Що таке GDPR в 2024: імплементуємо документи в процеси

Ми ще не знаємо, як завершиться 2023 рік. Але готуватися до 2024 не завадить – і у цій статті ми допоможемо зорієнтуватися, що внести у річний план, щоб досягти комплаєнсу з GDPR. 

Що таке GDPR?

GDPR (General Data Protection Regulation) – це регламент (акт, рівносильний закону) Європейського Союзу, що врегульовує обробку персональних даних. Саме в GDPR можна побачити вимоги до зберігання і захисту даних, і саме на цей акт будуть посилатися європейські клієнти, коли проситимуть видалити свої персональні дані з систем вашої компанії. 

Отже, вам точно потрібен GDPR, якщо: 

• ви плануєте відкрити європейську компанію; 
• ви плануєте продавати щось на ринку ЄС; 
• ваша маркетингова кампанія направлена на (хоча б одну) країну ЄС; 
• ваша присутність на європейському ринку збільшується (компанія росте, замовлень більшає, платформа набирає все більше і більше користувачів з ЄС); 
• у вас плануються великі контракти з європейськими компаніями. 

З чого почати?

Не знаєте, з чого почати свою програму комплаєнсу з GDPR? Можете скористатися наступною схемою: 

1. Інвентаризація персональних даних в організації (складання реєстру з усіх даних, що збираються, обробляються, передаються третім особам). 
2. Тренування і навчання команди (переконайтесь, що всі працівники і постійні контрактори обізнані з GDPR і готові до проекту з комплаєнсу). 
3. Аудитування всіх процесів роботи з персональними даними: 
   1. сайт і застосунки (додатки); 
   2. бази даних; 
   3. CRM, списки розсилок; 
   4. особисті справи працівників тощо. 
4. Перевірка всіх вендорів, підрядників і партнерів на відповідність GDPR та проведення оцінок безпеки передачі даних за кордон. 
5. Угода про створення privacy-friendly процесів (включіть у всі нові процеси оцінку впливу на захист персональних даних як один із кроків). 
6. Прийняття рішень:
   1. про обсяг даних, які будуть оброблятися; 
   2. про чутливість даних; 
   3. місце (країну) зберігання даних; 
   4. зайві процеси, які обробляють дані і при цьому не потрібні для надання послуг; 
   5. міри захисту даних; 
   6. складання документації; 
   7. зміни у інтерфейсі (оновлення полів, політик, підказок, додання функцій для звернення з проханнями видалити дані або дати до них доступ тощо); 
   8. зміни у архітектурі і роботі ПЗ (щоб виконувати запити на видалення, зміну чи доступ до даних); 
   9. призначення представника у ЄС; 
   10. призначення Data Protection Officer (DPO) – працівника чи підрядника, який був би радником у питаннях захисту даних; 
   11. укладання угод про обробку даних з усіма контракторами і партнерами (і розірвання угод з контракторами, які не відповідають GDPR). 
7. Оновлення (або складання) релевантної документації: 
   1. Records of Processing Activities; 
   2. політики приватності, політики файлів cookies, банери на сайті, підказки і інші юридичні елементи сайту; 
   3. угоди з контракторами, іншими контролерами даних, спільними контролерами; 
   4. реєстри звернень за реалізацією прав, інцидентів у безпеці даних; 
   5. аналіз законних інтересів для обробки даних; 
   6. Data Protection Impact Assessment тощо. 
8. Складання (і підтримання) плану підвищення знань працівників про GDPR та плану оновлення документації. 
9. Моніторинг і підтримка комплаєнсу з GDPR (регулярні тренінги, оновлення документації, перевірка вендорів і контракторів, оцінки ризиків, оцінки законних інтересів, успішності і ефективності відповідей на запити субʼєктів даних і наглядових органів). 

Зазвичай компанії та організації виділяють всі ці рішення і повʼязані задачі у окремий спеціальний проект, планують його заздалегідь, виділяють ресурси та відповідальних осіб. Ця практика може допомогти і вам – просто почніть з того, щоб розділити загальний проект на три основні етапи: 

1. Аудитування (зрозуміти, де є проблеми) – зазвичай від 30 до 90 днів, але залежить від обсягу роботи. 
2. Рішення і документування (внести зміни у продукти, сайти, інтерфейси, документацію і процеси) – зазвичай від 60 до 180 днів. 
3. Підтримка і моніторинг – починається з моменту аудитування і триває надалі протягом всього життя компанії як неперерервний процес, допоки комплаєнс з GDPR залишається актуальним. 

Якщо ж у компанії немає фахового персоналу, який може очолити і провести цей проект – можна найняти in-house DPO / privacy counsel або, що простіше, звернутися до спеціалізованих компаній – як, наприклад, Legal IT Group. 

Як взагалі інші перевіряють компанію на комплаєнс? 

Зазвичай це відбувається поетапно: 

1. Перевіряються документи на сайті (і все інше, що є на сайті і в застосунку – наприклад, налаштування). 
2. Запитується додаткова інформація (часто у формі точкових запитань, корпоративних опитувальників або прохання надати форму на кшталт SIG Lite). 
3. Перевіряються відкриті джерела – відомі медіа, блоги, новини тощо. 
4. Укладається угода про нерозголошення і проводиться аудит (з огляду на вартість, цей шлях обирають тільки великі компанії). 

Тому природньо, що серед перших пріоритетів для компанії будуть політики і документи, які побачать інші компанії та організації: 

Політика приватності: можливо, вам знадобиться переглянути політику приватності (інколи про неї кажуть “політика обробки даних”). GDPR містить низку вимог до змісту політики приватності: від джерел даних до долі даних після того, як користувач припиняє заходити на сайт.

Інші закони містять менше вимог до змісту – тому доведеться переглянути перед виходом на ринок, і оновлювати щоразу при зміні самого продукту чи процесів обробки даних. 

Політика куків (cookies policy): наглядові органи час від часу змінюють своє ставлення до окремих сервісів (як Google Analytics) або категорій cookies (як аналітика чи статистика). Зміни в політиці cookies потягнуть оновлення банера для збору згоди (тому що тут теж вимоги змінюються в залежності від країни) та роботи маркетингових програм. 

Договори про обробку персональних даних: якщо якась компанія зареєстрована за межами ЄС – то передавати дані їй небезпечно. Тому європейські компанії мусять підписати договір про обробку даних (data protection agreement, DPA). Європейські компанії також мусять вкладати туди стандартні умови (standard contractual clauses, SCCs), погоджені Комісією ЄС – інакше кожну передачу даних за кордон потрібно узгоджувати.

Не забудьте обрати правильні модулі і заповнити доповнення до Standard Contractual Clauses!  

Запити на доступ до даних або видалення даних (data subject requests, DSARs): кожен резидент ЄС може подати звернення до компанії з проханням дати копію даних про себе або навіть видалити дані (у окремих випадках). У вас буде мало часу, щоб відреагувати і відповісти, тому не забудьте перевіряти пошту.

Важливіше – переконайтесь, що система і персонал можуть виконувати такі запити: програма дозволяє видалити або змінити дані, а персонал вміє розпізнавати запити і має доступи до систем. 

Records of processing activities: цей документ і його зміст прямо описані у статті 30 GDPR. Фактично, це схема обробки персональних даних компанії: від їх отримання аж до видалення. Там фіксуються джерела даних, одержувачі (і люди, і софт), роль компанії в обробці, місця зберігання, засоби захисту даних, навіть терміни зберігання і доля даних після настання строків. Records мають підтримуватися в актуальному стані (тобто навіть якщо змінились якісь заходи захисту даних або процеси обробки).

Згодом цей документ вас сильно виручить при заповненні опитувальників про обробку даних від клієнтів та партнерів. 

Опитувальники (vendor assessments, questionnaires): європейські компанії мусять перевіряти кожну компанію і кожен сервіс, якому довіряють персональні дані своїх клієнтів і своїх працівників. Зазвичай це робиться через заповнення довгих і деталізованих опитувальників: вас запитають про ваші практики з обробки даних, строки зберігання даних, навчання персоналу розумінню законів про захист персональних даних, історію звернень наглядового органу або штрафів.

Можливо, що вас попросять показати копії цих політик – тому краще мати їх відразу готовими, щоб не затягувати укладання договору з клієнтом. 

Також доведеться подбати про інші питання: 

• зберігання даних працівників європейських офісів (оскільки на них GDPR поширюється також); 
• створення доказів комплаєнсу з GDPR (реєстр згод на обробку даних, сертифікації, програми оновлення політик тощо); 
• навчання персоналу (щоб вони могли підтримувати процеси обробки даних, покращувати їх і створювати GDPR-compliant програмне забезпечення – іншими словами, щоб досягнути data protection by design and default, доведеться чимало займатися постійним навчанням працівників компанії різних посад і департаментів) – і це ще не повний перелік всіх справ. 

Всі ці справи мають створити культуру поваги до захисту персональних даних в компанії і допоможуть вашим фахівцям комунікувати між собою при зміні процесів або підходів до обробки даних, щоб комплаєнс постійно підтримувався в актуальному стані, а команда продажів чудово в ньому орієнтувалась і могла швидко та впевнено відповідати на запитання про обробку даних. 

Що можна зробити, щоб бути в курсі всіх задач по комплаєнсу? 

По-перше, провести аудит свого продукту або бізнесу: знайти всі прогалини, забронювати ресурси на подолання недоліків і запланувати подальші дії для підтримки комплаєнсу. 

По-друге, освіжити знання колег про GDPR. Провести тренінги, перевірити рівень компетенції через тестування, виявити слабкі місця і включити навчання у онбординг для нових працівників. 

По-третє, передивитися і оновити документацію, сайти і інтерфейси, спланувати нові способи показати діями, що компанія виконує всі вимоги GDPR. 

Далі – налаштувати канали зворотнього звʼязку, призначити Data Protection Officer (DPO), найняти представника у ЄС (Article 27 Representative), і налаштувати систему моніторингу змін у законах та регулюваннях національних органів з питань захисту даних. 

Успіхів у 2024 році!