Как внедрить GDPR быстро и недорого? Екатерина В 4 августа, 2022

Как внедрить GDPR быстро и недорого?

GDPR Roadmap

Обучение и сопровождение рабочей группы (проектной команды) по внедрению GDPR по ISO 27701.

GDPR compliance

Вне зависимости от летнего сезона и желания отдохнуть на природе, а не работать в офисе, GDPR продолжает действовать и надзорные органы тоже не снижают активность. За июнь и июль 55 компаний получили свои “отпускные” в виде штрафов по GDPR. Это значит, что заниматься внедрением Регламента необходимо. Чем раньше вы это начнете, тем меньше риска для вашей компании.

В том числе и сейчас, когда часть сотрудников в отпуске, а другая  загружена работой: свободных рук и ресурсов на GDPR может сильно не хватать даже крупным компаниям. Давайте разберем, как же внедрить принципы Регламента с минимальными затратами.

Если вы еще только начинаете и ничего не делали по Регламенту

Первым делом нужно разобраться с процессами, которые видны снаружи и легко привлекают внимание, как надзорных органов, так и ваших недоброжелателей.

1
Вам необходимо убраться в “подвале”.

Лучше действовать не на ощупь, подсвечивая фонариком каждую отдельную деталь, а сначала увидеть картину целиком, включив свет. Поэтому составьте список всех видов персональных данных, которые вы собираете, и укажите, для чего они нужны, как долго хранятся, какие способы их защиты применяются. Это станет вашим Реестром обработок персональных данных по ст.30 GDPR. 

2
Станьте открытыми вашим клиентам и партнёрам.

Обеспечьте соблюдение принципа прозрачности, разместив на сайте грамотную политику приватности. В этом документе необходимо сообщить клиентам, какие их данные используются и с какими целями. Остальную обязательную к указанию информацию вы можете найти в в ст. 13 и 14 GDPR или просто воспользуйтесь чек-листом составления политики приватности, который подготовили наши консультанты. 

3
Предусмотрите приватность в архитектуре приложения.

Внедрите принципы Privacy by Design на этапе проектирования продуктов, чтобы не тратиться потом на переработки. Объясним на более понятном примере: предположим, вы установили розетки и собрали мебель, а потом поняли, что розетки установлены неправильно, без учета мебели, поэтому все нужно переделывать. Рекомендуем задуматься о защите персональных данных на начальных стадиях проекта. Особенно, если вы создаете стартап и планируете привлекать инвесторов, для которых важно оценить риски (в том числе по приватности) вашего приложения. Говоря кратко о шагах внедрения Privacy by Design: оценить риски, определить угрозы, подумать о потенциальных нарушениях и мотивации их совершить, выделить меры. 

Помните: не всегда для соответствия GDPR требуется огромный труд и много времени. Даже если компания большая, то порой все ваши вопросы по Регламенту могут быть закрыты несколькими шагами. Особенно, если вы изначально относились к своим потребителям с уважением и со старта работали над лояльностью аудитории. В таком случае, вы наверняка уже выполнили многие нормы GDPR, сами того не подозревая.

Если вы уже что-то делаете по Регламенту

1
Оцените, насколько рискованные ваши процессы обработки данных (DPIA), и сфокусируйте свои усилия на 2-3 из них, с наивысшим уровнем риска.

Или закажите бесплатный экспресс-аудит, в рамках которого вы узнаете, правильно ли определены правовые основания, соблюдаются ли права субъектов, выполняются ли национальные законы, подзаконные акты и инструкции надзорных органов и получите план по работе на ближайшее время.

2
Не вкладывайтесь в покупку ненужного программного обеспечения для работы с персональными данными.

Вам вполне может быть достаточно общепринятых инструментов для ведения реестра или маппинга движения данных на начальном этапе. Все эти процессы вы можете сделать вручную, и только потом уже стоит задумываться об автоматизации. На первоначальном этапе достаточно использовать Notion (огромные базы знаний, вести реестр и отслеживать этапы проекта по поддержанию высокого уровня комплаенса), Miro (интерактивные дашборды и удобные презентации для команды) и Excel.

3
Обратитесь к опытным консультантам.

Они помогут определить, какие задачи наиболее важные и критичные, а какие можно отложить. Консультант сразу знает, что и как надо делать, и дает четкие указания, или делает работу сам за вас в сжатые сроки. Мы хотим помочь вам! Заполните форму и наши менеджеры свяжутся с вами для обсуждения вашего индивидуального кейса.

Помните, что даже спустя 3,5 года после принятия Регламента, большинство компаний в ЕС не соответствуют ему на 100%. Надзорные органы это понимают и отнесутся лояльнее, если вы покажете им, что хотя бы движетесь в правильном направлении.

Примером серьезности ваших намерений будет, например, планирование и бюджетирование ресурсов, наличие списка задач с назначением ответственных, работа над пунктами, которые мы указали в этой статье.

Как видите, двигаться в сторону соответствия Регламенту можно уже сейчас, и это не так сложно, как кажется. Более того, GDPR может стать для вас бизнес-преимуществом и даже помочь увеличить прибыль и поток клиентов.

Оставайтесь с нами на связи!

Подробнее о предоставляемых услугах вы можете узнать здесь.  

Остались вопросы? Свяжитесь с нами для консультации (это абсолютно бесплатно). Будем рады стать вашим партнёром в адаптации бизнеса к новой реальности 💙 

P.S. Для того, чтобы оставаться с нами на связи и узнавать о последних апдейтах в мире приватности, подпишитесь на наш Telegram “PRO Приватность”.  

    Write a comment
    Your email address will not be published. Required fields are marked *