Необхідні документи для відповідності GDPR

У сучасну епоху цифровізації, штучного інтелекту та стрімкого розвитку інформаційних технологій захист персональних даних як ніколи актуальний. З моменту набуття чинності Загального регламенту про захист даних (“GDPR”), приватність і безпека інформації є пріоритетом як для великого, так і для малого бізнесу.

GDPR не лише встановлює юридичні вимоги до обробки персональних даних, а й вимагає від компаній демонструвати свій комплаєнс, тобто мати змогу показати, що принципи регламенту дотримуються на практиці.

Як бізнес може продемонструвати комплаєнс з GDPR?

Насамперед – шляхом адаптації внутрішніх процесів до вимог регламенту та впровадження відповідної документації. Саме документи є основним доказом так званої “відповідальності” (accountability) перед наглядовими органами.

Проте на практиці виникає закономірне питання: які саме документи необхідні?

GDPR не містить вичерпного переліку обов’язкових документів. Регламент прямо згадує лише окремі з них, а інші випливають із загальних принципів та вимог. Тому кожна компанія має самостійно визначити свій набір документів відповідно до специфіки своєї діяльності.

Проте в такому підході легко заплутатися і щось важливе упустити.

У цій статті ми розглянемо, основні документи, які потрібні для відповідності GDPR. 

Важливо наголосити: остаточний перелік документів для вашої компанії може відрізнятися залежно від типу бізнесу, масштабів обробки персональних даних і законних підстав обробки.

1. Обов’язок інформування та прозорість обробки персональних даних

Одним із ключових принципів GDPR є прозорість. Компанії зобов’язані чітко і зрозуміло інформувати суб’єктів даних про обробку їхньої інформації. Для цього використовуються два основні документи:

1. Політика конфіденційності (Privacy Policy)

Політика конфіденційності (Privacy Policy) – це публічний документ, який розміщується на сайті компанії і адресований клієнтам, відвідувачам вебсайту, партнерам. У ньому має бути чітко вказано:

• які персональні дані збираються (наприклад, ім’я, email, файли cookies тощо);
• правова підстава обробки відповідно до ст. 6 GDPR;
• мета обробки;
• куди і кому передаються дані (зокрема, у треті країни);
• строки зберігання;
• права субʼєктів даних;
• контактна інформація компанії.

Памʼятайте: політика має бути написана простою, зрозумілою мовою, без юридичних формалізмів.

2. Повідомлення про конфіденційність (Privacy Notice)

Повідомлення про конфіденційність (Privacy Notice) – це документ, який інформує суб’єктів персональних даних про те, які їхні персональні дані збираються, з якою метою, на якій правовій підставі, як довго зберігаються, кому передаються, а також про їхні права щодо обробки цих даних.

Цей документ має той самий зміст, що й публічна політика, але адаптований під внутрішні процеси компанії: наприклад, обробку даних у межах HR-процесів, підбору персоналу або взаємодії з підрядниками.

2. Отримання дійсної згоди на обробку персональних даних

Якщо компанія обробляє персональні дані на підставі згоди, вона зобов’язана не лише отримати її, а й документально зафіксувати цей факт. Для такої мети рекомендовано  розробити форму згоди на обробку даних.

При цьому, текст згоди має бути чітким і доступним для розуміння. Згода має бути явною, добровільною, інформованою та такою, яку можна легко відкликати.

Зверніть увагу! Заборонено використовувати попередньо відмічені галочки або неясні формулювання..

Читайте більше: GDPR Compliance: від теорії до практики

3. Обовʼязок вести записи операцій обробки даних

Згідно зі ст. 30 GDPR, компанія повинна вести внутрішній реєстр усіх операцій обробки персональних даних (Record of Processing Activities – ROPA).

RoPA – це внутрішній документ, який веде контролер або обробник персональних даних за вимогою статті 30 GDPR.

Включає в себе:

• категорії обробки;
• цілі;
• категорії суб’єктів і отримувачів;
• строки зберігання;
• заходи безпеки;
• категорії переданих даних.

Такий реєстр потрібен у разі перевірки регулятором і демонструє, що компанія володіє ситуацією щодо обробки персональних даних.

4. Безпека персональних даних під час співпраці компанії з третіми сторонами

Якщо компанія залучає сторонніх постачальників (наприклад, хмарні сервіси, маркетингові агентства, ІТ-підрядників), які отримують доступ до персональних даних, тоді необхідно укласти з ними Угоду про обробку даних з третіми сторонами (Data Processing Agreement (DPA)).

Угода про обробку даних з третіми сторонами – це документ, укладений між контролером (наприклад, компанією, яка збирає дані) та обробником (наприклад, сервісом, який зберігає ці дані або надає ІТ-послуги).

DPA має включати:

• опис ролей сторін (контролер / процесор);
• перелік оброблюваних даних;
• обсяг, мету, тривалість обробки;
• вимоги до безпеки;
• умови передачі даних третім сторонам або в треті країни;
• правила доступу, видалення або повернення даних;
• обов’язок дотримання GDPR.

DPA є юридичною гарантією, що третя сторона не лише отримує дані, а й обробляє їх відповідально і відповідно до закону.

Читайте більше: GDPR тренінг для вашої компанії. Як провести?

5. Безпека персональних даних під час передачі даних у треті країни

При передачі персональних даних за межі ЄЕП (наприклад, у США, Індію, Україну) компанії зобов’язані проводити оцінку ризиків передачі (Transfer Impact Assessment (TIA)).

Transfer Impact Assessment (TIA) – це внутрішній документ, який компанія (експортер даних з ЄС/ЄЕП) має підготувати до передачі персональних даних до третьої країни, якщо така передача здійснюється на підставі стандартних договірних положень (SCCs) або Binding Corporate Rules (BCRs).

ТIA включатиме в себе:

• опис країни-отримувача;
• правову базу передачі (SCC, BCR, тощо);
• оцінку законодавства країни призначення;
• заходи, які зменшують ризик (шифрування, псевдонімізація тощо).

6. Правомірність законного інтересу як правової основи

Legitimate Interest Assessment (LIA) – це оцінка законного інтересу, яка проводиться, щоб перевірити, чи можна обробляти персональні дані на підставі законного інтересу компанії, не порушуючи права суб’єкта даних.

LIA складається з трьох етапів:

• визначення законного інтересу (наприклад, маркетинг, безпека, запобігання шахрайству).
• оцінка необхідності обробки для досягнення цього інтересу.
• тест на баланс, чи не переважають права та свободи фізичної особи інтереси компанії.

7. Безпека персональних даних при високому ризику для прав суб’єктів даних 

Якщо компанія здійснює обробку даних, яка становить високий ризик для прав субʼєктів даних (наприклад, відеоспостереження, профілювання, обробка біометричних даних), компанія повинна провести оцінку впливу на захист даних (Data Protection Impact Assessment – DPIA). DPIA також необхідна, якщо обробка є масштабною або потенційно порушує права і свободи осіб.

Data Protection Impact Assessment (DPIA) – це оцінка впливу на захист даних, яка проводиться перед початком обробки, що може мати високий ризик для прав і свобод осіб.

DPIA має включати:

• опис обробки та її цілей;
• оцінку необхідності та пропорційності;
• аналіз ризиків для суб’єктів даних;
• опис заходів для мінімізації цих ризиків, тощо..

Читайте більше: Технічні вимоги GDPR: реалізація на практиці

8. Інциденти безпеки 

Навіть якщо витік даних не підлягає обов’язковому повідомленню регулятору, GDPR вимагає документувати кожне порушення. Компанія повинна вести реєстр інцидентів безпеки (Breach Register) та може додатково затвердити процедуру дій у випадку інцидентів безпеки (Data Breach Response Procedure).

Data Breach Register — це реєстр/журнал, у якому фіксуються всі порушення захисту персональних даних.

Data Breach Response Procedure – це задокументована процедура реагування на інциденти з порушенням захисту персональних даних.

Така процедура описує:

• строки, шаблони повідомлень.
• як виявляються порушення;
• хто відповідальний за реагування;
• алгоритм повідомлення регуляторів та постраждалих;

9. Призначення Data Protection Officer (DPO)

DPO обов’язковий, якщо:

• компанія є публічною установою;
• здійснює системну моніторингову діяльність (наприклад, трекінг поведінки користувачів);
• обробляє особливо чутливі категорії даних у великому обсязі.

Призначення DPO доцільно задокументувати шляхом видання наказу, а також документально закріпити функції, повноваження та гарантії незалежності цієї посади.

10. Своєчасне реагування на запити субʼєктів даних

З метою забезпечення чіткої процедури дій при надходженні запиту від субʼєкта даних, компанія може впровадити Політику реалізації прав суб’єктів даних.

Політика реалізації прав суб’єктів даних – це документ, що описує порядок, строки та способи, за допомогою яких компанія забезпечує реалізацію прав осіб, чиї персональні дані вона обробляє (наприклад, право на доступ, виправлення, видалення, обмеження обробки тощо).

11. Дотримання принципу обмеження зберігання персональних даних

Відповідно до GDPR, компанія повинна встановити строки зберігання персональних даних, залежно від мети обробки, вимог законодавства, принципу мінімізації, тощо. Для цього доцільно розробити Політику зберігання персональних даних (Data Retention Policy), яка включатиме строки зберігання для кожної категорії даних, правила видалення або анонімізації, процедури продовження зберігання (за необхідності), тощо.

Варто підкреслити, що залежно від галузі, масштабу та характеру обробки персональних даних, компанія може потребувати додаткової документації для GDPR комплаєнсу.

Підсумовуючи, памʼятайте – якщо ваш бізнес працює з європейськими клієнтами, тоді GDPR стосується і вас! Незалежно від того, чи ви невеликий стартап або велика корпорація, недотримання правил GDPR може призвести до серйозних штрафних санкцій. 

Подбайте про ваш комплаєнс уже сьогодні.  Звертайтесь до нас – ми допоможемо розробити та впровадити необхідну документацію, провести аудит, навчити персонал і мінімізувати ризики для вашого бізнесу.