Как выжить после GDPR: самый прикладной чек-лист на соответствие регламенту | Umbrella IT

Как выжить после GDPR: самый прикладной чек-лист на соответствие регламенту

В нашей предыдущей статье, посвященной GDPR, мы сделали лирическое отступление о том, кого затронет новый регламент и во сколько обойдется его нарушение.

Мы обещали рассказать, как продолжить гнуть свою линию и не попасть под санкции. И мы всегда держим слово. Наши специалисты подготовили самый прикладной чек-лист на соответствие GDPR. Для удобства он разбит на 5 блоков:

  1. Анализ данных
  2. Согласие
  3. Управление данными
  4. Публичная документация
  5. Безопасность данных

 

1. Анализ данных

1.1. Определите места, где вы храните данные клиентов.

  • CRM.
  • Google Таблицы.
  • Финансовые отчеты.
  • Другое.

1.2. Определите структуру этих данных.

  • С помощью таблицы или другого инструмента распределите данные по категориям. Перечислите все места хранения.

1.3. Проверьте, есть ли среди данных, которые вы храните, персональные.

  • Имя.
  • Адрес.
  • E-mail.
  • Телефон.
  • ID пользователя.
  • Другие данные, которые помогают определить конкретного человека.

1.4. Определите цели сбора персональных данных.

  • Новостная рассылка.
  • Таргетированная реклама.
  • Улучшение сервиса.
  • Другое.

1.5. Минимизируйте сбор данных для каждой цели.

  • Проверьте, не собираете ли вы избыточные данные для выполнения конкретной задачи.
  • Удалите лишние данные.
  • Переработайте формы подписки и регистрации и проверьте, что в дальнейшем данные будут собираться только в необходимом объеме.

1.6. Определите источники получения персональных данных.

  • Вы собираете данные через сайт.
  • Вы собираете данные через Google Analytics.
  • Вы собираете данные через почту.
  • Вы собираете данные через контактную форму.
  • Вы собираете данные через подписку.
  • Вы собираете данные через мобильное приложение.
  • Другое.

1.7. Определите легальное обоснование (одно или более) обработки персональных данных для каждого источника их получения.

  • Данные обрабатываются для выполнения договорных обязательств с клиентом.
  • Данные обрабатываются для обеспечения жизненных интересов человека.
  • Данные обрабатываются в общественных интересах.
  • Данные обрабатываются для соблюдения правовых обязательств.
  • Данные обрабатываются в законных интересах компании.
  • Данные обрабатываются с согласия пользователя.

1.8. Проверьте, собираете ли вы персональные данные, которые не имеют легального обоснования.

  • Если собираете – привлеките юристов и подведите обработку данных под законный базис.
  • Если собираете, но найти легальное обоснование невозможно – удалите данные и продумайте, как изменить бизнес-процессы, чтобы не собирать эти данные в будущем.

1.9. Определите рациональные сроки хранения персональных данных.

  • Срок хранения данных для финансовой отчетности: X лет.
  • Срок хранения данных для коммерческой деятельности: Y лет.
  • Другое.

1.10. Удалите данные с истекшим сроком хранения.

1.11. Составьте внутреннюю инструкцию по своевременному удалению данных.

  • Настройте автоматическое удаление или анонимизацию данных с истекшим сроком хранения.
  • Назначьте сотрудника, ответственного за удаление или анонимизацию данных с истекшим сроком хранения.

 

2. Согласие

2.1. Добавьте во все формы сбора данных чекбокс «Я согласен/согласна с политикой конфиденциальности (Privacy Policy), условиями использования (Terms of Service), политикой cookie (Cookie Policy)».

4

2.2. Сделайте всплывающее уведомление об использовании сайтом файлов cookie.

  • Укажите, для каких целей используете cookie.

2.3. Добавьте в чекбокс ссылки на публичные документы.

  • Политика конфиденциальности (Privacy Policy).
  • Условия использования (Terms of Service).
  • Политика cookie (Cookie Policy).

2.4. Берите отдельное согласие для каждой конкретной цели обработки.

  • Я согласен/согласна получать новостные рассылки по смс.
  • Я согласен/согласна получать информацию о скидках и специальных предложениях по e-mail.  
  • Другое.

2.5. Запрашивайте согласие повторно, если цель использования меняется.

  • Проверьте, что этот процесс формализован и есть регламент, как это делать.

2.6. Проверьте, что в чекбоксах не проставлены галочки по умолчанию.

2.7. Сделайте пометку, что пользователь имеет право отозвать согласие на обработку своих данных в любой момент.

  • Объясните, как это можно сделать и добавьте ссылку на форму отзыва согласия.

2.8. Задокументируйте все случаи получения и отзыва согласия.

  • Кто и когда согласился: создайте датированный документ с именем или другим идентификатором пользователя.
  • Какие были условия согласия: укажите в документе точную формулировку запроса согласия, которая была использована. Добавьте версии публичных документов, которые были актуальны на момент получения согласия.

 

3. Управление данными

3.1. Добавьте в профиль пользователя опцию «Удаление аккаунта».

  • Проверьте, что персональные данные удаляются из базы данных полностью.

3.2. Добавьте в профиль пользователя опцию «Изменение или отмена согласия на обработку данных».

  • Проверьте, что у пользователя есть возможность разрешать, ограничивать и запрещать использование своих персональных данных в отношении каждой отдельной цели.
  • Проверьте, что при активации этой опции обработка данных для выбранной пользователем цели прекращается.
  • Проверьте, что данные пользователя окончательно удаляются, если они не используются в других целях, одобренных пользователем.

3.3. Добавьте в профиль пользователя опцию «Экспорт персональных данных».

  • Проверьте, что при выгрузке пользователь может действительно получить все данные, попадающие под категорию персональных.

 

4. Публичная документация

4.1. Актуализируйте политику конфиденциальности (Privacy Policy).

  • Укажите типы персональных данных, которые вы собираете.
  • Укажите все цели обработки данных.  
  • Укажите способы обеспечения безопасности данных.
  • Укажите сроки хранения данных.
  • Укажите, какими правами обладает пользователь.
  • Укажите, каким сторонним компаниям передаются персональные данные пользователей.
  • Укажите типы данных, которые вы передаете этим компаниям.
  • Укажите причины и условия передачи данных этим компаниям.

4.2. Актуализируйте условия использования (Terms of Service).

  • Укажите, что сбор данных происходит по персональному согласию пользователя.
  • Укажите, что сайт/приложение доступен только пользователям старше 13-16 лет (возрастной порог зависит от конкретной страны) или детям с родительского согласия, если вы ориентируетесь на детскую аудиторию.

4.3. Актуализируйте политику cookie (Cookie Policy).

  • Укажите, что такое cookie.
  • Укажите, какие типы cookie вы используете.
  • Укажите цели использования cookie.
  • Получите согласие пользователя на использование cookie.
  • Сделайте отдельный чекбокс согласия для каждой цели использования cookie.

5

 

5. Безопасность данных

5.1. Составьте документацию по вопросам обработки персональных данных.

  • Назначьте и укажите официального представителя компании в EC.
  • Назначьте и укажите DPO (Data Protection Officer), если вы осуществляете обработку или мониторинг лиц в крупных масштабах.
  • Назначьте ответственного за безопасность персональных данных.
  • Определите и задокументируйте используемые методы шифрования или псевдонимизации.
  • Определите процедуры предотвращения и выявления нарушений.
  • Определите процедуры устранения последствий таких нарушений.
  • Определите процедуру уведомления надзорных органов в случае утечки данных.
  • Определите процедуру уведомления пользователей в случае утечки данных.

5.2. Определите узкие места в текущей системе безопасности.

  • Устаревшие инструменты защиты.
  • Ошибки сотрудников.
  • Хакерская атака.
  • Халатность подрядчиков.
  • Другое.

5.3. Устраните уязвимости.

  • Если вам не хватает экспертизы или специалистов, привлеките юристов и сторонних разработчиков, которые смогут подобрать оптимальные юридические и технические решения по критериям цена – сроки – качество.

 

GDPR — важный законодательный документ, определяющий новые правила игры на едином европейском цифровом рынке. GDPR вносит серьезные изменения в уже отлаженные и привычные процессы. При этом GDPR требует вовлеченности как топ-менеджмента, так и технических специалистов. Однако это не очередное правовое осложнение ведения бизнеса. Напротив, GDPR — это о прозрачности и справедливости по отношению к партнерам и пользователям. Соблюдение регламента — цена репутации.

Помните:

  • Работаете в ЕС — соблюдайте регламент.
  • Ориентируетесь на ЕС — соблюдайте регламент.
  • Мониторите пользователей из ЕС — соблюдайте регламент.
  • Нужен цифровой продукт и не хотите переживать о том, соответствует ли он GDPR — работайте с профессионалами.

Ещё

  • Как выжить после GDPR: что делать и кто виноват
    Как выжить после GDPR: что делать и кто виноват
    После 4 лет ожесточенных дебатов европейский парламент принял регламент по защите персональных данных — GDPR. Документ экстерриториален. Это значит, что где бы физически ни находилась ваша компания, если вы сотрудничаете с резидентами ЕС — вам придется уважать европейский закон. Мы запускаем серию статей, посвященных GDPR. В первой части мы пробежимся по основным положениям регламента, выясним, …
  • CEO компании Umbrella на Agile Days 2018: рецепт эффективного и контролируемого роста команд разработчиков
    CEO компании Umbrella на Agile Days 2018: рецепт эффективного и контролируемого роста команд разработчиков
      22-23 марта в московском Центре Международной Торговли прошла 12-я глобальная конференция по гибкому управлению процессами Ag;)le Days 2018. Одним из спикеров конференции стал основатель и CEO компании Umbrella Станислав Мешков. Мы попросили Стаса рассказать немного о том, как это было. Интервьюер: Привет, Стас! На конференции Ag;)le Days 2018 ты выступал с докладом: “Разработка: увеличь компанию, …
  • IT Лидеры и правители из прошлого: удивительные параллели успеха, которые вы могли не заметить. Часть 2
    IT Лидеры и правители из прошлого: удивительные параллели успеха, которые вы могли не заметить. Часть 2
      В стремлении стать одним из сильнейших лидеров в IT-индустрии, немаловажно обладать рядом определённых качеств, развивая которые вы сможете построить собственную империю. В предыдущей статье вы узнали несколько историй успеха величайших деятелей IT-индустрии, у которых есть, чему поучиться. Сегодня мы расскажем вам о том, что помогает Александру Македонскому нашего времени осваивать новые ниши рынка, и как …