Новини, Поради, Стартапи

GDPR roadmap для стартапу: на що звернути увагу?

11 Серпня, 2020

В епоху тотальної глобалізації українські бізнесмени, підприємці та стартапери вже дивляться не тільки на українській ринок. Вітчизняні стартапери створюють дуже багато проєктів, серед яких є і визнані в усьому світі. Напевне, ви бачили рекламу Grammarly та Ajax Systems та, можливо, десь чули про MacPaw і Petcube. Усі ці проєкти створили українці, проте, як не прикро, мешканцям нашої країни про них майже нічого невідомо.

Наразі всі стартапи орієнтуються на західний ринок — і цю реальність треба прийняти. Саму тому молодим стартаперам потрібно знати, що таке GDPR і з чим його п’ють і їдять. Для цього вам потрібно скласти GDPR roadmap (або по-нашому дорожня карта GDPR) — це така собі карта, по якій вашому стартапу потрібно рухатися щоб у підсумку досягти GDPR compliance (відповідності GDPR). Але не поспішайте, адже все потрібно робити згідно з планом.

Зрозумійте GDPR

GDPR — це Загальний регламент про захист даних, прийнятий ЄС у 2016 році. Цей акт був створений з метою надання громадянам та резидентам ЄС прав щодо контролю за обробкою їхніх персональних даних.

GDPR висуває особливі вимоги до основних гравців дата-відносин — контролерів даних (осіб, які визначають цілі та засоби обробки персональних даних). Контролер персональних даних має чітко заявити, які дані збирає, яким чином, чому їх опрацьовує, як довго зберігає і чи ділиться ними з будь-якими третіми сторонами. Це все, зазвичай, він повинен описати у своїй Політиці конфіденційності (Privacy Policy).

Своєю чергою звичайні користувачі продукту (суб’єкти даних) також мають свої права: право бути проінформованим, право доступу, право на виправлення даних, право на обмеження обробки даних, право на переносимість, право на заперечення та інші права, пов’язані з автоматичним прийняттям рішень і профілюванням.

Вивчіть свій стартап

Добре, ми розібрались з тим, що таке GDPR. Наступним логічним кроком буде вивчення вашого стартапу. Для початку вам потрібно зрозуміти, чи збираєте ви персональні дані взагалі. Уявимо ситуацію: ви створили додаток, який рахує, скільки чашок кави ви випили протягом тижня для того, щоб надалі оцінити, як це впливає на здоров’я. Для цього вам потрібно ім’я людини та її e-mail, куди ви й будете надсилати свої рекомендації. В такому випадку ви збираєте свої персональні дані.

Навіть якщо ви просто збираєте дані щодо типу браузера та IP-адреса користувача, щоб налагодити свій сайт під нього, ви все одно збираєте персональні дані, тому що згідно GDPR персональні дані — це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»). Тому якщо ви все ж таки збираєте персональні дані, вам потрібно з’ясувати, чи підпадаєте ви під дію GDPR.

GDPR – сучасний акт про захист персональних даних, тому що він регулює питання за принципом екстериторіальності. Це означає, що в певних випадках GDPR діє не тільки на території ЄС: регламент застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від місцезнаходження такої компанії. Перед початком розробки GDPR roadmap вам потрібно перевірити усі ці пункти. Якщо ви все ж таки здійснюєте обробку персональних даних в розумінні GDPR, переходьте до наступних пунктів.

Чи потрібен DPO?

Мабуть, ви чули про таку посаду — Data Protection Officer (DPO). DPO — це спеціаліст з захисту даних. Та чи потрібен DPO вашому стартапу? GDPR виділяє три випадки, коли призначення DPO є обов’язковим:

  • опрацювання здійснює публічний орган або установа, за винятком судів, що діють як судові інстанції;
  • основні види діяльності контролера або оператора становлять операції опрацювання, які, в силу їхньої специфіки, обсягів та/чи цілей, вимагають регулярного, систематичного і широкомасштабного моніторингу суб’єктів даних;
  • основні види діяльності контролера або оператора становлять широкомасштабне опрацювання спеціальних категорій даних та персональних даних про судимості та кримінальні злочини.

Уявімо, що ви зробили стартап, де користувачі можуть завантажити на сайт свій ДНК-тест, щоб з’ясувати, що їх може пов’язувати з видатними діячами Європи. У вищенаведеному прикладі ви опрацьовуєте спеціальні категорії даних саме широкомасштабно, тож DPO має бути обов’язково призначений.

Складіть стратегічні документи

Найголовніше в GDPR — підготовка документів. Насправді їх дуже багато, тому вам необхідно намітити в вашій GDPR roadmap основні напрямки роботи. Перші документи — підготовчі. Наприклад, Gap Assessment допоможе зрозуміти, які конкретно процеси вашого стартапу потрібно змінити для досягнення комплаєнсу, а в Preparation Project Plan ви повинні викласти конкретні дії для реалізації цієї мети.

Після цього необхідно скласти Internal Audit Procedure — це такий документ, який встановлює правила щодо проведення аудиту справ по GDPR: він відповідає на питання, як часто і детально треба робити аудит.

Покращення внутрішніх процесів

Наступним кроком у вашій дорожній карті буде приведення ваших процесів у відповідність до вимог GDPR. Якщо ви тільки розробляєте ваш стартап, ви повинні звернути увагу на два основних принципи: Privacy by design та Privacy by default.

Privacy by design – принцип, при якому контролер даних зобов’язується вбудувати систему захисту даних в усі бізнес-процеси на етапі їх проєктування і зобов’язується підтримувати таку систему надалі.

Privacy by default означає, що користувачеві не потрібно робити ніяких дій для захисту своєї конфіденційності. Це означає, що вам не потрібно отримувати від ваших користувачів більше персональної інформації, ніж це потрібно для здійснення основних завдань вашого проєкту.

Наприклад, ви створюєте робота, який автоматично займається прибиранням квартири. Для реєстрації в додатку до робота ви просите надати ім’я та прізвище, щоб робот міг звертатися до користувачів. Також ви вимагаєте заповнити дані про їхні родини, щоб робот міг слухатися їхніх родичів. Проте ця вимога — не є дуже важливою для здійснення основних завдань проєкту, тож її треба зробити необов’язковою.

Не забуваємо і про внутрішню документацію. Вам потрібно створити Personal Data Mapping Procedure — документ, в якому сформована карта руху персональних даних. Також необхідно прийняти ряд Roles and responsibilities документів, в яких ви розподіляєте відповідальність на ваших працівників. Це i Handbook for Employee, і Access Control Policy.

Варто не забувати про DPIA і DPO, про якого ми говорили раніше. Вам необхідно прийняти документи, які визначають, чи потрібні вашому стартапу DPIA (Data Protection Impact Assesment), DPO (Data Protection Officer) та representative.

Скажімо, ви навели порядок у внутрішній документації. Що робити далі?

Розкажіть усім

Після того, як ви підготували всю документацію та налагодили процеси, ви повинні бути готові продемонструвати свою відповідність GDPR органам контролю. Також ваші користувачі повинні знати всю інформацію щодо того, яким чином ви збираєте та здійснюєте обробку персональні дані.

Перший і головний документ — Privacy Policy (політика конфіденційності). Навіть не думайте про те, що ви можете сховати цей документ десь у надрах сайту. Ні, ви повинні зрозумілою мовою роз’яснити своїм користувачам, які персональні дані ви збираєте, з якою метою, як ви здійснюєте їх обробку та як ці дані захищаєте. В цьому ж документі ви повинні перелічити всіх третіх сторін, з якими ви співпрацюєте, та надати перелік прав, які мають ваші користувачі згідно з GDPR.

Другий важливий документ — Cookie Policy. Тут також зрозумілою мовою пояснюємо, які кукі ми використовуємо, з якою метою і як від їх використання можна відмовитися.

Але ж нам потрібно якось звернутися до наших користувачів. Для цього створюємо документ Consent Form, за допомогою якого збираємо “згоду”. Тут також не потрібно вдаватися до хитрощів, ваша Consent Form повинна бути очевидною навіть дитині.

Ну і якщо ми вже написали про права користувачів, ми повинні розробити механізм реалізації цих прав. Приймаємо Request and Complaints Procedure, Request and Complaints Form та Request and Complaints Register. Ці документи регулюють процедуру подання скарг та запитів.

Підтримуйте комплаєнс

Пам’ятайте, що GDPR — це не пункт призначення, а подорож, яка ніколи не закінчиться. Звучить не дуже оптимістично, але так і є. Стартапи мають тенденцію постійно змінюватися, а тому і правила обробки персональних даних постійно пристосовувати до нових викликів. Також EDPB постійно випускає гайдлайни, в яких роз’яснює спірні положення GDPR, тому ви завжди повинні слідкувати за усіма новелами.

Не забувайте і про національні законодавства країн ЄС, які регулюють обробку персональних даних. Якщо ви, наприклад, націлені на ринок Німеччини, вивчіть місцеві закони, тому що вони доповнюють положення GDPR. Але не бійтеся GDPR: якщо ви будете провадити вашу діяльність відкрито та законно, не варто чекати величезних штрафів.

Автор: ІТ юрист у Legal IT Group – Ігор Котков. 

Читайте «Український Спектр» у Facebook.

Український Спектр Читайте «Український Спектр» у Telegram
«Український Спектр» в Telegram – коротко про головне один раз на день
Підписатись на канал

Ми у соцмережах:

Слідкуйте за UAspectr у Facebook або ж читайте усе найцікавіше у нашому каналі в Telegram