Шлях досягнення GDPR compliance має свою специфіку для кожної компанії. Необхідно детально проаналізувати потоки даних, роль компанії в обробці персональних даних та визначити необхідний перелік документів і шляхи їх впровадження.

В нашій практиці є кейси впровадження документів для GDPR для ІТ компаній з України та нерезидентів. Також є досвід роботи в рамках GDPR з компаніями реального сектору. Ми напрацювали, як нам здається, найбільш ефективний алгоритм роботи в рамках послуги з підготовки компанії до GDPR і радо ним ділимося.

Структура нашої роботи:

Зазвичай ми пропонуємо послугу з GDPR compliance у відповідності до наступних етапів:

  • На основі Ваших відповідей щодо переміщення та обробки персональних даних (далі – «ПД») Вашою компанією, ми створюємо Initial data mapping. У рамках цієї карти фіксуємо фактичні умови обробки ПД.
  • Аналізуємо алгоритм обробки ПД Вашою компанією та розроблюємо gap assessment – документ, що визначає, які саме кроки необхідно вжити для досягнення compliance у Вашому випадку.
  • На основі проведеного Gap assessment визначаємо список документів (set of GDPR documents), які необхідні для досягнення GDPR compliance у Вашому кейсі, а також їх роль і функції. Орієнтовна кількість таких документів – 30 одиниць. Наповнення та точна кількість документів визначаються індивідуально. Документи готуються англійською мовою і до них додаються пояснення щодо використання та впровадження.
  • Складаємо Compliance data mapping, де наочно показуємо конкретні документи (групу документів), що забезпечують дотримання вимог GDPR за кожним із напрямків обробки ПД
  • Готуємо complianceпрезентацію, в якій на основі Compliance data mapping розповідається про способи та методи досягнення Вашою компанією повного GDPR compliance.

Аналіз вихідних умов у Вашому кейсі:

Напишіть нам базову інформацію – як Ви працюєте з персональними даними або залиште запит і ми радо проаналізуємо вихідні умови у Вашому кейсі для подальшої підготовки кастомізованої пропозиції.

Результати послуг:

Як Deliverables в рамках нашої послуги, клієнти зазвичай отримують:

  • Initial data mapping (карта руху персональних даних) (англійською мовою) для фіксації структури руху персональних даних між Вашими компаніями / у відносинах з Вашими контрагентами
  • Gap assessment (оцінка необхідних заходів для досягнення відповідності GDPR) (українською мовою) для структури Ваших компаній / компанії.
  • Set of GDPR documents (30+ документів англійською мовою) + інструкції щодо їх впровадження для Вашої компанії в одній юрисдикції. Такий пакет документів для Ваших компаній в інших юрисдикціях може відрізнятись.
  • Контракти / необхідні пункти до контрактів з Вашими підрядниками / контрагентами
  • Compliance data mapping (карта руху персональних даних з документами) (англійською мовою)
  • Compliance-презентація (англійською мовою) для Вашої компанії

Додатково ми можемо допомогти з наступним (не входить до Deliverables):

  • В процесі підготовки Gap assessment може виникнути необхідність проведення Data protection impact assessment, як це передбачено GDPR. Data protection impact assessment (DPIA) – це оцінювання ризиковості конкретної операції / групи операцій з персональними даними для суб’єктів персональних даних. Проводиться зазвичай при наявності профілювання, автоматизованих рішень, обробки даних у величезних обсягах. В рамках нашої послуги ми готуємо документи для можливості проведення DPIA, але його безпосереднє здійснення узгоджується окремо.
  • В процесі підготовки GAP assessment може бути визначено, що Вашій компанії потрібен Data protection officer. Ми можемо посприяти в його пошуку, оскільки послуги DPO ми не надаємо.

Додаткові послуги (не входить до Deliverables):

  • Ми також можемо провести тренінг для Ваших співробітників / підрядників у форматі виїзного майстер-класу / воркшопу. Тривалість такого тренінгу – 1 день. Як результат – Ваші співпробітники / підрядники дізнаються про базиси та нюанси застосування GDPR у Вашому випадку і ми надамо Вам сертифікат. Умови тренінгу узгоджуються додатково.

 

Вартість та строки надання послуг

Комплексна вартість Deliverables визначається в кожному випадку індивідуально і ми будемо раді надати Вам індивідуальну пропозицію. Вартість послуг залежить від складності процесів обробки персональних даних Вашою організацією та об’єму таких даних. Також береться до уваги кількість юридичних осіб, які мають доступ до персональних даних у Вашій структурі та юрисдикції їх реєстрації. 

Зазвичай строки надання послуг це 30 – 40 робочих днів на підготовку deliverables після отримання відповідей на деталізований опитувальник.

Після надання всіх deliverables – ми додатково надаємо онлайн-консультації щодо deliverables в узгодженому об’ємі.

Вартість додаткових послуг узгоджується додатково.

Подальші кроки

Ми готові відповісти на запитання та підготувати для Вас кастомізовану пропозицію. У випадку співпраці – ми підписуємо контракт про надання послуг та розпочинаємо роботу, зокрема – готуємо детальний опитувальник, і після отримання відповідей – готуємо deliverables.

Будемо раді з Вами працювати.

Статті на тему:

Твоє запитання IT юристам? Зв'язатися з нами