Навіщо GDPR risk assessment українським компаніям?

Якщо ви зацікавилися поєднанням таких слів, як-от “оцінка ризиків” і “GDPR”, то, схоже, що вам вже натякнули на них ваші клієнти, споживачі чи інвестори. Або ж ваші конкуренти мають перевагу, розповідаючи, що вони GDPR-compliant, і ви хочете так само.

Щоб бути GDPR-compliant, тобто відповідати вимогам GDPR, треба налаштувати процеси обробки персональних даних за GDPR. Для цього треба насамперед зрозуміти, чи GDPR застосовується до вашого бізнесу. Якщо застосовується – треба побудувати план дій. А найкраще план будується і кошти виділяються, якщо виходити із ризиків. 

Що таке GDPR risk assessment?

GDPR risk assessment – це одна із назв для великої внутрішньої роботи, яку бізнес може проробляти з DPO або із зовнішніми консультантами/юристами у сфері захисту персональних даних. Це аналіз того:

1. які вимоги законодавства про приватність вас стосуються, 
2. що вони вимагають, 
3. що у вас уже робиться в реальних процесах з обробки персональних даних, 
4. які ризики з цього випливають і 
5. що з цим усім робити.

Як не треба робити?

Буває, що у компаній виникає спокуса перейти одразу до стадії “що з цим усім робити”. Але це як просити лікаря призначити лікування, сказавши йому телефоном, що у вас висипка на нозі. Лікар може вгадати із призначенням ліків, але було би дуже доцільно провести додаткові аналізи, щоб впевнитись, що діагноз правильний. 

Так само треба мислити і про страхування ризиків для бізнесу. Встановлювати “діагноз” рівню GDPR-compliance бажано на базі сукупності зібраної інформації про проєкт від різних департаментів і людей, з процесів і з продуктів. У цьому може бути корисним глибокий аналіз ризиків за GDPR. Коли аналізуєш інформацію комплексно – менше шансів упустити деталі. Також власник бізнесу чи інший “стейкхолдер” приватності в компанії зможе побачити більш повну картину і правильно розкласти пріоритети. Знову ж, можна 100% покластися на експертизу “лікаря”-консультанта і сподіватися галь-паль потрапити в потрібні болючі місця. Але чи має долю вашої компанії вирішували удача?

Що може бути стимулом провести GDPR risk assessment?

Окрім щирого бажання налагодити процеси, щоб було, як у найкращих конкурентів чи як хоче інвестор, є ще аспекти репутації та відповідальності. 

Стимул 1. Репутація. Це про вибір споживачем певного бізнесу за його гарним іменем і брендом. Репутацію легко може зіпсувати скандал щодо витоку персональних даних, некомплаєнтний банер і крива політика на сайті-візитівці, навʼязлива реклама чи спам з порушенням правил обробки персональних даних, ігнор у відповідь на запит людини про свої персональні дані. Усе це в сукупності або і поодинці може відбити бажання в інвестора дати бізнесу трохи грошей на його розвиток. Бо, як ми знаємо, інвестори – не благодійники, вони хочуть бачити перспективи і розвиток, а не ризики і втрату клієнтів. Червоні прапорці з персональними даними також можуть зменшити бажання кінцевого клієнта рекомендувати ваш сервіс, а для багатьох типів бізнесу відгуки клієнтів – це найкращий маркетинг. 

Стимул 2. Відповідальність. Це про штрафи, час, судову тяганину та великі юридичні витрати. GDPR передбачає дуже високі максимальні штрафи за його порушення: до 20 мільйонів євро або до 4% річного світового обороту компанії за минулий рік. У країнах ЄС регулятори мають ресурс для перевірок, особливо охоче перевіряють компанії, на які скаржаться користувачі, або компанії, зашкварні практики яких стають популярними в пабліку. Регулятор у кожній країні ЄС свій, спілкується своєю мовою і має свої погляди на покарання, виходячи із характеру порушення, поведінки компанії, попередньої історії і інших факторів. Місцеве законодавство деяких країн ЄС ще й може дозволяти відшкодувати моральну шкоду людині, чиї дані “постраждали” від неправомірних дій бізнесу. І навіть якщо штрафу в результаті не буде – юридичних витрат не уникнути.

Стимул 3. Думка про майбутнє. GDPR не застосовується до ринку України, а це один із ваших основних ринків? Воно то так, але оскільки Україна вже на своєму євроінтеграційному шляху, це лише питання часу, коли остаточно приймуть суворіший законопроєкт про захист персональних даних українців. У першому читанні Верховна Рада вже прийняла законопроєкт, де відповідальність бізнесу сягає до 150 мільйонів гривень або 8% річного світового обороту (можна почитати більше тут). Тож підготувавшись відповідати вимогам GDPR, ви підготуєтеся швидше відповідати новому українському закону. Навіть якщо зараз український користувач не такий вибагливий, як користувач з ЄС, тенденції поваги до персональних даних серед відповідального бізнесу та штрафи серед менш відповідального  дуже швидко це змінять.

GDPR risk assessment дозволить точніше оцінити ризики для репутації та ризики відповідальності і зробити так, щоб регуляторам, чи то в ЄС, чи то в Україні:

• як мінімум, не захотілося перевіряти бізнес, 
• а, як максимум, щоб при перевірці регулятор хіба попросив бізнес виправити якусь із сумнівних практик.

GDPR risk assessment – це довше і дорожче, ніж підготувати політику на сайт чи найняти DPO. Але це про закриття різних потреб. Оцінка ризиків і комплексний їх аналіз закриватиме потребу побудувати стійку модель управління приватністю в компанії, обрати культуру приватності і захисту даних користувачів. Усі інші точкові речі, обрані несистемно, закривають дірки у трубі, яка протікає. Що теж метод, але, погодьтеся, не завжди є час і бажання сидіти коло труби, очікуючи, коли вона прорве 🙂

Якщо вам потрібна допомога із GDPR risk assessment – звертайтеся до нас.