10 ВАЖЛИВИХ ПОРАД ЩОДО ЗАБЕЗПЕЧЕННЯ ВІДПОВІДНОСТІ ВИМОГАМ GDPR
Значна кількість працівників або незалежних підрядників, на яких покладено обов’язок виконувати функції спеціалістів по приватності в рамках компанії, щодня зіштовхуються з нерозумінням того, які основні вимоги нового законодавтсва ЄС по захисту даних повинні бути реалізовані, щоб компанія відповідала вимогам GDPR. В цій статті ми спробуємо стисло надати ключових 10 порад, які потрібно обов’язково врахувати при підготовці компанії до відповідності General Data Protection Regulation.
Політики та інші внутрішні документи
Звісно ж, розпочинаючи проведення заходів щодо реалізації проекту по забезпеченню відповідності вимогам GDPR, потрібно в першу чергу звернути увагу на документи, якими регламентується обробка персональних даних в межах вашої компанії. Такі документи повинні містити всі атрибути та вимоги, які вимагаються GDPR, а також іншими нормативними актами, прийнятими в ЄС або у країні реєстрації компанії. Деякі з документів повинні бути розміщені публічно на веб-сайті компанії, інші ж мають використовуватися для систематизації внутрішніх процесів, пов’язаних з обробкою персональних даних, а також для розподілення ролей та відповідальності між такими ролями, в контексті діяльності компанії, пов’язаною з обробкою персональних даних.
Наприклад, політика приватності (конфіденційності) та політика cookies повинні бути доступними для широкого кола людей, які мають намір скористатися веб-сайтом компанії або ж послугами компанії. В той же час, політика захисту інформації (Information Security Policy), повинна використовуватися виключно в середині структури компанії та бути недоступною для сторонніх осіб, оскільки містить опис встановлених конфіденційних меж безпеки та процедур, які унеможливлюють настання інцидентів, що призводять до порушення персональних даних.
Розроблювані компанією документи, повинні містити в собі всі фундаментальні принципи, передбачені GDPR, що адаптовані під вимоги компанії в контексті новітніх інформаційних технологій та сучасних реалій бізнесу.
Захист даних за призначенням (Privacy by design)
«Захист даних за призначенням» не була і не є новою концепцією, однак на цей раз, європейські законодавці вирішили закріпити її в General Data Protection Regulation як складову частину обов’язку вжиття заходів безпеки по відношенню до обробки персональних даних. У зв’язку з цим, колись просто концепція стала вимогою, без виконання якої, компанія не зможе довести свою відповідність вимогам GDPR, а також за невиконання якої передбачається застосування значних штрафних санкцій.
Дехто розуміє цю концепцію виключно з точки зору впровадження технічних заходів, спрямованих на розробку сучасного спеціалізованого програмного забезпечення, а також удосконалення ІТ систем, що надало б можливість убезпечити обробку персональних даних, однак це питання потрібно розглядати більш широко.
На думку спеціалісті BSO Privacy Group, окрім технічних заходів, в рамках компанії також повинні впроваджуватися і організаційні заходи, які будуть доповнювати один одного, створюючи баланс між сучасними технологіями та реаліями ведення бізнесу. Цікаво, але напевно багато хто ловить себе на тому, що більшість аналітичних та статистичних операцій в компанії супроводжуються Excel таблицями, які ведуться бухгалтерією. Це не є новиною, однак потребує ретельного перегляду.
Заходи, визначені цим розділом, повинні впроваджуватися в усі сфери діяльності компанії, які так чи інакше пов’язані з обробкою персональних даних, і при цьому, регламентуватися документами, мова про які йшла вище в цій статті.
Баланс інтересів компанії та власника персональних даних
Як ви вже напевно знаєте, згода на обробку персональних даних – це не завжди панацея від усіх негараздів, що можуть виникнути про обробці даних в контексті вимог GDPR. У відповідності до офіційних роз’яснень європейських органів, замість згоди пропонується, а інколи і наполягається на застосуванні такої підстави як «законний інтерес контролера». В цьому випадку і виникає та тонка грань, яку компанії потрібно витримати аби не порушити баланс інтересів компанії та фізичної особи, якій належать персональні дані.
У відповідності до вимог статті 6(f) GDPR, законний інтерес контролера може бути застосований тільки тоді, коли інтереси компанії прямо, а не опосередковано, привалюють над інтересами, фундаментальними правами та свободами фізичної особи. Для можливості визначення балансу між інтересами сторін, радимо проводити незалежні оцінювання, які можна включити в загальний data protection impact assessment (DPIA).
Саме тому, радимо дуже обачливо та виважено підходити до питання вибору законної підстави для обробки персональних даних та зважувати баланс інтересів.
Договори з обробниками
Одним з найбільших викликів, породжених GDPR, залишається питання впорядкування відносин між контролером та обробникам(и), що залучаються для обробки персональних даних. Основні вимоги щодо легітимізації відносин між компаніями, які встановлюють цілі обробки, та компаніями, що здійснюють безпосередню обробку, визначаються в статті 28 GDPR та передбачають обов’язкове укладення письмового документу між сторонами. Такий документ може бути створений як у вигляді додатку до існуючого договору, так і у вигляді окремого договору. Також, можуть бути застосовані затверджені відповідними органами стандартні умови співпраці (data protection clauses), однак в цьому випадку, потрібно мати на увазі особливості застосування внутрішнього законодавства кожної окремої країни – члена ЄС.
Залучаючи нових обробників, припиняючи співпрацю з існуючими, а також виступаючи як обробник, компанія завжди має забезпечувати відповідність документів, що укладаються, вимогам GDPR та іншого законодавства ЄС.
Наявність таких документів завжди буде рахуватися значним елементом в процесі доведення своєї відповідності вимогам GDPR.
Зберігання персональних даних
Багато компаній, які прагнуть відповідати вимогам GDPR, не придають значної уваги питанням, пов’язаним зі строками зберігання персональних даних. Дуже складно знайти бізнес, який би не зберігав персональні дані протягом необмеженого періоду. Таке зберігання зазвичай необхідне як для цілей маркетингу, аналітики, статистики, ну і зазвичай «Хай просто будуть. Хто знає, що буде».
Описаний вище підхід до зберігання персональних даних є категорично не коректним, а в контексті GDPR ще й незаконним. Персональні дані повинні зберігатися протягом строків, які визначені цілями, встановленими в момент збирання персональних даних. Після того як відповідні цілі досягаються, персональні дані, які збиралися в їхніх межах, повинні видалятися. В окремих же випадках, строки зберігання можуть бути подовжені за рахунок інших цілей, які встановлюються внутрішнім законодавством країни, в якій компанія зареєстрована, а також коли це необхідно для захисту законних інтересів компанії. В таких випадках, компанія повинна повідомляти суб’єктів даних про відповідні нові цілі обробки, а також про нові строки зберігання.
Найкращий вихід для вирішення питання систематизації та упорядкування існуючих періодів зберігання персональних даних, а також для визначення нових, є створення Retention policy, яка повинна застосовуватися в середині діяльності компанії та передбачати всі алгоритми, строки та мету зберігання персональних даних.
Міжнародна передача даних
Передача даних за межі Європейської Економічної Зони є одним з найбільш врегульованих секторів в сфері захисту персональних даних в Європейському Союзі. Протягом багатьох років, європейські органи намагалися систематизувати це питання, однак лише GDPR виявився документом, який узагальнив ці питання та надав чіткі рамки того, яким чином персональні дані повинні передаватися за межі Європейської Економічної Зони, зокрема в тих випадках, коли компанії співпрацює з обробниками даних, які знаходяться в третіх країнах або коли компанія передає персональні дані іншим компаніям-контролерам.
Виходячи з практики, при впровадженні заходів безпеки обробки персональних даних, в процесі передачі персональних даних за межі ЄЕЗ, наполегливо рекомендуємо використовувати такі інструменти як «Стандартні контрактні умови» (Standard contractual clauses), затверджені Європейською Комісією від 2001, 2004 та 2010 року.
Якщо ж ваша компанія є частинкою міжнародного холдингу, вам краще скористатися таким інструментом як Binding Corporate Rule (BCR), що затверджуються контролюючими органами країни-члена ЄС, де знаходиться головний офіс холдингу.
У разі ж невжиття належних заходів безпеки при передачі персональних даних за межі Європейської Економічної Зони, до компанії можуть бути застосовані штрафні санкції верхнього щабля, які теоретично можуть сягнути 20 мільйонів Євро або 4 % від річного обороту компанії.
Права суб’єктів даних
Окрім обов’язків, які покладаються на компанії-контролерів, GDPR також підсилює існуючі та визначає нові права, якими повинні володіти фізичні особи (суб’єкти даних), чиї персональні дані оброблюються, в процесі взаємодії з компаніями-контролерами.
Для ефективного забезпечення виконання прав суб’єктів даних, що визначені в GDPR, компаніям варто розробити систему менеджменту, яка б дозволила здійснювати моніторинг та управління запитами на реалізацію прав, а також внутрішніми процесами, що дозволяють визначити відповідальних осіб, оперативно реагувати на відповідні запити та задовольняти запити суб’єктів, даних, якщо вони подаються в законній площині.
Компаніям варто проаналізувати всі сфери діяльності компанії та визначити їхній вплив на можливість суб’єктам даних реалізовувати свої права. Ця порада не повинна стосуватися, наприклад, лише таких сфер як маркетингова діяльність компанії, а зачіпати всі специфічні сфери обробки, зокрема і обробку поведінкової інформації через веб-сайт та створення профайлів.
Менеджмент порушень обробки персональних даних
Інколи так стається, що відбуваються збої в роботі інформаційних систем компанії або ж трапляється будь-яка інша подія, що може стати причиною порушення персональних даних. В цьому випадку, GDPR покладає на компанії цілий ряд обов’язків, в тому числі обов’язок щодо повідомлення компетентного контролюючого органу, а також повідомлення суб’єкта даних, коли для цього є достатньо підстав.
У випадку, коли порушення персональних даних спричиняє настання ризику для прав, свобод та інтересів суб’єкта даних, компанія повинна повідомити компетентний орган протягом 72 годин, а у випадку спричинення настання високого ризику для прав, свобод та інтересів суб’єкта даних, компанія, невідкладно, повинна повідомити ще й самого суб’єкта даних, чиї персональні дані порушені. Саме тому, компанії варто реалізувати технічну та організаційну можливість управління порушеннями персональних даних, що включає:
- технічну підготовку до конкретних, виходячи з можливості невідворотного порушення персональних даних у майбутньому. Відповідна підготовка повинна включати можливість швидко вжити заходів для зупинення порушення та мінімізації ефекту такого порушення на права, свободи та інтереси суб’єктів даних;
- визначення складу оперативної команди з числа працівників або залучених осіб, метою якої є забезпечення оперативної та ефективної реакції, менеджменту та побудови стратегії мінімізації чи усунення ризику;
- розробка відповідних документів, зокрема політик, які б чітко визначали ролі та відповідальність кожного з члена оперативної команди та кожного залученого до обробки даних працівника, у випадку настання порушення персональних даних;
- визначення процедури оповіщення при настанні порушення персональних даних або ж обставин, що можуть призвести до такого порушення.
Тренінги та підвищення обізнаності
Зазвичай, компанії, які представляють малий та середній бізнес, до тренінгів ставляться доволі скептично, незалежно від того, якої сфери бізнесу це стосується. До набрання сили GDPR, ніхто не приділяв значної уваги тому, чи здійснювалися тренінги та чи проводилися лекції для персоналу щодо захисту персональних даних чи ні. Та це й було, зазвичай, не завжди необхідним.
Все змінилося із прийняттям нових правил обробки персональних даних в Європі в травні 2018 року. Тренінги, лекції, майстер класи та інші навчальні заходи стали ключовим елементом досягнення компаніями відповідності вимогам GDPR. Головна їхня мета – продемонструвати готовність компанії готувати своїх працівників, з якими вони можуть зіштовхнутися в рамках обробної діяльності.
У випадку звернення контролюючого органу із запитом до компанії, або ж у разі проведення законного аудиту діяльності компанії, у вас може бути витребуване підтвердження того, що в рамках компанії відбуваються заходи з підвищення обізнаності як одного із фундаментальних організаційних заходів, що забезпечують безпеку обробки персональних даних.
Натомість, відсутність факту, підтверджуючого проведення відповідних заходів, може призвести до того, що компанія буде визнана такою, що не володіє належним рівнем захисту персональних даних, так як її працівники, або особи, залучені нею, не володіють достатньою інформацією про процеси, пов’язані з обробкою даних, що мають місце в середині компанії.
Обов’язок щодо проведення роботи з підвищення обізнаності варто покладати на відповідального працівника, який має належний рівень компетенції в сфері застосування GDPR або на зовнішнього залученого спеціаліста, зокрема DPO.
Принцип відповідності
І останнє, але лише в рамках цього списку порад. Будь-яка компанія, у відповідності до статті 5.2. GDPR, повинна бути відповідальною та мати можливість продемонструвати відповідність своєї діяльності вимогам GDPR та іншому європейському законодавству, пов’язаному з захистом персональних даних.
Із 99 статей General Data Protection Regulation, аж 39 вимагають собою обов’язок продемонструвати відповідність Загальному Регламенту із Захисту Даних. Під цим слід розуміти той факт, що компанія, яка підпадає під вимоги GDPR, повинна максимально ретельно підійти до питання реалізації вимог, передбачених в регламенті і не ігнорувати навіть найменшу його норму.
Адаптація вимог, передбачених GDPR, в контексті діяльності компанії, повинна мати індивідуальний та кастомізований підхід, адже кожна компанія має свою специфіку діяльності та організації, зокрема, стосовно свого розміру, структури, об’ємів персональних даних, що оброблюється, а також сфери діяльності.
Висновок
В будь-якому випадку, процес забезпечення діяльності компанії вимогам GDPR, повинен розглядатися як ключовий та основоположний елемент в забезпеченні законної діяльності компанії, адже відповідальність, яка застосовується за недотримання вимог GDPR, може мати вирішальні фінансові наслідки для подальшої діяльності компанії в цілому. Процес забезпечення повинен здійснюватися відповідними спеціалістами в сфері приватності та захисту даних як зі складу персоналу, так і з числа залучених професіоналів. Спеціалісти з компанії BSO Privacy Group завжди готові вам допомогти у вирішенні питань забезпечення відповідності компанії вимогам GDPR як в Україні, так і за її межами.
Звертайтеся до нас за наступними контактними реквізитами:
