GDPR compliance. До чого готуватись у 2023?
Вимогам Загального регламенту про захист даних або General Data Protection Regulation мають відповідати ті, хто обробляє персональні дані резидентів Європейського Союзу. Недотримання положень GDPR може призвести до значних штрафів і репутаційних втрат. Наприклад, у минулому році за недодержання принципів обробки даних Meta (Instagram) була оштрафована на чотириста п’ять мільйонів євро – це другий за розміром штраф з початку дії GDPR.
Для підтримки позитивного іміджу та уникнення стягнень необхідно чітко розуміти основні вимоги GDPR і особливості їх дотримання. У цій статті ми детально розкажемо на що необхідно звернути увагу компаніям, що вже вийшли або виходять на європейський ринок у 2023 році.
Відповідність вимогам GDPR – це більше, ніж проста декларація процесів
GDPR відображається у процесах діяльності компанії – від отримання персональних даних до їх обробки та видалення. Ці процеси можуть бути задокументовані у різних політиках діяльності компанії: від політики приватності, яка охоплює усі процеси обробки персональних даних у компанії, до політики інформаційної безпеки, що регулює захист даних.
Однак формально мати такі політики – недостатньо. Для GDPR критично важливо, щоб задекларовані у політиках процеси дійсно реалізовувались на практиці. Тому вони мають доведені до відома відповідальних осіб, що можуть забезпечити їх здійснення (у тому числі сприяти необхідним змінам у самій компанії).
Окрім того, необхідно пам’ятати, що процеси обробки персональних даних є динамічними. Наприклад, з часом компанія може почати оброблювати додаткову інформацію про своїх користувачів, а тому усі політики також мають періодично перевірятися та оновлюватися.
Найважливіше при data breach – це правильна реакція на нього
Data breach – це порушення захисту персональних даних, що призвело до їх знищення, втрати, зміни або розкриття. Воно може статися з кожним, незважаючи на впроваджені заходи безпеки.
Ключовим у data breach є чітке розуміння кожного члену команди, чим є порушення персональних даних та як на нього реагувати. Якщо працівники не зможуть ідентифікувати data breach, то вони не зроблять усіх необхідних дій, які вимагає GDPR.
Тому важливими є дієві тренінги для команди, завдяки яким вони зможуть відрізнити security incident від data breach та чітко зрозуміти свою роль – що саме їм потрібно зробити у разі порушення захисту даних або кому та як передати інформацію про нього.
З натренованою командою, що швидко виконує усі необхідні дії, дотримання вимог GDPR є більш простим та менш стресовим – особливо, наприклад, у випадку, коли data breach вимагає повідомлення наглядового органу, яке має бути здійснено протягом 72 годин з моменту його виявлення.
Особливості та еволюція ролі Data Protection Officer
Data Protection Officer – це спеціальна роль, передбачена GDPR, яка необхідна компанії для комплаєнсу з європейським законодавством у сфері приватності. DPO може бути як працівником, так і позаштатним підрядником компанії, фізичною або юридичною особою. У окремих випадках наявність DPO є обов’язковою.
Однак призначення DPO – це не проста формальність для дотримання вимог закону. Сьогодні DPO є виявом турботи до приватності користувачів та суттєвою конкурентною перевагою. У своїй діяльності DPO, умовно, регулює курс корабля компанії для того, щоб він не натрапив на айсберг і потонув.
DPO розуміється на всіх глибинах і тонкощах законодавства у сфері приватності та може мати широкий спектр обов’язків – від забезпечення загального privacy compliance до надання відповідей на запити користувачів або контролюючих органів.
Розвиток нішевих GDPR практик
Очевидно, що компанії у різних сферах – наприклад, аутсорс та adtech – мають свою специфіку роботи. Однак не завжди зрозуміло, що GDPR комплаєнс різних компаній також матиме свої особливості.
Основна його ціль, звичайно, не зміниться – це захист приватності користувачів та дотримання вимог європейського законодавства. Але деталі можуть різнитися. Зокрема, adtech компанія звертатиме більше уваги на вимоги GDPR у сфері реклами – наприклад, на право користувача відмовитися від опрацювання своїх даних для цілей прямого маркетингу.
Тому для компаній важливо відслідковувати кращу практику ринку у своїй сфері діяльності та впроваджувати її у свої процеси. Сьогодні саме спільнота є ключовим рушієм приватності, до якого необхідно прислухатися або навіть більше – брати у ній участь та перетворювати свою компанію на один з прикладів для наслідування для інших.
GDPR compliance – постійний процес
І останнє – варто розуміти, що GDPR compliance є постійним процесом.
З одного боку змінюється сама компанія – розпочинаються нові проєкти, залучаються нові підрядники, обробляється більша кількість персональних даних або змінюються цілі їх обробки. З іншого змінюється і світова спільнота – виникають нові технічні та організаційні способи захисту даних або опубліковуються нові гайдлайни, які тлумачать ті чи інші положення GDPR та впливають їх застосування на практиці.
Постійні зміни вимагають тримати руку на пульсі. Необхідно слідкувати за тим, щоб документи відповідали реальним процесам у компанії, а практики приватності – сучасним стандартам.
Забезпечити актуальний GDPR compliance допоможе Legal IT Group. Залиште своє повідомлення на сайті або напишіть нам на електронну пошту – і ми з радістю допоможемо вам з усіма вашими питаннями у сфері приватності, від консультації та розробки необхідних документів до діяльності DPO as a service.
01/04/2023