PRIVACY PROGRAM

Загальне визначення програми приватності (Privacy Program) надається в роз’ясненнях компетентних контролюючих органів в сфері забезпечення контролю за безпеки за обробкою персональних даних. Це визначення також доопрацьоване багатьма практиками, які так чи інакше втілюють цю програму в життя.

Загалом же, Privacy Program – це комплекс заходів, що повинні бути здійснені в рамках компанії, які спрямовані на забезпечення повної та цілковитої відповідності діяльності компанії вимогам чинного законодавства в сфері захисту конфіденційної та персональної інформації.

Реалізація Privacy Program

Перш за все, варто зазначити, що програма приватності завжди повинна реалізовуватися в рамках діяльності компанії, враховуючи той факт, що всі компанії, так чи інакше, передбачають обробку персональної інформації про фізичних осіб, і не важливо чи ці фізичні особи будуть її працівниками, підрядниками чи клієнтами. В цьому випадку, такі компанії варто ділити лиш на ті, які підпадають під вимоги GDPR, і ті, які не підпадають, так як від цього залежить те, на скільки деталізованою буде Privacy Program. Для того, щоб компанія не потрапила під вимоги General Data Protection Regulation, їй, як мінімум, необхідно здійснювати обробку персональних даних нерегулярно та в малих кількостях, але в цій статті наразі говоримо про інше.

Якщо компанія все ж потрапила під вимоги GDPR, їй потрібно пройти декілька етапів, для того, щоб її програма приватності була повністю адаптована до вимог законодавства, яке застосовується, а також до реалій ведення бізнесу компанії.

Перший етап. Підготовка команди та розробка плану дій.

В команду Privacy Program варто включати спеціалістів, які розбираються в питаннях захисту приватності, як з технічної, так і з організаційної та юридичної точок зору. Це, зокрема, можуть бути information security officer, privacy manager або ж будь яка особа, яка за рішенням керівництва компанії, може бути залучена до програми. У разі відсутності достатнього рівня кваліфікації або ж персоналу, компанія може залучити зовнішніх підрядників, які достатній рівень компетенції та кваліфікації.

По факту комплектації команди, необхідно розробити та затвердити план подальших дій, які компанія повинна здійснити в рамках реалізації Privacy Program.

Другий етап. Збір та оцінка персональних даних

На цьому етапі важливим є питання визначення об’єму та складу персональних даних, які компанія збирає, використовує, зберігає, або іншим чином оброблює. Саме об’єм інформації, що буде зібраний в рамках цього етапу, допоможе визначитися з тим, на скільки складної та скрупульозної має бути підготовка Privacy Program та її імплементація. Повинен бути складений такий собі data mapping, що відобразить та зафіксує об’єми та алгоритми руху персональних даних в середині компанії.

Третій етап. Організаційні заходи

Під організаційними заходами, що повинні бути реалізовані компанією, для можливості реалізації програми приватності, варто віднести наступні заходи: (і) Забезпечення належного інформування суб’єктів даних, контролюючих органів та всіх інших зацікавлених осіб, про особливості організації процесу обробки персональних даних в рамках компанії; (іі) визначення працівників, відповідальних за обробку персональних даних в середині компанії на кожному окремому етапі; (ііі) проведення оцінки ризиків для прав та свобод фізичних осіб, чиї персональні дані оброблюються; (iv) організація та проведення навчання та підвищення обізнаності всіх осіб, які залучаються або можуть бути залучені компанією до обробки персональних даних; (v) розробка відповідних документів, які регламентують дії компанії та всіх залучених компанією осіб в процесі обробки персональних даних.

Розробка документів може також виокремлюватися в окремий проект та ділитися на розробку внутрішніх та зовнішніх (публічних) документів. Ключовими документами, що мають бути розроблені, є політика приватності (Privacy Policy) та політика cookie (Cookie Policy). Ці документи є публічними, тобто розміщуватися на веб-сайті компанії або бути у фізичній доступності для всіх суб’єктів даних та контролюючих органів. В наступну чергу повинні розроблятися документи внутрішнього характеру, що будуть, скоріш за все, призначені для внутрішнього використання.

Четвертий етап. Технічні заходи

Компанія повинна вживати та імплементувати ті технічні заходи, які б забезпечили максимальний захист персональних даних, а також надали б можливість констатувати той факт, що компанія є GDPR compliance. Основними принципами в забезпеченні реалізації технічних заходів, слід вважати принцип privacy by design та privacy by default. Саме їхнього дотримання ми рекомендуємо не уникати. Щодо основних технічних заходів, які потрібно імплементувати, то це звісно ж псевдонімізація та анонімізація персональних даних. Мається на увазі, що персональні дані повинні бути трансформовані таким чином, щоб з їхньою допомогою не було можливості ідентифікувати фізичну особу, якій вони належать. Окрім цього, компанія повинна використовувати технічні засоби захисту при зберіганні та передачі персональних даних іншим компаніям, особливо коли такі компанії розташовані за межами Європейського Союзу, а також використовувати якісні та надійні антивірусні програми.

П’ятий етап. Підтримка актуальності Privacy Program

Після того, коли Privacy Program було завершено, не варто зупинятися, адже попереду вас чекає ретельна робота щодо забезпечення підтримки актуальності та належності всіх вжитих компанією заходів. Для таких цілей ми радимо знову ж таки, залучати кваліфікований персонал або ж скористатися послугами аутсорсингових компаній, які мають значний досвід в реалізації та підтримці подібних програм. Компанія BSO Privacy Group завжди і з радістю допоможе вам у вирішенні питань, пов’язаних з приватністю в рамках компанії.

Загальне визначення програми приватності (Privacy Program) надається в роз’ясненнях компетентних контролюючих органів в сфері забезпечення контролю за безпеки за обробкою персональних даних. Це визначення також доопрацьоване багатьма практиками, які так чи інакше втілюють цю програму в життя.

Загалом же, Privacy Program – це комплекс заходів, що повинні бути здійснені в рамках компанії, які спрямовані на забезпечення повної та цілковитої відповідності діяльності компанії вимогам чинного законодавства в сфері захисту конфіденційної та персональної інформації.

Реалізація Privacy Program

Перш за все, варто зазначити, що програма приватності завжди повинна реалізовуватися в рамках діяльності компанії, враховуючи той факт, що всі компанії, так чи інакше, передбачають обробку персональної інформації про фізичних осіб, і не важливо чи ці фізичні особи будуть її працівниками, підрядниками чи клієнтами. В цьому випадку, такі компанії варто ділити лиш на ті, які підпадають під вимоги GDPR, і ті, які не підпадають, так як від цього залежить те, на скільки деталізованою буде Privacy Program. Для того, щоб компанія не потрапила під вимоги General Data Protection Regulation, їй, як мінімум, необхідно здійснювати обробку персональних даних нерегулярно та в малих кількостях, але в цій статті наразі говоримо про інше.

Якщо компанія все ж потрапила під вимоги GDPR, їй потрібно пройти декілька етапів, для того, щоб її програма приватності була повністю адаптована до вимог законодавства, яке застосовується, а також до реалій ведення бізнесу компанії.

Перший етап. Підготовка команди та розробка плану дій.

В команду Privacy Program варто включати спеціалістів, які розбираються в питаннях захисту приватності, як з технічної, так і з організаційної та юридичної точок зору. Це, зокрема, можуть бути information security officer, privacy manager або ж будь яка особа, яка за рішенням керівництва компанії, може бути залучена до програми. У разі відсутності достатнього рівня кваліфікації або ж персоналу, компанія може залучити зовнішніх підрядників, які достатній рівень компетенції та кваліфікації.

По факту комплектації команди, необхідно розробити та затвердити план подальших дій, які компанія повинна здійснити в рамках реалізації Privacy Program.

Другий етап. Збір та оцінка персональних даних

На цьому етапі важливим є питання визначення об’єму та складу персональних даних, які компанія збирає, використовує, зберігає, або іншим чином оброблює. Саме об’єм інформації, що буде зібраний в рамках цього етапу, допоможе визначитися з тим, на скільки складної та скрупульозної має бути підготовка Privacy Program та її імплементація. Повинен бути складений такий собі data mapping, що відобразить та зафіксує об’єми та алгоритми руху персональних даних в середині компанії.

Третій етап. Організаційні заходи

Під організаційними заходами, що повинні бути реалізовані компанією, для можливості реалізації програми приватності, варто віднести наступні заходи: (і) Забезпечення належного інформування суб’єктів даних, контролюючих органів та всіх інших зацікавлених осіб, про особливості організації процесу обробки персональних даних в рамках компанії; (іі) визначення працівників, відповідальних за обробку персональних даних в середині компанії на кожному окремому етапі; (ііі) проведення оцінки ризиків для прав та свобод фізичних осіб, чиї персональні дані оброблюються; (iv) організація та проведення навчання та підвищення обізнаності всіх осіб, які залучаються або можуть бути залучені компанією до обробки персональних даних; (v) розробка відповідних документів, які регламентують дії компанії та всіх залучених компанією осіб в процесі обробки персональних даних.

Розробка документів може також виокремлюватися в окремий проект та ділитися на розробку внутрішніх та зовнішніх (публічних) документів. Ключовими документами, що мають бути розроблені, є політика приватності (Privacy Policy) та політика cookie (Cookie Policy). Ці документи є публічними, тобто розміщуватися на веб-сайті компанії або бути у фізичній доступності для всіх суб’єктів даних та контролюючих органів. В наступну чергу повинні розроблятися документи внутрішнього характеру, що будуть, скоріш за все, призначені для внутрішнього використання.

Четвертий етап. Технічні заходи

Компанія повинна вживати та імплементувати ті технічні заходи, які б забезпечили максимальний захист персональних даних, а також надали б можливість констатувати той факт, що компанія є GDPR compliance. Основними принципами в забезпеченні реалізації технічних заходів, слід вважати принцип privacy by design та privacy by default. Саме їхнього дотримання ми рекомендуємо не уникати. Щодо основних технічних заходів, які потрібно імплементувати, то це звісно ж псевдонімізація та анонімізація персональних даних. Мається на увазі, що персональні дані повинні бути трансформовані таким чином, щоб з їхньою допомогою не було можливості ідентифікувати фізичну особу, якій вони належать. Окрім цього, компанія повинна використовувати технічні засоби захисту при зберіганні та передачі персональних даних іншим компаніям, особливо коли такі компанії розташовані за межами Європейського Союзу, а також використовувати якісні та надійні антивірусні програми.

П’ятий етап. Підтримка актуальності Privacy Program

Після того, коли Privacy Program було завершено, не варто зупинятися, адже попереду вас чекає ретельна робота щодо забезпечення підтримки актуальності та належності всіх вжитих компанією заходів. Для таких цілей ми радимо знову ж таки, залучати кваліфікований персонал або ж скористатися послугами аутсорсингових компаній, які мають значний досвід в реалізації та підтримці подібних програм. Компанія BSO Privacy Group завжди і з радістю допоможе вам у вирішенні питань, пов’язаних з приватністю в рамках компанії.