Європейський ринок пропонує привабливі умови для роботи, надаючи доступ до платоспроможної аудиторії, стабільних банківських інструментів та міжнародних інвестицій. Однак вихід на цей ринок пов’язаний із високими вимогами до безпеки. Одним із таких стандартів є Загальний регламент про захист персональних даних (GDPR).

У чому складність GDPR? Недостатньо просто скопіювати чужу політику конфіденційності. Регламент вимагає, щоб компанія розуміла шлях кожного байта інформації: де дані зберігаються, кому вони доступні та як видаляються. У межах цього проєкту експерти Lawrange допомагали клієнту вибудувати систему з нуля, зробивши її зрозумілою як для регулятора, так і для користувачів.

 

Хочете більше подробиць? Дізнайтеся їх із наступних частин матеріалу!

 

Завдання: вийти на ринок ЄС, звівши до нуля потенційні регуляторні ризики

До нас звернулася компанія, яка планувала масштабування сервісу до країн Європи. На момент старту бізнес мав лише базову політику конфіденційності, що не враховувала технічні та юридичні нюанси GDPR.

 

Це створювало низку проблем. Наприклад, під час укладання контрактів із європейськими партнерами виникали сумніви щодо доцільності співпраці. Також підвищувався ризик потрапляння під санкції з боку незалежних державних наглядових органів ЄС (DPA).

 

Ознайомившись із матеріалами клієнта, ми сформулювали завдання на найближчі кілька місяців:

  • Провести аудит поточних методів збору та зберігання інформації.
  • Розробити повний пакет зовнішньої та внутрішньої документації.
  • Регламентувати роботу співробітників із конфіденційними даними.
  • Підготувати шаблони угод із підрядниками, які мають доступ до інформації клієнтів.
  • Скоротити ризики витоків і несанкціонованого використання даних.

 

Ми розуміли, що основна проблема полягала у впровадженні вимог регламенту. Адже не можна було допустити ускладнення користувацького шляху (UX) і перевантаження внутрішніх процесів компанії.

 

Початок роботи: систематизація процесів і створення юридичної бази

GDPR ґрунтується на принципі accountability – обов’язку компанії документально підтверджувати законність і прозорість обробки персональних даних. Тому ключовим завданням проєкту стало створення чітких алгоритмів дій для різних сценаріїв.

 

Щоб впровадження нових правил не зупинило роботу команди клієнта, було вирішено розділити процес на кілька етапів. Отже, у межах проєкту ми виконали такі кроки:

  1. Проведення картування потоків персональних даних (Data Mapping). Визначили всі точки збору даних, категорії суб’єктів і типів даних, цілі обробки, строки зберігання, а також законні підстави (Legitimate Interest, Consent та інші підстави, передбачені GDPR).
  2. Розробка зовнішнього пакета документів. Створили прозору Політику конфіденційності (Privacy Policy) та Політику використання файлів cookie (Cookie Policy) з розкриттям прав суб’єктів даних, правових підстав обробки та інформації про можливі транскордонні передачі.
  3. Підготовка внутрішніх регламентів. Розробили інструкції для співробітників, включно з Політиками безпеки та зберігання даних (Data Protection Policy, Data Retention Policy), а також процедурами реагування та повідомлення про порушення безпеки (Data Breach Response & Notification Procedure).
  4. Консультування щодо налаштування механізмів отримання згоди. Розробили коректні формулювання для чекбоксів і форм реєстрації на обробку даних, щоб вони відповідали критерію «явної та добровільної» згоди користувача (включно з можливістю подальшого відкликання).
  5. Оформлення договірної бази з партнерами. Підготували та узгодили доповнення до договорів (Data Processing Agreements) із хмарними провайдерами та маркетинговими сервісами. Мета – розмежування відповідальності за витоки (йдеться про партнерів, які також мають доступ до даних клієнтів).

 

Що дає такий комплексний підхід? У разі перевірки компанія без проблем і швидко надасть документальні підтвердження відповідності вимогам GDPR.

 

У результаті – легальний статус і готовність до масштабування

Співпраця була плідною. У підсумку клієнт отримав структуровану систему управління персональними даними та регуляторно стійку бізнес-модель.

 

Це дозволило зняти питання з боку європейських еквайрингових систем і партнерів, для яких підтверджений GDPR-комплаєнс є обов’язковою умовою підключення та подальшого партнерства.

 

Якщо підсумувати, то головними досягненнями стали:

  1. Мінімізація регуляторних ризиків: бізнес приведено у відповідність до вимог GDPR і підготовлено до можливих перевірок з боку європейських наглядових органів.
  2. Спрощення інтеграцій і партнерських перевірок: готові угоди та внутрішні політики пришвидшили проходження процедур Due Diligence і Onboarding з боку нових партнерів і платіжних провайдерів.
  3. Підвищення довіри користувачів: наявність інструментів управління даними та зрозумілі роз’яснення прав для клієнтів посилили репутаційну стійкість бренду.
  4. Готовність до операційного розширення: компанія отримала інструкції щодо дій при запуску нових продуктів, зміні функціоналу або розширенні переліку даних, що обробляються.

 

Ми трансформували дотримання регуляторних вимог у системний і керований процес. Це дозволило інтегрувати комплаєнс в операційну модель без стримування ділової активності – того, чого й хотів клієнт.

 

Плануєте роботу в Європі або хочете привести поточні процеси у відповідність до GDPR? Довірте підготовку документації юристам Lawrange. Зв’яжіться з нашим менеджером для аудиту вашого проєкту!