GDPR Аудит

GDPR аудит, юридична допомога і консультація в Україні

GDPR Аудит

Юридична допомога, консультація та GDPR аудит у форматі онлайн. Перевірте Ваші контракти, анкети, веб-сайти, клієнт-системи і програмні додатки на відповідність правилам ЄС. Бізнес, який дбає про свою безпеку та активний розвиток, вже імплементував GDPR compliance процедури. Саме час подбати і про Ваш юридичний захист!

GDPR аудит, юридична допомога і консультація в Україні
Професійний аудит – запорука успіху і безпечного розвитку бізнесу.

GDPR аудит і ризики його відсутності.

Навіть досвідчені юристи загального профілю, зазвичай, залишають поза увагою чимало важливих нюансів правової організації роботи з персональними даними. Такі помилки у роботі юриста стають причиною суттєвих правових загроз для бізнесу. Невідповідність нормативним вимогам унеможливлює законну і безпечну роботу з зовнішніми ринками та європейськими клієнтами. Як уникнути цих помилок?

Якісний аудит на предмет відповідності правилам GDPR складається з трьох етапів: 1) попередній GDPR аудит – встановлює форми взаємодії з персональними даними, окреслює обсяг роботи і напрямки проведення основного аудиту; 2) основний аудит – виявляє ризики, невідповідність нормативним правилам і недоліки в організації роботи, також допомагає провести обов’язкове документування процесів роботи з персональними даними; 3) контрольний аудит – перевіряє ефективність вжитих заходів.

Відповідь є у GDPR-спеціалістів. Єдине ефективне рішення – це комплексний або модульний GDPR аудит, а також правові інструменти розроблені за його результатами. Проведення GDPR аудиту допоможе будь-якій компанії, у тому числі зі штатним юристом, ефективно упередити можливі проблеми в сфері обробки персональних даних. Нижче наведені приклади того, як GDPR аудит та побудовані за його результатами правові рішення допомогли у розв’язанні конкретних питань.

Приклади правових рішень, направлених на GDPR compliance:

Про важливу роль GDPR-спеціалістів ми писали у нашому блозі. Подальший розвиток інформаційних технологій, цінність інформації та необхідність її використання з суворим дотриманням нормативних правил, тільки збільшать значення навичок з імплементації регуляторних правил на практиці. Зараз, без зайвої теорії, поговоримо про ефективні правові інструменти і корисні рішення перевірені практикою. Розглянемо 2 таких інструменти, по-перше, це – публічні оферти, по-друге – правовий аналіз контрактів з контрагентами. Обов’язковою умовою ефективної реалізації кожного з наведених рішень є проведення попереднього GDPR аудиту і правильна правова оцінка отриманих результатів. Отже, приклади.

1. Робота з контрагентом резидентом ЄС. Модель “Business to Business”.

Вимоги Регламенту передбачають наявність гарантій прав фізичних осіб на кожному етапі роботи з їх персональними даними. Гарантії мають бути на рівні не нижче того, який гарантується первинним суб’єктом їх обробки і власне приписами GDPR. Цілком логічно, що кожен підприємець або компанія прагне переконатися у законному отриманні персональних даних своїм контрагентом, а також забезпечити належне поводження з такими даними у подальшому.

Отже, всім потрібні відповідні гарантії. І якщо Ваш персонал підпорядковується локальним наказам, іншим розпорядчим документам, а також виконує вимоги інструктажів з обробки персональних даних, то Ваші бізнес партнери можуть взяти на себе зобов’язання перед Вами виключно на підставі договору.

Саме окремі положення договорів, що забезпечують належний GDPR compliance, допомагають отримати бажані гарантії. Є практика укладення повноцінних самостійних угод щодо забезпечення дотримання правил GDPR у відносинах між бізнесом. Наприклад, такі угоди можуть оформлюватись додатками до основних контрактів, зокрема у формі Data Processing Addendum.

Разом з тим, європейські компанії, переслідуючи перш за все власні інтереси, намагаються нав’язати українським контрагентам надмірні обов’язки. Саме такий випадок стався з мережею українських компаній (бізнес в сфері туризму), які звернулися за допомогою до наших юристів.

Вихід з даної ситуації – детальне вивчення положень запропонованої угоди щодо забезпечення GDPR compliance, формування пропозицій щодо зміни окремих положень договору та їх узгодження з контрагентом.

За результатами правового аналізу угоди виявилось, що 80% її положень продиктовані приписами GDPR. Однак решта – це саме ті надмірні обов’язки, які без достатніх на те підстав могли бути покладені на українську компанію.

2. Проведення ICO – як ми допомогли узгодити KYC та GDPR між собою.

А це саме той випадок, коли є безпосередня робота з фізичними особами та їх даними. Члени нашої команди здійснюють юридичний супровід ICO та IEO проектів (в частині комплексної розробки публічних оферт). Ще до набуття чинності норм і приписів GDPR наші спеціалісти отримали прохання – узгодити в тексті публічної оферти нові правила GDPR з необхідністю проведення процедури KYC.

KYC або Know Your Customer – це процес верифікації (ідентифікації) клієнтів (інвесторів, користувачів тощо) за для виявлення і попередження потенційних ризиків. Процес ідентифікації передбачає роботу з широким переліком персональних даних про особу.

Законодавство різних юрисдикцій та ЄС в цілому, з одного боку – вимагає протидіяти відмиванню доходів, отриманих злочинним шляхом, а з іншого – вимагає мінімізувати збір персональних даних фізичних осіб та надати суттєві гарантії безпечного поводження із ними.

Як ми знайшли необхідний баланс? Виходячи з особливостей ICO-проекту був складений перелік персональних даних, мінімально необхідний для належної верифікації ICO-інвесторів. Далі, у тексті Політики Конфіденційності був виписаний чіткий механізм отримання і подальшої обробки персональних даних, а також вказані обов’язкові гарантії. На виконання приписів статті 30 Регламенту було проведено документування запланованих способів і форм збору, обробки, передачі і зберігання персональних даних і складено карту життєвих циклів персональних даних (data flow map).

Таким чином, заздалегідь обдуманий, прозорий і оптимальний спосіб роботи з персональними даними знайшов своє утілення в тексті публічної угоди з інвесторами і користувачами веб-сайту ICO-проекту. На виконання вимог статті 30 GDPR проведено документування процесів збору персональних даних та інші заходи. Як результат, проведена робота узгодила між собою необхідність дотримання процедури KYC та правил GDPR.

GDPR аудит та ефективні рішення для бізнесу:

В обох наведених випадках було знайдено необхідне рішення. В першому випадку – українською компанією запропоновано, а європейським контрагентом прийнято нашу редакцію положень контракту, що стосуються обробки персональних даних.

У другому випадку – складено Політику Конфіденційності з урахуванням всіх особливостей ICO-проекту та дійсних законодавчих вимог. Розроблений документ, з одного боку, забезпечує дотримання процедури KYC та не суперечить найбільш агресивним ініціативам у рамках BEPS та FATF, з іншого – дозволяє працювати з персональними даними, не порушуючи вимоги GDPR.

BEPS (Base Erosion and Profit Shifting) — проект організації ОЕСР щодо запобігання і протидії ухиленню від оподаткування та виведенням грошей в офшори. FATF (Financial Action Task Force) – міждержавне утворення, завданням якого є розробка і впровадження заходів, спрямованих на боротьбу з відмиванням незаконно отриманих доходів.

Не кожен юрист здатний провести якісний комплексний аналіз бізнесу на відповідність GDPR та забезпечити належний GDPR compliance. Лише ті юристи, які спеціалізуються на правильній організації процесу обробки персональних даних, можуть виявити суттєві ризики, надати необхідні рекомендації та допомогти втілити їх у життя.

Представлені приклади вжитих за результатами аудиту заходів – це частина комплексної роботи. Для повної відповідності нормативним правилам ЄС потрібно реалізувати цілу низку заходів. Якщо замовник GDPR-аудиту ставить за мету повну відповідність регуляторним правилам Регламенту, то аудит і його результати стануть відправною точкою для:

  • розробки політик і правил відносно роботи з персональними даними;
  • проведення документування процесів збору і обробки персональних даних фізичних осіб;
  • складання personal data flow map;
  • складання data protection impact assessment (стаття 35 Регламенту).

GDPR-спеціалісти здатні попередити накладення штрафних санкцій, а також захистити бізнес від надмірних договірних обов’язків, взятих через незнання положень GDPR. Як свідчить наведений вище приклад відносин з контрагентом з ЄС, українські компанії вже зараз мають справу з проблемами подібного характеру. Підписання контрактів з контрагентами резидентами ЄС без попереднього їх детального вивчення – недопустима халатність.

На щастя, наш бізнес вміє захищати себе у правовому полі. Той факт, що Ви читаєте нашу публікацію лише підтверджує цю позитивну тенденцію. Звісно, ніхто не стверджує, що з діловими партнерами з ЄС варто вести негласну війну. Однак, GDPR аудит контрактів, подальші переговори та пошук справедливого балансу у взаємних обов’язках – необхідна міра захисту і запорука розвитку Вашого власного бізнесу.

Інструменти у рамках GDPR compliance процедур для моделі “Business to Client”.

Підсумовуючи сказане вище, досягнення належного GDPR compliance можна звести до такого порядку:

  1. Проведення комплексного або модульного GDPR аудиту;
  2. Розробка необхідних правових рішень для досягнення  належного GDPR compliance;
  3. Впровадження і практична реалізація розроблених за результатами GDPR аудиту правових рішень (складання та оновлення політик, документування процесів роботи з персональними даними тощо);
  4. Подальша оперативна робота з контрактами, зверненнями фізичних осіб та періодичний моніторинг правової організації роботи з персональними даними.

На прикладах ми розібрали всі наведені етапи. Останній етап цілком під силу реалізувати Вашими власними силами за умови попередньої розробки фахівцями необхідних документів та проведення інструктажів з персоналом. А як оптимізувати 2 – з етапи, а то і проведення модульного GDPR аудиту? Для бізнесу, який орієнтований на онлайн роботу з широким колом споживачів, існує зручний інструмент впровадження такого правового рішення, як публічні оферти.

Якщо Ви є власником Інтернет-магазину, будь-якого програмного додатку, сервісу чи веб-сайту, через який надаються послуги або продаються товари, то Вашим ефективним помічником може стати Terms Privacy Bot. Terms Privacy Bot допоможе у зручному форматі отримати попередній правовий аналіз Вашого сервісу або програмного продукту та наступну розробку дієвого правового рішення для роботи з широким колом клієнтів.

Для комплексного аудиту роботи веб-сайтів, програмних додатків, онлайн сервісів, автоматизованих баз даних, договорів і анкет про надання згоди на обробку персональних даних, Ви можете скористатися допомогою наших GDPR-спеціалістів.

GDPR аудит – необхідна міра, зумовлена конкретними правилами.

“Нова пошта” ще у 2018 році оголосила тендер на проведення GDPR аудиту та перевірила свою модель роботи з персональними даними на відповідність GDPR. І це абсолютно правильний крок. Інші серйозні гравці вітчизняного бізнесу теж не відстають. Компанії і підприємці, які прямо чи опосередковано працюють з персональними даними, вже зараз мають здійснювати свою діяльність відповідно до вимог законодавства України і правил GDPR.

GDPR аудит – це перш за все Ваш захист. Ви та Ваш бізнес можете працювати ефективно, безпечно і в рамках чинного правового поля. Не відкладайте питання забезпечення юридичної безпеки на завтра, адже GDPR аудит бізнесу на відповідність вимогам Регламенту ЄС – доступний вже сьогодні. Юристи – члени команди Legal Support завжди готові надати необхідну юридичну допомогу. Правові консультації та проведення GDPR аудиту доступні онлайн.

Контакти юристів: +38 050 643 79 03 | +38 063 626 85 23.

Блог – GDPR аудит. Публікація вперше опублікована 17.07.2018, останній раз оновлена – 14.07.2020 року.