Що потрібно зробити українським компаніям для відповідності вимогам GDPR?

General Data Protection Regulation (GDPR/Регламент) – документ, який кардинально змінив правила гри у сфері захисту персональних даних. Незважаючи на те, що GDPR є внутрішнім актом Європейського Союзу (ЄС), у певних випадках він має екстериторіальну дію.

У світлі останніх роз’яснень European Data Protection Board стосовно територіальної сфери дії Регламенту стає зрозумілим факт, що на значну частину українських компаній (як реального сектору, так і сфери інформаційних технологій) поширюється обов’язок GDRP compliance. Як наслідок, в українського бізнесу все частіше виникає запитання: «Що потрібно зробити для відповідності вимогам GDPR?»

Одразу слід зазначити, що забезпечення GDPR compliance – це складний процес, який потребує співпраці великої кількості людей – перш за все, менеджменту компанії, юристів та технічних фахівців. Для полегшення розуміння пропонуємо поділити цей процес на кілька основних стадій.

Стадія 1. Фіксування поточного стану

На цій стадії необхідно провести аналіз всіх бізнес-процесів компанії з метою виявлення конкретних процедур обробки персональних даних, кола суб’єктів, які залучаються до обробки, порядку взаємодії компанії з такими особами.

Результатом є складання Initial Data Mapping – своєрідної «карти» руху персональних даних, яка наочно фіксує фактичні умови їх обробки. Цей документ забезпечує розуміння загальних алгоритмів роботи компанії з персональними даними на вихідній стадії.

Стадія 2. Оцінка поточного стану

Отримавши розуміння поточних алгоритмів обробки персональних даних, необхідно визначити, що слід змінити в таких алгоритмах для забезпечення відповідності вимогам Регламенту. Першочергово необхідно провести privacy due diligences, зокрема проаналізувати політику конфіденційності щодо її відповідності вимогам GDPR; форму, у якій суб’єкт даних повідомляється про обробку його персональних даних; положень про конфіденційність в укладених договорах; інші документи внутрішнього та публічного характеру.

У разі, якщо обробка персональних даних імовірно призведе до виникнення високого ризику для прав та свобод суб’єктів даних, українська компанія зобов’язана провести оцінку впливу на захист даних (Data Protection Impact Assessment).

Результатом даної стадії є визначення компанією різниці (Gap Assessment) між поточним станом своєї діяльності та тим станом, якого вона повинна досягти після впровадження всіх необхідних заходів відповідно до вимог Регламенту. Gap Assessment є «дорожньою картою» на шляху досягнення GDPR compliance.

Стадія 3. Розробка документів

Розробка документів – це завжди основна стадія, від правильності та ефективності реалізації якої залежить відповідність компанії вимогам GDPR. Умовно всі документи можна поділити на політики, процедури та інші документи.

Політики визначають основні засади, якими компанія керується в процесі обробки персональних даних. Прикладами політик є:

• Privacy Policy – документ для сповіщення суб’єктів даних про порядок обробки компанією їх персональних даних;
• GDPR Controller/Processor Agreement Policy – політика, яка визначає порядок укладення договорів між компанією і обробниками персональних даних та вказує на ключові моменти таких договорів.

Процедури, у свою чергу, розкривають офіційний порядок реалізації компанією юридично значимих дій у сфері обробки персональних даних. Вони відображають покрокову інструкцію, якої компанія повинна дотримуватися в тому чи іншому випадку. Прикладами процедур є:

• Privacy Notice Procedure – процедура повідомлення суб’єктів даних про особливості обробки їх персональних даних;
• Data Subject Request Procedure & Complaints Procedure – порядок дій компанії, у разі звернення суб’єкта даних із скаргою чи запитом на реалізацію прав, підкріплених Регламентом.

Інші документи розробляються компанією для забезпечення відповідності спеціальним вимогам GDPR. Наприклад:

• Preparation Project Plan – визначає, які заходи та коли вводяться компанією для досягнення compliance;
• Roles and Responsibilities – закріплює обов’язки менеджменту компанії та основних категорій працівників в сфері обробки персональних даних.

Вище наведено лише невелику частину документів, які необхідні для забезпечення відповідності вимогам Регламенту. Конкретний комплект документів та їх зміст повинен визначатися для кожної компанії окремо з урахуванням специфіки їх бізнес-процесів.

На жаль, достатньо поширеною серед українських компаній є імітація GDPR. Вона виникає, якщо компанія розробляє виключно основні публічні документи, а саме – Privacy Policy (політику конфіденційності) та Privacy Notice (повідомлення суб’єкта даних про порядок обробки персональних даних), і цим її підготовка вичерпується. Privacy Policy необхідна для відповідності вимогам статей 24 та 32 Регламенту, а Privacy Notice задовольняє вимоги статей 13 та 14 Регламенту. GDPR імітація залишає поза увагою решту обов’язкових до виконання вимог Регламенту.

Розробки лише Privacy Policy та Privacy Notice недостатньо для забезпечення GDPR compliance, навіть за умови, що такі документи за своїм змістом відповідають положенням Регламенту.

Стадія 4. Впровадження змін

Українські компанії повинні не лише розробити необхідні документи, а й забезпечити їх реалізацію та дотримання у бізнес-процесах. Контролюючі органи при розгляді питання щодо відповідності компанії вимогам GDPR беруть до уваги реальний порядок обробки персональних даних, а не теоретичні юридичні моделі.

На цій стадії компанія також зобов’язана призначити свого представника (representative) на території держави-члена ЄС, де перебуває більшість суб’єктів, чиї персональні дані обробляються. Для цього не обов’язково створювати філію чи укладати трудовий договір з працівником в ЄС, достатнім буде укладання цивільно-правового договору з представником.

Стадія 5. Контроль результатів

Забезпечення відповідності компанії вимогам GDPR – це не одноразова процедура. Після розробки документів та впровадження необхідних організаційних та технічних заходів, компанія зобов’язана:

• підтримувати відповідність таких документів та заходів постійним змінам законодавства;
• фіксувати реальні процеси та події, які мають місце під час обробки персональних даних;
• проводити періодичний аудит процесів обробки персональних даних;
• проводити навчання співробітників, які мають доступ до персональних даних, щодо питань захисту даних та інформаційної безпеки.

Таким чином, забезпечення відповідності українських компаній вимогам GDPR вже перетворилося з теоретичної ідеї на реальну умову для ведення успішного бізнесу в ЄС. Процедура досягнення GDPR compliance є достатньо складною та вимагає значних ресурсів і досвіду, тому українським компаніям, які орієнтуються на європейський ринок, вже сьогодні необхідно переглянути питання захисту персональних даних.

Оригінал статті шукайте на сайті Ліга:Закон.