Опросник по GDPR

ИТ аутсорсинг стал настоящей визитной карточкой Украины: отечественные ИТ компании охотно предоставляют услуги иностранным заказчикам, получая справедливое и достойное вознаграждение на уровне европейских стран. Однако, когда речь доходит до необходимости обеспечивать те же европейские стандарты в области безопасности персональных данных, бизнес далеко не всегда уделяет этому вопросу надлежащее внимание.

Пока украинские компании все еще размышляют над необходимостью обеспечения комплаенса, GDPR-тиски постепенно, но неуклонно продолжают зажиматься.

Что такое GDPR опросник / GDPR questionnaire?

Самым распространенным и одновременно легким способом проверки компании на соответствие требованиям GDPR является использование специальных опросников. По своей сути, GDPR опросник – это обычный перечень вопросов (насчитывает примерно 20-30 вопросов), который занесен в удобную таблицу.

Типичный GDPR опросник содержит следующие поля:

• вопросы;
• поле для ответа (обычно доступны два варианта ответа «Да» или «Нет»);
• комментарии (используется для предоставления развернутых ответов).

Хорошей практикой является внесение компанией, которая прислала опросник, дополнительных примечаний. Они позволяют лучше понять, что именно хотел узнать от вас интервьюер, составляя тот или иной вопрос. К сожалению, далеко не всегда опросники содержат примечания.

Виды GDPR опросников

Сегодня можно встретить три основных вида GDPR опросников:

Структура GDPR опросника

На практике украинские ИТ аутсорсинговые компании чаще всего встречаются именно со вторым видом опросника – тем, что направляется для оценки контрагентов (поставщиков услуг). Поэтому в дальнейшем мы сосредоточимся более подробно именно на этой разновидности опросника.

Структура GDPR опросника

Типичный GDPR опросник условно можно разделить на два блока вопросов:

• общий блок;
• специальный блок.

Общий блок вопросов касается состояния осведомленности компании о GDPR-стандартах. Обычно, он содержит следующие вопросы:

• Знает ли ваша компания о GDPR?
• Какова ваша роль в обработке персональных данных (контроллер, совместный контроллер, обработчик, субобработчик)?
• В какой стране вы обрабатываете персональные данные?
• Какие правовые основания для обработки данных?
• Какие цели обработки персональных данных?

Специальный блок вопросов касается необходимости отвечать отдельным требованиям GDPR и содержит следующие типичные вопросы:

• Использует ли ваша компания субподрядчиков?
• Разработала ли компания надлежащие политики и процедуры для защиты персональных данных?
• Имплементированы ли надлежащие технические и организационные меры безопасности?
• Была ли проведена оценка влияния на защиту данных (Data Protection Impact Assessment / DPIA)?
• Назначила ли компания сотрудника по вопросам защиты данных (Data Protection Officer / DPO)?

Почему мне прислали GDPR опросник?

Если европейские заказчики прислали вам GDPR опросник, то, скорее всего, в процессе оказания услуг вы имеете доступ к персональным данным их клиентов (работников или подрядчиков).

Дело в том, что понятие «обработки персональных данных» имеет очень широкое значение и охватывает «любую операцию или набор операций, выполняемых с персональными данными или с наборами персональных данных».

В своих комментариях Европейская Комиссия отмечает, что «доступ к базе данных, содержащей персональные данные» составляет обработку в понимании GDPR. Итак, получая доступ к базе персональных данных, вы действуете как обработчик, а европейский заказчик как контроллер таких данных.

GDPR обязывает контроллера сотрудничать только с теми обработчиками, которые предоставляют соответствующие гарантии обеспечения технических и организационных мер безопасности. Кроме того, GDPR устанавливает принцип подотчетности (accountability), который предусматривает, что контроллер должен быть способным доказать, что он проверил поставщиков услуг на соответствие требованиям GDPR.

Что писать в опроснике?

Представим ситуацию: пришло время икс – вы получили GDPR опросник. Что же делать? Стратегически ситуация выглядит очень просто: заполнить, подписать, отправить заказчику. Profit!

Однако на уровне тактики проблемы могут возникнуть уже на втором-третьем вопросе с опросника, когда Вы, например, попробуете разграничить joint controllers от separate controllers, провести privacy risk assessment вашего бизнеса, или определить, предоставляете ли вы услуги информационного общества ребенку. Обязательно возникнет вопрос: «А что здесь писать?»

Универсальных рекомендаций, что именно нужно писать в GDPR опроснике, не существует и не может существовать априори. Ответы на вопросы должны всегда базироваться на основе анализа ваших бизнес-процессов и специфики конкретного кейса.

Однако мы можем точно сказать, чего не стоит делать. Нельзя писать ложь! После подписания опросник становится юридическим документом, который может быть использован в качестве доказательства против вас в случае возникновения каких-либо споров с контрагентом в будущем.