Что нужно сделать украинским компаниям для соответствия требованиям GDPR?

General Data Protection Regulation (GDPR / Регламент) — документ, который кардинально изменил правила игры в сфере защиты персональных данных. Несмотря на то, что GDPR является внутренним актом Европейского Союза (ЕС), в определенных случаях он имеет экстерриториальное действие.

В свете последних разъяснений European Data Protection Board относительно территориальной сферы действия Регламента становится понятным факт, что значительную часть украинских компаний (как реального сектора, так и сферы информационных технологий) распространяется обязанность GDRP compliance. Как следствие, у украинского бизнеса все чаще возникает вопрос: «Что нужно сделать для соответствия требованиям GDPR?»

Сразу следует отметить, что обеспечение GDPR compliance — это сложный процесс, требующий сотрудничества большого количества людей — прежде всего, менеджмента компании, юристов и технических специалистов. Для облегчения понимания предлагаем разделить этот процесс на несколько основных стадий.

Стадия 1. Фиксация текущего состояния

На этой стадии необходимо провести анализ всех бизнес-процессов компании с целью выявления конкретных процедур обработки персональных данных, круга субъектов, привлекаемых к обработке, порядка взаимодействия компании с такими лицами.

Результатом является составление Initial Data Mapping — своеобразной «карты» движения персональных данных, которая наглядно фиксирует фактические условия их обработки. Этот документ обеспечивает понимание общих алгоритмов работы компании с персональными данными на начальной стадии.

Стадия 2. Оценка текущего состояния

Получив понимание текущих алгоритмов обработки персональных данных, необходимо определить, что следует изменить в таких алгоритмах для обеспечения соответствия требованиям Регламента. Первоначально необходимо провести privacy due diligences, в частности, проанализировать политику конфиденциальности относительно ее соответствия требованиям GDPR; форму, в которой субъект данных сообщается об обработке его персональных данных; положений о конфиденциальности заключенным договорам; другие документы внутреннего и публичного характера.

В случае, если обработка персональных данных вероятно приведет к возникновению высокого риска для прав и свобод субъектов данных, украинская компания обязана провести оценку воздействия на защиту данных (Data Protection Impact Assessment).

Результатом данной стадии является определение компанией разницы (Gap Assessment) между текущим состоянием своей деятельности и тем состоянием, которого она должна достичь после внедрения всех необходимых мер в соответствии с требованиями Регламента. Gap Assessment является «дорожной картой» на пути достижения GDPR compliance.

Стадия 3. Разработка документов

Разработка документов — это всегда основная стадия, от правильности и эффективности реализации которой зависит соответствие компании требованиям GDPR. Условно все документы можно разделить на политики, процедуры и другие документы.

Политики определяют основные принципы, которыми компания руководствуется в процессе обработки персональных данных. Примерами политик являются:

• Privacy Policy – документ для оповещения субъектов данных о порядке обработки компанией их персональных данных;
• GDPR Controller/Processor Agreement Policy – политика, которая определяет порядок заключения договоров между компанией и обработчиками персональных данных и указывает на ключевые моменты таких договоров.

Процедуры, в свою очередь, раскрывают официальный порядок реализации компанией юридически значимых действий в сфере обработки персональных данных. Они отражают пошаговую инструкцию, которой компания должна соблюдать в том или ином случае. Примерами процедур являются:

• Privacy Notice Procedure – процедура уведомления субъектов данных об особенностях обработки их персональных данных;
• Data Subject Request Procedure & Complaints Procedure – порядок действий компании, в случае обращения субъекта данных с жалобой или запросом на реализацию прав, подкрепленных Регламентом.

Другие документы разрабатываются компанией для обеспечения соответствия специальным требованиям GDPR. Например:

• Preparation Project Plan – определяет, какие меры и когда вводятся компанией для достижения compliance;
• Roles and Responsibilities – закрепляет обязанности менеджмента компании и основных категорий работников в сфере обработки персональных данных.

Выше приведена лишь небольшая часть документов, которые необходимы для обеспечения соответствия требованиям Регламента. Конкретный комплект документов и их содержание должно определяться для каждой компании отдельно с учетом специфики их бизнес-процессов.

К сожалению, достаточно распространенной среди украинских компаний является имитация GDPR. Она возникает, если компания разрабатывает исключительно основные публичные документы, а именно — Privacy Policy (политику конфиденциальности) и Privacy Notice (уведомление субъекта данных о порядке обработки персональных данных), и этим ее подготовка исчерпывается. Privacy Policy необходима для соответствия требованиям статей 24 и 32 Регламента, а Privacy Notice удовлетворяет требования статей 13 и 14 Регламента. GDPR имитация оставляет без внимания остальные обязательных к выполнению требований Регламента.

Разработки только Privacy Policy и Privacy Notice недостаточно для
обеспечения GDPR compliance, даже при условии, что такие
документы по своему содержанию соответствуют положениям Регламента.

Стадия 4. Внедрение изменений

Украинские компании должны не только разработать необходимые документы, но и обеспечить их реализацию и соблюдение в бизнес-процессах. Контролирующие органы при рассмотрении вопроса о соответствии компании требованиям GDPR учитывают реальный порядок обработки персональных данных, а не теоретические юридические модели.

На этой стадии компания также обязана назначить своего представителя (representative) на территории государства-члена ЕС, где находится большинство субъектов, чьи персональные данные обрабатываются. Для этого не обязательно создавать филиал заключать трудовой договор с работником в ЕС, достаточным заключения гражданско-правового договора с представителем.

Стадия 5. Контроль результатов

Обеспечение соответствия компании требованиям GDPR — это не одноразовая процедура. После разработки документов и внедрение необходимых организационных и технических мероприятий, компания обязана:

• поддерживать соответствие таких документов и мероприятий постоянным изменениям законодательства;
• фиксировать реальные процессы и события, которые имеют место во время обработки персональных данных;
• проводить периодический аудит процессов обработки персональных данных;
• проводить обучение сотрудников, которые имеют доступ к персональным данным, по вопросам защиты данных и информационной безопасности.

Таким образом, обеспечение соответствия украинских компаний требованиям GDPR уже превратилось из теоретической идеи в реальную условие для ведения успешного бизнеса в ЕС. Процедура достижения GDPR compliance достаточно сложной и требует значительных ресурсов и опыта, поэтому украинским компаниям, которые ориентируются на европейский рынок, уже сегодня необходимо пересмотреть вопросы защиты персональных данных.

Оригинал статьи читайте на сайте: Ліга:Закон.