Як виглядає GDPR compliance?

GDPR відображається в процесах. Наявність певних політик це ніщо, якщо в реальних ситуаціях люди діють по-іншому. 

Процеси мають бути задокументовані та налагоджені шляхом доведення до відповідних осіб. Ба більше, оскільки процеси роботи з персональними даними динамічні, час від часу, вони потребують перевірки та оновлення. 

 

Кожен GDPR compliance проект різний, але можна виділити окремі модулі, як ось:

 

  1. Customer journey map (карта подорожі користувача) та GDPR. Йдеться про digital experience (цифровий довід) покупця або ж користувача з моменту першого контакту з контентом і, аж до повторних покупок. 
  2. Candidate journey map (карта подорожі кандидата) та GDPR. В рамках найму або ж хайрингу кандидатів, людина ділиться з компанією своїми персональними даними, і, відповідно, такі дані, також проходять певний шлях в рамках personal data mapping (карти руху персональних даних в компанії)
  3. Працівники компанії та GDPR. В організації визначаються ролі та обов’язки щодо виконання вимог GDPR. Працівники проходять тренінги для розуміння, що саме вони мають робити в рамках GDPR процесів в компанії та як побудована програма приватності (Privacy program) в організації в цілому. Також не варто забувати і про обробку даних самих працівників
  4. B2B клієнти та GDPR. Демонстрація відповідності Регламенту шляхом заповнення опитувальників та менеджмент відповідних угод про передачу даних 
  5. Менеджмент контракторів та GDPR. Управління відносинами з партнерами та підрядниками в контексті можливості передачі їм персональних даних та умов такої взаємодії
  6. Authority та GDPR. Взаємодія з контролюючими органами в рамках GDPR це нормально. Звісно, якщо є працююча privacy program

Всі ці модулі базуються на якісних та пропрацьованих внутрішніх документах, які визначають, зокрема:

  • Умови збору даних та контроль за їх передачею
  • Ролі та відповідальності за GDPR процеси в компанії
  • Умови проведення оцінки ризиків та необхідність Data protection officer
  • Умови та вимоги щодо безпечної обробки персональних даних

Для ініціації початку роботи над privacy program з метою досягнення GDPR compliance, необхідним є проведення інвентаризації персональних даних, які оброблюються компанією. 

 

Отже, ми маємо starting point в рамках GDPR compliance проекту, який, умовно, можна розділити на 3 етапи:

 

Частина 1: Інвентаризація даних та визначення дорожньої карти до GDPR compliance 

 

Для визначення суті та складових частин необхідної в конкретному випадку документації та умов її  впровадження в процеси компанії, необхідним кроком є підготовка консультації (звіту / аудиту) щодо вимог GDPR саме до Компанії у відповідності до Механіки. 

 

Цей крок є першим кроком у GDPR compliance для компанії, адже, не маючи дорожньої карти, розуміння потоків даних та специфіки вимог, неможливо прийти до конкретного та потрібного результату. Фактично, початок проведення такого аудиту є відправною точкою процесу. 

 

Результати викладаються у формі звіту, який включатиме наступні розділи: 

 

  • вступ (карти потоків персональних даних з поясненнями ролі Компанії у кожному з процесів); 
  • gap assessment (перерахування всіх застосовуваних до Компанії вимог GDPR та рекомендації щодо дій, які Компанія може виконати для досягнення комплаєнсу з цією статтею); 
  • оцінка комплаєнсу третіх осіб, що беруть участь в обробці персональних даних (та перерахування дій, які рекомендується виконати для досягнення комплаєнсу); 
  • перелік документів, які слід скласти та ввести в діяльність Компанії для відповідності вимогам GDPR; 
  • план тренінгів та інших заходів з навчання персоналу щодо питань приватності і обробки персональних даних.

 

Частина 2: GDPR документи

 

Можна виділити наступні блоки документів, які є типовими для GDPR проєктів. При цьому, самі документи та їх наповнення визначається в звіті. 

 

1) Внутрішній compliance: 

 

  • Збір даних та контроль за передачею даних
  • Ролі та відповідальності
  • DPIA, DPO
  • Безпека персональних даних

 

2) Права суб’єктів даних

 

  • Privacy policy documents
  • Документи щодо реалізації прав суб’єктами даних

 

3) Управління відносинами з контрагентами

 

4) Демонстрація compliance 

 

Залежно від ролі компанії в конкретних процесах обробки даних, блоки документів можуть бути наповнені по-різному. Наприклад, для компанії, яка надає послугу у форматі saas, дуже важливим буде зробити певний GDPR FAQ на сайті, а для компанії, що працює у форматі B2B – якісний DPA, тощо. 

Зазвичай, абсолютна більшість документів складається англійською мовою, а от ті, які розміщуються на сайті, скажімо, privacy policy, може також бути і на мові країни, на ринку якої працює компанія.

 

Частина 3: GDPR підтримка

 

Тут є багато варіантів. В компанії можуть обрати певного “privacy champion”, який буде відповідати за актуальність документації та правильність процесів. З іншого боку, можна залучити і сторонніх privacy консультантів, або ж, навіть стороннього DPO. 

 

GDPR compliance це динамічний процес і він проявляється в тому, як компанія реагує на конкретні виклики. Тож повернемось до початку, як же працюють GDPR модулі на практиці? 

 

Customer journey map (карта подорожі користувача) та GDPR. 

Сценарій 1: Користувач зайшов на сайт, клікнув на кукі банер «ок з необхідними кукіз», а через 5 хвилин у себе у фейсбуці побачив рекламу цього сервісу. Це означає, що на сайті був фейсбук-піксель, але оскільки користувач не сказав ок на всі кукіз, то і не давав згоду на таке використання його даних. В цей момент може виникнути недовіра до бренду, і, шанс, конверсії, як наслідок, зменшиться. 

Сценарій 2: Користувач клацнув на «ок з необхідними кукіз», а потім зайшов і почитав GDPR FAQ на сайті і дізнався, що, якщо поділитися та дати ок на більшу кількість інформації, то можна отримувати кастомізовані пропозиції та знижки в майбутньому виходячи з конкретних алгоритмів покупок. Це йому сподобалось, і, він погодився, а побачивши банер у фейсбуці – придбав товар, адже знав, що «все чесно і вигідно для нього». 

Цей приклад показує те, як GDPR compliance може допомогти вибудовати довіру клієнта. Клієнт справедливо очікує, що про його приватність попіклуються, а значить це має бути частиною його успішного Digital experience. 

Для спрощення вкажемо, що за такий діджитальний досвід користувача відповідає CMO. Він чи вона розуміє, які конкретно банери та документи є на сайті, які стосуються GDPR, які UX тексти по приватності та що віпдвість супорт відділ у випадку відповідного запиту корисувача. А у випадку зміни механіки чи складнощів, CMO завжди може проконсультуватись з Data protection officer. 

Candidate journey map (карта подорожі кандидата) та GDPR. 

В цьому сценарії головними стейкхолдерами будуть інхауз рекрутер (для спрощення) та потенційний кандидат на вакансію сіньйор девелопера. Звісно, тут також є точки дотику і вони можуть бути різні – від шаблонного тексту на пошту, до смайлика в телеграмі. Резонне питання кандидата може бути – «а звідки дані?». Зараз рекрутери використовують куку софту, і, відповідно, для побудови відносин на основі довіри, у рекрутера має бути пояснення, яким, законном способом, був отриманий контакт. 

Далі йде внесення до бази, можливо, запис інтерв’ю, а можливо, і шеринг даних з іншими компаніями. Ці процеси мають бути регламентовані, а Хед рекрутерів має розуміти data flow та бути впевненою в тому, що її підлеглі також розуміють процес GDPR compliance в контексті рекрутингу в організації. 

 

Працівники компанії та GDPR. 

Хтось з працівників більш активно задіяний в обробці персональних даних, а хтось не задіяний зовсім. В той же час, працівники, яким проведено тренінг по GDPR та зрозумілою мовою пояснено – яким чином компанія перебуває в compliance з GDPR та як піклується про персональні дані можуть пропустити культуру privacy first через себе та нести її далі, таким чином, підвищуючи довіру до компанії, а ще, це добре для HR брендингу. Запитайте у Вашого HRD та піарника. 

 

B2B клієнти та GDPR. 

Швидкий клоузинг угод з великими компаніями вимагає від організації оперативного заповнення GDPR опитувальників, але, щоб заповнити опитувальник (часто і на 100 запитань) та додати всі необхідні документи, треба мати відповідні активи. Їх наявність досягається шляхом впровадження Privacy program. 

Тоді GDPR compliance може стати конкурентною перевагою, а DPO, який допоможе з опитувальником зможе фахово відповісти на всі запитання клієнта, що ще раз покаже організацію з найкращої сторони. Запитайте у Head of sales, чи треба вам таке.

 

Менеджмент контракторів та GDPR. 

Для того, щоб передавати дані контракторам, спочатку треба оцінити – чи в комплаєнсі вони з GDPR. В якій юрисдикції вони зареєстровані, чи законно туди передавати дані, взагалі. Яка роль буде у конкретного контрагента – контролер чи процесор, а можливо і ко-контролер. Для менеджменту відносин з підрядниками / партнерами щодо персональних даних використовуються відповідні процедури, контракти. Коли вони розроблені і зрозумілі, і, скажімо, Head of Legal робить договір з новим контрагентом, узгодження privacy питань не має стати перепоною для співпраці. 

 

Authority та GDPR. 

Користувачі можуть звернутись до місцевих authority, якщо вважатимуть, що ви оброблюєте їх персональні дані якось не так. Звісно, потрібно працювати в превентивному руслі – спілкуватись з користувачем, реалізовувати його права відповідно до регламенту, але у випадку отримання листа безпосередньо від authority, необхідно буде продемонструвати і GDPR compliance в цілому, і в конкретному кейсі з користувачем. З такою комунікацією допоможе DPO або privacy manager на аутсорсі. 

 

DPO на аутсорсі може допомогти з наступним:

  • Навчання та підтримка знань командою
  • DPIA для нових процесів/продуктів
  • Планова перевірка / оновлення документації з питань захисту даних
  • Взаємодія з користувачами (реакція на запити) / контрагентами щодо приватності
  • Взаємодія з клієнтами (відповіді на питання з приватності)
  • Взаємодія з контролюючими органами у сфері приватності
  • Консалтинг у сфері приватності

 

То який же він, той GDPR compliance?

GDPR compliance це історії взаємодії різних стейкхолдерів в команді в рамках прописаних процесів, у відповідності до політик з метою забезпечення захисту та реалізації прав суб’єктів персональних даних. 

GDPR compliance це культура privacy first під час побудови нових продуктів і турбота про персональні дані кожного користувача, як про найбільший скарб.

GDPR compliance, це коли:

  • Антон, скажи як наш DPO з Legal IT Group та CIPP/E, нам треба робити оцінку ризиків, якщо ми починаємо збирати ДНК наших користувачів для надсилання реклами в їхні сни?
  • Звісно, го сьогодні ж робити гугл міт-кол, скажімо, о 15, і проговоримо деталі. 

Якщо і ви хочете зробити гугл-міт кол з Антоном щодо ініціації власної privacy program для досягнення GDPR compliance – просто напишіть сюди.  

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)