Побудова програми приватності. З чого починати та чому вона потрібна вашій компанії

Що таке програма приватності?

Програма приватності – це комплекс дій, прийнятих внутрішніх і зовнішніх документів та інших заходів, що вживаються для управління та захисту персональних даних. Основною метою програми приватності є виконання зобов’язань згідно з застовними законами та іншими актами про приватність.

Вона включає втілення законодавчих вимог у відповідних політиках і процедурах, а також визначення механізмів моніторингу та контролю для забезпечення ефективного впровадження цих політик і процедур.

Компанія з надійною програмою захисту приватності має бути в змозі продемонструвати свою здатність дотримуватись застосовних законів та інших актів про приватність. Тобто реалізувати необхідні процедури та розробити документи.

Проте стандартною політикою конфіденційності тут не обійтися. Натомість компанії повинні уважно ставитися до даних, які вони збирають, і до того, як вони їх використовують.

Ключовим моментом щодо програми приватності є те, що це не шаблонний документ, який підходить для абсолютно будь-якої ситуації. Компанія повинна адаптувати політики та процеси захисту персональних даних відповідно до своїх організаційних потреб. Тобто документи повинні відповідати та відображати реальні процеси компанії.

Більше того, побудова надійної програми приватності потребує постійної підтримки. Це означає, що недостатньо розробити декілька документів, які будуть демонструвати комплаєнс лише на папері. Базові основи щодо забезпечення приватності, які повинна мати компанія, не є сталими. Вони постійно розвиваються, аби йти в ногу зі змінами, як всередині компанії, так і за її межами.

Ми окреслили наступні ключові аспекти, які слід враховувати при побудові програми приватності:

Таким чином, комплексна програма приватності полягає не лише у розробці відповідних політик, але й також у навчанні команди разом із відображенням руху даних та впровадженням заходів безпеки.

 

Переваги побудови програми приватності

Після розуміння основ програми приватності ми можемо глибше зануритися у переваги її побудови.

Кожна компанія, яка підпадає під дію законів та інших актів про приватність, зобов’язана їх дотримуватися. Незалежно від того, йдеться про GDPR, CCPA, PIPEDA чи LGPD, висновок однаковий – необхідно досягти комплаєнсу та підтримувати його. Програма приватності якраз і є ефективним інструментом для цього.

Комплексна програма приватності є дієвим способом для того, щоб виконати вимоги застосовних законів та інших актів про приватність та пересвідчитися, що компанія досягла комплаєнсу. Більше того, важливо стежити за оновленнями у сфері захисту даних, аби уникнути штрафів від контролюючих органів. При тому, програма приватності охоплює значно більше, ніж це.

Програма приватності сприяє розвитку культури приватності у компанії. Приватність – це набагато більше, ніж просто дотримання законів та актів. Підхід до приватності як до культури передбачає обізнаність усіх співробітників про проблеми захисту даних. Ось чому це покращує спільне розуміння того, як персональні дані можна і потрібно використовувати для підтримки ширших стратегічних цілей. У свою чергу, це сприяє досягненню цілей приватності.

Інша причина, щоб побудувати програму приватності у своїй компанії, полягає у тому, що повага до приватності сприяє підвищенню лояльності кієнтів. Коли компанія займає позицію, що приватність є пріоритетом у її діяльності, а також розробляє надійну програму її управління, то довіра клієнтів суттєво зростає. У свою чергу, для клієнта наявність довіри значно підвищує шанс майбутньої співпраці з такою компанією.

Таким чином, культура приватності – це середовище, де приватність визнається пріоритетом.

 

Покроковий підхід

Що повинна зробити компанія, аби впевнитись, що вона правильно поводиться з персональними даними? Ми виділили три базові кроки на шляху до побудови програми приватності.

  • Організаційні зобов’язання

Підзвітність має декілька важливих вимог. Однією з них є призначення особи відповідальної за побудову, впровадження та підтримку програми приватності у компанії. Таким чином, побудова внутрішньої структури управління є першим блоком на шляху до створення програми приватності. 

Компанія може призначити та уповноважити Data Protection Officer (DPO), privacy manager (або officer) або обох. Ці посади можуть виконувати співробітники компанії або зовнішні підрядники. Таким чином, компанія може найняти, наприклад, зовнішнього DPO. 

DPO – це співробітник або підрядник, який допомагає компанії впровадити або підтримувати комплаєнс з законодавством Євросоюзу та ЄЕС щодо захисту персональних даних. Тут можна дізнатися більше про послугу DPO від Legal IT Group.

Роль DPO та privacy manager охоплює низку функцій. Обсяг обов’язків включає модерування та впровадження культури приватності у компанії.

Вище керівництво повинно підтримувати зв’язок з такими призначеними особами, аби оперативно реагувати на ситуації, які можуть виникати щодо приватності. 

  • Елементи керування програмою

Компанія вживає всіх розумних заходів для забезпечення захисту особистої інформації. У процесі створення надійної програми приватності компанія повинна виконати кілька наступних дій. 

  • Почніть з відображення всіх елементів даних і потоків даних у таблиці або діаграмі. 

Важливо розуміти, які саме персональні дані збираються та обробляються. Окрім того, відображення на карті потоків даних допоможе визначити, якими законами та іншими актами про приватність регулюються такі процеси.

  • Переконайтеся, що підібрані правильні правові підстави. 

Необхідно перевірити відповідність правових підстав для збору та обробки даних. 

  • Видаліть непотрібні або зайві дані.

Компанія повинна видалити дані, які більше не потрібні. Це підпадає під такі принципи GDPR, як мінімізація даних та обмеження зберігання.

  • Перегляньте вжиті технічні та організаційні заходи. 

Керуйте інструментами оцінки ризиків. Компанії повинні забезпечити впровадження всіх необхідних протоколів реагування на порушення та інциденти з даними. 

  • Задокументуйте всі прийняті оцінки ризиків, політики та процедури.

Компанії зобов’язані розробляти внутрішні політики та впроваджувати процедури, які забезпечують реалізацію принципів, встановлених у застосовних законах та інших актах про приватність. Вони мають бути задокументовані, а також повинні показувати, як вони пов’язані з застосовними законами та актами про приватність.

  • Перевірте себе на відповідність критеріям статті 27 (Представник), 35 (DPIA) і 37 (DPO). 

Це статті з GDPR як приклад критично важливих критеріїв, на відповідність яким потрібно перевірити свою компанію.

  • Підготуйте персонал до вирішення випадків витоку даних та запитів суб’єктів даних. 

Реальність така, що найбільшою загрозою для програми приватності у компаніях є  саме співробітник, який або не знає про підхід компанії до приватності, або йому просто байдуже на нього. Момент вартий окремої уваги – належна реакція на запити суб’єктів даних. Для цього необхідне навчання персоналу. Тому персонал повинен постійно бути напоготові до загроз даним і вживати проактивних заходів у відповідь на ризики. Рухатися вперед та проводити тренінги для своєї команди є найбільш динамічним та ефективним способом досягнення комплаєнсу. Тим не менш, делегувати обов’язок відповідати на запити суб’єктів даних можна компетентному privacy manager, який ефективно працюватиме на аутсорсі.  

  • Постійна оцінка ризиків та перегляди

Базово розробляти документи та впроваджувати політики недостатньо. Компанії повинні планувати перегляд програми приватності. 

Програма приватності передбачає постійну підтримку, включаючи оновлення документів та застосування кращих практик. Підтримка актуальності політик та практик, спрямованих на захист даних, є одним з ключових завдань програми приватності. 

Аби забезпечити підтримку політик та методів захисту даних в актуальному стані, компанії повинні моніторити зовнішні та внутрішні зміни, а також стежити за тенденціями щодо приватності.

Карта потоків даних разом із реєстром ризиків допомагає компаніям визначити, де в системах зберігаються конфіденційні дані. Оцінка ризиків та моніторинг повинні проводитися на регулярній основі. Найкраще розглядати їх як документи, які потрібно постійно оновлювати. Окрім того, privacy manager має брати безпосередню участь у кожній розробці ініціатив, послуг або програм з високим ризиком для безпеки даних.

Суб’єкти даних повинні мати право доступу до персональних даних, зібраних щодо них, щоб знати та мати можливість перевірити законність обробки. Тобто очікується, що компанії будуть мати налагоджені процеси для відповідей на запити суб’єктів даних. Швидке та ефективне реагування на запити окремих осіб є частиною підзвітності.

А ще, дивіться вебінар за цією темою:

 

 

Висновок

Надійна програма приватності – це не шаблонне рішення, яке підходить абсолютно всім. Компанія повинна адаптувати таку програму, беручи до уваги свої потоки даних та процеси збору.

Для цього компанія може призначити внутрішнього співробітника або найняти зовнішнього. У цьому на постійній основі може допомагати команда професійних юристів з відповідною кваліфікацією. Таким чином, можна замовити послугу аутсорсингу privacy manager чи DPO.

Компанія повинна мати можливість продемонструвати комплаєнс. Для цього необхідно відстежувати, як внутрішні, так і зовнішні зміни, та підтримувати в актуальному стані всі документи та процеси.

Приватність необхідна для встановлення та підтримки довіри у компанії. Визначення приватності як пріоритету є ключовим кроком у розвитку культури приватності, яка навіть виходить за рамки комплаєнсу.

 

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)