GDPR: Data Protection Impact Assessment та Data Protection Officer

Оскільки Інтернет достатньо давно вже є місцем, щодо якого держави світу розгублено ділять юрисдикцію, бізнесмену критично важливо врахувати, чим йому може загрожувати така розмитість правового поля. Світ вужчає, і питання про вплив законів сусідньої країни перейшли з університетських аудиторій до питань порядку денного ділових нарад. А з огляду на останній тренд захисту прав людей і все більшу тривожність окремих споживачів щодо прозорості Інтернету та реальної доступності даних, які вони (часто досить необережно) довіряють соцмережам, звертатися виключно до законів держави, де зареєстрована компанія, вже недостатньо.

Початком комплаєнсу можна вважати проведення Data Protection Impact Assessment (скорочено DPIA). Під час цієї процедури залучаються всі ключові учасники компанії: топ-менеджмент, керівники відділів, працівники – всі особи, які мають зв’язок з персональними даними. Під час DPIA необхідно встановити і письмово описати операції, які відбуваються з персональними даними, а також сам обсяг персональних даних, які збираються, та можливі ризикові сценарії, що можуть виникнути у випадку пошкодження безпеки цих персональних даних, і, що найголовніше – це методи і засоби боротьби з цими пошкодженнями. Тобто необхідно передбачити всі заходи і всі засоби, якими ці ризики можна мінімізувати або їм можна запобігти.

DPIA має вигляд таблички, у якій відображаються відомості про те, які операції відбуваються з персональними даними, цілі обробки даних, результати тесту на необхідність і повноту даних, які збираються. Обов’язково також у результатах DPIA зазначати ризики, які можуть виникнути або виникають у процесі обробки, та вказувати заходи, за допомогою яких ці ризики мінімізують або знешкоджують.

GDPR прямо вказує на те, що Data Protection Impact Assessment повинен проводитися ще до початку будь-яких операцій з обробки персональних даних. Якщо у Вас є сумніви щодо того, що така обробка може викликати ризики для прав та свобод суб’єктів даних, краще спочатку проконсультуватися з наглядовим органом країни, де проживає найбільша кількість осіб, дані яких обробляються. Слід зважити на те, що DPIA може проводитися як щодо однієї операції, наприклад, одноразового великого переміщення даних з однієї країни до іншої – за межі ЄС або, навпаки, на територію ЄС, — або ж щодо цілого ряду операцій, які потенційно становлять однакові ризики для прав та свобод суб’єктів даних. Наприклад, Data Protection Impact Assessment може проводитися тоді, коли Ваша компанія розробляє чи запускає новий продукт, з тією метою, щоб переконатися, що він не нестиме загрози порушення прав і свобод осіб, що надають персональні дані.

Data Protection Impact Assessment не є одноразовим заходом, він повинен проводитися регулярно, але не занадто часто – лише тоді, коли в ньому виникає необхідність. Він має проводитися вчасно, щоб компанія встигала моніторити всі можливі ризики та запобігати їм, або мінімізувати їх наслідки. У будь-якому випадку, якщо Ви не впевнені, що обробка персональних даних Вашою компанією точно не буде створювати реально імовірних ризиків для прав та свобод суб’єктів даних, таку обробку краще не проводити і спочатку проконсультуватися з наглядовим органом, який надасть необхідні інструкції.

Відповідальність за проведення Data Protection Impact Assessment покладається на контролера. Навіть якщо на підприємстві працює Data Protection Officer, або DPO, цю відповідальність все одно буде нести та особа, яка встановлює цілі обробки даних та засоби їх обробки. Важливо, що ця відповідальність або наслідки порушення персональних даних не можуть бути перекладені на іншу особу: їх не можна заховати за страховими договорами чи дисклеймерами.

Data Protection Impact Assessment може застосовуватися у випадках, якщо:

  • проводиться автоматизована обробка персональних даних або здійснюється профайлінг;
  • якщо обробляться персональні дані, які визнаються чутливими, або ці персональні дані належать особам, на яких контролер має вплив: наприклад, це може стосуватися студентів, пацієнтів, працівників компанії;
  • обробляються персональні дані у великих масштабах, або вони обробляються щодо даних, зібраних з місць, до яких має доступ широкий загал – наприклад, це відкриті майданчики. Популярним прикладом систематичного моніторингу публічних місць є використання камер відеоспостереження.

Проведення Data Protection Impact Assessment та його регулярне оновлення – стресовий і складний процес, і компанії часто вважають необхідним призначити Data Protection Officer. DPO відіграє не останню роль і при проведенні першого Data Protection Impact Assessment: контролер зобов’язаний консультуватися з ним під час прийняття рішень, пов’язаних з персональними даними. Data Protection Officer не обов’язково повинен бути штатним працівником: деякі DPO працюють на основі договорів про послуги. Зрештою, компанії слід призначити Data Protection Officer, якщо вона регулярно оновлює велику кількість даних, або обробляє чутливі дані чи дані про участь фізичних осіб у провадженнях у кримінальних справа, якщо ці дані обробляються у великих масштабах.

Окрім високого професійного рівня та фахової підготовки, Data Protection Officer повинен бути автономним: у нього повинні залишатися вся організаційні, технічні та інформаційні ресурси для виконання повноважень. При цьому DPO не повинен мати повноважень, які можуть вплинути на цілі обробки та на засоби обробки персональних даних – це може створити конфлікт інтересів і викликати зловживання.

Звичайно, Data Protection Officer зв’язаний угодою про конфіденційність, однак це не повинно перешкоджати його можливості звертатися до наглядового органу у тому випадку, якщо виникне порушення, або йому буде потрібна консультація. Таке звернення не може вважатися порушенням конфіденційності.

Після призначення Data Protection Officer контролер повинен передати контактні дані та ім’я Data Protection Officer до наглядового органу, щоб той міг до звернутися до компанії у разі потреби.  GDPR також вимагає розміщувати контактні дані Data Protection Officer компанії у відкритому доступі для того, щоб будь-який суб’єкт персональних даних міг зв’язатися з ним. Але вказувати ім’я DPO не обов’язково.

Data Protection Officer повинен швидко реагувати на всі повідомлення, які надходять як від компанії, так від суб’єктів даних та наглядових органів. Критично важливо, щоб Data Protection Officer мав у своїй доступності всю інформацію, яка може вплинути на виконання ним своїх робочих завдань. Тобто, про будь-які зміни в процесі обробки даних він може бути повідомлений як топ-менеджментом, так і будь-яким працівником компанії. Також DPO повинен мати можливість брати участь у нарадах керівництва та топ-менеджменту, хоча б на дорадчих засадах.

Отже, у цій статті проговорено лише загальні риси Data Protection Impact Assessment та Data Protection Officer. Специфіка проведення DPIA та призначення DPO буде залежати від особливостей обробки персональних даних всередині саме Вашої компанії та завдань, для виконання яких Ваша компанія збирає персональні дані.

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)