GDPR: Data Protection Impact Assessment и Data Protection Officer

Поскольку Интернет достаточно давно уже является местом, по которому государства мира растерянно делят юрисдикцию, бизнесмену критически важно учесть, чем ему может грозить такая размытость правового поля. Мир сужается, и вопрос о влиянии законов соседней страны перешли из университетских аудиторий к вопросам повестки дня деловых совещаний. А учитывая последний тренд защиты прав людей и все большую тревожность отдельных потребителей прозрачности Интернета и реальной доступности данных, которые они (часто довольно неосторожно) доверяют соцсетям, обращаться исключительно к законам государства, где зарегистрирована компания, уже недостаточно.

Началом комплаенс можно считать проведение Data Protection Impact Assessment (сокращенно DPIA). Во время этой процедуры привлекаются все ключевые участники компании: топ-менеджмент, руководители отделов, сотрудники — все лица, которые имеют связь с персональными данными. Во время DPIA необходимо установить и письменно описать операции, которые происходят с персональными данными, а также сам объем персональных данных, которые собираются, и возможные рисковые сценарии, которые могут возникнуть в случае повреждение безопасности этих персональным данным, и, что самое главное — это методы и средства борьбы с этими повреждениями. То есть необходимо предусмотреть все меры и все средства, которыми эти риски можно минимизировать или их можно предотвратить.

DPIA имеет вид таблички, в которой отражаются сведения о том, какие операции происходят с персональными данными, цели обработки данных, результаты теста на необходимость и полноту данных, которые собираются. Обязательно также в результатах DPIA указывать риски, которые могут возникнуть или возникают в процессе обработки, и указывать меры, с помощью которых эти риски минимизируют или обезвреживают.

GDPR прямо указывает на то, что Data Protection Impact Assessment должен проводиться еще до начала каких-либо операций по обработке персональных данных. Если у Вас есть сомнения относительно того, что такая обработка может вызвать риски для прав и свобод субъектов данных, лучше сначала проконсультироваться с надзорным органом страны, где проживает наибольшее количество лиц, данные которых обрабатываются. Следует учесть, что DPIA может проводиться как по одной операции, например, одноразовой большого перемещения данных из одной страны в другую — за пределы ЕС или, наоборот, на территорию ЕС, — или по целому ряду операций, которые потенциально составляют одинаковые риски для прав и свобод субъектов данных. Например, Data Protection Impact Assessment может проводиться тогда, когда Ваша компания разрабатывает или запускает новый продукт, с той целью, чтобы убедиться, что он не несет угрозы нарушения прав и свобод лиц, предоставляющих персональные данные.

Data Protection Impact Assessment не является одноразовым мероприятием, он должен проводиться регулярно, но не слишком часто — только тогда, когда в нем возникает необходимость. Он должен проводиться вовремя, чтобы компания успевала мониторить все возможные риски и предотвращать их, или минимизировать их последствия. В любом случае, если Вы не уверены, что обработка персональных данных Вашей компанией точно не будет создавать реально возможных рисков для прав и свобод субъектов данных, такую ​​обработку лучше не проводить и сначала проконсультироваться с надзорным органом, который предоставит необходимые инструкции.

Ответственность за проведение Data Protection Impact Assessment возлагается на контролера. Даже если на предприятии работает Data Protection Officer, или DPO, эту ответственность все равно будет нести лицо, которое устанавливает цели обработки данных и средства их обработки. Важно, что эта ответственность или последствия нарушения персональных данных не могут быть переведены на другое лицо: их нельзя спрятать по страховым договорам или Дисклеймер.

Data Protection Impact Assessment может применяться в случаях, если:

  • проводится автоматизированная обработка персональных данных или осуществляется профайлинг;
  • если разделаются персональные данные которые признаются чувствительными, или эти персональные данные принадлежащих лицам, на которых контроллер имеет влияние: например, это может касаться студентов, пациентов, работников компании;
  • обрабатываются персональные данные в больших масштабах, или они обрабатываются по данным, собранным с мест, к которым имеет доступ широкой общественности — например, это открытые площадки. Популярным примером систематического мониторинга публичных мест является использование камер видеонаблюдения.

Проведение Data Protection Impact Assessment и его регулярное обновление — стрессовое и сложный процесс, и компании часто считают необходимым назначить Data Protection Officer. DPO играет не последнюю роль и при проведении первого Data Protection Impact Assessment: контролер обязан консультироваться с ним при принятии решений, связанных с персональными данными. Data Protection Officer не обязательно должен быть штатным работником: некоторые DPO работают на основе договоров об услугах. В конце концов, компании следует назначить Data Protection Officer, если она регулярно обновляет большое количество данных, или обрабатывает чувствительные данные или данные об участии физических лиц в процессах по уголовным делам, если эти данные обрабатываются в больших масштабах. Кроме высокого профессионального уровня и профессиональной подготовки, Data Protection Officer должен быть автономным: у него должны оставаться все организационные, технические и информационные ресурсы для исполнения полномочий.

При этом DPO не должен иметь полномочий, которые могут повлиять на цели обработки и на средства обработки персональных данных — это может создать конфликт интересов и вызвать злоупотребления. Конечно, Data Protection Officer связан соглашением о конфиденциальности, однако это не должно препятствовать его возможности обращаться к надзорного органа в том случае, если возникнет нарушение, или ему будет нужна консультация.

Такое обращение не может считаться нарушением конфиденциальности. После назначения Data Protection Officer контроллер должен передать контактные данные и имя Data Protection Officer к надзорному органу, чтобы тот мог в обратиться к компании в случае необходимости. GDPR также требует размещать контактные данные Data Protection Officer компании в открытом доступе для того, чтобы любой субъект персональных данных мог связаться с ним. Но указывать имя DPO НЕ обязательно.

Data Protection Officer должен быстро реагировать на все сообщения, которые поступают как от компании, так субъектов данных и надзорных органов. Критически важно, чтобы Data Protection Officer имел в своей доступности всю информацию, которая может повлиять на выполнение им своих рабочих задач. То есть, о любых изменениях в процессе обработки данных он может быть уведомлен как топ-менеджментом, так и любым работником компании. Также DPO должен иметь возможность участвовать в совещаниях руководства и топ-менеджмента.

В этой статье проговорены только общие черты Data Protection Impact Assessment и Data Protection Officer. Специфика проведения DPIA и назначения DPO будет зависеть от особенностей обработки персональных данных внутри именно Вашей компании и задач, для выполнения которых Ваша компания собирает персональные данные.

    Твой вопрос ІТ юристам


    Хочешь получать крутую инфу по IT-праву,
    без спама и надоедливых акций?