GDPR compliance як вимога клієнта

Що собою являє GDPR compliance?

GDPR compliance, перш за все, безперервний процес, в якому бізнес рухи в середині компанії узгоджуються з положеннями GDPR. Варто зазначити, що багато хто помиляється визначаючи GDPR compliance одноразовою акцією. На жаль, неможливо підготувати один пакет документів, не змінювати їх протягом усього періоду роботи і вважати це виконанням норм GDPR . 

По-друге, це фактичне, а не декларативне впровадження вимог GDPR у робочі процеси, пов’язані зі збором та обробкою персональних даних. Комплаєнс відбувається як на папері, так і на технічному рівні. Компанія впроваджує задекларовані технічні засоби безпеки в щоденну рутину працівників. 

GDPR compliance для зручності можливо поділити на декілька рівнів: 

• юридичний (документація про виконання норм GDPR)
• технічний (втілення в життя визначених в документах заходів із безпечної обробки та збору персональних даних, а також забезпечення цифрової безпеки персональних даних, з якими працює персонал). 
• організаційний (ознайомлення персоналу, партнерів та підрядників із правилами роботи у відповідності із вимогами GDPR).

Пакет документів необхідний для GDPR compliance 

Документи в пакеті можна розділити на дві основні групи: 

1) ті, які створюються для користувача, і

2) ті, що призначені для внутрішнього користування в компанії. 

Для користувачів	Privacy Policy Cookies Policy Consent Form
Для внутрішнього користування	Compliance Initiation GDPR Roles and Responsibilities Data Collection and Transfer Rights of the Data Subject Controllers and Processors DPIA Data Breach Management

Давайте розглянемо кожен крок комплаєнсу більш детально.

Документи для користувача формуються на завершальному етапі GDPR compliance. Без них неможливо здійснювати діяльність зі збору персональних даних, адже це буде прямим порушенням ст. 5 щодо принципів GDPR та ст. 6 щодо законних підстав для збору, а саме пункту а) згоди, що є обов’язковою при використанні кукіс. Privacy Policy та Cookies Policy повинні якнайточніше та простою мовою пояснювати користувачу про категорії даних, які обробляються, місце та час зберігання, його права щодо таких даних та надавати можливість відмовитися від збору і обробки. 

Документи для внутрішнього користування можна поділити на сім груп, як в таблиці вище, кожна з яких містить близько 3-4 окремих документів, в яких закріплюються кроки вчинені для впровадження вимог GDPR. 

• Compliance Initiation

На цьому етапі приймаються основні рішення щодо необхідності комплаєнса, мети, бажаних результатів, строків, відповідальних осіб та рухів розвитку даних напрямків. 

• GDPR Roles and Responsibilities

В даному розділі визначаються особи, як в середині, так і поза компанією, котрі безпосередньо беруть участь в зборі та обробці, а також їх ролі. В окремому документі необхідно зазначати  DPO, якщо наявний, його функції та сфери контролю.

• Data Collection and Transfer

Цей розділ є прямим втіленням ст. 15 GDPR про право користувача на доступ до свої даних. У Personal Data Capture Form фіксуються категорії даних, їх отримувачі, тобто процесори, співконтролери та треті особи, час та місце їх зберігання. На вимогу користувача ця інформація може бути йому розкрита, але вона, звісно, не є загальнодоступною для всіх. Також такі форми допомагають самому контролеру тримати всі передачі даних під контролем, та у випадку, витоку відслідкувати і виявити причину.

• Rights of the Data Subject

Варто зазначити, що права, які гарантуються GDPR, обов’язково визначаються в Privacy Policy. У даному ж розділі, необхідно сформулювати процедуру заповнення та обробки скарг і запитів користувачів. Перш за все, ці документи необхідні команді підтримки, яка безпосередньо контактує з користувачами та відповідає на їх запити. Процедури відповіді теж різняться в залежності від характеру запиту: скарга чи прохання.

• Controllers and Processors

До даної категорії відносяться Data Processing Agreements  з процесорами. Особливо важливо не забувати включати Standard Contractual Clauses (SCC), у випадку передачі даних на території, які визнані Європейською Комісією як небезпечні. Data Protection Impact Assessment (DPIA).

Документи, які фіксують проведення DPIA необхідні перш за все для внутрішньої звітності та контролю. DPIA проводиться у наступних випадках: систематична та масштабна оцінка особистісних якостей фізичних осіб, яка ґрунтується на автоматизованому прийнятті рішень, включаючи профайлинг; масштабна обробка спеціальних категорій персональних даних (а саме чуттєвих даних) та систематичний моніторинг за відкритими публічними місцями. 

Цікавим моментом є те, що об’єми «масштабу» GDPR не визначає. Дане питання вирішується в індивідуальному порядку національним органом, що відповідає за безпеку та використання персональних даних у кожній країні-члені ЄС. Однак, якщо основною діяльністю компанії є збір та аналіз персональних даних, чи дані включають більше аніж ім’я особи та електронної пошти, варто проводити  DPIA. 

Ці документи є надзвичайно динамічними, адже у випадку мінімальних змін, що стосуються персональних даних,  DPIA необхідно проводити знову і, звісно, фіксувати це. 

• Data Breach Management

До цієї категорії відносяться внутрішні інструкції для співробітників, в яких визначений алгоритм дій на випадок витоку даних, процедура сповіщення суб’єкта та відповідні органи. Також, компанія може зазначити, які саме заходи безпеки були нею здійснені задля збереження цілісності та конфіденційності даних. 

Тож, пакет документів для GDPR compliance надзвичайно об’ємний та складний як з юридичної, так і з технічної точки зору. Очевидно, що кількість документів залежить від розміру та характеру діяльності компанії. Однак навіть мінімально-необхідний пакет включатиме до 10 документів. 

Пакет документів і все?

Нагадаю, що GDPR compliance це безперервний процес, тому створити документи та покласти їх у шафу до нової зміни недостатньо. Окрім технічних та юридичних аспектів, необхідно забезпечити і організаційний- ознайомлення працівників із вимогами GDPR. Для цього варто провести серію тренінгів для кожної окремої групи персоналу: менеджерів, команди підтримки користувачів, тех. підтримки та інших. Під час таких ознайомчих семінарів, працівникам детально розповідають про те, які персональні дані збирає компанія та як з ним поводитися. Цей організаційний аспект комплаєнсу є надзвичайно важливим, адже часто трапляються витоки  саме через недбалість або незнання персоналу. 

В умовах пандемії важливо звернути увагу ще й на безпеку під час дистанційної роботи. Варто ознайомити персонал із базовими умовами безпечного користування мережею інтернет, особливо, коли вони не вдома, забезпечити надійну автентифікацію. Також необхідно не забувати про різноманітні види соціальної інженерії (baiting, phishing, pretexting та інші) та шляхи їх розпізнавання. 

Також, у випадку співпраці із підрядниками, що взаємодіють із персональними даними, варто і для них провести ознайомлення із правилами GDPR. 

Невже GDPR compliance обов’язковий завжди?

Якщо ви бажаєте працювати на європейському ринку, то відповідь однозначно- так. Навіть, якщо ви використовуєте англійську мову сайту чи додатку, не бажаючи орієнтуватися на англійців, то ви зіштовхнетеся із CCPA (США) чи PIPEDA (Канада). Вони, по суті, відображають у собі основні положення GDPR щодо принципів збору та обробки, прав суб’єктів даних, умов зберігання, передачі та інші важливі моменти. Наразі, важко виокремити регіон світу, в якому були відсутні хоча б мінімальні вимоги до збереження та обробки персональних даних. Враховуючи зацікавленість компаній у продажу продуктів для платоспроможних користувачів, що проживають більшою мірою в Європі, США, Канаді, Австралії, Китаї та країнах Перської затоки, де існують досить жорсткі вимоги щодо роботи із персональними даними, комплаєнс є неминучим. 

В принципі і в Україні найближчим часом варто сподіватися на уніфікацію норм закону про захист персональних даних із нормами GDPR.

Звісно, над компанією не буде спостерігати індивідуальний ревізор та контролювати кожний рух персональних даних. Однак для цього є користувачі. У грудні 2020 європейська мережа продуктових магазинів «Carrefour» отримала штраф сумою близько 3 млн. євро за порушення принципів  та положень GDPR, а саме ст. 5 принципів мінімізації терміну зберігання персональних даних та справедливості, ст. 21 право на відмову від маркетингової розсилки та ст. 12 щодо правила відповіді на запити користувачів. 

Виникає логічне питання, що необхідно було зробити продуктовій мережі, щоб отримати такий величезний штраф? Відповідь проста-15 скарг клієнтів, які надійшли до французького органу із захисту персональних даних. Клієнти скаржилися на спам-розсилки, відмову у видаленні даних та отримані доступу до них, а також можливості відписатися від розсилки. 

Тож, необов’язково бути технологічним гігантом як Google чи Apple, щоб отримувати штрафи за порушення GDPR. Його дія поширюється на всі сфери життя, навіть зовсім неочевидні галузі.

Таким чином, GDPR compliance є не додатковою перевагою, а необхідністю в сучасному світі.