Як, де і коли потрібен GDPR?
Відповідність вимогам Загального регламенту щодо захисту персональних даних (General Data Protection Regulation, GDPR) – одна з найбільш затребуваних послуг у сфері кібербезпеки та захисту даних як в країнах Європейського Союзу, так і за його межами. Причиною цьому є, в першу чергу, суттєві санкції за порушення вимог Регламенту, а також необхідність враховувати його вимоги навіть за межами ЄС.
Приведення компанії у відповідність до Регламенту – задача нетривіальна, незалежно від розміру компанії та індустрії. Такий проект – це комплекс задач юридичних та технічних. Причому ці задачі рівноцінні, якщо ви серйозно ставитеся до питання GDPR у вашій компанії. Регламент передбачає в подальшому офіційну сертифікацію відповідності, але на даний момент сертифікаційні органи ще не визначені. Тому компанії, які пропонують сьогодні сертифікацію (будь-якого характеру) на відповідність вимогам стандарту, по суті, не мають на це права. Швидше за все, ліцензію на проведення сертифікаційних перевірок з часом будуть видавати регуляторні органи в кожній країні ЄС.
Сьогодні найбільш правильним визначенням послуг у сфері GDPR є «оцінка готовності» і «впровадження процесів відповідності GDPR». Перша послуга – це повноцінний аудит наявності всіх заходів і контролів, описаних в Регламенті, а також рівня їх зрілості в компанії. Саме оцінка зрілості, а не наявності, є правильним підходом, оскільки Регламент – це не стандарт відповідності (яким у більшій мірі є, наприклад, PCI DSS). Це документ, який регламентує необхідність наявності певних контролів, практик і принципів у компанії по роботі з персональними даними. Отже, рівень зрілості, тобто наскільки компанії властиві певні принципи і працюють певні процеси, залежить від компанії до компанії. Правильний підхід до оцінки необхідного і достатнього охоплення застосування GDPR у компанії – головне завдання грамотного консультанта та експерта. Результатом надання даної послуги є карта відповідності основним вимогам Регламенту, рекомендації щодо звуження охоплення проекту, а також перелік проектів, необхідних для приведення компанії у відповідність до вимог Регламенту та управління даною відповідністю.
Впровадження процесів відповідності GDPR – це наступний крок після проведення оцінки відповідності та готовності до виконання вимог Регламенту. Відповідність таким регуляторним документам як GDRP – це не просто реалізація певних проектів і написання ряду організаційно-нормативних документів в компанії, але й щоденне дотримання всіх норм і правил по роботі з персональними даними. Первинним завданням є інвентаризація даних компанії, їхня категоризація і впровадження цих процесів. На підставі цих даних будується карта потоків даних (dataflow map) і визначається охоплення застосування вимог різних регуляторних документів і стандартів, в тому числі і GDPR. Окремим завданням в побудові процесів відповідності є проведення аналізу впливу на приватність/конфіденційність персональних даних (data privacy impact assessment, DPIA). Проведення цих робіт прописано в регламенті з точки зору застосування в організаціях різного типу, а також з точки зору специфіки проведення самого аналізу.
Також підготовка компанії до відповідності вимогам Регламенту передбачає внесення змін до низки юридичних норм і документів компанії. Переважно це стосується угод з користувачами або власниками персональних даних (data controller), а також політик/правил зберігання, обробки й видалення даних у компанії. Не менш важливим є й питання забезпечення безпеки даних з технічної, а не тільки організаційної точки зору. Регламент не наказує конкретних рішень або технологій для виконання цієї вимоги, але зобов’язує компанії підтримувати належний рівень технічної безпеки даних. Тому вкрай важливо, щоб консультант, який виконує роботи з оцінки та впровадження процесів відповідності GDPR мав як юридичну, так і технічну кваліфікацію, отже міг забезпечити комплексний підхід до виконання даного проекту.
Якщо ваша компанія обмірковує можливість застосування вимог Регламенту в своїй діяльності, не поспішайте бігти до юристів або системних інтеграторів. Те, що вам потрібно – це гарний консультант, який вам розповість:
- чи потрібно вам відповідати Регламенту
- в якій частині бізнесу і діяльності необхідна відповідність
- як мінімізувати охоплення застосування Регламенту
Базуючись на цих висновках, ви можете провести аудит готовності до виконання вимог і спланувати реалізацію проектів щодо поступового приведення свого бізнесу у відповідність до вимог GDPR. Важлива – не швидкість, важливо – правильно обрати шлях.