Оцінка ризиків в рамках GDPR
У квітні-травні 2018 року ЗМІ підводили нас до думки, що GDPR повинен стати нищівним ударом по інтернет-стартапам і дрібним підприємцям, хоронили їх під тягарем штрафів і перевірок. Як виявилося, Регламент не припинив розвиток інтернет-ринків: він розповсюдив новий стандарт взаємовідносин між споживачами і технологічними компаніями, для посилення бажання працювати з прозорими постачальниками.
Ми вже багато разів чули, що дані – це «нова нафта» або «нова ядерна зброя». Зараз до внутрішнього аудиту безпеки починають ставитися з більшою серйозністю. Сам Регламент зобов’язує контролерів і обробників складати і оновлювати пакет документації, яка коректно відображає внутрішні процеси обробки даних. Такий підхід не тільки спрощує аудиторам процес розслідування порушень безпеки даних, а й часто допомагає самим підприємствам розібратися, які дані вони збирають і за рахунок чого отримують конкурентні переваги.
Повний комплект документації може включати в себе кілька десятків політик і реєстрів. Разом з тим, панікувати не варто: багато з них досить стандартизовані, і ринок вже пропонує готові рішення для досягнення комплаенса – хоча вони і не ідеальні, але можуть підказати, в якому напрямку необхідно рухатися.
Але що саме враховувати і за чим стежити?
На це питання покликана відповідати процедура оцінки впливу заходів для захисту персональних даних, або Data Protection Impact Assessment (DPIA). Часто від результатів саме цієї перевірки і буде залежати кількість документів в підсумковому пакеті.
Коли необхідно проводити DPIA
DPIA проводиться завжди до початку будь-яких операцій з персональними даними, при наявності хоча б найменших сумнівів у безпеці обробки даних. Наприклад, європейські контролюючі органи не вважають DPIA зайвим в таких випадках:
- проводиться автоматизована обробка персональних даних або здійснюється профайлінг;
- обробляються чутливі персональні дані, або ж персональні дані, що належать особам, на яких контролер має вплив (наприклад, це може стосуватися студентів, пацієнтів, працівників компанії);
- обробляються персональні дані в великих масштабах, або вони зібрані в місцях, до яких має доступ широка громадськість – наприклад, це відкриті майданчики (камери відеоспостереження в публічних місцях є лише найбільш відомим прикладом).
Деякі країни мають списки операцій, при проведенні яких DPIA строго обов’язковий (black list), або навпаки – операцій, які точно виключені з обов’язкового при DPIA списку (white list). Зазвичай вони складені і відслідковуються національними органами, в той час як European Data Protection Board відстежує ці списки і видає рекомендації та висновки стосовно їх відповідності GDPR і корпусу наднаціонального права, покликаного охороняти внутрішній ринок і економічні свободи Європейського Союзу. Наприклад, в «чорні» списки країни, де компанія збирає велику кількість персональних даних, можуть входити операції стосовно HR-менеджменту (оскільки інформація про здоров’я працівника або про кримінальну відповідальність є досить чутливими даними), обробка куплених або набутих в інший законний спосіб баз персональних даних , організація заходів, аналітика за допомогою Big Data, дейтинг-сервіси, фітнес-трекінг, програми лояльності для покупців і так далі. Загальне правило – якщо обробка персональних даних може створити досить високу ймовірність негативного впливу на суб’єкт даних, то проведення DPIA обов’язково.
В таких питаннях побтібно визначати умови початку та завершення конкретного алгоритму дій та знань з IT права для досягнення цілі.
Доказ проведення DPIA
Традиційно, документ, що фіксує результати Data Protection Impact Assessment, повинен:
- вказувати залучених осіб та їх повноваження;
- фокусуватися на захисті даних і ризиках конфіденційності зацікавлених осіб;
- допомагати працівникам правильно реагувати на кожен ризик адекватними методами захисту;
- пропонувати працівникам компанії більш детальне і практичне керівництво для зниження ризиків безпеки персональних даних і конфіденційності, характерний для певної галузі.
Наприклад, мінімальний обсяг інформації, який повинен бути в документі, описаний в ст. 35 (7) GDPR:
- систематичний опис запланованих операцій з обробки персональних даних та мети такої обробки (а якщо можливо – то і законний інтерес, переслідуваний контролером);
- оцінка необхідності і пропорційності операцій з обробки в залежності від цілей;
- оцінка ризиків порушення прав і свобод суб’єктів даних; і
- заходи, які пропонується вжити для управління ризиками, включно з гарантіями, запобіжними засобами та механізмами забезпечення захисту персональних даних, а також для демонстрації відповідності з Регламентом з урахуванням прав і законних інтересів суб’єктів даних і зацікавлених осіб.
Також GDPR підкреслює необхідність передбачливості: важливо вчасно оцінити можливі результати обробки персональних даних, передбачити загрози для своїх клієнтів і звернути увагу на джерела потенційних ризиків, їх природу, особливості та серйозність наслідків. Це важливо, оскільки кожному ризику повинен відповідати адекватний спосіб його зниження або ліквідації.
DPIA може проводитися стосовно однієї операції або цілого запуску нового продукту. Зазвичай дозволяється провести в рамках одного DPIA аналіз безпеки цілого ряду аналогічних регулярних операцій.
Важливо пам’ятати, що результати перевірки повинні бути задокументовані таким чином, щоб їх можна було надати на перевірку уповноваженим національним органам із захисту персональних даних. Відповідальність за DPIA буде нести контролер, навіть якщо саму перевірку проводив обробник або інша уповноважена контролером особа. Разом з тим, обробник зобов’язаний сприяти контролеру і надавати всі необхідні відомості.
Проведення DPIA часто вимагає участі всіх відділів і департаментів компанії. Це трудомісткий процес, до якого необхідно поставитися з терпінням і увагою. Часто через складність або заплутаності процесів також краще заручитися підтримкою професіонала – наприклад, Data Protection Officer, або DPO – який буде консультувати і відслідковувати просування перевірки. Однак головними акцентами DPIA завжди повинні залишатися повагу і захист людини від зловживання інформацією про нього.
Оригінал статті читайте на сайті Ліга:Закон