КОМПЛЕКСНЕ РІШЕННЯ ПО GDPR ДЛЯ КОМПАНІЇ

15 Жовтня 2019

Компанії, які зіштовхнулися з питанням адаптації власного бізнесу до вимог GDPR (Регламент), повинні усвідомлювати, що підхід до вирішення цієї проблеми є достатньо комплексним та об’ємним, потребує багато кропіткої роботи та вимагає постійної підтримки проекту з боку спеціалістів у сфері захисту приватності.

З ЧОГО РОЗПОЧАТИ ПІДГОТОВКУ ДО COMPLIANCE З GDPR?

Перш за все, потрібно зрозуміти, чи компанія взагалі повинна відповідати вимогам GDPR чи ні. Така первинна оцінка дасть змогу, при необхідності, зберегти фінансові та людські ресурси, а також вчасно зорієнтуватися та змінити вектор діяльності, спрямований на забезпечення безпеки та приватності даних в середині компанії.

Первинну оцінку можливо зробити, виходячи з основних принципів застосування Регламенту, які містяться в статті 2 та статті 3 GDPR. Тобто, в загальному розумінні, якщо компанія здійснює обробку персональних даних осіб, які знаходяться на території ЄС, в контексті надання їм послуг, товарів або ж в контексті моніторингу їхньої поведінки, то в такому випадку компанія повинна адаптувати свою діяльність під вимоги GDPR.

При здійсненні такого оцінювання, необхідно враховувати ряд особливостей та критеріїв, які визначаються в роз’ясненнях компетентних європейських органів, зокрема таких як European Data Protection Board (EDPB).

 

ІНВЕНТАРИЗАЦІЯ ПЕРСОНАЛЬНИХ ДАНИХ

У відповідності до вимог GDPR, компанія, не залежно від того, чи здійснює вона обробку у якості контролера чи обробника, зобов’язана вжити відповідні організаційні та технічні заходи, для можливості гарантувати безпеку обробки персональних даних на належному рівні. В будь-якому випадку, перед початком вжиття таких заходів, як показує практика, потрібно здійснити детальну інвентаризацію персональних даних в середині компанії, яка буде спрямована на визначення структури та впорядкування категорій персональних даних у відповідності до цілей їхнього використання. Разом з тим, інвентаризація персональних даних допоможе зафіксувати ланцюжок переміщення персональних даних, починаючи від моменту надходження персональних даних до компанії і закінчуючи моментом їхньої передачі третім особам та/або знищенням.

Інвентаризація повинна здійснюватися із обов’язковим залученням відповідних спеціалістів компанії, зокрема тих, хто відповідальний за реалізацію юридичних та технічних питань. Загалом же, в роз’ясненнях EDPB можемо знайти рекомендації про те, що до такого процесу повинні бути залучені також представники ТОП-менеджменту компанії, HR менеджери, а також керівники всіх підрозділів в системі діяльності компанії, для максимального з’ясування всіх обставин, пов’язаних з обробкою персональних даних в рамках компанії.

 

ОРГАНІЗАЦІЙНІ ЗАХОДИ У ВІДПОВІДНОСТІ ДО GDPR

До організаційних заходів, які компанія повинна реалізувати для можливості відповідати вимогам GDPR, окрім інших, слід віднести заходи, які полягають в наступному:

  • Забезпеченні належного інформування суб’єктів даних, контролюючих органів та всіх інших зацікавлених осіб, про особливості організації процесу обробки персональних даних в рамках компанії, тощо;
  • Призначенні працівників, відповідальних за обробку персональних даних в середині компанії;
  • Призначенні Data Protection Officer (DPO), при необхідності;
  • Проведенні Data Protections Impact Assessment (DPIA) при необхідності;
  • Організації та проведенні навчання та підвищення обізнаності всіх працівників та інших осіб, залучених до процесу обробки персональних даних щодо вимог, пов’язаних із захистом персональних даних, що вимагаються GDPR, а також інші заходи, які компанія визначить як такі, що можуть бути необхідними для можливості гарантувати відповідність вимогам GDPR.

Разом з тим, забезпечення належного впровадження всіх необхідних організаційних заходів в середині компанії, повинно супроводжуватися складанням відповідних документів, що мають регламентувати всі описані вище, а також інші подібні процеси в середині компанії, що спрямовані на реалізацію захисту обробки персональних даних та забезпечення максимальної відповідності діяльності компанії вимогам GDPR.

В контексті розробки необхідних документів, потрібно розглядати документи, як публічного спрямування, так і документи, що використовуються для врегулювання внутрішніх заходів в середині компанії. Ключовим документом, який потрібно розробити, в першу чергу, є Політика приватності (Privacy Policy), яка повинна бути розміщена на веб-сайті компанії. Разом з цим, всі інші документи, розроблені компанією у відповідності з вимогами GDPR, повинні доповнювати та уточнювати Політику приватності, або ж уточнювати та доповнювати один одного.

 

ТЕХНІЧНІ ЗАХОДИ У ВІДПОВІДНОСТІ ДО GDPR

Значна частина GDPR присвячена обов’язкам стосовно вжиття технічних заходів безпеки, в контексті обробки персональних даних. Ці обов’язки стосуються, зокрема, компаній, які виступають як в якості обробників, так і в якості контролерів даних. І хоча GDPR чітко не вказує, які саме технічні заходи мають бути вжитті компаніями, в роз’ясненнях відповідних європейських органів, є можливість констатувати той акт, що GDPR передбачає застосування, в рамках інформаційних та інших систем компаній, заходів, які передбачають псевдонімізацю та анонімізацію персональних даних. Мається на увазі можливість трансформувати персональні дані таким чином, щоб з їхньою допомогою не було можливості ідентифікувати фізичну особу, якій вони належать. Окрім цього, компанії повинні застосовувати технічні засоби захисту при зберіганні та передачі персональних даних іншим компаніям, особливо коли такі компанії розташовані за межами Європейського Союзу, а також використовувати якісні та надійні антивірусні програми.

У випадку, коли компанією вживаються технічні заходи для забезпечення безпеки обробки персональних даних, повинні бути розроблені документи, якими компанія, та всі інші залучені компанією особи, повинні керуватися, в процесі технічного забезпечення безпеки. Загалом, кількість документів може бути необмеженою, в залежності від специфіки роботи компанії, а також від її розмірів та об’ємів реалізації бізнесу.

Ключовим документом, в межах діяльності компанії, який спрямований на реалізацію та регулювання технічних заходів безпеки, залишається Політика інформаційної безпеки (Information Security Policy). Разом з цим документом, компанія може розробити і інші документи, які будуть доповнювати та уточнювати Політику інформаційної безпеки, а також доповнювати та уточнювати один одного. Загалом, ці документи не є публічними, а тому вони не вимагатимуть термінової розробки та впровадження, на відміну від Політики приватності, про яку згадувалося раніше.

 

ОНОВЛЕННЯ ТА ПІДТРИМКА

Розглядаючи питання реалізації заходів щодо забезпечення відповідності компанії вимогам GDPR, потрібно зазначити, що реалізації цих заходів не є єдиноразовим явищем.

Багато компаній помилково вважають, що розробивши та впровадивши заходи, які забезпечують відповідність вимогам GDPR, вони назавжди будуть в стані відповідності вимогам GDPR і не стануть об’єктом контролю та адміністративної відповідальності з боку контролюючих органів. Це не так, адже стан відповідності потрібно підтримувати на постійній основі, в силу динаміки зміни та оновлення європейського законодавства, зокрема щодо захисту даних, а також в силу впровадження нових технологій та інших процесів в середині компанії.

Для підтримки належності всіх процедур та документів, які компанія впровадила в рамках своєї діяльності, найліпше організувати співпрацю зі спеціалістом по приватності, взявши такого спеціаліста в штат компанії або уклавши з ним комерційний договір. Не варто плутати DPO (Data Protection Officer) із спеціалістом по приватності, адже основа функція DPO – це здійснення моніторингу та контролю за дотриманням компанії вимог GDPR. Спеціаліст, в свою чергу буде вважатися особою, яка безпосередньо організовує та реалізує проекту по організації відповідності компанії вимогам GDPR. Про ці особливості, ви можете дізнатися з нашої статті «Українським компаніям потрібні DPO (Data Protection Officer).

Якщо у вас виникли запитання стосовно впровадження GDPR або ж будь-яке інше питання, що стосується захисту даних, просимо звертатися до наших спеціалістів