GDPR-навчання для юридичного департаменту компанії

Юристи (або цілий юридичний відділ) компанії – завжди одна з найбільш чутливих до змін ланок. Вони моніторять законодавство, зміни в продуктах і послугах компанії, поведінку контрагентів, здоровʼя інтелектуальної власності – і кут їхньої уваги лише продовжує розширюватися. Їхній функціонал уже давно не обмежується задачами розробляти договори, реагувати на проблемні ситуації, гасити пожежі та виконувати рутинні юридичні завдання. Тому юристи у безкінечному пошуку нових знань та навичок, у якій би галузі вони не працювали.

Одним з постійних і гострих викликів для юридичних команд лишається інтеграція з ІТ, відколи рутина їхньої організації все більше цифровізується і автоматизується. Щойно держави навчились врегульовувати питання інтелектуальної власності – зʼявилось суворе регулювання обігу персональних даних. У цих умовах юристам все більше треба відходити від кодексів до підручників з компʼютерних наук, психології і поведінкової економіки. 

Осягнути цю окрему галузь через  епізодичні лекції та туторіали юридичних інформаційних систем неймовірно складно: закони про захист персональних даних динамічні, і правила гри швидко міняються та сильно спираються на “мʼяке право” і рішення судів.  Тому найбільш дієвий шлях швидко та ефективно прокачати свій юридичний відділ – дати йому набір з бази та навичок, які буквально вшиваються в реальні процеси компанії, змінюють спосіб мислення, і, як наслідок, дають можливість надійно й точно оцінювати ситуацію.

Саме такою логікою керуємося ми, коли будуємо наші тренінги з GDPR та privacy-комплаєнсу: ми даємо практичний погляд на складне законодавство та бюрократизовані процедури, пояснюємо технічні речі зрозумілою мовою і відкриваємо інформаційні технології для юристів з нової точки зору. У цій статті ми розповімо трішки детальніше про те, як можна побудувати програму тренінгів для своєї юридичної команди.

Для кого будується програма навчання

Зазвичай навчання щодо комплаєнсу з законодавством про захист персональних даних корисне для:

• юридичних департаментів, які працюють з європейськими клієнтами або хочуть вийти на європейський ринок;
• компаній, що проходять або готуються до privacy-аудитів;
• бізнесів, які хочуть використовувати GDPR-комплаєнс як елемент довіри клієнта.

Знання заради знань – в минулому

GDPR давно перестав бути формальною темою «виконуємо для комплаєнсу». Компанії, які працюють в ЄС з технологіями та даними, на власному досвіді знають, наскільки європейське privacy-регулювання може бути тестом на зрілість  компанії та випробовувати компанію на міцність і здатність управляти ризиками. 

Типова програма навчання створена для команд, які пройшли етап «ми щось чули про GDPR» і хочуть перейти до наступного рівня – коли privacy перестає бути реакцією на запити контролюючих органів чи вимоги клієнтів і стає невід’ємною частиною бізнесу. Але це має бути межею – завжди можна заглиблюватися в свої процеси ще більше і будувати систему privacy by design / default, щоб рано виявляти та попереджати можливі порушення privacy-регуляцій. 

Часто навчання для юридичних департаментів зводиться до огляду регламенту, пояснення його принципів та стандартних процедур. Але ідеальна програма побудована послідовно – від базового розуміння регулювання до практичних навичок, які юристи мають застосовують у щоденній роботі з контрагентами, клієнтами чи власними командами. Тому треба шукати матеріали і спеціалістів, які мають досвід роботи з організаціями, схожими на вашу – у тій же сфері, того ж розміру, на тому ж етапі зрілості privacy-компаній, – і не зупинятися на досягнутому. 

Формат навчання

Ефективна програма розрахована на 3-4 тижні з двома заняттями на тиждень і може включати домашні завдання та групову роботу. Такий формат обирають свідомо: він дозволяє інтегрувати отриманий теоретичний матеріал у поточну роботу компанії, навчитися працювати самостійно і в команді, перевірити рівень (та обсяг) знань колег та підготуватися до майбутніх викликів. 

Домашні завдання, кейси та capstone-проєкти змушують учасників одразу працювати з документами й ризиками і планувати на майбутнє втілення. В результаті компанія отримує не лише навчених юристів, а й готові сформовані рішення, які можна використовувати одразу після завершення курсу, а самі юристи мають змогу обговорити всі ідеї у безпечному середовищі, де буде надано негайний зворотний звʼязок від команди і спеціалістів, рекомендації та огляд кращих практик галузі.

Структура програми

Давайте зараз уявимо структуру ідеального навчання. Нижче викладено приклад такої повноцінної системи для юридичного департаменту середньої або великої компанії, що має багато процесів з обробки персональних даних. Кожна лекція має складатися з лекційного матеріалу / воркшопу та домашніх завдань для закріплення навичок. 

Прогляньте – і відзначте для себе, наскільки Ваша команда уже обізнана з конкретними аспектами GDPR, і що слід було б освіжити у памʼяті або проговорити заново. 

ПРИКЛАД ПРОГРАМИ:

Лекція 1: Основи GDPR: головні напрямки регулювання у захисті персональних даних

Це вступний урок: цей блок тем має на меті пояснити межі, у яких діє GDPR, тригери його застосування та основні поняття, на які він спирається. 

• Дія GDPR: територіальний та інституційний критерії.
• Предмет регулювання GDPR:
  • поняття персональних даних; 
  • поняття обробки даних; 
  • поняття контролера і процесора даних. 
• Легальний збір даних:
  • принципи GDPR (стаття 5);
  • правові підстави (стаття 6); 
  • вимоги до згоди на збір даних; 
  • дія законного інтересу і проведення legitimate interest assessment; 
  • інформація про процес збору, яка має зберігатися як доказ комплаєнсу (на основі ст. 13-15). 
• Відповідальність за порушення GDPR і повноваження регуляторних органів. 

Домашнє завдання: оцінка кейсу та відповідь на запитання. 

Лекція 2. Розбудова та підтримка Privacy Program в компанії

Цей урок фокусується на операційній частині GDPR: як почати GDPR-проєкт, як його впроваджувати і як надалі використовувати статус GDPR Compliance для позиціонування на ринку, у корпоративній культурі та у маркетингу. 

• Початок проєкту: рахуємо витрати, ресурси і ROI.
• Менеджмент приватності у документах, людях і процесах:
  • обовʼязки контролера;
  • обовʼязки процесора;
  • доручення від контролера процесорові;
  • міжнародний трансфер даних;
  • відповідальність контролера і процесора за порушення законодавства про захист даних;
  • роль та обовʼязки data protection officer.
• Комунікація приватності: як розповідати про свій комплаєнс (і чи дійсно це потрібно). 

Домашнє завдання: оцінка кейсу та підготовка плану реалізації GDPR-програми (групове завдання). 

Лекція 3. Права субʼєктів даних: ключові privacy cases та штрафи і як це використати

Цей урок фокусується на найважливішій частині GDPR: які права він гарантує резидентам ЄС, чому організації мають його виконувати, до якого ступеня організації звʼязані вимогами GDPR та як правильно обробляти запити від субʼєктів даних, щоб не порушувати GDPR. 

• Права субʼєктів даних у розумінні GDPR:
  • загальна процедура роботи з запитами; 
  • доступ до даних (ст. 15)
  • зміна даних
  • видалення даних
  • обмеження обробки даних
  • відмова від автоматизованої обробки даних
• Уроки, які ми виносимо зі штрафної практики:
  • Відповідь на запити суб’єктів даних
  • Документування (і розслідування) data breach
  • Перемовини щодо DPA
  • Перевірка комплаєнсу аудиторами клієнта
  • “Лист щастя” від регуляторного органу

Домашнє завдання: скласти скаргу від імені субʼєкта даних до компанії.

Лекція 4. GDPR-дизайн, data governance та privacy engineering

Цей урок присвячений технічним аспектами GDPR: як він втілюється у технічних та інженерних рішеннях, що приймає ІТ-команда. Цей урок має дати знання та навички для більш тісної взаємодії з розробниками, девопсами, дата-інженерами та іншими технічними спеціалістами, які мають втілювати вимоги GDPR у програмному та апаратному забезпеченні компанії. 

• Що мають на увазі під “data governance” і як його використовувати для захисту персональних даних.
• Privacy by design / by default: робити не можна економити
  • PETs, PPTs, differential privacy та інші способи захистити дані
  • Кейси: знаходимо елементи privacy engineering на сайті 
• Інформаційна безпека: що каже GDPR про захист даних:
  • Тлумачення статті 32: обовʼязковий список чи пропозиції 
  • ISO, SOC та інші стандарти захисту 
  • NIS2: очікування та реальність

Домашнє завдання: сформувати перелік TOMs, що наразі діють для захисту даних компанії (групове завдання).

Лекція 5. Штучний інтелект та privacy: практичні виклики для юридичних команд 

Цей урок сфокусований на синергії GDPR і AI Act: як використовувати ШІ етично при обробці запитів cубʼєктів даних та інших GDPR-процесах. Побіжно також розглянемо поточні позиції регуляторів ЄС щодо ШІ та даних: наприклад, випадках, коли ШІ-чатбот на запит користувача видає персональні дані з відкритих джерел.

• AI from scratch: як будувати privacy-friendly ШІ в окремо взятій організації.
• ШІ на великих мовних (та інших) моделях: як використовувати “чужі” ШІ.
• Способи захистити користувачів від них самих: AI Usage Policy.
• Великий синтез: кіберпанк синтетичних даних або як використовувати ШІ безпечно. 

Домашнє завдання: порівняння privacy-практик двох ШІ-провайдерів.

Детальніше про доступні навчання від Legal IT Group: https://legalitgroup.com/projects/navchannya-dlya-kompaniyi/

Лекція 6. Документація та доказування GDPR-комплаєнсу

Під час цього уроку ми розглянемо документарний комплекс – саме він є основним доказом відповідності GDPR у компанії. Ми розповімо про групи документації, які треба підготувати, як їх підтримувати і у яких випадках розкривати. 

• Альфа і омега: records of processing activities (RoPA). 
• Оцінки та аналізи:
  • legitimate interest assessment; 
  • transfer impact assessment; 
  • data protection impact assessment; 
  • human/fundamental rights impact assessment (HRIA або FRIA). 
• Політики та процедури:
  • внутрішня політика про захист даних;
  • відповіді на запити; 
  • реагування на інциденти тощо. 
• Договори та додатки до угод:
  • угоди controller-processor для авторизації доступу до даних; 
  • передача даних до третіх країн: Standard Contractual Clauses чи згода на разову передачу. 
• Документація подій у безпеці:
  • incident register та incident report у випадку витоків даних; 
  • драфти сповіщень про інцидент у безпеці для регуляторів і постраждалих. 

Домашнє завдання: сформувати перелік документів, які треба розробити компанії (групове завдання).

Лекція 7. Офлайн-зустріч: розгляд практичних кейсів та ділова гра

Офлайн-зустріч у формі case studies. 

Під час офлайн-зустрічі ми відточимо три основних сценарії:

• реагування на запит від субʼєкта даних; 
• реагування на запит від регуляторного органу; 
• реагування на інцидент у безпеці.

Учасники працюватимуть у двох групах, кожна з яких отримає по два кейси і матиме сформувати:

• алгоритм дій; 
• драфт відповіді або репорту.  

Чому саме ці теми? 

У програмі лекцій виведено найбільш популярні запити на навчання: від питань “чи застосовується GDPR до нашої компанії” до “чи правильно ми побудували нашу систему комплаєнсу з законами про захист персональних даних”. 

Але це не межа знань: 

• наприклад, для фармакологічної компанії буде важливо окремо подбати про процеси збору згоди на тестування і дослідження, моніторинг здоровʼя та обмін даними з аптеками і страховими компаніями; 
• для маркетплейсів треба дуже уважно попрацювати з політиками приватності, категоризацією cookies та процедурами відповіді на запити на видалення або уточнення даних – адже це буде їхня основна рутина; 
• а для фінансового бізнесу особлива увага буде на автоматизоване прийняття рішень, DPIA / LIA, вимоги PCI DSS або національних вимог європейських банків. 

Всі ці питання будуть формувати унікальну програму організації – і навчання має підготувати юристів до несподіванок і дати поштовх для перегляду поточного стану комплаєнсу у новому світлі. Якщо у Вас є ідеї, що ще Ви б хотіли додати до своєї програми навчання – обовʼязково контактуйте з нами, і ми допоможемо вам сформувати повний набір знань і навичок для роботи зі специфікою вашого ринку і організації. 

Чому така програма реально прокачує юридичний відділ?

Ваш формат навчання має концентруватися на тому, щоб юридичний відділ міг стати центром управління ризиками. Персональні дані вже давно стали «новою нафтою»: від підходів до роботи з ними залежить і прибуток, і регуляторні ризики компанії. В довгостроковій перспективі виграють ті, хто серйозно ставиться до обробки даних і розвиває свою команду. 

Спеціалісти Legal IT Group мають широкий досвід створення різних програм комплаєнсу та навчання юридичних інхауз-команд особливостям роботи з персональними даними. Сконтайтуйте з нами, щоб створити ефективну систему тренінгів, онбордингів та підвищення кваліфікації з акцентом на процесах і особливостях вашої організації.