Опитувальник з GDPR

ІТ аутсорсинг став справжньою візитівкою України: вітчизняні ІТ компанії радо надають послуги іноземним замовникам, отримуючи справедливу та гідну винагороду на рівні розвинутих європейських країн. Проте, коли мова доходить до необхідності забезпечувати ті ж європейські стандарти у сфері безпеки персональних даних, бізнес далеко не завжди приділяє цьому питанню належної уваги.

Доки українські компанії все ще роздумують над необхідністю комплаенсу з вимогами європейського законодавства, GDPR-лещата поступово, але невпинно продовжують затискуватися.

Що таке GDPR опитувальник/GDPR questionnaire?

Найпоширенішим та водночас найлегшим способом перевірки компанії на відповідність вимогам GDPR є використання спеціальних опитувальників. За своєю суттю, GDPR опитувальник – це звичайний перелік запитань (налічує приблизно 20-30 запитань), що занесений до зручної таблиці.

Типовий GDPR опитувальник містить такі поля:

  • запитання;
  • поле для відповіді (зазвичай, доступні два варіанти відповіді «Так» або «Ні»);
  • коментарі (використовується для надання розгорнутих відповідей).

Хорошою практикою є внесення компанією, що надіслала опитувальник, додаткових приміток. Вони дозволяють краще зрозуміти, що саме мав на меті дізнатися від вас інтерв’юер, ставлячи те чи інше запитання. На жаль, далеко не всі опитувальники містять примітки.

Види GDPR опитувальників

Сьогодні можна зустріти три основні види GDPR опитувальників:


Структура GDPR опитувальника

На практиці українські ІТ аутсорсингові компанії найчастіше зустрічаються саме з другим різновидом опитувальника – тим, що надсилається для оцінки контрагентів (постачальників послуг). Тому надалі ми зосередимося більш детально саме на цьому різновиді опитувальника.

Типовий GDPR опитувальник умовно можна поділити на два блоки запитань:

  • загальний блок;
  • спеціальний блок.

Загальний блок запитань стосується стану поінформованості компанії про GDPR-стандарти. Зазвичай, він містить такі запитання:

  • Чи знає ваша компанія про GDPR?
  • Яка ваша роль в обробці персональних даних (контролер, спільний контролер, обробник, субобробник)?
  • У якій країні ви обробляєте персональні дані?
  • Які правові підстави для обробки даних?
  • Які цілі обробки персональних даних?

Спеціальний блок запитань стосується необхідності відповідати окремим вимогам GDPR та містить такі типові запитання:

  • Чи використовує ваша компанія субпідрядників?
  • Чи розробила компанія належні політики та процедури для захисту персональних даних?
  • Чи імплементовано належні технічні та організаційні заходи безпеки?
  • Чи була проведена оцінка впливу на захист даних (Data Protection Impact Assessment/DPIA)?
  • Чи призначено в компанії співробітника з питань захисту даних (Data Protection Officer/DPO)?

Чому мені надіслали GDPR опитувальник?

Якщо європейські замовники надіслали вам GDPR опитувальник, то, найімовірніше, у процесі надання послуг ви маєте доступ до персональних даних їхніх клієнтів (працівників чи підрядників).

Справа в тому, що поняття «обробки персональних даних» має дуже широке значення та охоплює «будь-яку операцію або набір операцій, що виконуються з персональними даними або з наборами персональних даних».

У своїх коментарях Європейська Комісія зазначає, що «доступ до бази даних, що містить  персональні дані» становить обробку в розумінні GDPR. Отже, отримуючи доступ до бази персональних даних, Ви дієте як обробник, а європейський замовник як контролер таких даних.

GDPR зобов’язує контролера співпрацювати лише з тими обробниками, які надають належні гарантії забезпечення технічних та організаційних заходів безпеки. Окрім того, GDPR закріплює принцип підзвітності (accountability), який передбачає, що контролер повинен бути здатним довести, що він перевірив постачальників послуг на відповідність вимогам GDPR.

Для європейського замовника GDPR опитувальник відіграє подвійну роль:

·         спосіб отримати від постачальників послуг документальне підтвердження відповідності вимогам GDPR;

·         доказ того, що європейський замовник вжив належних заходів для перевірки  постачальників послуг (evidence of compliance).

Що писати в опитувальнику?

Уявімо ситуацію: настав час ікс – ви отримали GDPR опитувальник. Що ж робити? Стратегічно ситуація виглядає дуже просто: заповнити, підписати, відправити замовнику. Profit!

Однак на рівні тактики проблеми можуть виникнути вже на другому-третьому запитанні, коли Ви, наприклад, спробуєте розмежувати joint controllers від separate controllers, провести privacy risk assessment вашого бізнесу, або визначити, чи надаєте ви послуги інформаційного суспільства дитині. Обов’язково виникне запитання: «А що тут писати?»

Універсальних рекомендацій, що саме потрібно писати в GDPR опитувальнику, не існує та не може існувати апріорі. Відповіді на запитання повинні завжди базуватися на основі аналізу ваших бізнес-процесів та специфіки конкретного кейсу.

Однак ми можемо точно сказати, чого не варто робити. Не можна писати неправду! Після підписання опитувальник стає юридичним документом, що може бути використаний як доказ у разі виникнення будь-яких спорів із контрагентом у майбутньому.

Якщо ви отримали GDPR опитувальник – проконсультуйтесь із юристом у сфері захисту персональних даних. Неточні чи неправдиві відповіді створюють не лише серйозні репутаційні ризики для вашого бізнесу, а й можуть викликати пред’явлення претензій та позовів від контрагента.

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)