GDPR compliance та впровадження GDPR – алгоритм.

GDPR став викликом для багатьох. GDPR compliance означає відповідність вимогам General Data Protection Regulation реального часу в рамках діючих бізнес-процесів компанії.

Відповідність GDPR досягається за допомогою системи організаційних та технічних заходів, здійснення яких забезпечує надійний захист персональних даних користувачів, зокрема, надавши їм реальний контроль над своєю особистою інформацією, що обробляє компанія.

А чи є стандартний пакет документів для GDPR compliance?

Тут все просто. На смак і колір всі олівці різні – і бізнес-процеси в компаніях також. Комусь достатньо вести облік в таблиці, а у когось мегакомп’ютер, який прораховує шанси користувача підсковзнутись по дорозі на роботу і, в наслідок чого, потрапити в аптеку, де і зробити покупку.

Тому, вкрасти бумажулі з іншого сайту або додатку не тільки негарно, але і зовсім нечесно по відношенню до своїх користувачів.

Як подейкують в одному відомому фільмі про хмари та атлас – «Шануй споживача свого». Хіба поважно буде просити користувача, погодитись на обробку його найпотаємніших таємниць, відповідно до краденого папірця, який він не буде читати?

Але, не лякайтесь, вихід є. Де ж він? Як мовляв Морфіус – «не де, а коли».
Настав момент, коли Ви вирішили що необхідно відповідати GDPR compliance. Що далі? Ми вважаємо, що головне зрозуміти з чим Ви маєте справу і лише тоді діяти.

Саме тому першим етапом починати будь-який GDPR compliance треба з GDPR аудиту. І тільки після цього можна готувати документи.

Впровадження GDPR. Практичний алгоритм.

  1. Вивчаємо кейс. GDPR Аудит показує реальну картину руху персональних даних Ваших користувачів (initial data map), що дозволяє скласти план приведення процесів у відповідність з GDPR.
  2. GDPR План визначає scope подальших робіт.
  3. Далі регулюємо внутрішній Compliance: визначаємо підстави для обробки персональних даних, ролі і компетенції, опрацьовуємо необхідність DPIA, DPO, питання безпеки даних в компанії і дії при можливих витоках інформації.
  4. Регулюємо відносини з data subjects: створюємо privacy політики і беремо згоду на обробку даних, а також реалізовуємо права користувачів.
  5. Регулюємо відносини з контрагентами: створюємо політики і Data processing agreements.
  6. Демонструємо accountability: створюємо compliance data mapping і compliance presentation.
Даний алгоритм дозволяє комплексно підійти до впровадження GDPR. Слід пам’ятати про необхідність привести у відповідність з Регламентом саме реальні процеси, а не абстрактні фантазії.


Далі детальніше поговоримо про конкретні етапи впровадження GDPR.

GDPR compliant – такий бажаний статус. Як його досягти?

Процес досягнення GDPR compliance можна розділити на наступні етапи:

  1. GDPR аудит.


Результатом аудиту є розробка карти руху персональних даних і підготовка gap assessment – документу, що визначає, чого саме не вистачає компанії для відповідності нормам GDPR в рамках конкретних бізнес-процесів.

Складно переоцінити важливість аудиту. Він дозволяє визначити – чи потрібен GDPR взагалі, і якщо потрібен, то які саме процеси необхідно привести у відповідність з Регламентом. Вимоги GDPR для різних компаній можуть відрізнятися в залежності від юрисдикції, обсягів обробки даних і суті операцій.

  1. GDPR план (compliance initiation)


Відповідно до результату аудиту здійснюється планування конкретних кроків по досягненню GDPR compliance.

Характерні документи:

Compliance Project Initiation Document – в цьому документі ми ініціюємо підготовку до впровадження GDPR.

Preparation Project Plan – детальний план дій щодо імплементації GDPR в компанії.

Gap Assessment (in the result of audit) – оцінка «прірви» між тим, як персональні дані обробляються зараз і що необхідно змінити для приведення процесів у відповідність з GDPR.

Compliance Evidence

Internal Audit Procedure – умови time-to-time аудиту з метою оцінки і переоцінки стану справ по GDPR.

Метою підготовки плану є визначення конкретних кроків (дорожньої карти), по якій необхідно рухатися компанії для приведення своєї діяльності у стан GDPR compliance.

  1. Внутрішній GDPR compliance:

  • Data collection and transfer control

Визначаємо, як саме і на якій підставі збираються персональні дані, як довго вони зберігаються, які операції з даними проводяться.

Характерні документи:

Personal Data Mapping Procedure – розписуємо принципи формування карти руху персональних даних та юридичних фактів, які необхідно врегулювати в рамках передачі / обробки / збагачення даних.

Annex A1. Personal Data Capture Form (users as data subjects)

Annex A2. Personal Data Capture Form (employees as data subjects)

Annex B. Records of Processing Activities

Records Retention and Protection Policy

  • Roles and responsibilities

    Визначаємо ролі кожного із співробітників / засновників Компанії в обробці персональних даних, встановлюємо рівень доступу, необхідність підвищення кваліфікації

Характерні документи:

Roles and Responsibilities – вказуємо, які саме завдання будуть делеговані на залучених осіб в рамках компанії

Competence Development Procedure – описуємо процедури і необхідні умови для підвищення компетенції внутрішніх стейкхолдерів всередині компанії

Information Security Awareness Training (ENG / RUS) – можливий додатковий тренінг з інформаційної безпеки

Handbook for Employee – супер книга. Звичайно ж, це не зовсім книга, а скоріше guide для співробітника, в якому вказані ключові аспекти роботи з персональними даними компанії і конкретно його роль в цьому процесі.

Access Control Policy – документ, що пояснює, куди кому можна заглядати, а куди заборонено і чому. Адже чим менше людей знає секрет, тим надійніше.

  • DPIA & DPO

Визначаємо необхідність проведення DPIA і призначення DPO.

Характерні документи:

DPIA necessity report – документ покликаний визначити, чи потрібна така штука як Data protection в організації.

DPIA Procedure

DPIA Report

DPO necessity report – визначаємо, чи потрібен DPO і чому

  • Security of personal data

Визначаємо режим захисту інформації в компанії.

Характерні документи:

Information Security Policy – один з найсерйозніших документів в організації. За легендами, його повинен затверджувати суворий дядько з вусами і товстими пальцями, але це не так. Але саме в ньому визначаються заходи, що необхідні для інформаційної безпеки компанії.

Information Security Incident Response Procedure

  • Personal Data Breach Procedure

    Визначаємо алгоритм дій у разі витоку персональних даних (Data breach)

Характерні документи:

Personal Data Breach Notification Procedure – в разі витоку даних, компанія зобов’язана про це повідомити. Така вимога. Тому, потрібно бути готовими, мати процедуру і знати, що потрібно робити.

Personal Data Breach Notification Form

Personal Data Breach Register

  1. Регулюємо відносини з користувачами:

  • Privacy policy documents

Готуємо документи для користувачів – політики, згоди на обробку персональних даних і простою мовою розповідаємо користувачам про їхні права.

Характерні документи:

International Transfer Procedure – буває так, що компанія в Україні, дані європейців, а процесор в США.
Що робити? Мати політику.

Privacy Policy – мабуть головний документ в контексті відносин з користувачами. Гарно, зрозумілою мовою, в дружній манері, варто роз’яснити користувачам як, навіщо і чому ми можемо обробляти їх персональні дані.

Privacy Notice Procedure – тут ми розповідаємо про те, як саме ми повідомляємо про обробку персональних даних наших користувачів і піклуємося про них.

Cookies Policy – політика про печиво 🙂 Ми повинні розповісти, які кукіз ми закидуємо на пристрій користувача, як потім стежимо за ним та дізнаємося його таємниці і бажання.

Consent form – документ, яким користувач висловлює свою згоду на обробку персональних даних, скажімо, при реєстрації на сайті.

Cookies Consent Form – такий документ Ви точно бачили. Майже на кожному сайті. Мовляв, «привіт, а ми тут печивом розважаємось, ок?»

  • Rights of data subjects

Визначаємо процедури і форми для реалізації прав суб’єктів персональних даних і ведення обліку звернень

Характерні документи:

Request and Complaints Procedure

Request and Complaints Form

Request and Complaints Register – ми повинні реєструвати хто саме  звертався до нас із запитами про видалення даних, наприклад. Але от питання – як зареєструвати звернення того, хто зажадав видалити інформацію? В такому випадку залишаємо лише зовсім небагато, а краще засекречену і псевдонімізіровану і заховану на дні морському.

  1. Регулюємо відносини з контрагентами:

  • Data transfer policies & Data processing agreements

Визначаємо вимоги до контрагентів компанії для можливості передачі персональних даних та готуємо договори, необхідні для такої передачі.

Характерні документи:

Supplier Assessment Procedure – ми не можемо передавати дані будь-кому, тому повинні скорити контрагентів. Також вони повинні відповідати нашим найсуворішим вимогам.

Controller-Processor Agreement Policy

Data Processing Agreement (controller / controller) – найважливіший документ, який ми можемо підписувати з нашими партнерами. Тут ми визначаємо який саме scope інформації передається, умови роботи з нею і так далі.

  1. Демонструємо відповідність GDPR:

  • Compliance data flow diagram & GDPR compliance presentation

Створюємо карту руху потоків персональних даних, пояснюючи правові аспекти кожного з етапів руху таких даних в рамках бізнес-процесів компанії. Також створюємо презентацію, яка демонструє GDPR compliance.

Характерні документи:

Data Flow Diagram – найважливіший документ, який показує рух персональних даних в рамках нашої компанії

Initial Mapping – початковий ескіз карти руху даних. Ми можемо оновлювати цей документ по мірі створення нових бізнес-процесів

Compliance Data Mapping – тут ми до нашої карти прив’язуємо конкретні правові підстави. Наприклад – згода дозволяє брати дані в роботу. Обсяг згоди визначає, що ми можемо робити з ними далі. Наступним етапом може бути передача цих даних в хмару відповідно до DPA.

Evidence of Compliance presentation – все люблять слайдики. А ці слайдики – чарівні. У цій презентації пояснюється вся суть GDPR compliance відповідно до документів, які підготувала компанія для роботи з персональними даними. Гарненько, на фірмовому бланку та по суті.

 

GDPR – це динамічний процес.

Варто розуміти, що недостатньо скласти документи, покласти їх в шухлядку і припускати, що GDPR compliance вічний та що це захист від усіх бід.

Дійсно, деякі GDPR документи мають статичний характер, наприклад, початковий план впровадження GDPR. Однак, навіть цей план може змінюватися і оновлюватись через нові бізнес-процеси. Форми журналів про звернення суб’єктів персональних даних заповнюються, карти змінюються, а згоди надаються.

GDPR compliance – це маленьке щасливе життя, яке починається з GDPR аудиту і робить Вашу компанію сильніше, дозволяючи Вашим клієнтам ефективно керувати своїми персональними даними в рамках роботи з Вами. Ба більше, дійсно робочий GDPR compliance може стати Вашою конкурентною перевагою.

Пишіть нам або ж заповнюйте наш GDPR опитувальник просто зараз, і ми радо допоможемо Вашій компанії на шляху до GDPR compliance.

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)