Быстрый маневр: как сторонний подрядчик поможет бизнесу с GDPR

25 мая — дата вступления в силу GDPR, Общего регламента по защите данных. Он был опубликован еще два года назад, и предполагалось, что во время этого переходного периода компании смогут подготовиться к новым реалиям. Но далеко не все украинские проекты успели внедрить необходимые изменения.

Незадолго до "дедлайна" многие обнаружили, что переход в новый режим потребует гораздо больше времени и ресурсов, чем казалось. Однако есть способ добиться соответствия с требованиями GDPR "малой кровью". Этот способ — привлечение подрядчика, который возьмет на себя функции IT Governance и CIO (chief information officer, директора по информационным технологиям).

Кого касается GDPR

GDPR — постановление Европарламента, Совета ЕС и Европейской комиссии, которое теперь будет регулировать работу с данными граждан и резидентов стран ЕС. Придерживаться новых правил должны все компании, у которых есть пользователи из числа граждан и резидентов Евросоюза.

Фактически, под это определение подпадают любые компании, услугами которых может воспользоваться европеец, даже если на первый взгляд аудитория исключительно локальная. Скажем, "Укрзалізниця" продает билеты только в Украине, но не только украинцам, а и жителям ЕС, которые приехали в Украину и покупают билеты через сайт.  

Еще один критерий — возможность авторизации на сайте через соцсети. В аккаунте пользователя могут содержаться чувствительные персональные данные.

Также требованиям GDPR должны соответствовать компании, у которых есть сотрудники из числа граждан ЕС, ведь в этом случае бизнес тоже собирает, хранит и обрабатывает их данные.

Если закрыть глаза на новые требования ЕС, можно получить крупный штраф. Максимальная сумма штрафа — 20 млн евро или 4% годового оборота компании за предыдущий год, причем верхнюю границу определяет та цифра, которая больше. GDPR — документ международного права, он выше по значимости, чем локальные законы отдельных стран. Как объяснил в интервью ресурсу "Аргумент" юрист Европейского суда Маркиян Бем, даже компанию, у которой нет регистрации и собственности в ЕС, могут привлечь к ответственности за несоответствие регламенту — через международные суды.  

Проверить, готова ли компания к GDPR, можно с помощью теста от IBM. Ряд полезных решений можно найти на Product Hunt. Например, недавно состоялся релиз GDPR Scan Widget — виджет для проверки сайта.

Что делать: каких изменений потребует GDPR

Сам регламент довольно обширный, занимает 88 страниц. С полным текстом можно ознакомиться на официальном сайте Права Евросоюза. Новые правила требуют, в частности, проанализировать и пересмотреть наборы собираемых данных, чтобы запрашивать только действительно необходимую информацию. Вся персональная информация должна храниться в зашифрованном виде.

Необходимо будет проверить формы для сбора данных и убрать галочки, стоящие по умолчанию напротив пунктов вроде "Я согласен с условиями обработки персональных данных". Кроме того, теперь нельзя расплывчато писать о том, что вы намерены передавать данные "третьей стороне" или "третьим лицам". Придется указать каждого. Согласие нужно запрашивать по частям, для каждого пункта отдельно. А если данные планируется передавать в третьи страны, то нужно убедиться, что эти страны попадают в список разрешенных (есть на сайте Еврокомиссии).

Тех пользователей, которые давали согласие на обработку информации по старым правилам, стоит оповестить об изменениях в политике работы с персональными данными. Сейчас многие компании присылают клиентам соответствующие письма или push-сообщения.

Если бизнес пользуется услугами других компаний и хранит данные в чужих сервисах, необходимо запросить документ о соответствии требованиям GDPR у каждого из них. Например, некоторые компании проводят опросы пользователей через сторонние сервисы анкетирования. Многие хранят документы в облачных хранилищах. Поставщиков этих услуг нужно обязательно проверять.

Другие требования касаются условий использования продукта, необходимости запрашивать четкое согласие на трекинг со стороны систем бизнес-аналитики. Ужесточилась и политика по работе с cookies. Обязательна кнопка Unsubscribe в каждом письме. Кстати, после отписки нужно будет удалить данные о пользователе. И после проведения платежа. И просто по требованию юзера. Для контроля выполнения этих требований необходимо назначить ответственного офицера.

Обычно на этом советы по подготовке к GDPR заканчиваются. Однако приведенные примеры — только часть изменений. Чтобы определить точный список, нужно анализировать конкретный продукт или ресурс.

IT Governance as-a-service

Google по запросу "как подготовиться к GDPR" выдает почти 1,5 млн результатов — очевидно, эта тема интересует многих. Проблема в том, что регламент действительно непростой, и не у всех компаний хватает ресурсов и компетентных специалистов такой узкой специализации.

Для выполнения работ по подготовке проекта к GDPR нужны не только технические знания, но и экспертиза в области интернет-права, в частности — европейского. Это функция CIO или IT Governance, которого в украинских компаниях обычно нет.

ЧИТАЙТЕ ТАКЖЕ: Защита персональных данных: насколько вы подготовлены

"Preply — это маркетплейс для поиска репетиторов по иностранным языкам, школьным предметам и хобби. Сайт имеет версии на 15 языках, фактически работает в 185 странах. Значительная часть трафика приходится именно на ЕС, так что нам крайне важно соблюсти все требования GDPR. Мы решили делать все правильно, не оставить ни одного несоответствия. Задача оказалась непростой: здесь мало знать свои технологии, нужно разбираться в международном интернет-праве.

Когда мы узнали, что можно привлечь стороннего подрядчика с высоким уровнем экспертизы, стало очевидно, что это оптимальное решение. Оно позволит не только сэкономить собственные ресурсы, но и выполнить задачу более качественно, уверенно работать на европейских рынках, не боясь получить штраф. В качестве подрядчика выбрали компанию CIOneer ", — объясняет ко-фаундер и Head of Product Design онлайн-маркетплейса для поиска репетиторов Preply Сергей Лукьянов.  

Одна из услуг компании — IT Governance as-a-service. Анализ рынка показал, что это достаточно редкий сервис. По запросу ""IT Governance as-a-service"" с кавычками (поиск точного соответствия, — прим. ред.) Google выдает всего 5 страниц. Сейчас, в преддверии нового регламента, такие услуги востребованы по всему Евросоюзу и в мире в целом, но компаний, их предоставляющих, крайне мало.

Как проходит работа с подрядчиком

В случае с подготовкой к GDPR проект начинается со встречи с командой, где заказчик и подрядчик совместно обсуждают ситуацию, определяют объем работ и планируют ряд последующих встреч. Каждая посвящена отдельному блоку работ. Первым становится аудит, во время которого специалисты определяют, какие функции и элементы продукта не соответствуют новому регламенту.

Аудиторы также проводят выборочную проверку документации, интервьюируют сотрудников, изучают данные о компании из открытых источников (например, с сайта и публикаций в медиа). Это позволяет учесть все риски и обнаружить несоответствия, о которых в самой компании могут не знать или не помнить.

ЧИТАЙТЕ ТАКЖЕ: Как новая политика ЕС по защите данных повлияет на украинский бизнес

"Опыт показывает, что компаниям сложно самостоятельно проработать все требования GDPR. Например, когда составляется реестр платформ, на которых хранятся данные, представители бизнеса часто не учитывают сервисы, которые они перестали использовать: старые CRM или хранилища, от которых отказались. Если аккаунт вместе со всеми данными не удален, это может повлечь за собой претензии регулятора. GDPR запрещает хранить неиспользуемые данные, так что это серьезная ошибка, которая может иметь юридические и финансовые последствия", — объясняет Visionary Leader CIOneer Андрей Погорелый.  

Специалист добавляет, что сейчас многие IT и юридические компании занимаются вопросами GDPR-соответствия. Однако единственный способ корректно проработать требования регламента — объединить эти две экспертизы. Необходимо использовать целостный подход, дополнив команду IT-профессионалов комплаенс-офицером (compliance officer). Так называют специалиста, который контролирует вопросы, связанные с соответствием правовым нормам.

Подрядчик формирует список рекомендаций для каждого подразделения компании. Эксперты определяют, какие действия должен выполнить CTO и его департамент, какие изменения в продукт должен внести Head of Product (или Head of Design), что нужно сделать HR-департаменту и так далее.

Кроме того, эксперты отдельно консультируют команду по поводу того, как поддерживать соответствие GDPR в будущем, как обеспечить безопасность данных. Все процессы и правила должны быть четко задокументированы. При работе с некоторыми типами данных должен быть назначен специалист (Data Protection Officer) из ЕС, отвечающий за безопасность данных пользователей и защиту их прав и свобод. Эту функцию может выполнять и компания-аутсорсер из Европы.   

Чек-лист подготовки к GDPR

На основе результатов аудита формируется road map — список задач, которые необходимо выполнить. В списке таких задач, скорее всего, окажется пересмотр данных, которые собираются и хранятся, новые пользовательские соглашения, обновление форм регистрации. Также важна проверка всех сервисов, которые использует команда, они тоже должны соответствовать требованиям GDPR, а в некоторых случаях сотрудники, имеющие доступ к данным, должны подписать соглашение о неразглашении.

Даже после того, как компания пересмотрит список собираемых данных, удалит лишнее и получит согласие на обработку персональной информации, работа не закончится. GDPR требует защищать данные пользователей. Это значит, что нужна политика безопасности, четко прописанные процедуры работы с данными, механизмы проверок. Эти сценарии и процессы тоже можно спланировать, пользуясь услугой IT Governance as-a-service.

Работа с подрядчиком — не единственный возможный сценарий подготовки к GDPR. Компания вполне может действовать своими силами. В Сети есть немало руководств и подсказок. Например, подробную инструкцию подготовили в Deloitte. На платформе Udemy можно найти несколько полезных курсов, посвященных этой теме. Однако при этом нужно понимать, что GDPR действует с 25 мая 2018 года, а самостоятельное изучение вопроса требует времени. Рисковать ли безопасностью бизнеса, откладывая изменения, — вопрос риторический.