05 червня 2018

Аутсорсинг — быстрое решение проблем, связанных с регламентом GDPR

Постановление GDPR было принято 27 апреля 2016 года, вступило в силу 25 мая 2018 года. GDPR — это Общий регламент по защите прав данных (англ. General Data Protection Regulation), постановление Европейского Союза, с помощью которого усиливается и унифицируется защита персональных данных всех лиц из Европейского Союза. Два года от его принятия до вступления в силу должны были послужить переходным периодом, чтобы компании успели подготовиться к новым условиям в международном законодательстве.

Однако ввести соответствующие изменения успели далеко не все украинские компании, так как для этого потребовалось не только время, но и дополнительные ресурсы. Для таких компаний есть выход — передать управление IT-службой (IT Governance и CIO) на аутсорсинг, то есть поручить их другой компании – эксперту в данном вопросе.

Кого коснутся изменения, связанные с регламентом GDPR? Постановление GDPR призвано регламентировать работу с персональными данными всех лиц из Европейского Союза. Поэтому перемены в работе коснутся компаний, деятельность которых связана с предоставлением услуг гражданам и резидентам ЕС. Также придерживаться новых правил придется всем компаниям, в том числе и локальным, услуги которых теоретически могут предоставляться европейцам, занимающихся перевозками пассажиров, например. А также тем, у кого в штате есть сотрудники – граждане Евросоюза, так как в личном деле работника содержатся его персональные данные.

За нарушение новых правил касательно защиты персональных данных европейцев предусмотрены штрафные санкции. Верхняя граница штрафа — 4% от годового оборота компании за предыдущий год, либо 20 млн. евро, если годовой оборот меньше этой суммы. Так как регламент GDPR относится к международному праву, он выше по значимости, чем локальное законодательство отдельной страны. А через международные суды можно привлечь к ответственности за несоответствие регламенту даже компанию, не имеющую собственности и регистрации в ЕС.

Каких изменений потребует регламент GDPR?

С довольно объемным (88 страниц) текстом регламента GDPR можно познакомиться на официальном сайте Права Евросоюза. В соответствии с новыми правилами, компании должны собирать только необходимую персональную информацию и хранить ее в зашифрованном виде. В формах для сбора данных необходимо пересмотреть, изменить настройки, где по умолчанию сказано: «Я согласен с условиями обработки персональных данных». Неуместны расплывчатые формулировки о намерении передавать данные «третьим лицам», необходимо учитывать каждую сторону. Если есть необходимость в передаче данных третьей стране, то эта страна должна находиться в списке разрешенных на сайте Еврокомиссии.

Пользователей, от которых было получено ранее согласие на обработку персональных данных, компании должны известить о произошедших переменах письмом или сообщением. Если компания хранит данные на сторонних сервисах (так называемые облачные хранилища), у нее должно быть подтверждение, что эти сервисы соответствуют требованиям регламента GDPR. Если анкетирование пользователей производится на сторонних ресурсах, то эти ресурсы также необходимо подвергать проверке.

Что касается условий использования продукта, появилась необходимость четкого согласия на трекинг со стороны бизнес-аналитических систем. Правила работы с файлами cookies также обретают более жесткие рамки. В каждом письме должна быть возможность отписаться, если пользователь ею воспользовался, то его данные нужно удалить. Также данные удаляются после проведения платежа и просто по требованию пользователя.

Для того чтобы в полной мере подготовиться к работе по новым правилам GDPR, необходимо провести анализ каждого конкретного ресурса или продукта, так как перечисленные примеры только частично отражают изменения, регламентируемые GDPR.

Как передать IT Governance на аутсорсинг?

Тема изменений, связанных с регламентом GDPR интересна для многих. Но так как сам по себе регламент достаточно сложен, не все компании имеют возможность осуществить необходимые правки, в связи с нехваткой ресурсов или из-за отсутствия специалистов такой узкой направленности. И дело не только в технических знаниях, но и в знаниях международного, и в частности европейского интернет-права. Такие функции выполняет CIO или IT Governance, зачастую отсутствующие в отечественных компаниях. Для таких компаний подходящей альтернативой будет привлечение сторонней организации-подрядчика, эксперта в выполнении подобных задач.

При подготовке к внедрению изменений специалисты из компании-заказчика и компании-подрядчика должны встретиться для обсуждения тонкостей, связанных с внедрением проекта, определения объема работ. А также такие встречи, посвященные каждому отдельному блоку работ, должны быть запланированы на протяжении всего срока выполнения работ подрядчиком.

Первым таким блоком работ является аудит. Аудиторы производят выборочную проверку документов, общаются с сотрудниками, мониторят сайты и публикации в СМИ на предмет данных о компании, чтобы найти несовпадения и предусмотреть всевозможные риски. Например, недопустимой ошибкой является не удаленный вовремя старый аккаунт в хранилище данных, которым уже не пользуются. В компании об этой платформе могут уже не помнить, поэтому сложно учесть и проработать все требования регламента GDPR. Для этого необходима совместная работа команды IT-специалистов с compliance офицером, который контролирует соответствие правовым нормам.

Также компания-подрядчик составляет перечень рекомендаций для подразделений заказчика. Необходимо определить какой отдел, какие изменения должен произвести и как поддерживать соответствие стандартам GDPR в будущем, чтобы обеспечить защиту данных. Все правила работы должны быть четко прописаны, а для работы с некоторыми типами данных должен быть назначен специальный эксперт из Евросоюза — Data Protection Officer. Его функция — обеспечение безопасности персональных данных, защита прав и свобод пользователей.

Контрольный список подготовки к GDPR

После того, как аудит проведен, составляется план заданий к исполнению. Этот план, скорее всего, будет включать в себя такие задачи, как ревизия архива собранных данных, создание новых пользовательских соглашений, внесение изменений в формы регистрации. Также необходимо проверить все сервисы, используемые компанией на соответствие правилам GDPR. Работники, которым разрешен доступ к данным, должны поставить подпись на соглашении и неразглашении информации.

Все структуры, которые работают с персональными данными, должны провести проверку инструментов, которыми они пользуются, определить взаимосвязи между ними и разработать шаблоны работы с третьими сторонами.

После проведения всех необходимых работ по ревизии архива информации, и получения разрешения на обработку персональных данных, необходимо будет защищать эти данные, согласно требованиям GDPR. Эту функцию можно также передать на аутсорсинг, прибегая к услуге IT Governance as-a-service.

Конечно, компания вполне может силами своих специалистов провести подготовку к работе согласно требованиям GDPR. В свободном доступе можно найти необходимые инструкции и полезные рекомендации, например на ресурсах Deloitte и Udemy. Но, дело в том, что Постановление GDPR уже вступило в силу с 25 мая 2018 года, для самостоятельного внедрения изменений совсем не осталось времени. Не следует рисковать безопасностью бизнеса.

По материалам Delo.

Не пропустите главное событие месяца