Загальний регламент про захист персональних даних – як GDPR впливає на бізнес?
Ви – перспективний стартап, який розробляє власний продукт і планує вийти на ринок ЄС? Можливо, Ваша компанія вже має кількох клієнтів з Європи та планує залучити нових? Або ж Ваша компанія вже багато років працює на європейському ринку та вже зараз обробляє дані тисяч європейців? Ці кейси об’єднує одна абревіатура – GDPR. Що таке GDPR? Як він може впливати на ваш бізнес? Що треба зробити кожному бізнесу, щоб бути в комплаєнсі з GDPR? Про ці та інші питання поговоримо в цій статті.
Принципи GDPR як фундамент
GDPR або General Data Protection Regulation (Загальний регламент про захист персональних даних) – закон про захист персональних даних Європейського Союзу, який діє з 25 травня 2018 року. Він розповсюджується на будь-яку обробку персональних даних осіб в Європейському Союзі та Європейській економічній зоні. Особливість закону полягає в тому, що він має екстериторіальний характер, тобто може розповсюджуватись на компанії, що знаходяться за межами ЄС та ЄЕЗ.
GDPR передбачає багато різних вимог для компаній. На що ж дивитись спершу? Найкраще з чого почати – перевірити, чи відповідає діяльність компанії принципам GDPR. В GDPR принципи є фундаментальними вимогами та мають важливе значення, тож компанії можуть отримувати штрафи за порушення цих принципів.
Нижче ви можете ознайомитись з принципами разом з поясненнями, що саме вимагається від компанії.
| Стаття | Принцип | Пояснення |
| Стаття 5(1)(a) | Lawfulness, fairness and transparency (Законність, справедливість та прозорість) | Обробка персональних даних не порушує застосовне законодавство, є справедливою та прозорою для особи, чиї дані обробляються (суб’єкта даних) |
| Стаття 5(1)(b) | Purpose limitation (Обмеження цілі) | Обробка персональних даних здійснюється з конкретними, чітко визначеними та законними цілями, і дані не обробляються надалі у спосіб, несумісний з цими цілями |
| Стаття 5(1)(c) | Data minimisation (Мінімізація даних) | Персональні дані, що збираються, є адекватними, релевантними та обмежені тими даними, що є необхідними для цілей обробки |
| Стаття 5(1)(d) | Accuracy (Точність) | Персональні дані, що обробляються, є точними та за необхідності оновлюються |
| Стаття 5(1)(e) | Storage limitation (Обмеження зберігання) | Персональні дані зберігаються не довше, ніж це необхідно для цілей, для яких ці дані обробляються |
| Стаття 5(1)(f) | Integrity and confidentiality (Цілісність та конфіденційність) | Компанія забезпечує належний рівень безпеки персональних даних, зокрема за допомогою відповідних технічних та організаційних заходів передбачається захист від несанкціонованої або незаконної обробки та випадкової втрати, знищення чи пошкодження персональних даних |
| Стаття 5(2) | Accountability (Підзвітність) | Компанія є відповідальною та здатна продемонструвати відповідність з вищезазначеними принципами, передбаченими статтею 5(1) GDPR |
Виходячи з вищезазначених принципів, можна зробити висновок, що для того, щоб діяльність компанії відповідала GDPR, необхідно деталізовано пропрацювати різні аспекти обробки персональних даних в межах компанії та розробити програму приватності, яка включає в себе необхідну публічну та внутрішню документацію, а також налогоджені процеси, пов’язані з обробкою персональних даних та виконанням вимог GDPR.
Ролі за GDPR: ви контролер або процесор?
Одним з найважливішим питанням, на яке повинна відповісти компанія – яку роль вона має згідно з GDPR і відповідно які вимоги треба виконувати?
За GDPR існує дві основні ролі: контролер та процесор:
- Компанія виступає контролером, якщо вона визначає цілі та засоби обробки, тобто визначає як і з якою метою вона буде обробляти дані. Наприклад, компанія буде вважатись контролером, якщо вона обробляє контактні дані власних клієнтів для комунікації з ними. Також компанія може бути спільним контролером, якщо вона разом з іншим або іншими контролерами визначають цілі та засоби обробки.
- Компанія виступає процесором, якщо вона обробляє дані від імені контролера. Наприклад, якщо ви надаєте послуги іншій компанії, яка може передавати вам дані своїх клієнтів, в такому випадку ви можете вважатись процесором, що обробляє дані від імені контролера (в цьому випадку, вашого клієнта).
GDPR встановлює більше вимог для контролера, наприклад, він повинен визначити правову підставу для обробки персональних даних, проінформувати суб’єктів даних, повинен забезпечити реалізацію їхніх прав та виконувати інші вимоги GDPR, що покладаються на контролера.
В той же час процесор, хоча і має менше обов’язків, такі обов’язки є не менш важливими. Процесор повинен забезпечити безпечну обробку персональних даних та допомагати контролеру у певних питаннях, що передбачені GDPR, вести Records of processing activities (RoPA) та виконувати інші обов’язки за GDPR.
Також договором між контролером і процесором (Data Processing Agreement) сторони можуть встановити додаткові вимоги, що не повинні порушувати вимоги GDPR.
Часто компанії можуть мати різні ролі за GDPR. В такому випадку для одних операцій з обробки персональних даних вони є контролерами або спільними контролерами, а для інших – процесорами. Наприклад, уявімо, що основна діяльність європейської компанії полягає в наданні послуг європейським клієнтам у форматі B2B. Під час надання послуг компанія обробляє дані, що надаються клієнтом, наприклад, дані клієнтів або працівників цього клієнта, будучи в такому випадку процесором. В той же час, компанія також обробляє дані представників цього клієнта та своїх співробітників, будучи контролером.
GDPR Аудит
Для того, щоб зрозуміти ролі під час конкретної операції та проаналізувати інші аспекти обробки персональних даних, варто зробити аудит з приватності, що серед іншого включатиме в себе інвентаризацію даних, таким чином дослідивши, яким чином компанія може збирати та обробляти персональні дані.
В рамках аудиту також варто оцінити, наскільки компанія відповідає конкретним вимогам GDPR станом на зараз: від виконання принципів до конкретних обов’язків, наприклад таких, як можливість забезпечити реалізацію прав суб’єктів даних, необхідність призначення Data Processing Officer (DPO) за статтею 37 GDPR або Representative за статтею 27 GDPR.
Також варто досліджувати вимоги конкретних ринків, на яких ви плануєте працювати або вже працюєте, оскільки національні закони можуть містити додаткові вимоги до обробки персональних даних. Наприклад, ви можете детально ознайомитись про роботу на німецькому ринку в нашій статті.
Відповідно, слід пропрацювати релевантні вимоги та найкращі практики щодо обробки персональних даних в індустрії, в якій ви працюєте. Ви можете прочитати детально про marketing compliance за GDPR та іншими законами в нашій статті.
Проведений аудит та маппінг даних, джерел, отримувачів даних та в цілому всієї структури обробки персональних даних компанією суттєво допоможе під час розробки GDPR документації.
Наявність GDPR документації вимагається як відповідність принципу підзвітності згідно статті 5(2) GDPR, а також деякі документи безпосередньо згадуються в GDPR або в рекомендаціях European Data Protection Board (EDPB) або національних регуляторів. Відповідно, аудит може допомогти визначитись з переліком необхідної документації.
Умовно, всю GDPR документацію можна розділити на внутрішню та публічну. Нижче розкажемо, які публічні та внутрішні документи слід розглянути для розробки компаніям, що планують працювати на європейському ринку.
Публічна документація: прозоро та зрозуміло про обробку персональних даних
Публічна документація демонструється суб’єктам даних та зазвичай публікується на вебсайті компанії. Найбільш поширеним набором публічної документації є Privacy Policy та Cookies Policy.
Privacy Policy описує більшість питань з обробки персональних даних компанією, таким чином інформуючи суб’єкта даних про обробку персональних даних у відповідності до статей 13-14 GDPR. Cookies Policy описує питання використання cookies та схожих технологій відстежування, що використовуються на вебсайтах, наприклад, pixels та local storage objects.
Також не менш важлива наявність правильно налаштованого кукі-банеру та у разі необхідності текстів, що інформують про обробку персональних даних на етапах, коли здійснюється збір персональних даних.
Важливо подавати інформацію у вищезазначених документах у стислій, прозорій, зрозумілій та легкодоступній формі, з використанням чіткої та простої мови. Особливо, важливо, щоб всю інформацію можна бути легко знайти на Вашому вебсайті, а її текст був написаний таким чином, щоб був зрозумілий не тільки фахівцям. Наприклад, про те, як скласти ефективну Privacy Policy для вашої компанії, можете прочитати в нашій статті.
При цьому GDPR не обмежує компанії в тому, як презентувати інформацію. Крім розробки самих документів, ви можете зробити самарі цих документів, створити інфографіку або навіть записати пояснювальне відео.
Крім виконання безпосередніх вимог GDPR, наявність публічної документації підвищує довіру клієнтів до компанії, оскільки таким чином вони можуть пересвідчитись, що про їхні персональні дані піклуються.
Опціонально, якщо компанія виступає процесором та, наприклад, надає SaaS-рішення, вона може розробити та опублікувати Data Processing Addendum, який зазвичай є частиною Terms and Conditions вебсайту та регулює відносини контролер-процесор між клієнтом і компанією відповідно до статті 28 GDPR.
Внутрішня GDPR документація: ключові поінти
Внутрішня документація зазвичай не демонструється клієнтам, але може бути надана на вимогу контролюючим органам.
Деякі документи безпосередньо передбачаються GDPR, рекомендаціями EDPB або національними регуляторами, наприклад, Records of processing activities (RoPA) або у разі потреби Data Protection Impact Assessment (DPIA) та Legitimate Interest Assessment (LIA).
Інші документи можуть включати в себе політики, процедури та інші документи, що є найкращими практиками та допомагають компанії виконувати вимоги GDPR, наприклад, процедура відповідей на запити суб’єктів даних або документація, направлена на підвищення знань стосовно обробки персональних даних співробітниками Компанії. Таким чином, актуальна документація може значно допомогти в компанії в тому, як виконувати різні вимоги GDPR та підвищити рівень культури приватності в компанії.
Важливо мати не тільки документацію, а і реально побудовані процеси, направлені на виконання вимог GDPR. Яскравим прикладом в цьому аспекті може бути обробка запитів від суб’єктів даних. Недостатньо тільки мати документацію, важливо правильно реагувати на запити від суб’єктів даних, а саме надавати необхідну інформацію, вчиняти певні дії (наприклад, видалення, виправлення, надання копії персональних даних) згідно вимог GDPR, здійснюючи це у строки, передбачені законом.
GDPR – не тільки строгі вимоги, але і конкурентна перевага
Підсумовуючи, можна зробити висновок, що GDPR має багато різних вимог, відповідність з якими вимагає досить великих зусиль від компанії. Тим не менш, наявність GDPR документації та побудовані процеси допомагають компанії більш передбачувано реагувати на виклики, пов’язані з GDPR.
Наявність програми приватності, що побудована відповідно до вимог GDPR, може бути конкурентною перевагою. Багато європейських клієнтів оцінюють потенційних вендорів, зокрема, в контексті виконання вимог GDPR та наявності необхідної GDPR документації. Відповідно, наявність побудованої програми приватності у відповідності до GDPR може стати важливим аргументом під час вибору вендора європейським клієнтом.
Тож, можна зробити висновок, що GDPR суттєво впливає на бізнес, встановлюючи високий рівень вимог до обробки персональних даних. Незважаючи на зусилля, які треба докласти, щоб побудувати належну документацію та реальні процеси, GDPR compliance має низку переваг: впевненість перед регулятором, підвищення довіри користувачів, можливість отримати нових клієнтів та побудову privacy-орієнтованої компанії.
