GDPR документы: изменения и обновления. Когда и зачем?

Компании, которая планирует выход на европейские рынки, прежде всего необходимо разработать GDPR документы. Если же компания уже работает на рынке ЕС, то она, скорее всего, слышит о требованиях к защите персональных данных уже не первый раз (и ее политика приватности уже давно адаптирована под требования GDPR), и, в таком случае, можно спокойно продолжать вести бизнес. Или нет?

Просто сделать документы недостаточно. Комплаенс с любым законом — всегда циклический процесс, и GDPR не исключение. Некоторые документы могут оставаться (сравнительно) статическими, однако большинство документов меняются и обновляются регулярно. А некоторые из них — (реестры и журналы) ведутся постоянно.

Почему это важно? Да потому, что GDPR требует приводить документы по приватности в актуальное состояние, и не позволяет оправдывать неточности в них даже если компания пройдет какую-то сертификацию.

Как же неюристу во всем этом разобраться?

Для начала, следует сосредоточиться на трех направлениях:

• политика приватности для пользователей (они же — субъекты данных, поскольку именно они оставляют информацию о себе — персональные данные — или метаданные во время посещения сайта или загрузки приложения)
• внутренние политики, процедуры, карты и другие документы для работников и привлеченных специалистов (например, политики по информационной безопасности и т.д.);
• а также договоры и документы, предназначенные для партнеров и В2В-клиентов (особенно актуально для аутсорсных компаний и фрилансеров).Пойдем по порядку.

Политика приватности 

В первую очередь следует держать политику приватности (Privacy Policy) в актуальном состоянии. Это означает, что следует думать о ней каждый раз, когда меняется любой элемент бизнес-модели. Такое изменение может включать в себя:

• изменение цели сбора и обработки данных (например, если вы хотите данные для выполнения заказов использовать еще и для распространения рекламы о партнерах)
• получение данных не только от субъекта данных напрямую, но и из других источников (и каких именно источников)
• изменение способов обработки персональных данных (например, в тех случаях, когда вы совместных контроллеров только при некоторых операциях с данными — особенно актуально, если вы используете таргетинговой рекламу в соцсетях)
• изменение правового основания, что позволяет собирать данные (в GDPR шесть таких lawful basis: они предусмотрены в статье 6 Регламента)
• либо третьим лицам передаются персональные данные или просто доступ к ним (да, даже если это просто АРЕ), особенно если они перемещаются в третьи страны вне ЕС;
• изменение периода, в течение которого эти данные хранятся;
• изменение способа, которым субъекты данных могут реализовать свои права (например, замены ручного отправки ответов на запросы автоматизированными функциями или создание порталов)
  добавления или уборка по обработке данных автоматизированного принятия решений и профайлинга и тому подобное.

  Внутренние политики и работа с вендорами

  Во многом составление политик приватности возлагается на другие документы (retention policy, information security policy, data breach policy, complaint and request resolution policy и т.д.). Иными словами, недостаточно изменить только внутренние документы, которые описывают порядок защиты персональных данных в компании — эти изменения надо вынести и в политику приватности (в пределах охраны коммерческой тайны и здравого смысла, конечно).
  Аналогично — менять только политику приватности без соответствующих уточнений в документах тоже будет нарушение принципа подотчетности (accountability).

В частности, важно и просто время от времени просматривать документы и вносить новые изменения. Например, вы можете изменить функционал своей платформы для реализации прав пользователей сайта на информацию о том, какие данные о них и для каких целей используются — и этот функционал надо будет описать, даже если просто добавилось несколько дополнительных форм запросов или формат выдачи необходимого файла. Или же просто прекратить собирать определенные виды информации.

Иногда следует обновлять DPIA (Data Protection Impact Assessment). Проводить раз в год запланированный аудит, а при разработке новых функций приложения или сайта, или изменении подхода к аналитике, или же при разработке и предложения АРЕ для других разработчиков может понадобиться отдельная, более узкая оценка рисков. DPIA могут потребовать и национальные органы, которые занимаются защитой персональных данных, и важно вовремя об этом узнать, чтобы подготовиться.

Отдельно следует обращать внимание на политики, которые связаны именно с безопасностью данных. Меры, применяемые специалистами по информационной безопасности, касающиеся всех: от ИТ-поддержки клиентов или друзей работников, которые зашли в офис и пользуются гостевым вайфай. Их следует также учесть в документах и ​​как можно чаще обновлять в соответствии с лучшими практиками и применяемым фреймворкам.

Но — и это бесспорно — чаще всего будут обновляться реестры. Регламент привлекает внимание к нескольким видам реестров: согласия на обработку данных, процедуры обработки данных, нарушений в безопасности (инцидентов) и др. Некоторые из них могут быть актуализированы в форме логов, другие могут требовать ручного ведения, но обновляться они должны каждый раз, как возникнет основание для новой записи: новый клиент, потребность оперировать данными или утечка базы данных.

Договоры на работы и услуги и политики работы с вендорами

Более того, GDPR требует поддерживать документацию о соответствии привлеченных вендоров. Поскольку ИТ сфера делегируется подрядчикам довольно часто, то следует регулярно проходить следующие шаги:

1. Составить или актуализировать политику привлечения вендоров и оценки их соответствия GDPR.
2. В переговорах с новым вендором расспросить его о наличии всех необходимых политик и технических мероприятий (обычно для этого используются опросники в любых формах — от обычной анкеты в отдельном ворд-файле до комплаенс-систем с автоматизированными элементами проверки).
3. Заключать с подрядчиком несколько сделок:
   а) Договор на услуги (инструкции, какие именно процедуры по обработке он может совершать и с какой целью, и указанием роли, которую в обработке выполняет вендор и т.п.);
   б) Data Processing Agreement (с перечислением ответственности каждой из сторон и применимыми мерами информационной безопасности); и, опционально,
   в) Соглашение о неразглашении, SLA и другие соглашения, которые помогут повысить конфиденциальность обработки данных и скорость реакции на инциденты в безопасности.
4. Сообщать вендору об изменениях политик приватности, внутренних документов, или документов другого партнера и убедиться, что вендор удаляет данные в согласованные сроки и не использует их для собственных целей.Конечно, вендоров следует периодически спрашивать об изменениях в их части касающейся обработки персональных данных и информационной безопасности. В этом могут помочь регулярные просмотры стандартных соглашений на оказание услуг, к которым привлекаются вендоры.

Не последнюю роль в изменениях и обновлении документов занимает соответствие национальному законодательству, а также указания органов защиты персональных данных. В этом случае, на изменение правил необходимо реагировать как можно быстрее. Лучше всего, если вы или выбранный вами специалист из сотрудников или подрядчиков компании отслеживает подобные изменения еще на этапе публичных консультаций или проектов законов и изменений в политиках, которые могут вступить в силу одновременно с правовым актом.

Обычно отслеживанием и обновлением занимается штатный или нанятый независимый DPO (Data Protection Officer). Именно он в определенное заранее время инициирует проверки, общается со всеми вовлеченными отделами компании и отчитывается менеджменту. Если же такого специалиста нет — то ответственность за содержание документов в актуальном состоянии ложится на руководителя компании.

Итак, наконец небольшая проверка:

— Когда вы обновляли документы по приватности?
— Соответствует ли текущая редакция политики конфиденциальности реальному положению дел?
— Не появилось ли за последнее время нового регулирования в вашей стране, на уровне Евросоюза или в локальных актах материнской / холдинговой компании?
— Были ли привлечены подрядчики к вашему опросу о наличии у них необходимых политик?

Если ответ хотя бы на один из вопросов вызывает сомнения — лучше позаботиться об обновлении и изменении документов в ближайшее время.

GDPR compliance

Дубас Катерина

IT lawyer