Оценка рисков в рамках GDPR

В апреле-мае 2018 года СМИ подводили нас к мысли, что GDPR должен стать сокрушительным ударом по интернет-стартапам и мелким предпринимателям, погребающим их под бременем штрафов и проверок. Как оказалось, Регламент не прекратил развитие интернет-рынков: он распространил новый стандарт взаимоотношений между потребителями и технологическими компаниями, подкрепляющий желание работать с прозрачными поставщиками.

Мы уже много раз слышали, что данные – это «новая нефть» или «новое ядерное оружие». Сейчас к внутреннему аудиту безопасности начинают относиться с большей серьезностью. Сам Регламент обязует контролеров и обработчиков составлять и обновлять пакет документации, которая корректно отображает внутренние процессы обработки данных. Такой подход не только упрощает аудиторам процесс расследования нарушений безопасности данных, но и часто помогает самим предприятиям разобраться, какие данные они собирают и за счет чего получают конкурентные преимущества.

Полный комплект документации может включать в себя несколько десятков политик и реестров. Вместе с тем, паниковать не стоит: многие из них достаточно стандартизированы, и рынок уже предлагает готовые решения для отслеживания комплаенса – хотя они и не идеальны, но могут подсказать, в каком направлении необходимо двигаться. Но что учитывать и за чем следить?

На этот вопрос призвана отвечать процедура оценки влияния мер для защиты персональных данных, или Data Protection Impact Assessment (DPIA). Часто от результатов именно этой проверки и будет зависеть количество документов в итоговом пакете.

Когда необходимо проводить DPIA

DPIA проводится всегда до начала каких-либо операций с персональными данными при наличии хотя бы малейших сомнений в безопасности обработки данных. К примеру, европейские контролирующие органы не считают DPIA лишним в таких случаях:

  • проводится автоматизированная обработка персональных данных или осуществляется профайлинг;
  • обрабатываются чувствительные персональные данные, или же персональные данные, принадлежащие лицам, на которых контроллер имеет влияние (например, это может касаться студентов, пациентов, работников компании);
  • обрабатываются персональные данные в больших масштабах, или они собраны в местах, к которым имеет доступ широкая общественность — например, это открытые площадки (камеры видеонаблюдения в публичных местах являются лишь наиболее известным примером).

Некоторые страны имеют списки операций, при проведении которых DPIA строго обязателен (black list), или наоборот – операций, которые точно исключены из обязательного при DPIA списка (white list). Обычно они составлены и отслеживаются национальными органами, в то время как European Data Protection Board отслеживает эти списки и издает рекомендации и заключения касаемо их соответствия GDPR и корпусу наднационального права, призванного охранять внутренний рынок и экономические свободы Европейского Союза. Например, в «черные» списки страны, где компания собирает большое количество персональных данных, могут входить операции касаемо HR-менеджмента (поскольку информация о здоровье работника или об уголовной ответственности является достаточно чувствительными данными), обработка купленных или приобретенных другим законным способом баз персональных данных, организация мероприятий, аналитика с помощью Big Data, дейтинг-сервисы, фитнес-трекинг, программы лояльности для покупателей и так далее. Общее правило – если обработка персональных данных может создать достаточно высокую вероятность негативного влияния на субъект данных, то проведения DPIA обязательно.

Доказательство проведения DPIA

Традиционно, документ, фиксирующий результатыData Protection Impact Assessment, должен:

  • указывать привлеченных лиц и их полномочия;
  • фокусироваться на защите данных и рисках конфиденциальности заинтересованных лиц;
  • помогать работникам правильно реагировать на каждый риск адекватными методами защиты;
  • предлагать работникам компании более детальное и практическое руководство для снижения рисков безопасности персональных данных и конфиденциальности, характерный для определенной отрасли.

Например, минимальный объем информации, который должен быть в документе, описан в ст. 35(7) GDPR:

  • систематическое описание запланированных операций по обработке персональных данных и цели такой обработки (а если возможно – то и законный интерес, преследуемый контролером);
  • оценка необходимости и пропорциональности операций по обработке в зависимости от целей;
  • оценка рисков нарушения прав и свобод субъектов данных; и
  • меры, которые предлагается предпринять для управления рисками, включительно с гарантиями, мерами предосторожности и механизмами обеспечения защиты персональных данных, а также для демонстрации соответствия Регламенту с учетом прав и законных интересов субъектов данных и заинтересованных лиц.

Также GDPR подчеркивает необходимость предусмотрительности: важно вовремя оценить возможные результаты обработки персональных данных, предвидеть угрозы для своих клиентов и обратить внимание на источники потенциальных рисков, их природу, особенности и серьезность последствий. Это важно, поскольку каждому риску должен соответствовать адекватный способ его снижения или ликвидации.

DPIA может проводиться касаемо одной операции или целого запуска нового продукта. Обычно разрешается провести в рамках одного DPIA анализ безопасности целого ряда аналогичных регулярных операций.

Важно помнить, что результаты проверки должны быть задокументированы таким образом, чтобы их можно было предоставить на проверку уполномоченным национальным органам по защите персональных данных. Ответственность за DPIA будет нести контролер, даже если саму проверку проводил обработчик или другое уполномоченное контролером лицо. Вместе с тем, обработчик обязан содействовать контролеру и предоставлять все необходимые сведения.

Проведение DPIA часто требует участия всех отделов и департаментов компании. Это трудоемкий процесс, к которому необходимо отнестись с терпением и вниманием. Часто ввиду сложности или запутанности процессов также лучше заручиться поддержкой профессионала – к примеру, Data Protection Officer, или DPO — который будет консультировать и отслеживать продвижение проверки. Однако главными акцентами DPIA всегда должны оставаться уважение и защита человека от злоупотребления информацией о нем.

Оригинал статьи читайте на сайте Ліга:Закон

    Твой вопрос ІТ юристам


    Хочешь получать крутую инфу по IT-праву,
    без спама и надоедливых акций?