GDPR compliance и внедрение GDPR – алгоритм

GDPR стал вызовом для многих. GDPR compliance означает соответствие требованиям General Data Protection Regulation в реальном времени в рамках с действующими бизнес-процессами компании.

Соответствие GDPR достигается с помощью системы организационных и технических мер, воплощение которых позволяет обеспечить надежную защиту персональных данных пользователей, в том числе, предоставив им реальный контроль над своей личной информацией, которая обрабатывается компанией.

А есть стандартный набор документов для GDPR compliance?  

Тут все просто. На вкус и цвет все карандаши разные, и бизнес-процессы в компаниях тоже. Кому-то достаточно вести учет в табличке, а у кого-то мега компьютер, который просчитывает шанс пользователя поскользнутся по дороге на работу и, как следствие, попасть в аптеку, где и совершить покупку.

Поэтому под копирку украсть бумажули с другого сайта или приложения не только некрасиво, но и совсем не честно по отношению к своим пользователям.

Как поговаривают в одном известном фильме о облаках и атласе – «Почитай потребителя своего». Разве почтительно просить юзера, согласится на обработку его самых сокровенных тайн в соответствии с ворованной бумагой, которую он не будет читать?

В тоже время – выход есть. Где же он? Как наставлял Морфиус – «не где, а когда». И так, настал момент, когда Вы приняли решение о необходимости GDPR compliance. Что дальше? Мы считаем, что главное понять с чем имеешь дело и лишь тогда действовать.

Поэтому первым этапом любого GDPR compliance является GDPR аудит. И только после этого можно готовить документы.

Внедрение GDPR: практический алгоритм

1. Изучаем кейс. GDPR Аудит показывает картину (initial data map) и позволяет составить план приведения процессов в соответствие с GDPR.
2. GDPR План определяет scope дальнейших работ.
3. Далее регулируем внутренний Compliance: определяем основания для обработки персональных данных, роли и компетенции, прорабатываем необходимость DPIA, DPO, вопросы безопасности данных в компании и действия при возможной утечке информации.
4. Регулируем отношения с data subjects: создаем privacy политики и берем согласия на обработку данных, а также реализуем права пользователей.
5. Регулируем отношения с контрагентами: создаем политики и Data processing agreements.
6. Демонстрируем accountability: создаем compliance data mapping и compliance presentation.

Такой алгоритм позволит комплексно подойти к вопросу внедрения GDPR. При этом, следует помнить о необходимости привести в соответствие с Регламентом именно реальные процессы, а не абстрактные фантазии.

Давайте же детальнее поговорим о конкретных этапах внедрения GDPR.

GDPR compliant – столь желанный статус. Как его достичь?

Процесс достижения GDPR compliance можно разделить на следующие этапы:

1. GDPR аудит

В результате аудита разрабатывается карта движения персональных данных и готовится gap assessment — документ, определяющий, чего именно не хватает компании для соответствия нормам GDPR в рамках конкретных бизнес-процессов.

Сложно переоценить важность аудита. Он позволяет определить – нужен ли GDPR как таковой и если нужен, то какие именно процессы необходимо привести в соответствие Регламенту. Требования GDPR для разных компаний могут отличатся в зависимости от юрисдикции, объемов обработки данных и сути операций.

2. GDPR план (compliance initiation)

В соответствии с результатом аудита осуществляется планирование конкретных шагов по достижению GDPR compliance.

Характерные документы:

Compliance Project Initiation Document – в этом документе мы инициируем саму подготовку к внедрению GDPR.

Preparation Project Plan – детальный план действий по имплементации GDPR в компании.

Gap Assessment (in the result of audit) – оценка «пропасти» между тем, как персональные данные обрабатываются сейчас и какие изменения необходимо произвести для приведения процессов в соответствие с GDPR

Compliance Evidence

Internal Audit Procedure – условия time-to-time аудита с целью оценки и переоценки состояния дел по GDPR.

Целью подготовки плана является определение конкретных шагов (дорожной карты), по которой необходимо двигаться компании для приведения своей деятельности в состояние GDPR compliance.

3. Внутренний GDPR compliance:

Data collection and transfer control

Определяем, как именно и на каком основании собираются персональные данные, как долго они хранятся, какие операции с данными проводятся.

Характерные документы:

Personal Data Mapping Procedure – расписываем принципы формирования карты движения персональных данных и юридических фактов, которые необходимо урегулировать в рамках передачи / обработки / обогащения данных.

Annex A1. Personal Data Capture Form (users as data subjects)

Annex A2. Personal Data Capture Form (employees as data subjects)

Annex B. Records of Processing Activities

Records Retention and Protection Policy

Roles and responsibilities

Определяем роли каждого из сотрудников / учредителей Компании в обработке персональных данных, устанавливаем уровень доступа, необходимость повышения квалификации

Характерные документы:

Roles and Responsibilities – указываем, какие именно задачи будут возложены на привлеченных лиц в рамках компании

Competence Development Procedure – описываем процедуры и необходимые условия для повышения компетенций внутренних стейкхолдеров внутри компании

Information Security Awareness Training (ENG/RUS) – возможный дополнительный тренинг по информационной безопасности

Handbook for Employee – супер книга. Конечно же, это не совсем книга, а скорее некий guide для сотрудника, в котором указаны ключевые аспекты работы с персональными данными нашей компании и конкретно его роль в этом процессе

Access Control Policy – документ, поясняющий, куда кому можно заглядывать, а куда запрещено и почемуJ ведь чем меньше людей знает секрет, тем надежнее.

DPIA & DPO

Определяем необходимость проведения DPIA и назначение DPO.

Характерные документы:

DPIA necessity report – документ призван определить, нужна ли такая штука как Data protection в организации.

DPIA Procedure

DPIA Report

DPO necessity report – определяем, нужен ли DPO и почему.

Security of personal data

Определяем режим защиты информации в компании.

Характерные документы:

Information Security Policy – один из самых серьезных документов в организации. По легендам его должен утверждать суровый дядя с усами и толстыми пальцами, но это не так. Однако, именно тут определяются меры, необходимые для информационной безопасности компании.

Information Security Incident Response Procedure

Personal Data Breach Procedure

Определяем алгоритм действий в случае утечки персональных данных (Data breach)

Характерные документы:

Personal Data Breach Notification Procedure – в случае, если происходит утечка данных, компания обязана об этом сообщить. Таково требование. Поэтому, нужно быть готовыми, иметь процедуру и знать, что делать.

Personal Data Breach Notification Form

Personal Data Breach Register

4. Регулируем отношения с пользователями:

Privacy policy documents

Готовим документы для пользователей — политики, согласия на обработку персональных данных, доступно и простым языком рассказываем пользователям об их правах.

Характерные документы:

International Transfer Procedure — бывает так, что компания в Украине, данные европейцев, а процессор в США. Что делать? Иметь политику.

Privacy Policy – пожалуй главный документ в контексте отношений с пользователями. Красиво, понятным языком и в дружественной манере, мы должны разъяснить пользователям как, зачем и почему мы можем обрабатывать их персональные данные.

Privacy Notice Procedure – тут мы рассказываем о том, как именно мы доносим информацию об обработке персональных данных до наших пользователей и заботимся о них.

Cookies Policy – политика о печенюшках. Мы должны рассказать, какие кукизы мы закидываем на устройство пользователя, как за ним потом следим и узнаем его тайны и желания.

Consent form — документ, которым пользователь выражает свое согласие на обработку персональных данных, скажем, при регистрации на сайте.

Cookies Consent Form – такой документ Вы точно видели. Почти на каждом сайте. Мол, «привет, а мы тут печеньками балуемся, ок?»

Rights of data subjects

Определяем процедуры и формы для реализации прав субъектов персональных данных и ведения учета обращений

Характерные документы:

Request and Complaints Procedure

Request and Complaints Form

Request and Complaints Register – мы должны регистрировать кто к нам обращался с запросами об удалении данных, скажем. Но вот вопрос – как зарегистрировать обращение того, кто потребовал удалить информацию? В таком случае оставляем лишь самую малость, а лучше засекреченную и псевдонимизированную и спрятанную на дне морском.

5. Регулируем отношения с контрагентами:

Data transfer policies & Data processing agreements

Определяем требования к контрагентам компании для возможности передачи персональных данных и готовим договора, необходимые для такой передачи

Характерные документы:

Supplier Assessment Procedure – мы не можем передавать данные кому-либо, поэтому должны скорить контрагентов. Они должны отвечать нашим строжайшим требованиям.

Controller-Processor Agreement Policy

Data Processing Agreement (controller/ controller) – важнейший документ, который мы можем подписывать с нашими партнерами. Тут мы определяем какой именно scope информации передается, условия работы с ней и так далее.

6. Демонстрируем соответствие GDPR:

Compliance data flow diagram & GDPR compliance presentation

Создаем карту движения потоков персональных данных, объясняя правовые аспекты каждого из этапов движения таких данных в рамках бизнес-процессов компании. Также создаем презентацию, демонстрирующую GDPR compliance.

Характерные документы:

Data Flow Diagram – важнейший документ, который показывает движение персональных данных в рамках нашей компании

Initial Mapping – изначальный набросок карты движения данных. Мы можем обновлять этот документ по мере новых создания бизнес-процессов

Compliance Data Mapping – тут мы к нашей карте привязываем конкретные правовые основания. Например – согласие позволяет взять данные в работу. Объем согласия определяет, что мы можем делать с ними далее. Следующим этапом может быть передача этих данных в облако в соответствии с DPA.

Evidence of Compliance presentation GDPR стал вызовом для многих. GDPR compliance означает соответствие требованиям General Data Protection Regulation в реальном времени в рамках с действующими бизнес-процессами компании. все любят слайдики. А эти слайдики – волшебные. В этой презентации поясняется вся суть GDPR compliance в соответствии с документами, которые подготовила компания для работы с персональными данными. Красивенько, на фирменном бланке да по сути.

GDPR — это динамический процесс

Стоит понимать, что недостаточно составить документы, положить их в тумбочку и предполагать вечный GDPR compliance и защиту от всех бед.

Действительно, некоторые GDPR документы имеют статический характер, например, изначальный план внедрения GDPR. Однако, даже этот план может изменятся и обновляется ввиду новых бизнес-процессов. Формы журналов об обращениях субъектов персональных данных заполняются, карты меняются, а согласия предоставляются.

GDPR compliance это маленькая счастливая жизнь, которая начинается с GDPR аудита и делает Вашу компанию сильнее, позволяя Вашим клиентам эффективно управлять своими персональными данными в рамках работы с Вами.  Более того, действительно рабочий GDPR compliance может стать Вашим конкурентным преимуществом.

Пишите нам или же сразу заполняйте наш GDPR опросник, и мы с радостью поможем Вашей компании на пути к GDPR compliance.