10 ВАЖНЫХ СОВЕТОВ ПО ОБЕСПЕЧЕНИЮ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ GDPR

19 декабря 2019

Значительное количество работников или независимых подрядчиков, на которых возложена обязанность выполнять функции специалистов по приватности в рамках компании, ежедневно сталкиваются с непониманием того, какие основные требования нового законодавтсва ЕС по защите данных должны быть реализованы, чтобы компания отвечала требованиям GDPR. В этой статье мы попытаемся кратко предоставить ключевых 10 советов, которые нужно обязательно учесть при подготовке компании к соответствию General Data Protection Regulation.

Политики и другие внутренние документы

Конечно же, начиная проведения мероприятий по реализации проекта по обеспечению соответствия требованиям GDPR, нужно в первую очередь обратить внимание на документы, которыми регламентируется обработка персональных данных в пределах вашей компании. Такие документы должны содержать все атрибуты и требования, которые требуются GDPR, а также другими нормативными актами, принятыми в ЕС или в стране регистрации компании. Некоторые из документов должны быть размещены публично на сайте компании, другие же должны использоваться для систематизации внутренних процессов, связанных с обработкой персональных данных, а также для распределения ролей и ответственности между такими ролями, в контексте деятельности компании, связанной с обработкой персональных данных.

Например, политика приватности (конфиденциальности) и политика cookies должны быть доступными для широкого круга людей, которые намерены воспользоваться сайтом компании или услугами компании. В то же время, политика защиты информации (Information Security Policy), должна использоваться исключительно в середине структуры компании и быть недоступной для посторонних лиц, поскольку содержит описание установленных конфиденциальных границ безопасности и процедур, которые делают невозможным наступления инцидентов, приводящих к нарушению персональных данных.

Разрабатываемые компанией документы должны содержать в себе все фундаментальные принципы, предусмотренные GDPR, адаптированные под требования компании в контексте новейших информационных технологий и современных реалий бизнеса.

Защита данных по назначению (Privacy by design)

«Защита данных по назначению» не была и не является новой концепцией, однако на этот раз, европейские законодатели решили закрепить ее в General Data Protection Regulation как составную часть долга принятия мер безопасности в отношении обработки персональных данных. В связи с этим, когда просто концепция стала требованием, без выполнения которой, компания не сможет доказать свое соответствие требованиям GDPR, а также за невыполнение которой предусматривается применение значительных штрафных санкций.

Некоторые понимают эту концепцию исключительно с точки зрения внедрения технических мероприятий, направленных на разработку современного специализированного программного обеспечения, а также совершенствование ИТ систем, позволило бы обезопасить обработку персональных данных, однако этот вопрос нужно рассматривать более широко.

По мнению специалисте BSO Privacy Group, кроме технических мероприятий, в рамках компании также должны внедряться и организационные мероприятия, которые будут дополнять друг друга, создавая баланс между современными технологиями и реалиями ведения бизнеса. Интересно, но наверняка многие ловит себя на том, что большинство аналитических и статистических операций в компании сопровождаются Excel таблицами, которые ведутся бухгалтерией. Это не новость, однако требует тщательного просмотра.

Мероприятия, определенные настоящим разделом, должны внедряться во все сферы деятельности компании, так или иначе связанные с обработкой персональных данных, и при этом, регламентироваться документами, речь о которых шла выше в этой статье.

Баланс інтересів компанії та власника персональних даних

Як ви вже напевно знаєте, згода на обробку персональних даних – це не завжди панацея від усіх негараздів, що можуть виникнути про обробці даних в контексті вимог GDPR. У відповідності до офіційних роз’яснень європейських органів, замість згоди пропонується, а інколи і наполягається на застосуванні такої підстави як «законний інтерес контролера». В цьому випадку і виникає та тонка грань, яку компанії потрібно витримати аби не порушити баланс інтересів компанії та фізичної особи, якій належать персональні дані.

У відповідності до вимог статті 6(f)  GDPR, законний інтерес контролера може бути застосований тільки тоді, коли інтереси компанії прямо, а не опосередковано, привалюють над інтересами, фундаментальними правами та свободами фізичної особи. Для можливості визначення балансу між інтересами сторін, радимо проводити незалежні оцінювання, які можна включити в загальний data protection impact assessment (DPIA).

Саме тому, радимо дуже обачливо та виважено підходити до питання вибору законної підстави для обробки персональних даних та зважувати баланс інтересів.

Договори з обробниками

Одним з найбільших викликів, породжених GDPR, залишається питання впорядкування відносин між контролером та обробникам(и), що залучаються для обробки персональних даних. Основні вимоги щодо легітимізації відносин між компаніями, які встановлюють цілі обробки, та компаніями, що здійснюють безпосередню обробку, визначаються в статті 28 GDPR та передбачають обов’язкове укладення письмового документу між сторонами. Такий документ може бути створений як у вигляді додатку до існуючого договору, так і у вигляді окремого договору. Також, можуть бути застосовані затверджені відповідними органами стандартні умови співпраці (data protection clauses), однак в цьому випадку, потрібно мати на увазі особливості застосування внутрішнього законодавства кожної окремої країни – члена ЄС.

Залучаючи нових обробників, припиняючи співпрацю з існуючими, а також виступаючи як обробник, компанія завжди має забезпечувати відповідність документів, що укладаються, вимогам GDPR та іншого законодавства ЄС.

Наявність таких документів завжди буде рахуватися значним елементом в процесі доведення своєї відповідності вимогам GDPR.

Хранение персональных данных

Многие компании, которые стремятся соответствовать требованиям GDPR, не придает значительное внимание вопросам, связанным со сроками хранения персональных данных. Очень сложно найти бизнес, который бы не хранил персональные данные в течение неограниченного периода. Такое хранение обычно необходимо как для целей маркетинга, аналитики, статистики, ну и обычно «Да просто будут. Кто знает, что будет ».

Описанный выше подход к хранению персональных данных является категорически корректным, а в контексте GDPR еще и незаконным. Персональные данные должны храниться в течение сроков, определенных целями, установленными в момент сбора персональных данных. После того как соответствующие цели достигаются, персональные данные, которые собирались в их пределах, должны удаляться. В отдельных же случаях, сроки хранения могут быть продлены за счет других целей, которые устанавливаются внутренним законодательством страны, в которой компания зарегистрирована, а также когда это необходимо для защиты законных интересов компании. В таких случаях, компания должна сообщать субъектов данных о соответствующих новые цели обработки, а также о новых сроках хранения.

Лучший выход для решения вопроса систематизации и упорядочения существующих периодов хранения персональных данных, а также для определения новых, является создание Retention policy, которая должна применяться в середине деятельности компании и предусматривать все алгоритмы, сроки и цель хранения персональных данных.

Международная передача данных

Передача данных за пределы Европейской Экономической Зоны является одним из наиболее урегулированных секторов в сфере защиты персональных данных в Европейском Союзе. В течение многих лет, европейские органы пытались систематизировать этот вопрос, но только GDPR оказался документом, который обобщил эти вопросы и предоставил четкие рамки того, каким образом персональные данные должны передаваться за пределы Европейской Экономической Зоны, в частности в тех случаях, когда компании сотрудничает с обработчиками данных , которые находятся в третьих странах или когда компания передает персональные данные другим компаниям-контроллерам.

Исходя из практики, при внедрении мер безопасности обработки персональных данных, в процессе передачи персональных данных за пределы ЕЭЗ, настоятельно рекомендуем использовать такие инструменты как «Стандартные контрактные условия» (Standard contractual clauses), утвержденные Европейской Комиссией от 2001, 2004 и 2010 года.

Если же ваша компания является частью международного холдинга, вам лучше воспользоваться таким инструментом как Binding Corporate Rule (BCR), которые утверждаются контролирующими органами страны-члена ЕС, где находится главный офис холдинга.

В случае же непринятия надлежащих мер безопасности при передаче персональных данных за пределы Европейской Экономической Зоны, в компании могут быть применены штрафные санкции верхней ступени, которые теоретически могут достичь 20000000 Евро или 4% от годового оборота компании.

Права субъектов данных

Кроме обязанностей, возлагаемых на компании-контроллеров, GDPR также усиливает существующие и определяет новые права, которыми должны обладать физические лица (субъекты данных), чьи персональные данные обрабатываются, в процессе взаимодействия с компаниями-контроллерами.

Для эффективного обеспечения выполнения прав субъектов данных, которые определены в GDPR, компаниям следует разработать систему менеджмента, которая позволила бы осуществлять мониторинг и управление запросами на реализацию прав, а также внутренними процессами, позволяющие определить ответственных лиц, оперативно реагировать на соответствующие запросы и удовлетворять запросы субъектов, данных, если они подаются в законной плоскости.

Компаниям следует проанализировать все сферы деятельности компании и определить их влияние на возможность субъектам данных реализовывать свои права. Этот совет не должна касаться, например, только таких сфер как маркетинговая деятельность компании, а затрагивать все специфические сферы обработки, в том числе и обработку поведенческой информации через веб-сайт и создание профайлов.

Менеджмент нарушений обработки персональных данных

Иногда так случается, что происходят сбои в работе информационных систем компании или случается любое другое событие, которое может стать причиной нарушения персональных данных. В этом случае, GDPR возлагает на компании целый ряд обязанностей, в том числе обязанность по уведомлению компетентного контролирующего органа, а также уведомления субъекта данных, когда для этого есть достаточно оснований.

В случае, когда нарушение персональных данных влечет наступления риска для прав, свобод и интересов субъекта данных, компания должна сообщить компетентный орган в течение 72 часов, а в случае причинения наступления высокого риска для прав, свобод и интересов субъекта данных, компания, безотлагательно, должна сообщить еще и самого субъекта данных, чьи персональные данные нарушены. Именно поэтому, компании следует реализовать техническую и организационную возможность управления нарушениями персональных данных, включая:

техническую подготовку к конкретным, исходя из возможности неотвратимого нарушение персональных данных в будущем. Соответствующая подготовка должна включать возможность быстро принять меры для остановки нарушения и минимизации эффекта такого нарушения на права, свободы и интересы субъектов данных;
определение состава оперативной команды из числа работников или привлеченных лиц, целью которой является обеспечение оперативной и эффективной реакции, менеджмента и построения стратегии минимизации или устранения риска;
разработка соответствующих документов, в частности политик, которые бы четко определяли роли и ответственность каждого из члена оперативной команды и каждого привлеченного к обработке данных работника, в случае наступления нарушения персональных данных;
определение процедуры оповещения при наступлении нарушения персональных данных или обстоятельств, которые могут привести к такому нарушению.

Тренинги и повышение осведомленности

Обычно, компании, представляющие малый и средний бизнес, к тренингам относятся довольно скептически, независимо от того, какой сферы бизнеса это касается. До вступления в силу GDPR, никто не уделял большого внимания тому, осуществлялись тренинги и проводились лекции для персонала по защите персональных данных или нет. Но это и было, как правило, не всегда необходимо.

Все изменилось с принятием новых правил обработки персональных данных в Европе в мае 2018 года. Тренинги, лекции, мастер-классы и другие учебные мероприятия стали ключевым элементом достижения компаниями соответствия требованиям GDPR. Главная их цель — продемонстрировать готовность компании готовить своих работников, с которыми они могут столкнуться в рамках обрабатывающей деятельности.

В случае обращения контролирующего органа с запросом в компанию, или же в случае проведения законного аудита деятельности компании, у вас может быть истребовано подтверждение того, что в рамках компании проходят мероприятия по повышению осведомленности как одного из фундаментальных организационных мероприятий, обеспечивающих безопасность обработки персональных данных .

Зато отсутствие факта, подтверждающего проведение соответствующих мер, может привести к тому, что компания будет признана не обладает должным уровнем защиты персональных данных, так как ее сотрудники, или лица, привлеченные ею, не обладают достаточной информацией о процессах, повязкам связанные с обработкой данных, имеющих место внутри компании.

Обязанность по проведению работы по повышению осведомленности стоит возлагать на ответственного работника, который имеет надлежащий уровень компетенции в области применения GDPR или на внешнего привлеченного специалиста, в частности DPO.

принцип соответствия

И последнее, но только в рамках этого списка советов. Любая компания, в соответствии со статьей 5.2. GDPR, должна быть ответственной и иметь возможность продемонстрировать соответствие своей деятельности требованиям GDPR и другом европейскому законодательству, связанному с защитой персональных данных.

С 99 статей General Data Protection Regulation, аж 39 требуют собой обязанность продемонстрировать соответствие Общем Регламента по Защите Данных. Под этим следует понимать тот факт, что компания, которая подпадает под требования GDPR, должна максимально тщательно подойти к вопросу реализации требований, предусмотренных в регламенте и не игнорировать даже наименьшую его норму.

Адаптация требований, предусмотренных GDPR в контексте деятельности компании, должна иметь индивидуальный и кастомизированных подход, ведь каждая компания имеет свою специфику деятельности и организации, в частности, относительно своего размера, структуры, объемов персональных данных, обрабатывается, а также сферы деятельности.

вывод

В любом случае, процесс обеспечения деятельности компании требованиям GDPR, должен рассматриваться как ключевой и основополагающий элемент в обеспечении законной деятельности компании, ведь ответственность, применяемой за несоблюдение требований GDPR, может иметь решающие финансовые последствия для дальнейшей деятельности компании в целом. Процесс обеспечения должен осуществляться соответствующими специалистами в сфере приватности и защиты данных как из состава персонала, так и из числа привлеченных специалистов. Специалисты из компании BSO Privacy Group всегда готовы вам помочь в решении вопросов обеспечения соответствия компании требованиям GDPR как в Украине, так и за ее пределами.

Обращайтесь к нам по следующим контактным реквизитам:

bso.privacy.group@gmail.com

+38 095 869 58 39.