GDPR впровадження: 5 основних кроків

З чого почати?

Першим і головним етапом завжди буде з’ясувати для себе: 

  • на якому етапі зараз перебуває компанія чи продукт/проект, який необхідно привести до відповідності з GDPR; 
  • чи дійсно компанії необхідно привести свою діяльність у відповідність з вимогами GDPR (та закони яких держав ще будуть впливати на роботу цього продукту чи компанії, принаймні, у сфері питань захисту персональних даних); 
  • які кроки компанії чи розробникам продукту необхідно зробити (у формі вичерпного покрокового плану, розробленого заздалегідь).

Однак щоб скласти план, необхідно з’ясувати, де полягає розрив між актуальним станом продукту/компанії та станом, який би повністю відповідав GDPR. 

1) Пошук невідповідності між станом продукту чи компанії та Регламентом 

Перш ніж приступати до оцінки, необхідно підготуватися до того, що її наслідки можуть потягнути за собою дебати навколо докорінного зміну продукту чи діяльності компанії. Чим більший проміжок часу між планами заснування компанії/проекту та датою оцінки – тим менш гнучкими і багатофакторними ці бажані зміни можуть бути. Цілком імовірно, що просто перейти на іншу CRM буде недостатньо: необхідно буде змінювати саму архітектуру програми чи структуру сайту, часто у неочевидний для користувача спосіб. Може статися, що ваш фронтенд буде дуже засмучений: тому не забудьте ввести його в курс справи, щоб він міг цілком застосувати весь свій потенціал. 

Однак вся ваша тех-команда потрібна, щоб подумати над privacy-friendly архітектурою проекту: 

  • якими способами обробляються ПД та з якою метою (краще описати всі необхідні дані та операції по їх обробці навпроти колонки з метою); 
  • які саме ПД збираються і обробляються (та чи дійсно вони так необхідні, щоб виконувати основну функцію продукту чи надавати послуги компанії); 
  • яку відповідальність покладено на осіб, що будуть працювати чи матимуть доступ до ПД – від команди техпідтримки і топ-менеджменту компанії з максимальним рівнем доступу до маркетологів, продавців, підрядників і інших агентів, що залучені у обробку ПД (а якщо ці особи працюють на основі трудового договору – то які особи мають доступ до даних про них, зокрема, HR-відділ); 
  • які інструменти захисту ПД будуть застосовуватися та як будуть захищені права суб’єктів ПД (не тільки відвідувачів сайту/офісу компанії, але також її клієнти і навіть працівники та підрядники). 

Зручніше викладати результати аналізу у таблиці. Наприклад, її можливо розділити відповідно до вимог, які Регламент накладає на компанію: 

Стаття Продукт
Стаття 5: Принципи, що стосуються обробки персональних даних Не відповідає Регламенту
[…] […]

Статей у Регламенті – 99. Необхідно їх уважно вивчити, співвіднести з рекомендаціями European Data Protection Board та національного органу захисту персональних даних, і намагатися розписати, де полягає невідповідність і як її побороти (тобто які організаційні та технічні заходи необхідно вжити). 

Не зайвим буде залишити собі примітки, які статті покладають на компанію відповідальність та обов’язки. Згодом, при складанні політик приватності та обробки даних, ці примітки можуть послужити чудовою основою для системи моніторингу захисту персональних даних. 

2) Аналіз ризиків і пошук найслабшої ланки (щоб попрощатися)

У основі Регламенту лежить підхід, базований на оцінці ризиків. GDPR не встановлює суворих технічних специфікацій чи навіть методів чи інструментів захисту персональних даних – це зумовлено тим, що Регламент передбачає подальший швидкий розвиток технологій і покладається на фахові знання і підготовку спеціалістів, які займаються безпекою загалом і захистом персональних даних зокрема. 

Аналіз ризиків потребує глобального аудиту всієї компанії – а це величезна робота. Цілком логічно розбити аудит на аналіз окремих підрозділів: у цьому випадку доведеться опитати кожного спеціаліста, залученого у обробку даних (якою б дрібною його роль не здавалась), щоб скласти повне уявлення про всі можливі напрямки потоків персональних даних і шляхи їхнього можливого витоку. 

Результатом такого аудиту має бути документ, де вказано, яка діяльність (тобто процеси обробки) несуть ризик та мають бути переглянуті. Ризики необхідно мінімізувати, а якщо це неможливо зробити – тоді звернутися до керівного наглядового органу та отримати офіційну консультацію і погоджений план дій (чи ще раз подумати про необхідність такого збору та обробки даних). 

Слід переглянути всі документи компанії, що стосуються захисту персональних даних: 

  • Статутні документи (щодо відносин з будь-якими іноземними компаніями та роботи з підрядниками);
  • Внутрішні політики компанії (які стосуються як власне захисту ПД, так і інших процесів, що потребують обробки ПД – від обробки замовлень покупців до юридичного відділу і відділу ІТ); 
  • Договори: трудові, господарські та цивільні (з підрядниками і клієнтами) 
  • Колективні договори (за наявності).

Важливо пам’ятати, що GDPR звертає увагу передусім на найвищі ризики: пошук найбільш гострих проблем мають бути у фокусі всього аудиту. У комплексі з виявленим розривом між вимогами Регламенту і фактичного його виконання компанією ця карта ризиків підкаже, які фактори небезпечні для інтересів компанії та прав суб’єктів даних і повинні вирішуватися у першу чергу. 

Певні ризики і слабкі місця існуватимуть завжди. Ціль аудиту – подбати про їхнє вчасне виявлення та подолання без жертв. 

3) Запуск проекту та розрахування витрат: take your time and take my money

Дано: 

  1. аналіз розривів між реальним і ідеальним станом; 
  2. карта ризиків та заходів для їх зниження; 
  3. карта потоків даних. 

Наступна зупинка — побудова плану приведення діяльності компанії або проекту у стан, який відповідатиме вимогам GDPR. 

Обмежитись лише концептуальними змінами не вийде: щоб бути GDPR compliant, необхідно зробити низку організаційних, технічних, юридичних, економічних та освітніх кроків. Вони потребують дотримання “водоспадної” послідовності від закладання базових рішень до узгодження між собою найдрібніших деталей. Першим важливим рішенням буде прийняття обов’язку виконання норм Регламенту. Усі подальші кроки повинні погоджуватися з більш ранніми рішеннями. 

План подальших кроків складається, щоб оцінити обсяг роботи і виділити достатньо ресурсів — коштів, людей, годин, залучених спеціалістів зі сторони. План має охоплювати всю компанію, і обов’язково включати пункт про складання актуальної, точної і легкої до прочитання політики приватності (політики захисту персональних даних, або privacy policy). 

Складання плану передбачає розподіл обов’язків і відповідальності. Важливо, щоб частина відповідальності була покладена на голів та ключових працівників найважливіших (з точки зору захисту персональних даних) відділів, загальний нагляд і контроль яких буде задачею керівника проекту. У деяких випадках буде цілком зрозумілим і логічним кроком залучити зовнішнього спеціаліста — як голову проекту чи радника. 

Цей етап завершується узгодженням і прийняттям плану, який має втілюватись — крок за кроком.

4) Виконання плану: введення програми захисту персональних даних в життя компанії

Тепер керівник проекту (і керівником компанії) на хвилинку залишається сам-на-сам на краю величезної непаханої цілини. Після планування офіційного йде планування оперативне: необхідно втиснутись у вузькі дедлайни і не упустити з уваги робочі обов’язки (і свої, і підлеглих, залучених у проект). Йому доведеться вирішувати, з якої ж площини почати.

Першим завданням зазвичай є дослідження вже готових рішень. Далі — прийняття пропозицій до їхнього покращення. Але чи має це сенс, якщо востаннє політики приватності переглядались до відчутних змін у бізнес-процесах? Весь пакет документів, від політики приватності до індивідуалізованих інструкцій з окремих видів обробки даних чи комунікації зі суб’єктами даних, має бути комплексним і взаємопов’язаним. Та лише документів буде замало.

Навчання персоналу і підготовка підрядників до роботи з персональними даними потребує окремої уваги. Це можна втілити у проведенні тренінгів чи воркшопів (разових чи регулярних), іспитів з обізнаності і ознайомлення зі спеціально складеними інструкціями чи керівництвами. Готувати матеріали для навчання можна як самостійно, так і з залученням зовнішніх спеціалістів, які враховують особливості бізнес-процесів компанії-клієнта. Ці ж презентації, сертифікати про успішне проходження курсу чи видані під підпис інструкції допоможуть при перевірці: наглядові органи з захисту персональних даних регулярно попереджають компанії про обов’язок контролерів подбати про підготовку кадрів і підрядників до роботи з персональними даними. 

Однак стрижневий принцип доведеться засвоїти одразу: віднині захист персональних даних стає не разовою чи аварійною дією, це постійний процес, підтримуваний регулярним оновленням і моніторингом. Просто підготувати документи і передати їх у архів не вийде. Тільки на основі безперебійного зворотного зв’язку між командою, що займається питаннями приватності, та виконавцями, робота яких пов’язана з даними компанії, компанія матиме змогу поширити культуру поваги до захисту персональних даних, проактивне мислення та вміння приймати рішення, що відповідатимуть політикам компанії. 

5) Адаптація до національного законодавства (чи кількох)

GDPR охоплює багато питань і обов’язків контролера. Однак вимоги до компанії можуть висуватися не лише на рівні Регламенту — обов’язково також перевірити вимоги і законодавство як країни, де компанія зареєстрована, так і країн, звідки походить цільова аудиторія. 

Майже кожна держава має власне законодавство про захист персональних даних. І це не завжди обмежується одним законом — у сфері набору персоналу, трудового законодавства, охорони здоров’я і соціального забезпечення, рекламного законодавства і актів державних органів щодо кібербезпеки (це не виключний список) є власні правові акти, які також необхідно враховувати. Приклад впливу законодавства — строки зберігання даних: деякі закони зобов’язують компанії утримувати дані довше, ніж компанія хотіла б чи вважала б за потрібне (податкове законодавство, обов’язкове медичне страхування тощо). 

Зокрема, у кожної держави є свій поріг віку, з якого дитина може надавати згоду на обробку своїх даних без підтримки батьків. Інший спосіб впливу — списки операцій з даними, які вимагають обов’язкового проведення Data Protection Impact Assessment (або навпаки – звільняють компанію від обов’язку проводити оцінку впливу захисту персональних даних) тощо. 

Здається, що роботи багато. І це правда — тільки якщо компанія раніше не мала жодного досвіду у складанні політик і введення їх у функції працівників чи підрядників, і сама розробка чи надання послуг велись без врахування privacy by default та privacy by design. 

Важливо зберігати спокій та методично реалізовувати план — крок за кроком, етап за етапом. Тоді прийде не лише порядок у документах — з’явиться чітке уявлення про дані як ще один актив компанії, який потребує розвитку і удосконалення, і віддячує своїм вкладом у чистий прибуток. Всі зацікавлені ланки розумітимуть власний внесок у підтримання порядку і можуть оперувати додатковою інформацією при прийнятті важливих рішень — а можливо, навіть особисто запобігти неприємностям: знизити кількість успішних інцидентів фішингу чи інших способів шахрайства — та оперативно співпрацювати з іншими стейкхолдерами ринку для покращення і вдосконалення власних продуктів.

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)