Документи для GDPR compliance

31 мая 2021

Розмови щодо застосування General Data Protection Regulation вже давно не є новими, однак, все ще існують актуальні питання, що пов’язані із забезпеченням компаніями GDPR compliance. При цьому, варто зауважити, що такі питання виникають не залежно від ринкового сегменту, в яких такі компанії працюють. Одним із основних питань, яке залишається актуальним, при реалізації Privacy Program – є питання стосовно того, які документи є найбільш актуальнішими та ключовими, при забезпеченні GDPR compliance.

Регламентуючі документи GDPR

Розглядаючи регламентуючі документи, мова перш за все йде про документи, які визначають порядок обробки персональних даних в середині компанії, від моменту отримання персональних даних і до моменту їхнього видалення.

Ключовим документом, в системі регламентуючих документів, є політика конфіденційності (Privacy Policy), яка розроблюється компанією для можливості її використання внутрішніми суб’єктами компанії (працівниками та незалежними підрядниками), а також для розміщення на веб-сайті компанії, з ціллю донесення певної інформації до клієнтів компанії та суспільства. Інколи, Privacy Policy, з метою підкреслити її основне призначення — донесення інформації загальній аудиторії, ще називаються Privacy Notice.

Регламентуючими документами також слід вважати внутрішні політики та процедури компанії, які допомагають регламентувати та затверджувати алгоритми переміщення та обробки персональних даних в середині компанії.

Наприклад: Персональні дані, які компанія отримує від фізичних осіб, повинні бути об’єктом технічних та організаційних засобів захисту, таких як псевдонімізація та шифрування. Саме у зв’язку з цим, компанія повинна розробити політику інформаційної безпеки (Information Security Policy), яка б включала в себе загальну регламентацію розробки та застосування окремих елементів безпеки. Окрім цього, до політики, додатково, повинна також бути розроблена та затверджена процедура, яка визначає імплементацію тих чи інших  заходів безпеки, що є важливими для компанії.

Саме такі документи повинні вважатися регламентуючими і закривати собою всі прогалини в системі управління обробки персональних даних в рамках діяльності компанії.

Також, важливо підкреслити, що регламентуючі документи також повинні визначати та встановлювати права, обов’язки та повноваження осіб, які в рамках компанії залучаються до оброки персональних даних (працівники та незалежні підрядники).

Контролюючі документи GDPR

Система контролю за дотриманням норм законодавства про захист даних, в рамках компанії,  повинна визначатися в певних документах, розробка яких є важливою, на ряду з впровадженням регламентуючих документів.

Основною метою такого типу документів – є контроль за дотриманням положень регламентуючих документів, а також за збереженням безпеки та цілісності інформаційних систем компанії.

Розглядаючи питання розробки контролюючих документів через призму застосування норм GDPR, варто зосередити увагу та такому понятті як «data processing records». В цьому випадку застосовуються положення статті 30 General Data Protection Regulation, які передбачають, що компанія повинна фіксувати всі процеси з обробки даних в певній письмовій формі, тим самим здійснюючи контроль за всіма процесами з оброки в межах компанії.  Такий вид контролю передбачає, що компанія повинна знаходити та фіксувати будь-які зміни в оброці даних. Окрім всього іншого GDPR, що такі дані повинні зберігатися компанією в письмовій формі та на першу вимогу повинні бути надані контролюючим органам.

Ще один вид контролюю, на якому ми б воліли зупинитися, це контроль доступу (access control), який забезпечує чіткий моніторинг того, хто та яким чином має доступ до певних інформаційних ресурсів та баз даних.

Наприклад: компанія, маючи велику базу даних своїх клієнтів, які використовуються для різноманітних цілей, повинна встановити коло осіб, які потребують доступу до таких даних, встановити їхні повноваження та забезпечити контроль доступу до даних цими особами, згідно встановлених регламентів.

Найчастіше контроль доступу встановлюється в такому документів як Access Control Policy, який є невід’ємною частиною системи інформаційної безпеки, що реалізується в рамках компанії.

Адміністративні документи

Жоден регламент, політика чи процедура, що розроблюються в рамках компанії, не можуть бути погоджені та взяті у використання без надання на це дозволу органів управління компанії, що відображається у вигляді протоколів, наказів, розпоряджень, тощо.

Варто підсумувати, що для можливості 9+реалізувати Privacy Program, з точки зору документарного забезпечення, завжди варто брати до уваги також і адміністративні документи, адже «картинка», в нашому випадку GDPR compliance, не може виглядати бездоганно без деяких кольорів на ній.