.
Комунікація приватності як маркетинговий актив
Кожен сучасний інтернет-юзер знає аксіому: privacy matters. Так само зважають на неї свідомі бізнеси, вибудовуючи свою стратегію комунікації з потенційними та наявними клієнтами.
Відповідність GDPR задовольняє не тільки питання контролюючих органів про обробку та зберігання персональних даних, а й дозволяє впевнитись пересічному користувачеві, що його конфіденційна інформація надійно захищена і компанія дійсно варта довіри.
Ця книга — колективна робота privacy-відділу Legal IT Group. Ми прагнемо допомогти українському бізнесу отримати якісні та доступні знання про GDPR та комплаєнс з законами про захист персональних даних, тому книга безкоштовна та знаходиться у вільному доступі.
GDPR для водолазів: основи поведінки в океані даних
Безкоштовна онлайн-книга зрозумілою мовою про практичні аспекти GDPR.
