Консалтинг по GDPR у форматі підписки

Чому саме формат підписки

Сфера персональних даних почала розвиватися відносно недавно у порівняні з будь-якими іншими галузями права, тому регулювання GDPR є постійним процесом змін та удосконалень. EDPB та національні контролюючі органи щонайменше декілька разів на рік випускають спеціальні рекомендації та керівництва щодо нечітких та загальних положень GDPR, роз’яснення щодо принципів та інше. Також, враховуючи, що з моменту вступу Регламенту в силу у 2018 році, ще не напрацьовано достатнього об’єму рішень Суду ЄС для повного розуміння застосування усіх положень на практиці.

Таким чином, GDPR комплаєнс це постійний процес модифікацій та переглядів, що найлегше забезпечувати оперативно реагуючи на кожну нову проблему, а не чекаючи до останнього моменту, коли внесені зміни вже не врятують ситуацію. Формат підписки забезпечує регулярне відстежування та контроль за процесами компанії, що стосуються збору та обробки персональних даних клієнтів та надання консультацій і рішень з проблемних питань.

Кому необхідний консалтинг у форматі підписки

Перш за все, такий формат необхідний для компаній, основною діяльністю яких є збір та обробка персональних даних. Взаємодія з великими об’ємами даних вимагає постійного контролю та перегляду політик приватності. Особливу увагу треба приділити чутливим даним, адже їх збір (можливий лише за прямою та  чіткою згодою користувача), обробка, зберігання та передача мають здійснювати окремо від інших даних. До таких даних відносяться: расова чи етнічна приналежність, політичні, релігійні та філософські переконання, членство в профсоюзі, медичні, в тому числі і генетична та біометрична інформація, сексуальне життя чи орієнтація суб’єкта персональних даних.

Варто зазначити, що за допомогою використання маркетингових технологій у соціальних мережах та на веб-сайтах, контролери можуть створювати «похідні дані». Вони є збіркою даних, якими користувачі діляться самостійно та, які збираються автоматично  кукіс і іншими технологіями. Разом такі дані можуть стати чутливими, навіть якщо окремо одне від одного вони не є такими. Отже, онлайн маркетинг необхідно постійно контролювати та переглядати умови і підстави такої діяльності з огляду на вимоги GDPR.

По-друге, для компаній, в яких постійно відбувається зміна персоналу. Це вимагає ознайомлення та навчання нових співробітників. Зокрема, відділи підтримки користувачів мають бути глибоко обізнані в положеннях  GDPR для надання необхідної допомоги клієнтам у роз’ясненні їх прав чи відповіді на запити щодо їх персональних даних.

Окрім цього, варто враховувати контроль за підрядниками. Необхідно регулярно проводити перевірки організаційних та технічних заходів, які вживаються ними для забезпечення цілісності та конфіденційності персональних даних клієнтів. Це важливий момент, адже, в разі витоку персональних даних, відповідальною буде саме компанія як контролер даних.

Що включає підписка

Консалтинг у форматі підписки охоплює увесь процес GDPR комплаєнсу і може включати такі послуги:

• Консультація щодо застосування положень GDPR відповідно до діяльності кожної окремої компанії, що передбачає детальне вивчення внутрішніх процесів та приведення їх у відповідність GDPR.
• Супровід договорів щодо обробки даних с підрядниками та партнерами (участь у переговорах, внесення правок в уже існуючі угоди, а також представництво у судових спорах). Оцінка відповідності підрядників вимогам GDPR.
• Перегляд та редагування документів, необхідних для GDPR комплаєнса. GDPR Пакет включає близько 30 різноманітних документів, як для внутрішнього використання компанією, так і для користувачів.
• Адаптування процесів та політик щодо вимог партнерів (заповнення опитувальників щодо відповідності GDPR, проходження due dilligance та створення необхідних документів).
• Онлайн-тренінги по GDPR. Співробітники розділяються на групи відповідно до їх обов’язків і для кожної групи формується окремий блок. Наприклад, для відділів інформаційної, технічної безпеки, підтримки клієнтів, а також окремо для менеджменту.
• Допомога при взаємодії з клієнтами (формування відповідей на запити чи скарги, роз’яснення положень GDPR).
• Допомога при автоматизації GDPR-процесів, що передбачає автоматизацію реєстрів інцидентів безпеки, звернень клієнтів, створення карт руху персональних даних та інших процесів, необхідних для захисту персональних даних клієнтів.
• Допомога при звернені до національних контролюючих органів держав-членів ЄС щодо питань GDPR та витоку персональних даних, що включає складення відповіді на запит державного органу, звернень та звіту щодо витоку персональних даних).

У цілому формат підписки є зручним та корисним для будь-якої компанії, враховуючи динамічність розвитку законодавства та внутрішніх процесів компанії, зміни можливо вносити чи не кожні півроку.

GDPR compliance

Клименко Анастасія

Junior IT lawyer