КОМПЛЕКСНОЕ РЕШЕНИЕ ПО GDPR ДЛЯ КОМПАНИИ

15 октября 2019

Компании, которые столкнулись с вопросом адаптации собственного бизнеса с требованиями GDPR (Регламент), должны осознавать, что подход к решению этой проблемы достаточно комплексным и объемным, требует много кропотливой работы и требует постоянной поддержки проекта со стороны специалистов в области защиты приватности.

С ЧЕГО НАЧАТЬ ПОДГОТОВКУ К COMPLIANCE С GDPR?

Прежде всего, нужно понять, компания вообще должна соответствовать требованиям GDPR или нет. Такая первичная оценка позволит, при необходимости, сохранить финансовые и человеческие ресурсы, а также вовремя сориентироваться и изменить вектор деятельности, направленный на обеспечение безопасности и приватности данных внутри компании.

Первичную оценку можно сделать, исходя из основных принципов применения Регламента, содержащиеся в статье 2 и статьи 3 GDPR. То есть, в общем понимании, если компания осуществляет обработку персональных данных лиц, находящихся на территории ЕС, в контексте предоставления им услуг, товаров или в контексте мониторинга их поведения, то в таком случае компания должна адаптировать свою деятельность под требования GDPR.

При осуществлении такой оценки, необходимо учитывать ряд особенностей и критериев, определяемых в разъяснениях компетентных европейских органов, в частности таких как European Data Protection Board (EDPB).

 

ИНВЕНТАРИЗАЦИЯ персональных данных

В соответствии с требованиями GDPR, компания, независимо от того, осуществляет она обработку в качестве контроллера или обработчика, обязана принять соответствующие организационные и технические меры для возможности гарантировать безопасность обработки персональных данных на должном уровне. В любом случае, перед началом принятия таких мер, как показывает практика, нужно провести детальную инвентаризацию персональных данных внутри компании, которая будет направлена ​​на определение структуры и упорядочения категорий персональных данных в соответствии с целями их использования. Вместе с тем, инвентаризация персональных данных поможет зафиксировать цепочку перемещения персональных данных, начиная с момента поступления персональных данных в компании и заканчивая моментом их передачи третьим лицам и / или уничтожением.

Инвентаризация должна осуществляться с обязательным привлечением соответствующих специалистов компании, в частности тех, кто ответственен за реализацию юридических и технических вопросов. В целом же, в разъяснениях EDPB можем найти рекомендации о том, что к такому процессу должны быть привлечены также представители ТОП-менеджмента компании, HR менеджеры, а также руководители всех подразделений в системе деятельности компании, для максимального выяснения всех обстоятельств, эт «связанных с обработкой персональных данных в рамках компании.

 

Организационные меры В СООТВЕТСТВИИ С GDPR

К организационным мероприятиям, которые компания должна реализовать для возможности отвечать требованиям GDPR, кроме других, следует отнести меры, которые заключаются в следующем:

Обеспечении надлежащего информирования субъектов данных, контролирующих органов и всех других заинтересованных лиц, об особенностях организации процесса обработки персональных данных в рамках компании и т.д.;
Назначении работников, ответственных за обработку персональных данных внутри компании;
Назначении Data Protection Officer (DPO), при необходимости;
Проведении Data Protections Impact Assessment (DPIA) при необходимости;
Организации и проведении обучения и повышения осведомленности всех работников и других лиц, вовлеченных в процесс обработки персональных данных по требованиям, связанным с защитой персональных данных, которые требуются GDPR, а также другие мероприятия, которые компания определит как такие, которые могут потребоваться для возможности гарантировать соответствие требованиям GDPR.

Вместе с тем, обеспечение надлежащего внедрения всех необходимых организационных мероприятий внутри компании, должно сопровождаться составлением соответствующих документов, должны регламентировать все описанные выше, а также другие подобные процессы внутри компании, направленных на реализацию защиты обработки персональных данных и обеспечения максимального соответствия деятельности компании требованиям GDPR.

В контексте разработки необходимых документов, нужно рассматривать документы, как публичного направления, так и документы, используемые для урегулирования внутренних мероприятий внутри компании. Ключевым документом, который нужно разработать, в первую очередь, является Политика приватности (Privacy Policy), которая должна быть размещена на веб-сайте компании. Вместе с тем, все другие документы, разработанные компанией в соответствии с требованиями GDPR, должны дополнять и уточнять Политику конфиденциальности, или уточнять и дополнять друг друга.

 

ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ В СООТВЕТСТВИИ С GDPR

Значительная часть GDPR посвящена обязанностям относительно принятия технических мер безопасности в контексте обработки персональных данных. Эти обязанности касаются, в частности, компаний, которые выступают как в качестве обработчиков, так и в качестве контроллеров данных. И хотя GDPR четко не указывает, какие именно технические мероприятия должны быть принятии компаниями, в разъяснениях соответствующих европейских органов, есть возможность констатировать тот акт, GDPR предусматривает применение в рамках информационных и других систем компаний, мероприятий, предусматривающих псевдонимизацю и анонимизации персональных данных. Имеется в виду возможность трансформировать персональные данные таким образом, чтобы с их помощью не было возможности идентифицировать физическое лицо, которому они принадлежат. Кроме этого, компании должны применять технические средства защиты при хранении и передаче персональных данных другим компаниям, особенно когда такие компании расположены за пределами Европейского Союза, а также использовать качественные и надежные антивирусные программы.

В случае, когда компанией используются технические меры по обеспечению безопасности обработки персональных данных, должны быть разработаны документы, которыми компания и все прочие привлеченные компанией лица, должны руководствоваться, в процессе технического обеспечения безопасности. В целом, количество документов может быть неограниченной, в зависимости от специфики работы компании, а также от ее размеров и объемов реализации бизнеса.

Ключевым документом, в рамках деятельности компании, направленный на реализацию и регулирования технических мер безопасности, остается Политика информационной безопасности (Information Security Policy). Вместе с этим документом, компания может разработать и другие документы, которые будут дополнять и уточнять Политику информационной безопасности, а также дополнять и уточнять друг друга. В общем, эти документы не являются публичными, а потому они не потребуют срочной разработки и внедрения, в отличие от Политики приватности, о которой упоминалось ранее.

 

ОБНОВЛЕНИЕ И ПОДДЕРЖКА

Рассматривая вопросы реализации мероприятий по обеспечению соответствия компании требованиям GDPR, нужно отметить, что реализации этих мер не является одноразовым явлением.

Многие компании ошибочно считают, что разработав и внедрив меры, обеспечивающие соответствие требованиям GDPR, они навсегда будут в состоянии соответствия требованиям GDPR и не станут объектом контроля и административной ответственности со стороны контролирующих органов. Это не так, ведь состояние соответствия нужно поддерживать на постоянной основе, в силу динамики изменения и обновления европейского законодательства, в частности по защите данных, а также в силу внедрения новых технологий и других процессов внутри компании.

Для поддержки принадлежности всех процедур и документов, компания внедрила в рамках своей деятельности, лучше организовать сотрудничество со специалистом по приватности, взяв такого специалиста в штат компании или заключив с ним коммерческий договор. Не стоит путать DPO (Data Protection Officer) со специалистом по приватности, основание функция DPO — это осуществление мониторинга и контроля за соблюдением компании требований GDPR. Специалист, в свою очередь будет считаться лицом, непосредственно организует и реализует проект по организации соответствии компании требованиям GDPR. Об этих особенностях, можно узнать из нашей статьи «Украинским компаниям нужны DPO (Data Protection Officer).

Если у вас возникли вопросы по внедрению GDPR или любой другой вопрос, касающийся защиты данных, просим обращаться к нашим специалистам