GDPR Аудит

GDPR аудит, юридична допомога і консультація в Україні

GDPR Аудит

Юридична допомога, консультація та GDPR аудит у форматі онлайн. Перевірте Ваші контракти, анкети, веб-сайти, клієнт-системи і програмні додатки на відповідність правилам ЄС. Бізнес, який дбає про свою безпеку та активний розвиток, вже імплементував GDPR compliance процедури. Саме час подбати і про Ваш юридичний захист!

GDPR аудит, юридична допомога і консультація в Україні
Професійний аудит – запорука успіху і безпечного розвитку бізнесу.

Конфіденційність – сучасний цифровий світ надав цьому слову значення, глибокого як ніколи. Яка пріоритетність питання безпеки персональних даних і конфіденційності? Чи це важливі питання для бізнесу? Чи вартує відвернення потенційної шкоди інтересам клієнтів та їх конфіденційності додаткових витрат? У процесі створення і просування комерційних продуктів, питання конфіденційності та безпеки захисту даних клієнтів і найманих працівників далеко не завжди у числі пріоритетних. Подібний підхід нерідко призводить як до репутаційних втрат, так і до матеріальних.

GDPR аудит направлений на виявлення процесів обробки персональних даних, перевірку їх належної організації та стану дотримання законодавства про захист персональних даних. GDPR аудит став звичним для європейського бізнесу та стартапів. А очікуване у 2022 році посилення українського законодавства про захист даних призведе до аналогічних тенденцій в Україні.

GDPR аудит і ризики його відсутності.

Навіть досвідчені юристи загального профілю залишають поза увагою важливі нюанси правової організації роботи з персональними даними. Такі помилки у роботі юриста стають причиною суттєвих правових загроз для бізнесу. Невідповідність нормативним вимогам унеможливлює законну і безпечну роботу з зовнішніми ринками та європейськими клієнтами. Як уникнути цих помилок?

Якісний аудит на предмет відповідності правилам GDPR складається з трьох етапів: 1) попередній GDPR аудит – встановлює форми взаємодії з персональними даними, окреслює обсяг роботи і напрямки проведення основного аудиту; 2) основний аудит – виявляє ризики, невідповідність нормативним правилам і недоліки в організації роботи, також допомагає провести обов’язкове документування процесів роботи з персональними даними; 3) контрольний аудит – перевіряє ефективність вжитих заходів.

Відповідь є у GDPR-спеціалістів. Єдине ефективне рішення – це комплексний або модульний GDPR аудит, а також правові інструменти розроблені за його результатами. Проведення GDPR аудиту допоможе будь-якій компанії, у тому числі зі штатним юристом, ефективно упередити можливі проблеми в сфері обробки персональних даних.

Які відомості необхідні для проведення вичерпного і всебічного GDPR аудиту?

Перед проведенням GDPR аудиту спеціалісту необхідно зібрати вихідні дані. Для того щоб провести вичерпний і всебічний аудит необхідно надати GDPR аудитору наступні відомості:

  • інформацію про осіб, які визначають цілі обробки персональних даних та здійснюють таку обробку;
  • відомості про підстави обробки даних (наприклад, поінформована згода, виконання договірних зобов’язань тощо);
  • інформацію про категорії суб’єктів персональних даних, чиї дані обробляються;
  • інформацію про категорії персональних даних (наприклад, прізвище та ім’я особи, відомості про засоби зв’язку, місцезнаходження), які обробляються;
  • інформацію про підрядників і субпідрядників, які залучатимуться до обробки даних (навіть якщо це не систематичні задачі);
  • відомості про випадки екстериторіальної передачі персональних даних;
  • інформація про строки збереження персональних даних і порядок їх видалення;
  • інформація про порядок розгляду запитів суб’єктів персональних даних;
  • відомості про способи (форми) використання персональних даних і кінцеву мету їх обробки.

Перелік не вичерпний і на практиці може відрізнятися. Крім того, в процесі аудиту спеціаліст з питань імплементації вимог GDPR може запитати додаткові відомості необхідні для проведення якісного і всебічного аудиту. Замовник також може поставити аудитору завдання, яке виходить за межі типового аудиту і потребуватиме отримання додаткових вихідних даних.

Які процеси і документи перевіряються під час GDPR аудиту?

Після збору та уточнення аудитором первинної інформації, розпочинається аналіз отриманих відомостей і проведення перевірочних дій. Що ж перевіряє GDPR аудитор? Під час проведення аудиту обробки персональних даних встановлюються і перевіряються:

  • наявність законних та обґрунтованих підстав для здійснення обробки персональних даних;
  • відповідність наявних процесів обробки персональних даних фактичній та задекларованій меті їх обробки, дотримання принципів, передбачених GDPR, зокрема принципів мінімізації та раціональності;
  • форми та способи обробки персональних даних, пов’язані з ними ризики;
  • обґрунтованість і доцільність визначених строків обробки даних;
  • характер взаємовідносин із підрядниками, які залучаються до обробки персональних даних, відповідність вимогам GDPR положень угод, які укладаються з такими підрядниками;
  • порядок залучення найманих працівників до обробки персональних даних та пов’язані з цим організаційні заходи безпеки, у тому числі практика укладення NDA і вичерпність таких заходів, як навчання і тренінги з питань GDPR;
  • документи пов’язані з питаннями обробки персональних даних, зокрема, політика конфіденційності, реєстри операцій з персональними даними, data processing agreement тощо;
  • порядок реагування на випадки витоку даних та випадки порушень чинних правил у сфері захисту персональних даних;
  • порядок розгляду запитів суб’єктів персональних даних та його відповідність правилам GDPR;
  • внутрішня організація відносин з питань обробки персональних даних всередині компанії, ефективність взаємодії керівництва компанії з відповідальними особами, у тому числі DPO (відповідальною особою з питань захисту даних);
  • наявність достатніх знань і навичок у персоналу, який залучається до обробки даних, перевірка ефективності проведених тренінгів;
  • оцінка ефективності наявних організаційних процедур і заходів забезпечення безпеки обробки персональних даних у динаміці.

Замовник може доручити аудитору провести перевірку додаткових процесів та документів. До того ж, кожна конкретна ситуація індивідуальна і, відповідно, може як звузити, так і розширити предмет аудиту. Як оформлюються результати GDPR аудиту? За результатом аудиту складається Висновок, у якому відображаються: а) фактичні обставини встановлені у процесі аудиту; б) недоліки та невідповідності вимогам GDPR; в) ризики і можливі негативні наслідки, що пов’язані з встановленими недоліками; г) рекомендації щодо усунення виявлених недоліків. У яких ситуаціях необхідний GDPR аудит? Практично в усіх ситуаціях, що пов’язані з обробкою персональних даних. Нижче наведені приклади того, як GDPR аудит та побудовані за його результатами правові рішення допомогли у розв’язанні конкретних питань.

Приклади правових рішень, направлених на GDPR compliance:

Про важливу роль GDPR спеціалістів ми писали у нашому блозі. Подальший розвиток інформаційних технологій, цінність інформації та необхідність її використання з суворим дотриманням нормативних правил, тільки збільшать значення навичок з імплементації регуляторних правил на практиці. Зараз, без зайвої теорії, поговоримо про ефективні правові інструменти і корисні рішення перевірені практикою. Розглянемо 2 таких інструменти, по-перше, це – публічні угоди (оферти), по-друге – правовий аналіз контрактів з контрагентами. Обов’язковою умовою ефективної реалізації кожного з наведених рішень є проведення попереднього GDPR аудиту і правильна правова оцінка отриманих результатів. Отже, приклади.

1. Робота з контрагентом резидентом ЄС. Модель “Business to Business”.

Вимоги Регламенту передбачають наявність гарантій прав фізичних осіб на кожному етапі роботи з їх персональними даними. Гарантії мають бути на рівні не нижче того, який гарантується первинним суб’єктом їх обробки і власне приписами GDPR. Цілком логічно, що кожен підприємець або компанія прагне переконатися у законному отриманні персональних даних своїм контрагентом, а також забезпечити належне поводження з такими даними у подальшому.

Отже, всім потрібні відповідні гарантії. І якщо Ваш персонал підпорядковується локальним наказам, іншим розпорядчим документам, а також виконує вимоги інструктажів з обробки персональних даних, то Ваші бізнес партнери можуть взяти на себе зобов’язання перед Вами виключно на підставі договору.

Саме окремі положення договорів, що забезпечують належний GDPR compliance, допомагають отримати бажані гарантії. Є практика укладення повноцінних самостійних угод щодо забезпечення дотримання правил GDPR у відносинах між бізнесом. Такі угоди можуть оформлюватись і додатками до основних контрактів, зокрема у формі Data Processing Addendum.

Разом з тим, європейські компанії, переслідуючи перш за все власні інтереси, намагаються нав’язати українським контрагентам надмірні обов’язки. Саме такий випадок стався з мережею українських компаній (бізнес в сфері туризму), які звернулися за допомогою до наших юристів.

Вихід з даної ситуації – детальне вивчення положень запропонованої угоди щодо забезпечення GDPR compliance, формування пропозицій щодо зміни окремих положень договору та їх узгодження з контрагентом.

За результатами правового аналізу угоди виявилось, що 80% її положень продиктовані приписами GDPR. Однак решта – це саме ті надмірні обов’язки, які без достатніх на те підстав могли бути покладені на українську компанію.

2. Проведення ICO – як ми допомогли узгодити KYC та GDPR між собою.

А це саме той випадок, коли є безпосередня робота з фізичними особами та їх даними. Члени нашої команди здійснюють юридичний супровід ICO та IEO проектів, у тому числі проводять розробку необхідних публічних угод. Ще до набуття чинності норм і приписів GDPR наші спеціалісти отримали прохання – узгодити в тексті публічної угоди нові правила GDPR з необхідністю проведення процедури KYC.

KYC або Know Your Customer – це процес верифікації (ідентифікації) клієнтів (інвесторів, користувачів тощо) за для виявлення і попередження потенційних ризиків. Процес ідентифікації передбачає роботу з широким переліком персональних даних про особу.

Законодавство різних юрисдикцій та ЄС в цілому, з одного боку – вимагає протидіяти відмиванню доходів, отриманих злочинним шляхом, а з іншого – вимагає мінімізувати збір персональних даних фізичних осіб та надати суттєві гарантії безпечного поводження із ними.

Як ми знайшли необхідний баланс? Виходячи з особливостей ICO проекту був складений перелік персональних даних, мінімально необхідний для належної верифікації ICO інвесторів. Далі, у тексті Політики Конфіденційності був виписаний чіткий механізм отримання і подальшої обробки персональних даних, а також вказані обов’язкові гарантії. На виконання приписів статті 30 Регламенту було проведено документування запланованих способів і форм збору, обробки, передачі і зберігання персональних даних і складено карту життєвих циклів персональних даних (data flow map).

Таким чином, заздалегідь обдуманий, прозорий і оптимальний спосіб роботи з персональними даними знайшов своє утілення в тексті публічної угоди з інвесторами і користувачами веб-сайту ICO проекту. На виконання вимог статті 30 GDPR проведено документування процесів збору персональних даних та інші заходи. Як результат, проведена робота узгодила між собою необхідність дотримання процедури KYC та правил GDPR.

GDPR аудит та ефективні рішення для бізнесу:

В обох наведених випадках було знайдено необхідне рішення. В першому випадку – українською компанією запропоновано, а європейським контрагентом прийнято нашу редакцію положень контракту, що стосуються обробки персональних даних.

У другому випадку – складено Політику Конфіденційності з урахуванням всіх особливостей ICO проекту та дійсних законодавчих вимог. Розроблений документ, з одного боку, забезпечує дотримання процедури KYC та не суперечить найбільш агресивним ініціативам у рамках BEPS та FATF, з іншого – дозволяє працювати з персональними даними, не порушуючи вимоги GDPR.

BEPS (Base Erosion and Profit Shifting) — проект організації ОЕСР щодо запобігання і протидії ухиленню від оподаткування та виведенням грошей в офшори. FATF (Financial Action Task Force) – міждержавне утворення, завданням якого є розробка і впровадження заходів, спрямованих на боротьбу з відмиванням незаконно отриманих доходів.

Не кожен юрист здатний провести якісний комплексний аналіз бізнесу на відповідність GDPR та забезпечити належний GDPR compliance. Лише ті юристи, які спеціалізуються на правильній організації процесу обробки персональних даних, можуть виявити суттєві ризики, надати необхідні рекомендації та допомогти втілити їх у життя.

Представлені приклади вжитих за результатами аудиту заходів – це частина комплексної роботи. Для повної відповідності нормативним правилам ЄС потрібно реалізувати цілу низку заходів. Якщо замовник GDPR-аудиту ставить за мету повну відповідність регуляторним правилам Регламенту, то аудит і його результати стануть відправною точкою для:

  • розробки політик і правил відносно роботи з персональними даними;
  • проведення документування процесів збору і обробки персональних даних фізичних осіб;
  • складання personal data flow map;
  • складання data protection impact assessment (стаття 35 Регламенту).

GDPR-спеціалісти здатні попередити накладення штрафних санкцій, а також захистити бізнес від надмірних договірних обов’язків, взятих через незнання положень GDPR. Як свідчить наведений вище приклад відносин з контрагентом з ЄС, українські компанії вже зараз мають справу з проблемами подібного характеру. Підписання контрактів з контрагентами резидентами ЄС без попереднього їх детального вивчення – недопустима халатність.

На щастя, наш бізнес вміє захищати себе у правовому полі. Той факт, що Ви читаєте нашу публікацію лише підтверджує цю позитивну тенденцію. Звісно, ніхто не стверджує, що з діловими партнерами з ЄС варто вести негласну війну. Однак, GDPR аудит контрактів, подальші переговори та пошук справедливого балансу у взаємних обов’язках – необхідна міра захисту і запорука розвитку Вашого власного бізнесу.

Інструменти у рамках GDPR compliance процедур для моделі “Business to Client”.

Підсумовуючи сказане вище, досягнення належного GDPR compliance можна звести до такого порядку:

  1. Проведення комплексного або модульного GDPR аудиту;
  2. Розробка необхідних правових рішень для досягнення  належного GDPR compliance;
  3. Впровадження і практична реалізація розроблених за результатами GDPR аудиту правових рішень (складання та оновлення політик, документування процесів роботи з персональними даними тощо);
  4. Подальша оперативна робота з контрактами, зверненнями фізичних осіб та періодичний моніторинг правової організації роботи з персональними даними.

На прикладах ми розібрали всі наведені етапи. Останній етап цілком під силу реалізувати власними силами за умови попередньої розробки фахівцями необхідних документів та проведення інструктажів з персоналом. А як оптимізувати 2 і 3 етапи? Перше – скористатися GDPR аудитом у дистанційному форматі. Друге – бізнес, який орієнтований на онлайн роботу з клієнтами, може використати Terms Privacy Bot для зручного замовлення розробки політик і публічних угод.

Якщо Ви є власником Інтернет-магазину, будь-якого програмного додатку, сервісу чи веб-сайту, через який надаються послуги або продаються товари, Вашим ефективним помічником може стати Terms Privacy Bot. Terms Privacy Bot допоможе у зручному форматі отримати попередній правовий аналіз сервісу або програмного продукту та наступну розробку дієвого правового рішення для роботи з широким колом клієнтів.

Для комплексного аудиту веб-сайтів, програмних додатків, онлайн сервісів, автоматизованих баз даних, договорів і анкет про надання згоди на обробку персональних даних, можна скористатися допомогою наших GDPR спеціалістів.

GDPR аудит – необхідна міра, зумовлена конкретними правилами.

“Нова пошта” ще у 2018 році оголосила тендер на проведення GDPR аудиту та перевірила свою модель роботи з персональними даними на відповідність GDPR. І це абсолютно правильний крок. Інші серйозні гравці вітчизняного бізнесу теж не відстають. Компанії та підприємці, які прямо чи опосередковано працюють з персональними даними, вже зараз мають здійснювати свою діяльність відповідно до вимог законодавства України і правил GDPR.

GDPR аудит – це перш за все Ваш захист. Ви та Ваш бізнес можете працювати ефективно, безпечно і в рамках чинного правового поля. Не відкладайте питання забезпечення юридичної безпеки на завтра, адже GDPR аудит бізнесу на відповідність вимогам Регламенту ЄС – доступний вже сьогодні. Юристи команди Legal Support завжди готові надати необхідну юридичну допомогу. Правові консультації та проведення GDPR аудиту доступні онлайн.

Контакти юристів: +38 050 643 79 03 | +38 063 626 85 23.

Блог – GDPR аудит. Публікація вперше опублікована 17.07.2018, останній раз оновлена – 23.05.2022 року.