Юридична GDPR сертифікація

Для чого бізнесу GDPR сертифікація? Центр GDPR-сертифікації бізнес-процесів пояснює суть та переваги добровільної сертифікації.

Юридична GDPR сертифікація

GDPR сертифікація допомагає розбудувати бізнес-процеси у відповідності до чинних європейських правил обробки персональних даних. Проте, чи є GDPR сертифікація обов’язковою? Чи гарантує сертифікат 100% відсутність претензій з боку органів нагляду? Які переваги GDPR сертифікації? Відповідаємо, розвінчуємо міфи та пояснюємо як спеціалісти Legal Support проводять юридичну частину сертифікації.

Для чого бізнесу GDPR сертифікація? Центр GDPR-сертифікації бізнес-процесів пояснює суть та переваги добровільної сертифікації.
Для чого бізнесу GDPR сертифікація? Об’єктивно про те, чи потрібен Вам сертифікат та як його отримати.

Конфіденційність – сучасний цифровий світ надав цьому слову значення, глибоке як ніколи. Яка пріоритетність питання безпеки персональних даних і конфіденційності? Чи це важливі питання для бізнесу? Чи вартує відвернення потенційної шкоди інтересам клієнтів та їх конфіденційності додаткових витрат? В процесі створення і просування комерційних продуктів, питання безпеки та конфіденційності даних клієнтів і найманих працівників далеко не завжди у числі пріоритетних. Однак, факти компрометації даних і порушення, яким надано публічний розголос, засвідчили – ігнорування вимог у сфері захисту даних призводить як до репутаційних втрат, так і до матеріальних.

Центр GDPR сертифікації бізнес-процесів.

На відміну від інших організацій, які проводять сертифікацію процесів обробки даних, ми будемо відверті – сертифікація добровільна! GDPR сертифікація не є обов’язковою вимогою і сертифікат не гарантує відсутність претензій з боку наглядових інстанцій у разі будь-якої зміни у процесах обробки даних. Сертифікат засвідчує відповідність процесів на день завершення перевірки. Спеціалісти центру GDPR сертифікації юридичного об’єднання Legal Support здійснюють перевірку і аудит організаційно-юридичної частини процесів обробки даних. Ми не перевіряємо вичерпність, надійність та актуальність програмно-апаратних заходів. Однак, можемо надати рекомендації спеціалістів, які розробляють, перевіряють та імплементують програмно-апаратні заходи.

Якщо процес GDPR сертифікації добровільний та на 100% не гарантує відсутність зауважень з боку європейських органів контролю у сфері захисту персональних даних, то який сенс приймати участь у сертифікації? Причин чимало, перша з них – аудит та превентивне усунення порушень GDPR, друга – репутаційна перевага над конкурентами та великий плюс у відносинах з клієнтами. Поглянемо на весь перелік причин скористатися добровільною сертифікацією.

Для чого потрібна GDPR сертифікація?

  1. Для юридично-безпечного виходу бізнесу на ринки країн ЄС та країн з аналогічними вимогами у сфері захисту даних.
  2. Для попередження: випадків витоку персональних даних, порушення приписів GDPR та завдання шкоди інтересам клієнтів.
  3. Для зменшення імовірності накладення штрафних санкцій через порушення GDPR.
  4. Для оптимізації бізнес-процесів, зменшення видатків на організацію вичерпної та об’єктивної перевірки відповідності процесів обробки персональних даних власними силами.
  5. Для покращення загального іміджу компанії, демонстрації прозорості та відповідального ставлення до питання захисту даних.
  6. Для зміцнення довіри з боку клієнтів, для демонстрації клієнтам зусиль щодо захисту їх даних.

Сертифікат – це демонстрація відповідності GDPR. Підтвердження того, що Ваші бізнес-процеси відповідають правилам GDPR на дату проведення перевірки. Сертифікація позитивно впливає на репутацію бізнесу та мінімізує ризики невідповідності GDPR.

Сертифікат про відповідність GDPR – не головне!

До сертифікату додається правовий висновок, який містить інформацію про:

  1. Процеси обробки персональних даних, встановлені під час перевірки.
  2. Відповідність їх організації вимогам General Data Protection Regulation.
  3. Характер відносин з підрядниками, які задіяні у якості “обробників” персональних даних.
  4. Встановлені порушення організації і здійснення обробки персональних даних.
  5. Високоризикові чинники, які не вказують на порушення GDPR, але можуть призвести до них чи завдати шкоди інтересам третіх осіб.
  6. Рекомендації щодо усунення порушень та/або зменшення випливу ризикових чинників.
  7. Остаточний висновок про відповідність вимогам GDPR організації процесів обробки персональних даних та їх юридичного оформлення.

Що ж перевіряється під час GDPR сертифікації? Які бізнес-процеси і питання охоплює GDPR сертифікація? В додаток до вказаного у переліку вище, що знаходить безпосереднє відображення у висновку юриста, у процесі перевіряється належна імплементація всіх обов’язкових заходів, передбачених Регламентом. У числі обов’язкових заходів: отримання вичерпної та поінформованої згоди суб’єктів даних, документування процесів обробки персональних даних, оформлення відносин між контролером і обробником персональних даних та інші.

Чи може виявитися так, що наявні бізнес-процеси не відповідають GDPR? Цілком, це поширений випадок у практиці сертифікації на відповідність GDPR. І навіть за таких умов досягається головна мета сертифікації – виявити і встановити організаційні та юридичні недоліки у процесах обробки персональних даних. За результатами виявлених недоліків юристи центру сертифікації запропонують оптимальне організаційно-правове рішення, яке у подальшому дозволить успішно пройти повторну сертифікацію. Повторимось – сертифікат не головне. Задача №1 – привести бізнес-процеси у відповідність до чинних регуляторних правил обробки персональних даних.

Які стадії сертифікації та як вона проводиться?

80% роботи проводиться у форматі Remote. Лише для перевірки бізнес-процесів, що пов’язані з обробкою персональних даних в “очний спосіб” (переважно рекрутингові агенції, медичні заклади тощо), забезпечується виїзд спеціаліста і перевірка процесів обробки даних “на місці”. Стадії роботи спеціаліста в процесі сертифікації:

  1. Збір відомостей про наявні операції обробки даних, їх форми, категорії персональних даних, строки збереження, способи використання, перелік підрядників, що залучені до обробки даних, сукупність інших відомостей, що стосуються процесів обробки персональних даних.
  2. Аудит наявних процесів обробки персональних даних, їх правового оформлення на кожному етапі обробки даних. Вичерпна перевірка політик, положень, застережень, а також угод з підрядниками, що стосуються обробки персональних даних клієнтів / користувачів / пацієнтів. Перевірка організаційних заходів, направлених на дотримання чинних правил у сфері захисту даних.
  3. Підготовка висновку за результатами проведеного аудиту та напрацювання рекомендацій.
  4. Надання замовнику сертифікату з висновком юриста або правового висновку з переліком встановлених недоліків та рекомендаціями щодо їх усунення.
  5. Факультативна стадія – контрольний аудит та повторне проходження сертифікації у разі суттєвої зміни змісту та/або форми операцій з обробки даних.
А як щодо програмно-технічної складової процесу обробки даних? Сертифікат видається на підставі довідок про актуальність технічних заходів та гарантійного листа власника бізнесу з цього питання. Поряд з сертифікацією є можливість отримати допомогу спеціаліста з імплементації організаційно-юридичних заходів, направлених на відповідність GDPR. У такому форматі додаються 4 етапи, які не включаються до процесу сертифікації, однак направлені на приведення бізнес-процесів у відповідність до GDPR:
  1. Напрацювання необхідних правових та організаційних заходів.
  2. Допомога та супровід при запровадженні напрацьованих рішень і заходів.
  3. Реалізація факультативних заходів, зокрема тренінгів для персоналу.
  4. Контрольні аудити для перевірки ефективності запроваджених заходів.

Хто проводить GDPR сертифікацію в Україні?

GDPR сертифікація передбачена статтею 42 Регламенту – “The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors”.

Разом з тим, в Україні відсутня організація, орган чи установа, які мають повноваження проводити офіційну сертифікацію на відповідність GDPR. Більше того, на загальноєвропейському рівні така організація також відсутня. Тому юридична GDPR сертифікація на всіх стадіях проводиться силами спеціалістів об’єднання Legal Support з обробки та захисту ПД. Сертифікат видається від імені спеціаліста об’єднання на бланку організації.

Орган чи установа, що проводить офіційну обов’язкову GDPR сертифікацію, відсутній як в Україні, так і в інших країнах. Не дайте шахраям ввести Вас в оману. GDPR сертифікація, яка проводиться спеціалістами об’єднання Legal Support, не є обов’язковою, і, тим більше, не є індульгенцією на порушення. На відміну від інших центрів сертифікації, ми чесно і об’єктивно повідомляємо – GDPR сертифікація добровільна! Вона покликана допомогти бізнесу організувати процеси обробки персональних даних і зменшити ризики притягнення до відповідальності.

Звісно, інші організації та їх спеціалісти також можуть здійснювати перевірку на відповідність GDPR. Це можуть бути як організаційно-юридичні аудити (аналогічно до нашої діяльності), так і програмно-технічні. Разом з тим, спеціалісти NGO “Legal Support” ще з 2017 року цілеспрямовано займаються питанням належної правової організації процесів обробки персональних даних. У нас є досвід і знання щоб перевіряти бізнес-процеси на їх відповідність правилам GDPR.

NGO “Legal Support” – незалежна організація, яка зареєстрована у формі громадського об’єднання та функціонує з 2017 року. У 2020 році при об’єднанні Legal Support на постійній основі почав діяти Центр GDPR сертифікації. Спеціалісти NGO “Legal Support” входять до складу Міжнародної асоціації правових аудиторів, мають необхідний досвід і навички.

Виключення – програмно-апаратні заходи, перевірка їх відповідності та актуальності. В цій частині ми виходимо з наданого замовником гарантійного листа або довідки компетентного спеціаліста. На вимогу замовника GDPR сертифікації ми також можемо надати рекомендації та контакти спеціалістів, що проводять програмно-апаратний аудит та імплементують необхідні програмно-апаратні заходи.

Роз’яснення та рекомендації юристів Центру GDPR сертифікації:

Стартапи та вже працюючий бізнес, що потребують відповідності GDPR, можуть отримати консультації та вичерпні роз’яснення юристів Центру GDPR сертифікації. Рекомендації з окремих питань, у тому числі щодо проведення аудиту процесів обробки даних викладені у відкритих статтях-консультаціях юристів нашого об’єднання:

  • про обов’язкові та рекомендовані заходи, направлені на відповідність GDPR (дивіться посилання вище за текстом);
  • про роль і значення DPO (Data Protection Officer), послуги DPO на аутсорсі;
  • про комплексний юридичний GDPR аудит процесів обробки даних;
  • про навчання, тренінги і семінари, які допоможуть персоналу отримати необхідні навички і знання про вимоги GDPR;
  • про складання GDPR Compliant Privacy Policy – https://legal-support.top/gdpr-compliant-privacy/
  • інші статті з розділу “Консультації” за тегом GDPR.

Як направити запит на проведення юридичної GDPR сертифікації?

Запити на проведення GDPR сертифікації просимо надсилати на адресу електронної пошти – it_lawyer@ukr.net. У листі достатньо навести попередній опис процесів обробки даних, необхідність та мету такої обробки. Повний перелік відомостей, шо необхідні для аудиту, перевірки та сертифікації буде надіслано у відповідь. Юридична GDPR сертифікація може бути проведена як щодо окремих бізнес-процесів (наприклад, в частині роботи веб-сервісу, програмного застосунку, організації прийому і надання допомоги пацієнтам тощо), так і щодо всієї сукупності бізнес-процесів окремого суб’єкта господарювання.

Ми пояснили для чого бізнесу GDPR сертифікація, розкрили її переваги та розвіяли міфи про начебто обов’язковість сертифікації. Центр GDPR сертифікації юридичного об’єднання Legal Support дотримується позиції про недопустимість розповсюдження будь-яких міфів та маніпуляцій. GDPR сертифікація – це добровільний процес. Наявні запитання стосовно процесу сертифікації можна скерувати юристам нашого об’єднання, скориставшись контактними телефонами, що наведені у розділі “Контакти”.

Facebook
fb-share-icon
Twitter
Tweet
LinkedIn
Share