GDPR внедрение: 5 основных шагов

Первым и главным этапом всегда будет выяснить для себя:

• на каком этапе сейчас находится компания или продукт / проект, который необходимо привести в соответствие с GDPR;
• действительно ли компании необходимо привести свою деятельность в соответствие с требованиями GDPR (и законы каких государств будут влиять на работу этого продукта или компании, по крайней мере, в сфере защиты персональных данных);
• разработать план – необходимые шаги для компании или разработчиков продукта

Однако, чтобы составить план, необходимо выяснить, в чем именно заключается разрыв между актуальным состоянием продукта / компании и состоянием, которое бы полностью отвечало GDPR.

1) Поиск несоответствия между состоянием продукта или компании и GDPR

Прежде чем приступать к оценке, необходимо быть готовым к тому, что ее последствия могут повлечь за собой дебаты вокруг радикального изменения продукта или деятельности компании.

Чем больше промежуток времени между планами основания компании / проекта и датой оценки — тем менее гибкими и многофакторными эти желаемые изменения могут быть. Вполне вероятно, что перехода  на другую CRM будет недостаточно: необходимо будет менять саму архитектуру программы или структуру сайта, часто неочевидным для пользователя образом.

Может случиться, что необходимые изменения очень расстроят ваш фронтенд: поэтому не забудьте ввести их в курс дела, чтобы разработчики могли применить весь свой потенциал для решения этих задач.

Также всей вашей тех-команде необходимо будет подумать над privacy-friendly архитектурой проекта, и ответить на такого рода вопросы:

• какими способами обрабатываются ПД и с какой целью (лучше описать все необходимые данные и операции по их обработке напротив колонки с целью)
• какие именно ПД собираются и обрабатываются (и действительно ли они так необходимы, чтобы выполнять основную функцию Вашего продукта)
• какая ответственность возложена на лица, которые будут работать или иметь доступ к ПД — от команды техподдержки и топ-менеджмента компании с максимальным уровнем доступа, до маркетологов, продавцов, подрядчиков и других агентов, участвующих в обработке ПД (а если эти лица работают на основе трудового договора — то какие лица имеют доступ к данным о них, в частности, HR-отдел)
• какие инструменты защиты ПД будут применяться и как будут защищены права субъектов ПД (не только посетителей сайта / офиса компании, но и ее клиентов, работников и подрядчиков).

Удобнее оформлять результаты анализа в таблицу.
Например, ее можно разделить в соответствии с требованиями, которые Регламент диктует компании:

Статья	Продукт
Статья 5: Принципы, которые относятся обработки персональных данных	Не отвечает Регламенту
[…]	[…]

Статей в Регламенте — 99. Необходимо внимательно их изучить, соотнести с рекомендациями European Data Protection Board и национального органа по защите персональных данных, и попытаться расписать, где заключается несоответствие и как его побороть (то есть обозначить организационные и технические меры которые необходимо принять для внедрения GDPR).

Также можно пометить для себя, какие статьи возлагают на компанию ответственность и обязанности. При составлении политик конфиденциальности и обработки данных, эти примечания могут послужить отличной основой для системы мониторинга защиты персональных данных.

2) Анализ рисков и поиск самого слабого звена (чтобы попрощаться)

В основе Регламента лежит подход, основанный на оценке рисков. GDPR не устанавливает строгих технических спецификаций или даже методов, или инструментов защиты персональных данных — это обусловлено тем, что Регламент предусматривает дальнейшее быстрое развитие технологий и полагается на профессиональные знания и подготовку специалистов, занимающихся вопросами безопасности, в целом, и защитой персональных данных, в частности.

Анализ рисков требует глобального аудита всей компании, а это огромная работа. Вполне логично будет разбить аудит на анализ отдельных подразделений: в этом случае, придется опросить каждого специалиста, вовлеченного в обработку данных (какой бы мелкой его роль не казалась), чтобы составить полное представление обо всех возможных направлениях потоков персональных данных и пути их возможной утечки.

Результатом такого аудита должен быть документ, где указано, какая деятельность (т.е. процессы обработки) несут риск и должны быть пересмотрены. Риски необходимо минимизировать, а если это сделать невозможно — обратиться к руководящему надзорному органу и получить официальную консультацию и согласованный план действий (ну или еще раз подумать о необходимости такого сбора и обработки данных).

Следует пересмотреть все документы компании, касающиеся защиты персональных данных:

• Уставные документы (об отношениях с любыми иностранными компаниями и работе с подрядчиками);
• Внутренние политики компании (которые касаются как собственно защиты ПД, так и других процессов, требующих обработки ПД — от обработки заказов покупателей, юридического отдела и отдела ИТ);
• Договора трудовые, хозяйственные и гражданские (с подрядчиками и клиентами)
• Коллективные договора (при наличии).

Важно помнить, что GDPR обращает внимание прежде всего на высокие риски: поиск наиболее острых проблем должны быть в фокусе всего аудита. В комплексе с выявленным разрывом между требованиями Регламента и фактического его выполнения компанией эта карта рисков подскажет, какие факторы опасны для интересов компании и прав субъектов данных и должны решаться в первую очередь.

Определенные риски и слабые места существуют всегда. Цель аудита — позаботиться об их своевременном выявлении и преодолении без жертв.

3) Запуск проекта и расчет расходов: take your time and take my money

Дано:

(1) анализ разрывов между реальным и идеальным состоянием;

(2) карта рисков и мероприятий по их снижению;

(3) карта потоков данных.

Следующая остановка — построение плана приведения деятельности компании или проекта в состояние, которое отвечает требованиям GDPR или же – внедрение GDPR.

Ограничиться только концептуальными изменениями не получится: чтобы быть GDPR compliant (по сути осуществив GDPR внедрение), необходимо сделать ряд организационных, технических, юридических, экономических и образовательных шагов. Они требуют соблюдения «Водопадной» последовательности — от закладки базовых решений до согласования между собой мельчайших деталей.

Первым важным решением будет принятие обязанностей выполнения норм Регламента.

Все дальнейшие шаги должны согласовываться с более ранними решениями.

План дальнейших шагов состоит в оценке объема работ и выделения достаточных ресурсов — средств, людей, часов, привлеченных специалистов со стороны. План должен охватывать всю компанию, и обязательно включать пункт о составлении актуальной, точной и легкой к прочтению политики приватности (политики защиты персональных данных, или privacy policy).

Составление плана также предусматривает распределение обязанностей и ответственности. Важно, чтобы часть ответственности была возложена на председателей и ключевых работников важнейших (с точки зрения защиты персональных данных) отделов, общий контроль которых будет задачей руководителя проекта. В некоторых случаях, будет вполне понятным и логичным шагом привлечь внешнего специалиста — как главу проекта или советника.

Этот этап завершается согласованием и принятием плана, который должен воплощаться в жизнь шаг за шагом.

4) Выполнение плана: введение программы защиты персональных данных в жизнь компании (GDPR внедрение).

Теперь руководитель проекта (и руководитель компании) на минутку остается один на один на краю огромной непаханой целины. После планирования официального идет планирование оперативное: необходимо втиснуться в сжатые дедлайны и не упустить из виду рабочие обязанности (и свои, и подчиненных, вовлеченных в проект). Ему придется решать, с чего же начать.

Первой задачей обычно является исследование уже готовых решений. Далее — принятие предложений их улучшения. Но имеет ли это смысл, если последний раз политики приватности пересматривались вместе с ощутимыми изменениями в бизнес-процессах? Весь пакет документов, от политики приватности с индивидуализированными инструкциями по отдельным видам обработки данных или коммуникации с субъектами данных, должен быть комплексным и взаимосвязанным. Одних только документов будет мало.

Обучение персонала и подготовка подрядчиков к работе с персональными данными требует отдельного внимания. Это можно воплотить в виде проведения тренингов или воркшопов (разовых или регулярных), экзаменов по осведомленности и ознакомлению со специально составленными инструкциями или руководствами. Готовить материалы для обучения можно как самостоятельно, так и с привлечением внешних специалистов, учитывающих особенности бизнес-процессов компании-клиента. Эти же презентации, сертификаты об успешном прохождении курса выданные под подпись инструкции помогут при проверке: надзорные органы по защите персональных данных регулярно предупреждают компанию об обязанности контролеров позаботиться о подготовке кадров и подрядчиков к работе с персональными данными.

Однако главный принцип придется усвоить сразу: отныне защита персональных данных становится не разовым или аварийным действием, а постоянным процессом, который поддерживается регулярным обновлением и мониторингом. Просто подготовить документы и передать их в архив не получится. Так GDPR внедрение не делается.

Только на основе бесперебойной обратной связи между командой, занимающейся вопросами приватности, и исполнителями, работа которых связана с данными компании, компания сможет распространить культуру уважения к защите персональных данных, проактивное мышление и умение принимать решения, соответствующие политикам компании.

5) Адаптация к национальному законодательству (или нескольким)

GDPR охватывает множество вопросов и обязанностей контролера. Однако требования к компании могут выдвигаться не только на уровне Регламента — обязательно также проверить требования и законодательство как страны, где компания зарегистрирована, так и стран, откуда к вам «идет» целевая аудитория.

Почти каждое государство имеет собственное законодательство о защите персональных данных. И это не всегда ограничивается одним законом — в сфере набора персонала, трудового законодательства, здравоохранения и социального обеспечения, рекламного законодательства и актов государственных органов по кибербезопасности (это не исключительный список) — есть собственные правовые акты, которые также необходимо учитывать.

Пример влияния законодательства — сроки хранения данных. Некоторые законы обязывают компании сохранять данные дольше, чем компания хотела бы или считала бы нужным (налоговое законодательство, обязательное медицинское страхование и т.д.).

В частности, у каждого государства есть свой порог возраста, с которого ребенок может давать согласие на обработку своих персональных данных без согласия родителей. Другой способ воздействия — списки операций с данными, которые требуют обязательного проведения Data Protection Impact Assessment (или наоборот — освобождают компанию от обязанности проводить оценку воздействия защиты персональных данных) и другие.

Кажется, что работы много. И это правда.

Важно сохранять спокойствие и методично реализовывать план — шаг за шагом, этап за этапом. Тогда в добавок к порядку в документах — появится четкое представление о данных, как еще одному активу компании, который нуждается в развитии и усовершенствовании, и в последствии отблагодарит Вас своим вкладом в чистую прибыль.

Все заинтересованные лица должны понимать собственный вклад в поддержание порядка и могут оперировать дополнительной информацией в принятии важных решений — а возможно, даже лично предотвратить неприятности: снизить количество инцидентов фишинга или других способов мошенничества и оперативно сотрудничать с другими стейкхолдерами рынка для улучшения и совершенствования собственных продуктов.