Пра што гэты артыкул

Бадай мала засталося тых, хто кіруюць арганізацыямі ці ініцыятывамі ў Еўразвязе і пры гэтым не чулі пра персанальныя дадзеныя і GDPR. Вакол гэтай тэмы шмат міфаў і юрыдычнага маркетынгу, а публікацыі з карыснымі парадамі часцяком разлічаныя на бізнэс. У бізнэса ж мэты і падыходы да мэнэджмэнту не заўжды супадаюць з каштоўнасцямі, якія мы прасоўваем у трэцім сектары. 

Уявім, што вы ўжо больш-менш разабраліся, што такое права на прыватнасць, персанальныя дадзеныя, GDPR, і чаму вам варта пільна заняцца тым, як у вас наладжаная апрацоўка асабістай інфармацыі. Калі яшчэ не, у гэтым артыкуле можна падрабязна пра гэта прачытаць. Цяпер вы шукаеце, што канкрэтна трэба зрабіць у арганізацыі, каб смела глядзець у вочы людзям і не баяцца праверак, але пры гэтым не пахаваць каманду пад стосам новых бюракратычных паперак. У гэтым артыкуле я прывяду прыклад, як можна пабудаваць маршрут прывядзення працэсаў апрацоўкі персанальных дадзеных для некамерцыйных арганізацый у адпаведнасці з GDPR (GDPR compliance). А вы ўжо самі вырашайце, што з гэтага вы адужаеце імплементаваць.

Крок першы: ці яно вам трэба

У розных краінах заканадаўства аб персанальных дадзеных адрозніваецца. Але на Еўрапейскім кантыненце дэ-факта стандартам з’яўляецца GDPR — Агульны рэгламент Еўразвязу аб абароне персанальных дадзеных. Гаворка не толькі пра краіны ЕЗ. Тыя ж Малдова ці Грузія амаль цалкам капіруюць прынцыпы і падыходы. Што казаць, калі нават беларускі ці расійскі законы аб абароне персанальных дадзеных, хоць і ў своеасаблівай манеры, але паўтараюць большасць падыходаў. Таму мы найперш грунтуем нашыя парады на гэтым дакуменце.

Спіс сітуацый (невычэрпны), калі вам абавязкова трэба кіравацца правіламі GDPR:

• вашая некамерцыйная арганізацыя ці ініцыятыва была створаная, або рэлацыравалася часткова ці цалкам у Польшчу, Літву ці іншыя краіны Еўразвязу;
• незалежна ад месца дзейнасці, частка вашай аўдыторыі знаходзіцца ў ЕЗ, напрыклад, вы робіце анлайн івэнты для дыяспары;
• вы працуеце ў Беларусі, але ваш адміністрацыйны цэнтр у ЕЗ (бухгалтар, фіскальны спонсар).

 Калі вашая дзейнасць і аўдыторыя цалкам знаходзіцца ў Беларусі, ёсць сэнс найперш арыентавацца на патрабаванні беларускага заканадаўства.  Але і тут прывядзенне ў адпаведнасць з GDPR можа дапамагчы, бо гэтым вы закрыеце большасць патрабаванняў нават беларускага заканадаўства, а тое, што адрозніваецца, паправіць будзе значна прасцей.

 Памер арганізацыі ці ініцыятывы таксама мае значэнне.  Арганізацыям ці ініцыятывам з малой камандай, дзе не так шмат апрацовак дадзеных, устойлівых кірункаў працы і адладжаных працэсаў, цяпер, магчыма, лепей накіраваць свабодныя рэсурсы на арганізацыйнае і стратэгічнае развіццё. Але, калі адкладаць пытанне персанальных дадзеных бясконца, можна патрапіць у пастку. Чым большая каманда і маштабная дзейнасць, тым складаней яе перабудоўваць. Таксама на пэўным этапе можа апынуцца, што персанальныя дадзеныя раней збіраліся з парушэннямі і зараз іх проста забаронена выкарыстоўваць.

Крок другі: быць ці здавацца

Тры чвэрці запытаў да кансультантаў пачынаюцца з таго, што «нам патрэбна палітыка прыватнасці (канфідэнцыйнасці) для сайта» або «распрацуйце нам дакументы для GDPR». Гэта ненаўмыснае спрашчэнне ці падмена сапраўднага клопату аб прыватнасці людзей чарговым стосам паперак, якія можна паказаць на праверцы. І калі карпарацыі бывае гэтак робяць з намерам пазбегнуць адказнасці за не зусім легальныя практыкі, некамерцыйныя арганізацыі проста не ведаюць, з якога боку падысці да адказнага менеджменту дадзеных.

Сапраўды, калі ўспрымаць GDPR як чарговае патрабаванне еўрапейскай бюракратыі, ёсць спакуса знайсці мінімальныя патрабаванні і абкласціся прыгожымі дакументамі. Найперш, публікуюць палітыкі прыватнасці для сайта «як ва ўсіх» і пішуць у формах «мы апрацоўваем дадзеныя згодна з GDPR». Але чужая палітыка прыватнасці аўтаматычна не прымусіць перастаць шарыць на ўсю каманду базу дадзеных з сотнямі кантактаў. Гэтаксама як допіс у форме не перашкодзіць сабраным анкетам потым шмат год ляжаць на дыску. Тым больш, такі карга-культ GDPR часам проста кідаецца ў вочы. Я кажу не толькі пра выпадкі, калі капіруюць палітыку прыватнасці з нейкага стартапа і ў нейкім адным месцы забудуцца замяніць старую назву таго самага стартапа. Разабраўшыся хоць крыху з інфармацыйнай прыватнасцю, вы хутка пачняце заўважаць праз камунікацыю і супольныя праекты з партнёрскімі арганізацыямі, хто з іх прайшоў гэты шлях, а хто ўсё яшчэ будуе саламяныя самалёты.

Такім чынам, наступнае пытанне, якое стаіць перад арганізацыяй — рабіць па-сапраўднаму або імітаваць адпаведнасць GDPR. Адказ можа выглядаць відавочным, але не ва ўсіх ёсць дастатковыя рэсурсы, каб наладзіць адказную апрацоўку дадзеных. «Мы рэгулярныя планёркі і своечасовыя справаздачы наладзіць не можам, а вы нам тут пра рэгістры дадзеных», — чуў я і такое. Але магчыма тое, што будзе далей у тэксце, дапаможа зразумець,  як у працэсе прывядзення ў адпаведнасць з GDPR адначасова палепшыць агульны мэнэджмэнт арганізацыі.  Да таго ж — выдыхайце — рэформу ўсёй арганізацыі можна адкласці, разбіраючыся з найбольш адчувальнымі і рызыкоўнымі працэсамі па чарзе.

Крок трэці: юрыст_кі, мэнэджэр_кі ці кансультант_кі

Запрашаючы знешніх кансультант_ак па GDPR, кіраўніцтва арганізацыі часта спадзяецца, што тыя ім прапануюць гатовыя рашэнні і зробяць усё «пад ключ». Але ніводн_ая кансультант_ка не ведае, як насамрэч працуе вашая каманда і як лепей рэфармаваць асобныя працэсы. Большасць арганізацыйных задач маюць некалькі варыянтаў рашэнняў. Не дазваляйце кансультант_кам вырашаць за вас, як будзе працаваць вашая арганізацыя. Я ўпэўнены, што першасная задача кансультант_кі палягае ў тым, каб прапанаваць метадалогію і далей фасілітаваць развіццё ўнутранай экспертызы ў арганізацыі і трансфармацыю каштоўнасцяў каманды ў неабходныя дзеянні. Таму адным са складнікаў поспеху будзе пошук унутры каманды зацікаўленых людзей, якія змогуць штурхаць працэс наперад. Кансультант_ка тут больш падобн_ая да правадніка і не павін_на самастойна рухаць працэс.

Калі так, то дзе ў камандзе шукаць такіх людзей? На першы погляд, прывядзенне ў адпаведнасць з GDPR бачыцца юрыдычнай задачай, бо там жа нейкія правілы, дакументацыя, штрафы і г.д. Але нездарма мы тут праз слова кажам пра адказны мэнэджмент персанальных дадзеных. Акрамя заканадаўства і правілаў, абарона персанальных дадзеных у арганізацыі патрабуе апісання і часта перабудовы бізнэс-працэсаў, навучання каманды, падбору і правільнай налады тэхналогій. А гэта найперш пра менеджмент.  Лепей пазбягаць даручаць выключна юрыст_кам прывядзенне ў адпаведнасць з GDPR  і адразу рабіць змяшаную каманду адказных ці чалавека, хто спалучае гэтыя кампетэнцыі. Калі арганізацыя вялікая, важна, каб гэтыя чалавек ці каманда былі блізка да тых, хто прымае рашэнні. Па ўласным досведзе, найлепшыя DPO — адказныя за абарону персанальных дадзеных — атрымліваюцца з тых, хто каардынавалі працэс compliance (прывядзення ў адпаведнасць) у сваёй арганізацыі. Таксама ў сярэдніх ці вялікіх арганізацыях варта ўключыць у адказную каманду тых, хто працуе з IT, HR, камунікацыямі, справаздачамі.

Крок чацвёрты: вучымся гаварыць на адной мове

Важна, каб перад пачаткам сумеснай працы група мела базавы мінімум ведаў аб патрабаваннях да апрацоўкі дадзеных і размаўляла на адной мове паміж сабой і з кансультант_камі. Гэтага можна дасягнуць праз самастойнае вывучэнне прадмету або праз сумесны трэнінг. На жаль, нам бракуе адмысловых парадаў па персанальных дадзеных, каб там былі ўлічаныя патрэбы менавіта некамерцыйных арганізацый. Замест гэтага можна карыстацца гайдамі для малога бізнэсу, напрыклад, вось тут (па-англійску). Усё ж GDPR з дадаткамі — гэта больш за 200 старонак, да якіх яшчэ дадаецца судовая практыка, юрыдычныя дактрыны, парады рэгулятараў і г.д. Вывучаць усё гэта, калі вы не збіраецеся будаваць кар’еру кансультант_кі, можа быць не самым эфектыўным спосабам распачаць справу. Для тых, хто настроены рашуча, вось сайт з перакладамі GDPR, слоўнікам і зручнымі падказкамі па дадатковых крыніцах да кожнага з артыкулаў.

Уводны трэнінг для працоўнай групы тут выглядае як найбольш дарэчны шлях. Трэнінг могуць прапанаваць запрошаныя кансультант_кі або можна адправіць каманду вучыцца да кансалтынгавых ці навучальных агенцый. Кароткае навучанне не зробіць вас адмыслоўцамі ў пытаннях GDPR, але дазволіць арыентавацца ў тэрміналогіі, асноўных падыходах, патрабаваннях і крыніцах, якімі варта карыстацца, каб удакладніць спецыфічныя пытанні. 

Крок пяты: дзе вашыя дадзеныя

Мэпінг апрацовак дадзеных ці іншымі словамі складанне рэгістру апрацовак ёсць не толькі праявай здаровага сэнсу, але і патрабаваннем GDPR, напрыклад, калі апрацоўка нясе рызыкі для правоў суб’ектаў дадзеных. Руплівае апісанне ўсіх працэсаў у камандзе, якія патрабуюць апрацоўкі персанальных дадзеных, дазволіць акрэсліць прадмет далейшай працы, убачыць хібы і супярэчанні, зафіксаваць неабходныя змены і персаніфікаваць адказнасць. Найменш значны, але важны вынік гэтай працы — магчымасць давесці любой праверцы, што вы самі ведаеце, як апрацоўваюцца дадзеныя ў вашай арганізацыі і можаце кантраляваць гэта.

Змест і форма рэгістру апрацовак залежыць ад метадалогіі, якая вам больш зручная. Ёсць такі варыянт, ён паўтарае мінімальныя патрабаванні GDPR, а ёсць такі варыянт — пашыраны, з дадатковымі палямі, якія могуць быць карыснымі для ўнутранай працы. Варта памятаць, што гэта менавіта рэгістр апрацовак, а не новая база персанальных дадзеных.

 Рэгістр апрацовак  апісвае цыкл жыцця персанальных дадзеных у вашай арганізацыі ад моманту, калі дадзеныя да вас трапляюць і да іх выдалення ці ананімізацыі. Добра складзены рэгістр заўжды дапаможа вам адказаць на наступныя пытанні:

1. Якія катэгорыі персанальных дадзеных вы апрацоўваеце, ці ёсць сярод іх спецыяльныя катэгорыі (адчувальныя дадзеныя)
2. З якой мэтай вы іх апрацоўваеце і на якой прававой падставе вы грунтуеце апрацоўку
3. Дзе вы захоўваеце гэтыя дадзеныя (лакальнае сховішча, воблака)
4. Каму вы перадаеце дадзеныя (партнёры, донары, дзяржворганы, воблачныя сервісы)
5. Калі вы павінны выдаліць дадзеныя (па раскладзе ці па запыце)
6. Якія арганізацыйныя і тэхнічныя меры бяспекі ў дачыненні да персанальных дадзеных (абмежаванне доступу, NDA, бэкапы, хэшыраванне, раздзяленне базаў дадзеных, шыфраванне і г.д.)

Зручна, калі вы дадаеце запісы ў рэгістр па правіле «адна мэта — адна апрацоўка».

Крок шосты: неабходныя змены

На падставе запоўненага рэгістру можна прапанаваць шэраг неадкладных зменаў у вашых працэсах, калі гаворка ідзе пра грубыя парушэнні, патэнцыйна небяспечныя для правоў суб’ектаў. Напрыклад, вы апрацоўваеце персанальныя дадзеныя, не маючы для гэтага законных падстаў. Такую апрацоўку варта тэрмінова спыніць. Такія гісторыі сустракаюцца рэдка, але заўжды ствараюць велізарны стрэс для арганізацыі, бо там могуць закранацца планы, праектныя абавязкі, распрацаваныя праграмныя прадукты.

Астатняе можа быць выкладзена ў фармаце рэкамендацый і дарожнай мапы. Гэта могуць быць прапановы пераглядзець неабходныя катэгорыі дадзеных у бок змяншэння, або вызначыць тэрміны захоўвання, распрацаваць правілы выдалення ці ананімізацыі, правесці па асобных праектах ацэнку ўздзеяння на прыватнасць (DPIA), замяніць праграмныя прадукты і г.д. Важна прыярытызаваць далейшыя дзеянні, каб рэсурсаў дакладна хапіла на выпраўленне найбольш рызыкоўных працэсаў.

Крок сёмы: складаем дакументы і распрацоўваем працэдуры

Тое, што для дакументаў адведзена месца ледзьве не ў канцы ўсёй працы, ужо не здзіўляе менеджмент арганізацыі пасля папярэдніх крокаў. На гэтым этапе ўсім зразумела, што  дакументы мусяць адлюстроўваць і замацоўваць новыя адказныя практыкі апрацоўкі дадзеных, а не ствараць прыгожы малюнак. 

Тыповы шэраг дакументаў, які мае быць распрацаваны, выглядае вось так:

1. Палітыка прыватнасці (Privacy Policy / Privacy Notice) для арганізацыі, асобных праектаў або рэсурсаў
2. Унутраныя інструкцыі па працы з персанальнымі дадзенымі (могуць быць асобнымі для розных праграм ці праектаў)
3. Кантракты і дадаткі ў кантракты з супрацоўні_цамі, падрадчы_цамі, валантэр_камі
4. Пагадненні на сумесную апрацоўку паміж кантралёрамі, на перадачу працэсарам і трэцім асобам
5. Фармулёўкі згодаў на апрацоўку, папярэджанняў аб апрацоўцы дадзеных у формах і г.д.

Часта рэкамендацыі могуць уключаць прапанову распрацаваць сістэму аховы ўнутранай інфармацыі і падпісанне дамоваў аб нераспаўсюдзе інфармацыі (NDA) з камандай і валантэр_камі. Праз пэўнае непаразуменне сутнасці дакументу ў некаторых да яго склалася негатыўнае стаўленне. Маўляў, гэта забарона на раскрыццё злоўжыванняў і публічную крытыку. Але не, NDA часта прама змяшчае выключэнні на апублічванне злоўжыванняў, тое самае мы бачым у заканадаўстве. Разам з тым, падпісаная NDA — гэта дадатковы аргумент для менеджар_кі праектаў, як_ая звальняецца, не забіраць з сабой архіў дакументаў ці базу працоўных кантактаў.

Крок восьмы: вяртаемся да пятага кроку і пачынаем ізноў

Наладжванне адказнай працы з персанальнымі дадзенымі — гэта не прамы шлях з кропкі А ў кропку Б, а цыклічны працэс, які патрабуе рэгулярнага паўтарэння. Кожны раз, калі мы нешта мяняем у нашай працы, распачынаем новыя праекты, ствараем новыя інфармацыйныя прадукты, трэба вяртацца да ацэнкі таго, як гэта можа ўплываць на прыватнасць людзей.

Тым не менш, першы цыкл — самы цяжкі, далей гэтая праца займае менш рэсурсаў і сустракае менш супраціву. А потым, з дапамогай навучання і сістэмнай працы, адказнае стаўленне да персанальных дадзеных становіцца часткай арганізацыйнай культуры.