General Data Protection Regulation (далі — GDPR, Регламент) — документ, який кардинально змінив правила гри у сфері захисту персональних даних. Незважаючи на те, що GDPR є внутрішнім актом Європейського Союзу (ЄС), у певних випадках він має екстериторіальну дію. У світлі останніх роз'яснень European Data Protection Board стосовно територіальної сфери дії Регламенту стає зрозуміло, що на значну частину українських компаній (як фінансового сектору, так і сфери інформаційних технологій) поширюється обов'язок GDPR compliance. Як наслідок, в українського бізнесу все частіше виникає запитання: «Що потрібно зробити для відповідності вимогам GDPR?» Подивимось на це питання поглядом юриста.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Відразу слід зазначити, що забезпечення GDPR compliance — це складний процес, який потребує співпраці великої кількості людей — менеджменту компанії, юристів та технічних фахівців. Для полегшення розуміння пропонуємо поділити цей процес на кілька основних стадій.
Стадія 1. Фіксування поточного стану
На цій стадії необхідно провести аналіз усіх бізнес- процесів компанії з метою виявлення конкретних процедур обробки персональних даних, кола суб'єктів, які залучаються до неї, порядку взаємодії компанії з такими особами. Результатом є складання Initial Data Mapping — своєрідної карти руху персональних даних, яка наочно фіксує фактичні умови їх обробки. Цей документ забезпечує розуміння загальних алгоритмів роботи компанії з персональними даними на вихідній стадії.
Стадія 2. Оцінка поточного стану
Отримавши розуміння поточних алгоритмів обробки персональних даних, необхідно визначити, що слід змінити в таких алгоритмах для забезпечення відповідності вимогам Регламенту. Першочергово слід провести privacy due diligences, зокрема проаналізувати політику конфіденційності щодо її відповідності вимогам GDPR; форму, у якій суб'єкт повідомляється про обробку його персональних даних; положення про конфіденційність в укладених договорах; інші документи внутрішнього та публічного характеру. У разі, якщо обробка персональних даних імовірно призведе до виникнення високого ризику для прав та свобод суб'єктів даних, українська компанія зобов'язана провести оцінку впливу на захист даних (Data Protection Impact Assessment).
Результатом цієї стадії є визначення компанією різниці (Gap Assessment) між поточним станом своєї діяльності та тим станом, якого вона повинна досягти після впровадження всіх необхідних заходів відповідно до вимог Регламенту. Gap Assessment є дорожньою картою для досягнення GDPR compliance.
Стадія 3. Розробка документів
Розробка документів — завжди основна стадія, від правильності та ефективності реалізації якої залежить відповідність компанії вимогам GDPR. Умовно всі документи можна поділити на політики, процедури та інші.
Політики визначають основні засади, якими компанія керується в процесі обробки персональних даних. Прикладами політик є:
• Privacy Policy — документ для сповіщення суб'єктів даних про порядок обробки компанією їх персональних даних;
• GDPR Controller/Processor Agreement Policy — політика, яка визначає порядок укладення договорів між компанією і обробниками персональних даних та вказує на ключові моменти таких договорів.
Процедури, у свою чергу, розкривають офіційний порядок реалізації компанією юридично значимих дій у сфері обробки персональних даних.
Вони відображають покрокову інструкцію, якої компанія повинна дотримуватися в тому чи іншому випадку. Прикладами процедур є:
• Privacy Notice Procedure — процедура повідомлення суб'єктів даних про особливості обробки їх персональних даних;
• Data Subject Request Procedure & Complaints Procedure — порядок дій компанії у разі звернення суб'єкта даних зі скаргою чи запитом на реалізацію прав, підкріплених Регламентом.
Інші документи розробляються компанією для забезпечення відповідності спеціальним вимогам GDPR. Це можуть бути, наприклад:
• Preparation Project Plan — визначає, які заходи та коли вводяться компанією для досягнення compliance;
• Roles and Responsibilities — закріплює обов'язки менеджменту компанії та основних категорій працівників у сфері обробки персональних даних.
Приклади вище — лише мала частина документів, які необхідні для забезпечення відповідності вимогам Регламенту. Конкретний комплект документів та їх зміст має визначатися для кожної компанії окремо з урахуванням специфіки її бізнес- процесів. Розробки лише Privacy Policy та Privacy Notice недостатньо для забезпечення GDPR compliance навіть за умови, що такі документи за своїм змістом відповідають положенням Регламенту.
Стадія 4. Впровадження змін
Українські компанії повинні не лише розробити необхідні документи, а й забезпечити їх реалізацію та дотримання у бізнес- процесах. Контролюючі органи при розгляді питання щодо відповідності компанії вимогам GDPR беруть до уваги реальний порядок обробки персональних даних, а не теоретичні юридичні моделі.
На цій стадії компанія також зобов'язана призначити свого представника (representative) на території держави- члена ЄС, де перебувають більшість суб'єктів, чиї персональні дані обробляються. Для цього не обов'язково створювати філію чи укладати трудовий договір з працівником у ЄС — досить укладення цивільно- правового договору з представником.
Окремо варто відзначити, що навчання персоналу і підготовка підрядників до роботи з персональними даними потребує окремої уваги. Це можна втілити у проведенні тренінгів чи воркшопів (разових чи регулярних), іспитів з обізнаності й ознайомлення зі спеціально складеними інструкціями чи керівництвами. Готувати матеріали для навчання можна як самостійно, так і з залученням зовнішніх спеціалістів, які враховують особливості бізнес- процесів компанії- клієнта. Ці ж презентації, сертифікати про успішне проходження курсу чи видані під підпис інструкції допоможуть при перевірці: наглядові органи з захисту персональних даних регулярно попереджають компанії про обов'язок контролерів подбати про підготовку кадрів і підрядників до роботи з персональними даними.
Однак стрижневий принцип доведеться засвоїти відразу: віднині захист персональних даних стає не разовою чи аварійною дією — це постійний процес, підтримуваний регулярним оновленням і моніторингом. Просто підготувати документи і передати їх в архів не вийде. Тільки на основі безперебійного зворотного зв'язку між командою, що займається питаннями приватності, та виконавцями, робота яких пов'язана з даними компанії, компанія матиме змогу поширити культуру поваги до захисту персональних даних, проактивне мислення та вміння приймати рішення, що відповідатимуть політикам компанії.
Стадія 5. Адаптація до національного законодавства (чи кількох)
GDPR охоплює багато питань і обов'язків контролера. Однак вимоги до компанії можуть висуватися не лише на рівні Регламенту — обов'язково також перевірити вимоги і законодавство як країни, де компанія зареєстрована, так і країн, звідки походить цільова аудиторія.
Майже кожна держава має власне законодавство про захист персональних даних. І це не завжди обмежується одним законом — у сферах набору персоналу, трудового законодавства, охорони здоров'я і соціального забезпечення, рекламного законодавства і актів державних органів щодо кібербезпеки (це не виключний список) є власні правові акти, які також необхідно враховувати.
Приклад впливу законодавства — строки зберігання даних: де які закони зобов'язують компанії утримувати дані довше, ніж компанія хотіла б чи вважала за потрібне (податкове законодавство, обов'язкове медичне страхування тощо). Зокрема, у кожної держави є свій поріг віку, з якого дитина може надавати згоду на обробку своїх даних без підтримки батьків. Інший спосіб впливу — списки операцій з даними, які вимагають обов'язкового проведення Data Protection Impact Assessment (або, навпаки, звільняють компанію від обов'язку проводити оцінку впливу захисту персональних даних), тощо.
Здається, що роботи багато. І це правда у випадку, якщо компанія раніше не мала жодного досвіду у складанні політик і введенні їх у функції працівників чи підрядників, розробка чи надання послуг велись без урахування privacy by default та privacy by design.
Важливо зберігати спокій та методично реалізувати план — крок за кроком, етап за етапом. Тоді прийде не лише порядок у документах — з'явиться чітке уявлення про дані як ще один актив компанії, який потребує розвитку і удосконалення і віддячує своїм вкладом у чистий прибуток. Всі зацікавлені ланки розумітимуть власний внесок у підтримку порядку і можуть оперувати додатковою інформацією при прийнятті важливих рішень, а можливо, навіть особисто запобігти неприємностям: знизити кількість успішних інцидентів фішингу чи інших способів шахрайства та оперативно співпрацювати з іншими стейкхолдерами ринку для покращення і вдосконалення власних продуктів.
Стадія 6. Контроль результатів
Забезпечення відповідності компанії вимогам GDPR — це не одноразова процедура. Після розробки документів та впровадження необхідних організаційних та технічних заходів компанія зобо в'язана:
• підтримувати відповідність таких документів та заходів постійним змінам законодавства;
• фіксувати реальні процеси та події, які мають місце під час обробки персональних даних;
• проводити періодичний аудит процесів обробки персональних даних;
• проводити навчання співробітників, які мають доступ до персональних даних, щодо питань захисту даних та інформаційної безпеки.
Таким чином, забезпечення відповідності українських компаній вимогам GDPR вже перетворилося з теоретичної ідеї на реальну умову ведення успішного бізнесу в ЄС. Процедура досягнення GDPR compliance досить складна та вимагає значних ресурсів і досвіду, тому українським компаніям, які орієнтуються на європейський ринок, вже сьогодні слід переглянути питання захисту персональних даних.