DPIA – privacy інструмент, який недооцінюють

Оцінка впливу на захист даних (DPIA) звучить як щось велике, складне і проблематичне. Що ж, частково це дійсно так. Особливо з огляду на те, що в тексті Загального регламенту про захист даних (GDPR) немає жодної згадки про методологію проведення такої оцінки – і ви знайдете її тільки в рекомендаціях EDPB та державних служб з питань захисту даних. Саме тому ми підготували для вас короткий гайд про DPIA, який допоможе вам зрозуміти: що це, коли DPIA необхідний, навіщо і як його проводити?

Коли?

Перш за все, DPIA потрібен контролеру даних у випадках, передбачених ст. 35 (1) (3) GDPR, тобто коли проведення DPIA є обов’язковим, а саме:

(a) коли ви здійснюєте автоматизоване прийняття рішень, в тому числі профілювання та використовуєте його результати для прийняття рішень, що мають юридичні наслідки для фізичної особи або аналогічним чином суттєво впливають на неї;

(b) коли ви обробляєте у великих масштабах спеціальні категорії даних (наприклад, медичні або інші чутливі дані, дані дітей) або персональні дані, що стосуються судимостей; або

(c) коли ви здійснюєте систематичний моніторинг публічно доступних місць у великих масштабах.

Таким чином, DPIA необхідно проводити у разі, коли певний вид обробки, зокрема, пов’язаний з використанням нових технологій, а також з урахуванням характеру, обсягу, контексту та цілей обробки, може призвести до високого ризику для прав і свобод фізичних осіб. 

Наприклад, ви відстежуєте поведінку своїх покупців. Для цього вам потрібно визначити сферу відстеження: за чим (ким) ви спостерігаєте і що аналізуєте? Це може бути тривалість прийняття покупцем рішення, асортимент товарів, серед яких вони обирають бажаний для себе, цінові категорії товарів, інші характеристики, а також поведінка покупця на сайті, рухи його комп’ютерної мишки, пересування магазином тощо. У таких випадках контролер зобов’язаний до початку обробки провести оцінку впливу передбачуваних операцій з обробки на захист персональних даних, а наведені як приклад критерії мають бути чітко сформульовані та задокументовані.

Наведені випадки включають також здійснення регулярного та систематичного моніторингу суб’єктів даних. Це поняття знову-таки не визначено в GDPR, але відповідно до роз’яснень наглядових органів, воно чітко включає всі форми відстеження та профілювання в Інтернеті, в тому числі для цілей поведінкової реклами. При цьому, поняття моніторингу не обмежується лише онлайн-середовищем.

Отже, проведення DPIA демонструє дотримання законодавства про захист даних (GDPR). Якщо ви не проводите цю оцінку тоді, коли вона суворо вимагається законом, це може призвести до штрафу у розмірі 20 мільйонів євро або 4% від доходу, залежно від того, яка сума є вищою. Стаття 35 GDPR також дозволяє наглядовим органам (DPA) видавати т.зв. “чорні списки” діяльності з обробки даних – вони містять всі види діяльності, для яких ви зобов’язані провести DPIA, щоб уникнути штрафів за GDPR, навіть якщо операція з обробки не проходить тест статті 35 GDPR.

Але в більш широкому сенсі, бізнес не обмежений вищезазначеними випадками, коли DPIA суворо необхідна в силу вимог регламенту, і може впроваджувати DPIA як конкурентну перевагу, адже в сучасних умовах перевагу має той, хто піклується про захист персональних даних. Про що саме йдеться? Давайте розберемось.

Навіщо? 

Основна мета DPIA полягає в тому, щоб дати бізнесу можливість виявити та усунути ризики, пов’язані з обробкою персональних даних, при чому зробити це на ранній стадії процесу розробки сервісу чи продукту, а також, звісно, виконати імперативні вимоги GDPR.

Характер і підхід до проведення DPIA передбачає, що компанія визначає та оцінює потенційні ризики для конфіденційності, пов’язані з її діяльністю з обробки даних. Проактивно виявляючи та зменшуючи ці ризики, компанія може уникнути витоку даних та вартісних штрафів від регуляторних органів, а також репутаційних збитків. Такий підхід позиціонує бізнес як відповідального зберігача персональних даних, що відрізняє його від конкурентів, які могли постраждати від інцидентів, пов’язаних з конфіденційністю. Таким чином, DPIA є практичним інструментом з управління ризиками. 

Водночас, якщо ви прагнете створити послугу чи продукт за принципами privacy by design та privacy by default, DPIA може стати для вас справжньою чарівною паличкою. Все просто: вбудовування DPIA в процес розробки допомагає інтегрувати способи забезпечення конфіденційності на ранніх стадіях створення продукту або послуги. В результаті, ви можете надавати продукти та послуги, які краще відповідають очікуванням клієнтів щодо безпеки даних. Наприклад, портал для замовлення медичних послуг збирає чітко визначені категорії даних для кожного з видів обстеження, яке пропонує, і в жодному разі не збирає зайвої інформації.

Тож, DPIA – це процес виявлення всіх ризиків для персональних даних, їх облік і складання списку дій для мінімізації цих ризиків. Ви зможете оцінити, які ще архітектурні, операційні, процедурні кроки треба зробити, щоб ваш бізнес міг з упевненістю говорити про себе “GDPR Compliant”. У випадку звернень з претензіями чи навіть розслідувань – у вас буде вагомий доказ того, що ви доклали всіх можливих (і комерційно розумних) способів захистити дані, які вам довірили. 

Яким чином?

Відповідь на це питання може бути різною, оскільки залежить від конкретного бізнесу та діяльності з обробки даних. Загалом, до та під час проведення DPIA організація повинна враховувати наступні сім ключових факторів:

1. Визначити застосовні нормативні акти про захист даних у відповідних юрисдикціях, а також конкретні правові вимоги щодо проведення DPIA, в тому числі ситуації, коли така оцінка є обов’язковою або суворо рекомендованою. 
2. Визначити, чи відповідає діяльність з обробки даних, що здійснюється компанією, критеріям, які спричиняють виключну необхідність проведення DPIA. Це стосується таких видів діяльності, як масштабна обробка персональних даних, систематичний моніторинг осіб, автоматизоване прийняття рішень, профілювання або обробка чутливих категорій даних, таких як дані про стан здоров’я або судимості.
3. Оцінити методи, що використовуються протягом життєвого циклу даних, охоплюючи всі етапи – збір, обробку, передачу, зберігання та видалення. Враховувати обсяг, характер і мету обробки даних, а також потенційний вплив на приватне життя та права осіб на захист даних. До речі, GDPR безпосередньо не визначає, що саме слід розуміти під “великим” обсягом обробки даних. Для цього необхідно звертатись до рекомендацій наглядових органів, які, зазвичай, вказують на такі критерії: кількість суб’єктів даних, чиї права можуть зазнати ризику, чи пропорція відносно кількості населення; географічний аспект обробки; обсяги даних, що перебуватимуть в обробці, а також тривалість, регулярність діяльності з обробки тощо. 
4. Ідентифікувати та оцінити потенційні ризики для приватності і захисту даних, пов’язані з діяльністю з обробки даних. Враховувати ймовірність та серйозність цих ризиків для прав, свобод та законних інтересів фізичних осіб. Оцінити потенційні наслідки таких ризиків та ймовірність їх настання.
5. Залучити всіх необхідних зацікавлених сторін, пов’язаних з обробкою даних, в тому числі суб’єктів даних (фокус-групу), контролерів даних, процесорів, інших відповідних сторін, та включити їхню думку щодо проблем конфіденційності, оцінки ризиків та заходів зі зменшення ризиків до DPIA. Сюди також належить залучення фахівців з питань захисту даних, data protection officer (DPO), або зовнішніх консультантів з відповідними знаннями та досвідом.
6. Визначити та оцінити існуючі заходи безпеки та гарантії захисту конфіденційності. Оцінити ступінь ефективності цих заходів для зменшення ризиків та усунути будь-які виявлені прогалини або вразливості, а також розглянути технічні та організаційні заходи, необхідні для забезпечення захисту персональних даних.
7. Правильно задокументувати результати DPIA, в тому числі методологію оцінки ризиків та заходи, вжиті для усунення виявлених ризиків. Це дозволить забезпечити виконання принципу підзвітності, встановленого GDPR, та продемонструвати відповідність регуляторним органам у разі необхідності.

А далі…

На нашу думку, DPIA недооцінюють як ефективний інструмент турботи про захист даних клієнтів та користувачів. Оскільки в сучасних реаліях занепокоєння щодо безпеки даних серед споживачів лише зростає, компанії, які надають пріоритет конфіденційності та захисту даних, можуть суттєво покращити свої позиції на ринку. За допомогою DPIA бізнес може раціонально вжити комплекс заходів, що дозволять гарантувати безпеку даних клієнтів, формувати їхню довіру та задоволеність сервісом. 

Тож якщо ви плануєте запустити або вже запустили проєкт і не впевнені, чи покладає GDPR на вас обов’язок проводити DPIA, або якщо ви хочете чітко розуміти характер та обсяг обробки даних і правильно побудувати архітектуру проєкту на основі принципів privacy by design та privacy by default, наші юристи з питань захисту даних можуть вам у цьому допомогти.