Data Maps чи Data Inventory? Обираємо необхідний елемент GDPR комплаєнсу
Відповідно до Загального регламенту про захист даних (General Data Protection Regulation, GDPR), карти персональних даних, data inventory та RoPA є пов’язаними, але все-таки різними інструментами в контексті обробки персональних даних. Їх об’єднує одне – вони є незамінними помічниками у комплаєнсі з GDPR, які не варто недооцінювати. Розберемось, у чому їх суть та різниця між собою і в яких випадках вони можуть стати вашою чарівною паличкою до наведення ладу в персональних даних, які обробляються компанією.
Data Inventory – це каталог усіх даних, які обробляє компанія. Data inventory зазвичай включає таку інформацію, як типи персональних даних, джерела їх отримання, місця їх зберігання, цілі, для яких вони використовуються, хто має до них доступ тощо. Data inventory корисна для ідентифікації всіх даних, якими володіє компанія, і може допомогти, в першу чергу, на початку процедури комплаєнсу з GDPR, а також під час розгляду запитів суб’єктів даних (DSAR), процедур оцінки ризиків тощо.
Data Map – це візуальне зображення потоку персональних даних в організації. Зазвичай вона містить схожу до data inventory інформацію (типи персональних даних, цілі, для яких вони використовуються, правові підстави їх обробки, відомості про будь-яких третіх сторін, з якими відбувається обмін даними тощо). Відповідно, з її допомогою легко визначити відповідальних осіб, строки обробки на кожному етапі тощо.
Хоча data inventory і карти даних дещо перетинаються, вони слугують різним цілям. В першому випадку компанія отримує вичерпний перелік усіх даних, якими володіє. В другому випадку компанія отримує інструмент, що дозволяє виявити сфери, де персональні дані обробляються без належної правової підстави, або в надмірному обсязі, як дані рухаються структурними підрозділами компанії під час обробки, які працівники та якою мірою задіяні в цьому процесі, побачити недоліки організаційної структури компанії тощо.
Обидва інструменти є важливими для управління даними та дотримання вимог законодавства про захист даних, і організації можуть використовувати їх разом, щоб забезпечити комплексне розуміння своєї діяльності з обробки даних.
RoPA (Record of Processing Activities) – це реєстр обробок персональних даних. Цей документ описує діяльність компанії з обробки даних (категорії даних, які обробляються, цілі обробки та правові підстави для обробки тощо) і повинен містити інформацію про одержувачів даних і будь-яку передачу даних за межі ЄС/ЄЕЗ, опис технічних та організаційних заходів безпеки, що застосовуються для захисту даних. RoPA також використовується для демонстрації дотримання принципів захисту даних, передбачених GDPR. RoPA більш детально фіксує види операцій з обробок персональних даних, ніж data inventory або data maps, оскільки зосереджується на операціях з обробки, а не лише на власне персональних даних.
Як ці інструменти можуть допомогти в обробці персональних даних клієнтів?
Відповідей на це питання декілька. По-перше, видається неочевидним, але надзвичайно багато компаній не мають чіткого уявлення про обсяг даних, якими вони володіють. Тож, передусім, згадувані інструменти допоможуть визначити типи персональних даних, які вони отримують від клієнтів, і співвіднести їх з метою обробки та правовою підставою. Це може допомогти компанії визначити той необхідний мінімальний обсяг персональних даних, що слід збирати для досягнення її бізнес-цілей.
По-друге, data map, RoPA чи data inventory є незамінними помічниками у процесі оцінки ризиків конфіденційності, пов’язаних з обробкою персональних даних клієнтів, що включає не лише виявлення будь-яких потенційних вразливостей у діяльності з обробки, а й визначення «слабких місць» для подальшого впровадження відповідних технічних та організаційних заходів для захисту даних.
Що компанії повинні врахувати, перш ніж складати Data Map, RoPA або Data Inventory?
Перш за все компанія повинна визначити такі моменти:
- мету (збір даних для запуску процедури комплаєнсу з GDPR, оцінка ризиків конфіденційності, виявлення можливостей для вдосконалення процесів обробки даних тощо);
- наповнення (категорії даних, які перебувають в обробці й підлягають включенню, види діяльності з обробки даних, правові підстави обробки, точки дотику під час обробки, мету збору кожного з типів даних, третіх осіб, від яких кожен з видів інформації отримується або передається, види документів, в яких інформація фіксується тощо);
- заінтересованих осіб, які будуть залучені до створення будь-якого з цих інструментів (це можуть бути представники юридичного відділу, ІТ-відділу, відділу безпеки та комплаєнсу, а також кожного з підрозділів, які обробляють персональні дані);
- сферу застосування кожного з інструментів (вони можуть бути складені в межах операційної діяльності кожного структурного підрозділу).
Враховуючи наведені фактори, компанії можуть створити комплексну карту даних або data inventory, яка відповідає їхнім конкретним потребам.
Які вимоги GDPR до Data Map, RoPA або Data Inventory?
Відповідно до Загального регламенту про захист даних (General Data Protection Regulation, GDPR), компанії зобов’язані вести реєстр діяльності з обробки даних (records of processing activities, RoPA), який, по суті, є різновидом data inventory.
Відповідно до ст. 30 GDPR RоPA повинна містити наступну інформацію:
- Назва та контактні дані організації та її відповідального працівника за захист даних (DPO), якщо це можливо.
- Цілі обробки, в тому числі будь-які законні інтереси, які переслідує організація.
- Опис категорій суб’єктів даних і категорій персональних даних.
- Категорії одержувачів, яким розкриваються або будуть розкриті персональні дані, в тому числі одержувачів в будь-яких третіх країнах або міжнародних організаціях.
- Строки видалення різних категорій даних.
- Опис технічних та організаційних заходів безпеки, що застосовуються для захисту персональних даних.
- Будь-яка передача даних за межі Європейського Союзу (ЄС) або Європейської економічної зони (ЄЕЗ), включаючи правову основу для передачі.
- Правові підстави для обробки та будь-яку іншу інформацію, необхідну для демонстрації відповідності GDPR.
RоPA повинна бути складена у письмовій формі (в тому числі електронній), і бути доступною для підтримки в актуальному стані та регулярного перегляду, аби вона точно відображала актуальний стан діяльності з обробки персональних даних. Також RoPA є необхідною для пред’явлення наглядовому органу за запитом.
Підтримуючи комплексну RоPA у обсязі, що відповідає вимогам GDPR, компанії можуть продемонструвати свою відповідність принципам GDPR, а також ґрунтовний підхід до обробки даних у разі комунікації з наглядовими органами.
Data Map або Data Inventory складається індивідуально, враховуючи особливості операційної діяльності компанії, у формі, що задовольнятиме потреби останньої.
Як Data Map, RoPA або Data Inventory можуть допомогти у співпраці з контрагентами?
Всі інструменти забезпечують чітке розуміння типів та обсягу персональних даних, якими компанія ділиться зі своїми контрагентами.
Нагадаємо, що відповідно до GDPR коли контролер ділиться персональними даними з процесором або процесор з субпроцесором, він несе відповідальність за не лише за обсяг поширюваних даних, а й за дотримання своїм контрагентом вимог GDPR щодо захисту даних.
Наявність у потенційного контрагента одного з цих інструментів може забезпечити прозорість й допомогти оцінити його відповідність вимогам GDPR, перевірити чи використовує такий підрядник персональні дані у власних цілях, чи наявні у нього відповідні технічні та організаційні заходи для захисту персональних даних тощо. В сукупності наведені фактори є запорукою плідної співпраці.
Загалом, інструменти, які ми розглянули, допоможуть будь-якій компанії вдосконалити практики управління даними й обробляти персональні дані клієнтів у спосіб, що відповідає вимогам GDPR. Вони є важливими для забезпечення прозорості та захисту даних. Створюючи їх, компанії можуть краще розуміти свою діяльність з обробки даних і бути певними, що вони дотримуються вимог GDPR щодо законної обробки, мінімізації даних і прав суб’єктів даних.
Анастасія Полтавцева
IT юристка в Legal IT Group