GDPR compliance – вимога клієнтів з ЄС. Як продемонструвати?

GDPR compliance – стан компанії, який часто можна перевірити тільки прискіпливим дьюділом всієї документації і процесів. Однак мало яка компанія готова надавати всю свою документацію з низки причин: страх конкуренції і викрадення секретів, ризик поганої публічності, затягування строків укладання угоди… І це лише кілька причин. 

Тоді як переконати клієнта, що ваша компанія притримується всіх вимог GDPR? Давайте розбиратися. 

Докази комплаєнсу без комплаєнсу: mission impossible

Сьомий принцип GDPR – це “підзвітність”, або accountability (можете перевірити, це ст. 5(2)). Щоб виконати цю вимогу, компанії-контролерові (володільцю) даних (data controller) необхідно мати докази комплаєнсу з попередніми шістьма принципами. Нагадаємо їх: 

• законність, чесність, прозорість (lawfulness, fairness, transparency); 
• обмеження обробки цілями, для яких були зібрані дані (purpose limitation); 
• використання лише необхідних даних (data minimisation); 
• використання точних даних (accuracy); 
• обмеження строку обробки і збереження даних (storage limitation); 
• цілісність і конфіденційність даних (integrity and confidentiality).

Всі ці принципи втілюються в систему з документів, принципів, тренінгів для персоналу, оцінок і перевірок, а також заходів безпеки даних, особливостей коду чи роботи програм або вебсайтів та навіть договорів про обробку даних (з підрядниками і між компаніями групи). Комплаєнс – складна річ. 

Отже, докази, яких вимагає клієнт – насамперед докази, які ви готуєте для забезпечення комплаєнсу. Без документації і інших елементів програми підготувати докази для клієнта фактично неможливо. 

Але якщо у нас все це є – куди рухатися? 

Етап 1: Privacy Policy

Ставлення компанії до приватності можна побачити насамперед з політики конфіденційності (або політики приватності) на сайті компанії. Якщо коротко, то чим краще політика відповідає на запитання людини про використання даних – тим краще це свідчить, що компанія приділяє захисту персональних даних багато уваги. 

Підготовка політики вимагає багато зусиль – той, хто складає її, повинен: 

• дослідити всі процеси обробки даних у компанії, 
• переконатися, що ці процеси відповідають GDPR (а якщо не відповідають – пролобіювати зміни), 
• переконатися, що всі cookies чи інші трекінгові технології правильно налаштовані і описані (а consent management tool – виконує свої функції та дійсно відображає налаштування користувача); 
• коректно описати ці процеси у спосіб, передбачений GDPR, та
• правильно розмістити політику на сайті (теж таким чином, щоб це відповідало GDPR). 

Окрім цього, на цьому ж етапі для компаній з країн поза ЄС буде особливий тест на уважність: чи призначили вони європейського представника (EU Representative)? Чи контактні дані цієї особи є на видному місці сайту, де їх може найти користувач або наглядовий орган якоїсь європейської країни?

Питання з зірочкою – погляньте, як у вашій політиці описується використання Google Analytics (і чи згадується аналітика взагалі). Якщо немає – то чи точно компанія повністю дослідила всі процеси обробки даних? 

Етап 2: Робота сайту або аппки

Переконайтесь, що налаштування акаунта на вашому сайті (платформі, застосунку, віджеті, розширенні браузера тощо) дають користувачеві опції щодо його або її приватності – і що ці опції за замовчуванням виставлені таким чином, щоб не збирати дані. Уникайте налаштувань типу opt-out: вони не відповідають вимогам GDPR і цим тільки демонструють, що компанія неуважно – чи пак гірше, навмисно – порушує правила щодо правильного збору згоди на обробку даних. 

Чим більше своїх прав користувач може реалізувати без текстового звернення до компанії – тим більше це свідчить про увагу компанії до приватності. 

Етап 3: Робота команди підтримки 

Навіть якщо у вас є спеціальна форма на сайті для створення запитів і їх автоматизованого виконання – людина все ще може звернутися напряму до команди (або подзвонити в офіс) і попросити зробити щось з її даними. 

Отже, та людина, що прийме запит, повинна знати свою справу: 

• розпізнати, що це саме GDPR-запит; 
• верифікувати, що цей запит подає саме суб’єкт даних (або уповноважений представник); 
• вміти його виконати (наприклад, знайти і передати інформацію чи видалити дані) або створити і передати задачу на виконання іншим підрозділам; 
• розпізнати та прокомунікувати запити, які компанія не може виконати (наприклад, повідомити, що деякі дані не можна видалити через вимогу закону зберігати дані певний час); 
• вчасно залучити Data Protection Officer або юридичний департамент; 
• проконтролювати, щоб не були перевищені строки відповіді на запит (місяць) та вчасно повідомити, якщо на розгляд запиту треба більше часу; 
• внести інформацію про запит і його рух в реєстр запитів тощо. 

Таку підготовку має отримати кожен працівник, який контактує з суб’єктом даних (людиною, яку ідентифікують зібрані компанією дані), навіть секретар, що відповідає на телефонні дзвінки у компанію. 

Тренінги для команди – часто той етап, який компанії пропускають або проводять неуважно. Тому професійність обробки запиту – чудовий знак. 

Етап 4: Презентації або інші документи з описом процесів обробки 

Коли клієнт хоче замовити у вашої компанії послуги – він перевірятиме вас на виконання GDPR. В рамках В2В-спілкування (перемовин) він може надіслати вам свій опитувальник або перевірити наявність інформації про вас у вже існуючих програмах перевірки підрядників. Альтернативно, ви можете заздалегідь підготувати “білу книгу” чи інший документ, який відповідав би на питання потенційного клієнта і економив би вам час на заповнення безкінечних табличок. 

У першому випадку це часто документ-таблиця або низка форм на спеціальному порталі, які вам доведеться пройти питання за питанням та дати відповіді. Часто там є питання дуже чутливого характеру – аж до конкретних налаштувань АРІ або назв програм інформаційної безпеки і їх версії. До таких опитувальників краще додавати підписану сувору NDA – якщо взагалі їх заповнювати. 

У другому (стандартні опитувальники) – це внесення вашої компанії у базу програм перевірки контрагентів, які існують на ринку privacy tech. Вони пришвидшують перевірку для вашого клієнта (та й для вас), але при помилках заповнення такої форми потенційний клієнт може з розчаруванням просто шукати іншого підрядника, а не звернутися до вас з проханням уточнити якусь інформацію чи взагалі заповнити власний опитувальник. 

У третьому випадку у вас багато контролю – ви можете заздалегідь і уважно продумати, яку інформацію про обробку розкрити, і додати візуальні елементи та брендування, що демонструватиме увагу до деталей. Окрім того, це зекономить час на перемовинах (особливо якщо їх паралельно проходить декілька, а команда з приватності тільки одна) та покаже, що ви контролюєте програму захисту даних та серйозно до неї ставитесь. 

Етап 5: Сертифікації 

Поки що найбільш сирий етап: схем сертифікації процедур з комплаєнсу розроблено дуже мало і вони можуть не покривати ваші головні послуги чи продукти. Однак робота над цим постійно ведеться. 

Однак навіть якщо у вас поки що немає бейджів сертифікацій по GDPR, ви можете додати до портфоліо сертифікацію ISO 27701, TRUSTe чи іншу сертифікаційну програму, що свідчить про ваші наміри обробляти дані відповідально та звітувати про це незалежному органові. 

Що ще можна зробити? 

Можливо, ваш клієнт може попросити щось ще: 

• укласти угоду про обробку даних (і вам треба буде приділити багато уваги опису технічних і організаційних заходів захисту даних, або TOMs), 
• пройти перевірку у спеціально найнятого аудитора, 
• призначити EU Representative (відповідно до статті 27 GDPR),  
• застрахуватися від несприятливих наслідків витоків даних, 
• найняти Data Protection Officer або провести і передати клієнту Data Protection Impact Assessment, 
• звернутися за консультацією до органу з питань захисту персональних даних і передати йому відповідь органу тощо. 

Клієнт може навіть доручити комусь з працівників чи довірених осіб влаштувати стрес-тест – наприклад, звернутися з запитом і вести себе дуже конфліктно або запитувати якомога більше документів, перевіряючи вас на міцність і обізнаність у ваших правах і обов’язках.

Таких запитів може бути декілька водночас і вони можуть мати різні строки виконання (деякі з них навіть можуть бути оплачуваними). 

Що важливо – переконатися, що ви знаєте всі процеси обробки у всіх деталях, впевнені в своїй команді, можете аргументувати свою позицію чи надати докази на будь-якому етапі перевірки. Чим швидше і детальніше ви відповідатимете на прохання клієнта розказати про GDPR compliance, тим переконливішими і легшими будуть перемовини (принаймні, у цій частині). А отже – ви будете надійним партнером такого ж відповідального бізнесу, як і ви.