GDPR Data Breach: нові вимоги
Європейська рада із захисту даних нещодавно опублікувала для обговорення нову настанову («guideline») про порушення захисту персональних даних («data breach»). Вона пропонує змінити порядок повідомлення про порушення для контролерів, що знаходяться за межами Європейського Союзу. Незважаючи на те, що настанова поки що не пройшла всю процедуру її офіційного прийняття, вона вже викликала значні дискусії.
Далі ми розповімо про те, що таке настанова EDPB про повідомлення у разі порушення захисту персональних даних, як вона впливає на діяльність контролерів та процесорів, які конкретно нові зміни пропонуються та як вони можуть вплинути на діяльність організацій за межами Європейського Союзу.
Однак спочатку ми також маємо коротко зазначити про те, чим є Європейська рада із захисту даних та як вона впливає на застосування положень GDPR.
Що таке Європейська рада із захисту даних і як впливають її настанови на застосування положень GDPR?
У цілому, Європейська рада із захисту даних («European Data Protection Board» або «EDPR») – це незалежний орган Європейського Союзу, основною метою якого є забезпечення послідовного застосування Регламенту про захист персональних даних («GDPR»). Цей орган видає настанови та рекомендації щодо застосування положень GDPR, консультує Європейську Комісію з питань захисту даних, а також сприяє створенню усталеної практики застосування GDPR наглядовими органами країн Європейського Союзу.
Настанови EDPB надають роз’яснення чи приклади застосування тих чи інших положень GDPR, які можуть бути складними для розуміння. Вони не мають такої ж юридичної сили, як GDPR, однак суди та наглядові органи керуються ними під час розгляду справ.
Настанови розміщені на офіційному сайті EDPB за наступним посиланням.
Що таке настанова про повідомлення у разі порушення захисту персональних даних?
Настанова, про яку зараз йдуть дискусії, по своїй суті є дещо оновленою версією вже існуючих настанов про порушення захисту персональних даних.
Перша версія настанов була ухвалена так званою Робочою Групою 29 у 2017 році і пізніше затверджена на першому пленарному засіданні EDPB. Вона роз’яснює, що саме є порушенням захисту персональних даних, уточнює складні для розуміння положення GDPR (наприклад, у який саме момент контролер «дізнається» про порушення) і надає необхідні приклади дій контролерів та процесорів даних.
Друга версія настанов за своєю суттю повністю ідентична першій за винятком положення 73, що деталізує порядок повідомлення наглядового органу про порушення захисту персональних даних у випадку, коли контролер знаходиться за межами Європейського Союзу.
Які зміни пропонується внести у порядок повідомлення наглядового для контролерів за межами Європейського Союзу?
У першому гайдлайні передбачалося, що повідомлення про порушення захисту персональних даних має бути подане до наглядового органу тієї країни, де призначений представник контролера:
In such cases, Working Party 29 recommends that notification should be made to the supervisory authority in the Member State where the controller’s representative in the EU is established.
У новому гайдлайні вказано, що повідомлення має бути подане кожному з наглядових органів тих країн, де знаходяться суб’єкти, що постраждали від порушення захисту персональних даних:
However, the mere presence of a representative in a Member State does not trigger the one-stop shop system. For this reason, the breach will need to be notified to every single authority for which affected data subjects reside in their Member State. This notification shall be done in compliance with the mandate given by the controller to its representative and under the responsibility of the controller.
Які наслідки може мати ця зміна?
Потенційно така зміна може стати суттєвим «кроком назад», що непропорційно збільшить навантаження на контролерів за межами Європейського Союзу і знівелює необхідність призначення представників.
Проблема збільшення навантаження на контролерів полягає у двох складових: по-перше, за загальним правилом наглядові органи мають бути повідомлені протягом 72 годин з моменту порушення, а по-друге, у кожного наглядового органу може бути своя форма для повідомлення про таке порушення, яка, як правило, має бути заповнена національною мовою відповідної країни.
Іншими словами, протягом 72 годин контролер має дослідити факти порушення захисту персональних даних, знайти відповідні форми для повідомлення наглядових органів, заповнити та узгодити їх, а також безпосередньо їх подати – або через сам сайт наглядового органу (як це передбачено у Франції або Італії), або будь-яким іншим визначеним способом, у тому числі через звичайне поштове відправлення (наприклад, на таку можливість вказує наглядовий орган Польщі).
При цьому контролеру також необхідно забезпечити подачу повідомлення відповідною мовою (у більшості випадків тільки національною), що потребує додаткових витрат часу та коштів на перекладача.
Враховуючи, що у Європейський Союз входять 27 країн, таке надмірне навантаження призведе до бюрократичної тяганини і неминучих помилок. Ймовірніше за все, контролери не матимуть фізичної можливості вчасно відправляти повідомлення і будуть також зобов’язані додавати до них пояснення про причини затримки. Однак, навіть за наявності пояснень, подача повідомлення після спливу трьохденного строку може призвести до накладення штрафу на контролера.
З іншого боку, така зміна також може призвести до зменшення кількості призначених представників у Євросоюзі. Хоча GDPR встановлює, у цілому, що призначення представника є обов’язковим, однак на практиці часто представники були необхідні якраз для використання one-stop shop системи у разі порушення захисту персональних даних.
Тому навіть одна невелика правка може суттєво змінити положення контролерів за межами Євросоюзу. Поки що вона не була офіційно затверджена, оскільки знаходиться у процесі громадського обговорення до 29 листопада 2022 року. Враховуючи її недоліки, будемо сподіватися, що її змінять, але у будь-якому випадку про її потенційний вплив необхідно знати та розуміти усім контролерам за межами Євросоюзу, в тому числі в Україні, США та Великобританії.
Як реагувати на таку зміну?
Найкраща відповідь на цей сценарій – заздалегідь готуватися.
Наперед зібрати необхідні погоджені наглядовими органами форми, розглянути їх зміст та вимоги до змісту. Дізнатися про одержувача попередження (адресу, назву органу), форму і спосіб подання заповненого документу. Знайти перекладачів, які можуть швидко включитися в процес, або підготувати стандартні повідомлення заздалегідь. Знайти фахівця всередині компанії або на аутсорсі, який зміг би негайно включитися і проконтролювати процес заповнення і подачі документів та перебрати на себе спілкування з юристами, інженерними командами і спеціалістами з інформаційної безпеки. Написати скрипти для працівників і підрядників. Переглянути договори з підрядниками щодо їхньої участі у розслідуваннях інцидентів…
Це лише менша частина процесу підготування: детальні кроки і тренування можуть варіюватися від компанії до компанії. Але краще інвестувати час і зусилля ще в період спокою: тоді під час шторму команда затратить менше часу на паніку і працюватиме злагоджено на користь своєї організації.
