Який він, світ внутрішніх політик і оцінок за GDPR?

Who cares?

Створення внутрішніх політик часто відходить на другий план, як під час запуску бізнесу, так і в процесі його подальшої діяльності. У роботі з приватністю компанії найчастіше фокусуються на зовнішньому. Коли компанія звертається до юристів із приватності, першочерговими задачами зазвичай є зовнішній вигляд: гарні публічні документи, юзер-френдлі банер, договори про обробку даних, тобто усе, що бачать користувачі, контрагенти або регулятори. Внутрішні політики та процеси, які формують основу, відкладаються на потім. 

Зовнішні виразники того, що ви турбуєтесь про приватність у компанії важливі, проте, без налагоджених внутрішніх процесів, чітких процедур і визначеності прайвасі комплаєнс неможливий. Варто зрозуміти – внутрішні політики та оцінки це не щось опціональне, ідеальний підхід до приватності, чи рожеві мрії прайвасі-юриста. Це про базові вимоги та реальні обов’язки, які накладає GDPR. 

Необхідність мати внутрішні політики та процедури випливає з кількох ключових статей, які встановлюють обов’язок дотримання принципів GDPR та здатність це продемонструвати. У статті про відповідальність контролера (Art. 24 GDPR) внутрішні політики прямо згадуються як елемент реалізації технічних та організаційних заходів. Без них неможливо повноцінно виконати вимоги щодо підзвітності, безпеки та комплаєнсу. Політики – це, по суті, внутрішні механізми, які забезпечують узгодженість дій працівників, контроль над обробкою даних і можливість довести відповідність GDPR у разі перевірки чи інциденту. Політики насправді виходять за межі суто прайвасі й стосуються не лише захисту даних. Вони загалом регулюють багато внутрішніх процесів компанії, від роботи з інформацією до взаємодії між командами.

Внутрішні політики – які і навіщо 

У роботі компанії зіштовхуються з повторюваними ситуаціями: отримують запити  користувачів чи працівників про доступ до даних, взаємодіють з підрядниками. Є й менш часті, але проблемніші ситуації, приміром витоки даних або інші інциденти, які вимагають негайної та чіткої реакції.

Політики потрібні, щоб ефективно і швидко реагувати. Базовий набір політик буде доречним для більшості компаній, у будь-якій сфері діяльності. Незалежно від того, що саме ви робите: продаєте товари, розробляєте ІТ-рішення чи керуєте платформою, ці політики будуть потрібними вам. Далі розповідаю про види детальніше. 

1. Внутрішня політика приватності. Документ, який регулює, як саме компанія обробляє персональні дані всередині, у яких цілях та на яких підставах, хто має доступ. Встановлює очікування і правила щодо всіх взаємодій з даними (збирання, використання, передача, зберігання). Сприяє тому, щоб усі в компанії обробляли дані послідовно та відповідно до вимог. 
2. Політика безпеки. Визначає технічні та організаційні заходи захисту даних, принципи та правила, регулює підхід компанії до конфіденційності та цілісності персональних даних та іншої інформації. Вона встановлює порядок доступу до даних; правила реагування на інциденти безпеки; єдині стандарти поведінки для співробітників щодо обробки й зберігання даних. Політика задає єдині стандарти та послідовність у діях працівників. Без неї кожен працівник може діяти на власний розсуд, що призводить до неузгоджених рішень, порушень безпеки і, як наслідок, серйозних інцидентів або витоків даних.
3. Data Subject Access Requests Policy (DSAR) – Політика відповідей на запити суб’єктів даних. Встановлює алгоритм дій при отриманні запитів від суб’єктів даних (наприклад на доступ, видалення, виправлення даних), строки та відповідальних осіб. Політика дозволяє компанії діяти злагоджено і дотримуватись строків, передбачених GDPR.
4. Процедура реагування на інциденти. Встановлює, як діяти у разі витоку даних, порушення безпеки або інших критичних ситуацій, де важлива швидкість і злагодженість. Хто відповідальний, кого потрібно повідомити (орган, посаду), в які строки. Важливо також вести реєстр запитів та інцидентів, а також оновлювати ROPA (Record of Processing Activities), внутрішній реєстр операцій з обробки персональних даних, де фіксуються всі дії, пов’язані з даними.

Ні, внутрішні політики не обов’язково мають бути окремими документами. Ви можете підготувати одну загальну політику, яка охоплюватиме всі аспекти. 

Головне – не кількість документів, а те, що і як ви в них опишете, наскільки це буде працювати, і звичайно, чи буде ваша команда читати ці документи. Вони мають описували реальні процеси, а не бути для просто для годиться. 

Про LIA, TIA, DPIA простими словами

Далі про інші прайвасі інструменти, які ховаються за абревіатурами LIA, TIA, DPIA. Це різні типи оцінок, які мають застосовуватися залежно від того, як і з ким компанія взаємодіє при обробці персональних даних. Наприклад, при обробці великої кількості даних, чутливих даних, передачі за кордон чи без згоди особи. Оцінка потрібна для перевірки законності обробки таких даних.

Не всі оцінки є обов’язковими за GDPR, але вони допомагають виконати принцип підзвітності (accountability)  і у випадку перевірки продемонструвати, що компанія має підстави обробляти дані і робить це за правилами. 

Legitimate Interests Assessment (LIA) це перевірка, чи можете ви обробляти і використовувати персональні дані без згоди людини чи без іншої підстави. Це схоже на чеклист, де ви маєте відповідати певним критеріям, для того щоб мати право обробляти дані на підставі законного інтересу. Наприклад, коли потрібно зберігати історію активності користувача, для надання кращого сервісу, відправити повідомлення про зміну Terms of Use, або ж перевірити записи з камер відеоспостереження. 

LIA складається з  питань, які допомагають переконатись, що ваш інтерес справді законний, обробка даних потрібна для його досягнення, а інтереси компанії не переважають права людини. Якщо ви відповідали чесно на всі питання і пройшли перевірку, дані можна обробляти. Якщо ні, треба шукати іншу підставу для обробки, приміром, запитувати згоду або змінювати підхід.

Transfer Impact Assessment (TIA) проводиться, коли компанія передає персональні дані за межі ЄС (наприклад, у США). Його мета перевірити, чи країна-отримувач має належний рівень захисту даних, і які додаткові заходи потрібно вжити, щоб дані залишились у безпеці.

Data Protection Impact Assessment (DPIA), або оцінка впливу на захист даних,
застосовується, коли обробка персональних даних може створити високий ризик для прав і свобод людей. DPIA – це аналіз ризиків і план, як їх зменшити. Це потрібно робити, якщо ви здійснюєте відеоспостереження, профілювання, обробляєте велику кількість чутливих даних. Ви аналізуєте, чи є ризик розкриття таких даних, витоку, і що потрібно робити для того, щоб цього не відбулось. 

Типовий випадок, коли варто проводити DPIA: коли маркетинговий відділ запускає розсилку з персоналізованими пропозиціями, використовуючи дані про попередні покупки та поведінку клієнтів на сайті. Або ж, коли HR-відділ починає збирати та зберігати медичні довідки працівників для оформлення лікарняних. 

Перехід компанії на нову CRM-систему, куди завантажують дані всіх клієнтів, теж може вимагати DPIA, особливо якщо система зберігає багато чутливої інформації та надає доступ великій кількості співробітників.

Я також вище згадувала про RoPA, реєстр операцій з обробки персональних даних, який допомагає фіксувати всі дії з ними. Хоч RoPA і не відноситься до оцінок, це також один із бажаних кроків для компанії: він дає змогу провести початковий аналіз усіх потоків даних, зрозуміти, де і як саме вони обробляються, які заходи вже діють і що ще потрібно впровадити.

Як здійснити це на практиці і хто тут крайній 

Як проводити оцінки: ви описуєте процеси, аналізуєте ризики, плануєте відповідні заходи і формуєте це в документ. 

Залежно від компанії, оцінки може здійснювати спеціаліст із захисту даних (DPO), якщо він є, або юрист чи compliance officer. Зазвичай у процесі також залучають технічних спеціалістів, які оцінюють технічні ризики та рівень захисту даних, і керівників напрямів чи проєктів, які пояснюють, як саме дані збираються, використовуються та передаються на практиці. Це часто робиться спільно: юрист/менеджер описує процес і ризики, технічна команда підказує, як їх мінімізувати, а керівник затверджує.

Наявність внутрішніх політик та проведення оцінок в першу чергу працює на компанію, а не є лиш неприємною вимогою законодавства. Не сприймайте це як щось обтяжливе – це більше про внутрішні правила, гармонійну взаємодію і ефективність перш за все для вас. Якщо не хочеться робити все це самостійно, Axon Partners може взяти це на себе, від першого кроку до готової системи для вас.