26 серпня 2020, 12:12

Управління приватністю даних в організаціях та комплаєнс: практичні кроки для бізнесу

Опубліковано в №16 (722)

Галина Василевська
Галина Василевська експерт з правового регулювання технологій і безпеки персональних даних

У світлі рішення Європейського суду справедливості у справі Scherms II щодо визнання недійсним механізму EU‑US Privacy Shield та прямого доручення локальним органам захисту персональних даних у країнах-членах ЄС розробити додаткові вимоги для передачі даних між юрисдикціями питання транскордонної передачі даних постало з новою силою для всього світу. Український бізнес через екстериторіальне застосування GDPR та статус юрисдикції з неадекватним рівнем забезпечення захисту персональних даних такі зміни зачіпають теж. Але крім загальних питань відповідності регулюванню, зазначене рішення підняло і до цього актуальне питання управління захистом персональних даних у міжнародних організаціях.


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


Відповідно до класифікації Міжнародної асоціації професіоналів у галузі приватності (IAPP), існує дві основних моделі регулювання персональних даних:

  • секторальна (регулювання правового режиму відповідно до типу даних) — медичні та фінансові дані, дані про релігійні та політичні переконання мають окремі вимоги щодо захисту, передачі та обробки. Така модель застосовується, наприклад, у США, де спеціальні категорії даних, як то медичні та фінансові дані (HIPAA та GLBA відповідно) мають спеціальні вимоги до обробки і застосування механізмів безпеки; і
  • всеохоплююча — встановлюється єдиний загальний режим регулювання персональних даних. Приклад — режим Європейського Союзу за GDPR.

Відповідно до існуючої у країні моделі регулювання компанії найчастіше будували свої стратегії комплаєнсу. Проте глобальна експансія бізнесу, зростаюча роль технологій у повсякденному житті та всеохопна експансія технологічних гігантів поставили під питання можливості локальної та секторальної організації управління даними.

Отже, постало питання, як правильно побудувати політику приватності в організації, аби врахувати строкате законодавство різних юрисдикцій, правила кроскордонної передачі даних, мінімізувати ризики та при цьому організувати процес ефективно.

Більшість глобальних регулювань об'єднують кілька спільних вимог, які закладають у рамковий підхід до управління приватністю. Відповідно до нього, доцільними будуть наступні кроки:

1. Провести розмітку даних: які дані збираються організацією (наприклад, резюме аплікантів на роботу, електронна пошта клієнтів для промо-розсилки, фізична адреса для доставки товарів).

2. Описати процес обробки даних: для яких цілей дані використовуються (маркетингова розсилка, надання сервісу користувачу, аналітика показників використання сервісу).

3. Створити перелік вендорів: описати усі сервіси, які використовує організація для роботи з даними (електронна пошта, хмарні сховища, корпоративні месенджери, сервіси для маркетингових розсилок тощо). Переконатись, що з усіма вендорами є належні договірні механізми для передачі таких даних. Якщо ви використовуєте сервіси великих технологічних компаній, перевірте секцію «Приватність» в угоді на використання таких сервісів.

4. При передачі даних у інші юрисдикції: описати порядок такої передачі та підстави (найчастіше договір, у окремих випадках підстави, передбачені законом).

5. Створити механізм інформованої активної згоди на обробку даних: розробити та описати у політиці приватності, що є згодою на обробку персональних даних користувача (згода на сайті, надання даних при використанні сервісу тощо).

6. Розробити механізми реалізації прав суб'єкта персональних даних: створити простий і зрозумілий механізм, який дозволить користувачу запросити у вашої організації видалення даних про користувача, надасть доступ користувачу до даних, які організація про нього зібрала, призупинення використання таких даних.

7. Створити політику приватності: на основі кроків, що описані вище, розробити політику приватності — опис процесу, як і навіщо організація використовує дані. Слід викласти її простою і зрозумілою мовою перед збором персональних даних (наприклад, на сайті перед тим, як зібрати дані користувача).

8. Регулярно оновлювати та актуалізувати описані вище процеси та періодично проводити аналіз впливу на безпеку даних (Data Privacy Impact Assessment), аби підтримувати належний рівень забезпечення приватності в організації.

Підсумовуючи, варто наголосити, що все більше організацій прямують до всеохоплюючого ринкового підходу до безпеки даних та забезпечення приватності шляхом вибудовування єдиної стратегії для різних юрисдикцій. Формування стратегічних раскових процесів у організації дозволяє швидко масштабувати процеси обробки даних на нових ринках, легше проходити перевірки контрагентів і процедури закупівель та мінімізує регуляторні ризики.

0
0

Додати коментар

Відмінити Опублікувати