GDPR та оцінювання впливу на захист даних
Українські компанії, які прийняли рішення про те, що вони підпадають під вимоги нового Європейського Регламенту із Захисту Даних (General data protection regulation/GDPR/Регламент), який вступив в дію з травня 2018 року, повинні оброблювати персональні дані суб’єктів персональних даних виключно в рамках вимог GDPR. При цьому до їхньої діяльності, на ряду з українським законодавством, застосовується європейське законодавства, яке стосується захисту персональних даних.
В залежності від об’ємів персональних даних, від цілей обробки та від виду персональних даних, які оброблюються українськими компаніями, Регламент може передбачати застосування тих чи інших особливих організаційних заходів, які спрямовуються, по-перше, на захист персональних даних, а по-друге, на зменшення ризиків щодо прав та життєво-важливих інтересів суб’єктів даних, чиї персональні дані обробляються. Одним із таких заходів слід вважати «Оцінювання впливу на захист даних» (Data protection impact assessment).
Підстави для проведення
Data protection impact assessment, у відповідності з вимогами Регламенту, повинно бути обов’язково проведене лише у визначених випадках. Наприклад, стаття 35 GDPR передбачає, що оцінювання впливу на захист даних потрібно здійснювати у наступних випадках:
- у разі систематичного та масштабного оцінювання персональних аспектів, що стосуються фізичних осіб, яке ґрунтується на автоматизованому опрацюванні, в тому числі, профайлінгу, та на якому ґрунтуються рішення, що мають юридичні наслідки щодо фізичної особи чи подібним чином істотно впливають на фізичну особу;
- у разі опрацювання спеціальних категорій даних у великих масштабах та персональних даних про судимості і кримінальні злочини,
- систематичного та моніторингу зони, що знаходиться у відкритому доступі у великих масштабах.
Якщо вести розмову про територію Європейського Союзу, то в такому випадку GDPR передбачає, що контролюючими органами, у кожній окремій країні – членові ЄС, мають бути розроблені окремі документи, які б визначали точний перелік випадків, коли Data protection impact assessment застосовується, а коли ні.
Що ж стосується України, то українські суб’єкти господарювання, які виконують вимоги GDPR, зобов’язані керуватися загальними вимогами, передбаченими статтею 35 GDPR.
Загалом, всі компетентні європейські органи наполегливо радять здійснювати Оцінювання впливу на захист даних в середині компанії, якщо виникає підозра, що обробка персональних даних може призвести до виникнення значних ризиків щодо прав та життєво-важливих інтересів суб’єктів даних, чиї персональні дані обробляються. Однією із таких ситуацій, наприклад, коли можуть виникнути ризики, слід вважати переміщення зібраних компанією в ЄС персональних даних за межі Європейського Союзу.
Особливості здійснення
Оцінювання впливу на захист даних може бути ініційоване як менеджером компанії, офіцером із захисту даних (data protection officer), так і працівником, який відповідальний за дотримання вимог європейського законодавства в процесі обробки компанією персональних даних.
В процесі проведення data protection impact assessment повинні залучатися спеціалісти всіх підрозділів, департаментів та відділів, які приймають участь в процесі обробки персональних даних. Так, наприклад, це можуть бути як HR спеціалісти, так і спеціалісти, які забезпечують IT підтримку діяльності компанії.
В процесі проведення data protection impact assessment, компанія, в контексті цілей обробки персональних даних, зобов’язана проаналізувати всі операції, які вона здійснює протягом обробки персональних даних, проаналізувати їхню доцільність та ефективність, а також, провести деталізоване дослідження щодо можливості виникнення ризиків стосовно персональних даних в процесі реалізації всіх визначених операцій. Окрім того, компанія повинна визначити та охарактеризувати заходи захисту, з допомогою яких ризики, які будуть виявлені в процесі data protection impact assessment, повинні бути усунені або зменшені до такого рівня, при якому вони не зможуть вплинути значною мірою на права та життєво важливі інтереси суб’єктів персональних даних.
Оцінювання ризиків здійснюється за багатьма факторами, зокрема, за такими, що характеризують обставини при яких персональні дані були зібрані, умови, в яких персональні дані оброблюються, природу персональних даних та категорії суб’єктів даних, які такі дані надають. В будь-якому випадку, українські компанії самостійно визначають перелік факторів, на підставі яких аналізуються ризики, а також процедуру здійснення аналізу.
Також, що надзвичайно важливо зазначити, компанія, яка здійснила Оцінювання впливу на захист даних, зобов’язана здійснювати його кожного разу, коли виникає підстава вважати, що виникли нові ризики для суб’єктів даних, в процесі обробки їхніх персональних даних компанією.
Комунікація з державними органами
Положення GDPR передбачають, що компанія, яка здійснює Оцінювання впливу на захист даних в рамках своєї діяльності, не зобов’язана обов’язково комунікувати або повідомляти контролюючий орган про факт проведення такого заходу. Разом з тим, стаття 36 Регламенту зазначає, що компанія зобов’язана повідомити про факт проведення data protection impact assessment, якщо виникли надлишкові ризики, які компанія не змогла усунути або зменшити до такого рівня, при якому вони не зможуть вплинути значною мірою на права та життєво важливі інтереси суб’єктів персональних даних.
В такому випадку, українські компанії, які оброблюють персональні дані у відповідності з вимогами GDPR, зобов’язані звернутися до того контролюючого органу, який був обраний на території ЄС відповідною компанією для можливості комунікувати з ним, у випадках, передбачених Регламентом.
Звертаючись до відповідного контролюючого органу, компанія зобов’язана повідомити:
- (а) причини звернення;
- (б) компетенцію та межі відповідальності компанії, в процесі обробки персональних даних;
- (в) цілі обробки персональних даних;
- (г) заходи захисту, вжиті компанією;
- (д) при необхідності, контакти офіцера із захисту даних;
- (е) будь-яку іншу інформацію, яку контролюючий орган буде вважати необхідною.
Як результат, контролюючий орган може заборонити вам обробку персональних даних взагалі або обмежити обробку персональних даних до вжиття рекомендованих заходів захисту.
Варто відмітити, що особливості комунікації з контролюючими органами описані в GDPR досить детально і цій темі варто приділити окрему статтю.
Підсумок
Кожній компанії в Україні, яка вважає себе такою, що підпадає під вимоги GDPR, потрібно вирішити самостійно, здійснювати чи не здійснювати Оцінювання впливу на захист даних в процесі обробки персональних даних. Відповідно, всі ризики, в цьому випадку, покладаються на компанію та її посадових осіб. Якщо ж в рамках діяльності компанії залучається офіцер із захисту даних, то часткова відповідальність лежить ще й на ньому.
В будь-якому випадку, будьте уважні та обережно обирайте ті дані, які ви хочете обробляти.