GDPR и оценки влияния на защиту данных

Украинские компании, которые приняли решение о том, что они подпадают под требования нового Европейского Регламента по Защите Данных (General data protection regulation / GDPR / Регламент), который вступил в действие с мая 2018 года, должны обрабатывать персональные данные субъектов персональных данных исключительно в рамках требований GDPR. При этом к их деятельности, наряду с украинским законодательством, применяется европейское законодательство, касающееся защиты персональных данных.

В зависимости от объемов персональных данных, от целей обработки и от вида персональных данных, которые обрабатываются украинскими компаниями, Регламент может предусматривать применение тех или иных особых организационных мероприятий. Которые направляются, во-первых, на защиту персональных данных, а во-вторых на уменьшение рисков в отношении прав и жизненно важных интересов субъектов данных, чьи персональные данные обрабатываются. Одним из таких мероприятий следует считать «Оценку воздействия на защиту данных» (Data protection impact assessment).

 

Основания для проведения

Data protection impact assessment, в соответствии с требованиями Регламента, должно быть обязательно проведено лишь в определенных случаях. Например, статья 35 GDPR предусматривает, что оценку влияния на защиту данных следует выполнять в следующих случаях:

  • в случае систематического и масштабного оценки персональных аспектов, касающихся физических лиц, основанное на автоматизированном обработке, в том числе, профайлинга, и на котором основываются решения, имеющие юридические последствия в отношении физического лица или подобным образом существенно влияют на физическое лицо;
  • в случае обработки специальных категорий данных в больших масштабах и персональных данных о судимости и уголовные преступления,
    систематического и мониторинга зоны, находящейся в открытом доступе в больших масштабах.Если вести разговор о территории Европейского Союза, то в таком случае, GDPR предусматривает, что контролирующими органами, в каждой отдельной стране — члену ЕС, должны быть разработаны отдельные документы, которые бы определяли точный перечень случаев, когда Data protection impact assessment применяется, а когда нет .

Что же касается Украины, то украинские субъекты хозяйствования, которые выполняют требования GDPR, обязаны руководствоваться общими требованиями, предусмотренными статьей 35 GDPR.

В общем, все компетентные европейские органы настоятельно советуют осуществлять Оценку воздействия на защиту данных внутри компании, если возникает подозрение, что обработка персональных данных может привести к возникновению значительных рисков в отношении прав и жизненно важных интересов субъектов данных, чьи персональные данные обрабатываются. Одной из таких ситуаций, например, когда могут возникнуть риски, следует считать перемещения собранных компанией в ЕС персональных данных за пределы Европейского Союза.

 

Особенности осуществления

Оценки влияния на защиту данных может быть инициировано как менеджером компании, офицером по защите данных (data protection officer), так и работником, ответственный за соблюдение требований европейского законодательства в процессе обработки компанией персональных данных.

В процессе проведения data protection impact assessment должны привлекаться специалисты всех подразделений, департаментов и отделов, участвующих в процессе обработки персональных данных. Так, например, это могут быть как HR специалисты, так и специалисты, которые обеспечивают IT поддержку деятельности компании.

В процессе проведения data protection impact assessment, компания, в контексте целей обработки персональных данных, обязана проанализировать все операции, которые она осуществляет в течение обработки персональных данных, проанализировать их целесообразность и эффективность, а также провести детальное исследование о возможности возникновения рисков в отношении персональных данных в процессе реализации всех определенных операций. Кроме того, компания должна определить и охарактеризовать меры защиты, с помощью которых риски, которые будут выявлены в процессе data protection impact assessment, должны быть устранены или уменьшены до такого уровня, при котором они не смогут повлиять в значительной степени на права и жизненно важные интересы субъектов объектов персональных данных.

Оценка рисков осуществляется многими факторами, в частности, по таким, которые характеризуют обстоятельства, при которых персональные данные были собраны, условия, в которых персональные данные обрабатываются, природу персональных данных и категории субъектов данных, такие данные предоставляют. В любом случае, украинские компании самостоятельно определяют перечень факторов, на основании которых анализируются риски, а также процедуру проведения анализа.

Также, что очень важно отметить, компания, которая осуществила Оценку воздействия на защиту данных, обязана осуществлять его каждый раз, когда возникает основание считать, что возникли новые риски для субъектов данных, в процессе обработки их персональных данных компанией.

 

Коммуникация с государственными органами


Положение GDPR предполагают, что компания, которая осуществляет Оценку воздействия на защиту данных в рамках своей деятельности, не обязана обязательно коммуницировать или уведомлять контролирующий орган о факте проведения такого мероприятия. Вместе с тем, статья 36 Регламента отмечает, что компания обязана сообщить о факте проведения data protection impact assessment, если возникли избыточные риски, которые компания не смогла устранить или уменьшить до такого уровня, при котором они не смогут повлиять в значительной степени на права и жизненно важные интересы субъектов персональных данных.
В таком случае, украинские компании, которые обрабатывают персональные данные в соответствии с требованиями GDPR, обязаны обратиться к тому контролирующего органа, который был избран на территории ЕС соответствующей компанией для возможности коммуницировать с ним, в случаях, предусмотренных Регламентом.


Обращаясь в соответствующий орган, компания обязана сообщить:
(А) причины обращения;
(Б) компетенцию и пределы ответственности компании, в процессе обработки персональных данных;
(В) цели обработки персональных данных;
(Г) меры защиты, предпринятые компанией;
(Д) при необходимости, контакты офицера по защите данных;
(Е) любую другую информацию, которую контролирующий орган будет считать необходимым.
Как результат, контролирующий орган может запретить вам обработку персональных данных вообще или ограничить обработку персональных данных к принятию рекомендованных мер защиты.


Итог


Каждой компании в Украине, что подпадает под требования GDPR, нужно решить самостоятельно, осуществлять или не совершать Оценку воздействия на защиту данных, в процессе обработки персональных данных. Соответственно, все риски, в этом случае, возлагаются на компанию и ее должностных лиц. Если же в рамках деятельности компании привлекается офицер по защите данных, то частичная ответственность лежит еще и на нем.

В любом случае, будьте внимательны и тщательно выбирайте те данные, которые вы хотите обрабатывать.

Бесплатная первичная консультация по ІТ праву в твоем кейсе. Не медли ;)Твой вопрос ІТ юристам


Хочешь получать крутую инфу по IT-праву,
без спама и надоедливых акций?