Как внедрить GDPR быстро и недорого?

Вне зависимости от летнего сезона и желания отдохнуть на природе, а не работать в офисе, GDPR продолжает действовать и надзорные органы тоже не снижают активность. За июнь и июль 55 компаний получили свои “отпускные” в виде штрафов по GDPR. Это значит, что заниматься внедрением Регламента необходимо. Чем раньше вы это начнете, тем меньше риска для вашей компании.

В том числе и сейчас, когда часть сотрудников в отпуске, а другая — загружена работой: свободных рук и ресурсов на GDPR может сильно не хватать даже крупным компаниям. Давайте разберем, как же внедрить принципы Регламента с минимальными затратами.

Содержание

Если вы еще только начинаете и ничего не делали по Регламенту

Первым делом нужно разобраться с процессами, которые видны снаружи и легко привлекают внимание, как надзорных органов, так и ваших недоброжелателей.

01

Вам необходимо убраться в “подвале”.
Лучше действовать не на ощупь, подсвечивая фонариком каждую отдельную деталь, а сначала увидеть картину целиком, включив свет. Поэтому составьте список всех видов персональных данных, которые вы собираете, и укажите, для чего они нужны, как долго хранятся, какие способы их защиты применяются. Это станет вашим Реестром обработок персональных данных по ст.30 GDPR.

02

Станьте открытыми вашим клиентам и партнёрам.
Обеспечьте соблюдение принципа прозрачности, разместив на сайте грамотную политику приватности. В этом документе необходимо сообщить клиентам, какие их данные используются и с какими целями. Остальную обязательную к указанию информацию вы можете найти в в ст. 13 и 14 GDPR.

03

Предусмотрите приватность в архитектуре приложения.
Внедрите принципы Privacy by Design на этапе проектирования продуктов, чтобы не тратиться потом на переработки. Объясним на более понятном примере: предположим, вы установили розетки и собрали мебель, а потом поняли, что розетки установлены неправильно, без учета мебели, поэтому все нужно переделывать. Рекомендуем задуматься о защите персональных данных на начальных стадиях проекта. Особенно, если вы создаете стартап и планируете привлекать инвесторов, для которых важно оценить риски (в том числе по приватности) вашего приложения. Говоря кратко о шагах внедрения Privacy by Design: оценить риски, определить угрозы, подумать о потенциальных нарушениях и мотивации их совершить, выделить меры.

Помните: не всегда для соответствия GDPR требуется огромный труд и много времени. Даже если компания большая, то порой все ваши вопросы по Регламенту могут быть закрыты несколькими шагами. Особенно, если вы изначально относились к своим потребителям с уважением и со старта работали над лояльностью аудитории. В таком случае, вы наверняка уже выполнили многие нормы GDPR, сами того не подозревая.

Если вы уже что-то делаете по Регламенту

01

Оцените, насколько рискованные ваши процессы обработки данных (DPIA), и сфокусируйте свои усилия на 2-3 из них, с наивысшим уровнем риска.
Или закажите бесплатный экспресс-аудит, в рамках которого вы узнаете, правильно ли определены правовые основания, соблюдаются ли права субъектов, выполняются ли национальные законы, подзаконные акты и инструкции надзорных органов и получите план по работе на ближайшее время.

02

Не вкладывайтесь в покупку ненужного программного обеспечения для работы с персональными данными.
Вам вполне может быть достаточно общепринятых инструментов для ведения реестра или маппинга движения данных на начальном этапе. Все эти процессы вы можете сделать вручную, и только потом уже стоит задумываться об автоматизации. На первоначальном этапе достаточно использовать Notion (огромные базы знаний, вести реестр и отслеживать этапы проекта по поддержанию высокого уровня комплаенса), Miro (интерактивные дашборды и удобные презентации для команды) и Excel.

03

Обратитесь к опытным консультантам.
Они помогут определить, какие задачи наиболее важные и критичные, а какие можно отложить. Консультант сразу знает, что и как надо делать, и дает четкие указания, или делает работу сам за вас в сжатые сроки. Мы хотим помочь вам! Заполните форму и наши менеджеры свяжутся с вами для обсуждения вашего индивидуального кейса.

Помните, что даже спустя 3,5 года после принятия Регламента, большинство компаний в ЕС не соответствуют ему на 100%. Надзорные органы это понимают и отнесутся лояльнее, если вы покажете им, что хотя бы движетесь в правильном направлении.

Примером серьезности ваших намерений будет, например, планирование и бюджетирование ресурсов, наличие списка задач с назначением ответственных, работа над пунктами, которые мы указали в этой статье.

Как видите, двигаться в сторону соответствия Регламенту можно уже сейчас, и это не так сложно, как кажется. Более того, GDPR может стать для вас бизнес-преимуществом и даже помочь увеличить прибыль и поток клиентов.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.