GDPR в Украине: Необходимость DPIA
GDPR в Украине: Необходимость DPIA
General Data Protection Regulation (далее — GDPR) — Регламент, принят 27 апреля 2016 года Парламентом Европейского союза, вступает в силу с 25 мая 2018 года и становится обязательным для всех, кто собирает персональные данные резидентов ЕС.
Некоторая часть украинского бизнеса работает на европейском рынке, в результате чего, этот сегмент попадает в поле действия регламента General Data Protection Regulation.
GDPR вводит новое понятие «Data Protection Impact Assessment», в переводе — «Оценка воздействия на защиту данных», которую компании обязаны проводить в определенных случаях. Данный материал о том, что такое «DPIA», когда она является обязательной, в том числе и для украинских компаний, и как она должна выполняться. Статья основана на методических рекомендациях «Рабочей группы 29» («Article 29 Working Party», Art 24 WP).
«Рабочая группа 29» это организация, созданная Директивой 95/46/EC, которая предоставляет Европейской комиссии независимые консультации по вопросам защиты данных и помогает в разработке согласованной политики защиты данных в государствах-членах ЕС.
Data Protection Impact Assessment (DPIA)
— это инструмент, предназначенный для того, чтобы организации могли выявлять риски, свойственные определенной деятельности по обработке данных, до начала этих мероприятий. Что, в свою очередь, позволяет организациям решать и смягчать эти риски до начала обработки.
GDPR обязывает компании осуществлять технические и организационные меры для обеспечения сохранности персональных данных, а также в случае необходимости продемонстрировать их по первому требованию субъекту или контролирующему органу.
«Рабочая группа 29» определяет DPIA как процесс для построения и демонстрации соответствия. Концепция DPIA описана в Статье 35 GDPR, часть 1 которой выглядит так:
«Если тип обработки (персональных данных – ред.), в частности, с использованием новых технологий, с учетом характера, объема, контекста и целей обработки, вероятно, приведет к высокому риску прав и свобод физических лиц, контролер должен до обработки, провести оценку воздействия предусмотренных операций обработки персональных данных.»
Из этого следует, что проведение оценки DPIA должно основываться на уровне риска, связанного с деятельностью по обработке данных.
«Рабочая группа 29» предоставила подробный, но не исчерпывающий, список операций по обработке данных с высокой степенью риска, которые требуют проведения оценки воздействия на конфиденциальность:
- Оценка или «scoring», включая профилирование и прогнозирование, особенно «аспектов, связанных с работой сотрудника на рабочем месте, материальном положении, здоровье, личных предпочтениях или интересах, кредитной платежеспособностью или поведением, местоположением или перемещением». Например, в случаях, когда банк оценивает своих клиентов по базе кредитных историй или биотехнологическая компания, которая предлагает генетические тесты для оценки и предсказания заболеваний. Или когда компания создает поведенческие или маркетинговые профили, основанные на использовании или навигации на своем веб-сайте. Этот последний пример является наиболее распространенным, поскольку почти все веб-сайты используют cookies и другие инструменты для мониторинга.
- Автоматизированное принятие решений с юридическими последствиями или аналогичным существенным эффектом. Например, когда автоматизированные системы осуществляют обработку заявок на страховой полис, ипотечное кредитование или на заключение других соглашений.
- Систематический мониторинг: обработка, используемая для наблюдения или контроля людей, включая данные, собранные посредством «систематического мониторинга общественных мест». Этот сценарий может быть применим, например, для технологий умных городов, систем видеонаблюдения, беспилотных летательных аппаратов, автомобилей Google Street View или простого мониторинга сотрудников на работе. Этот тип обработки включен сюда, поскольку личные данные могут собираться в обстоятельствах, когда люди могут не знать, кто собирает эти данные и как они будут использоваться. Кроме того, в отдельных случаях лица могут быть неспособны избежать такой обработки в общественных (или общедоступных) местах.
- Чувствительные данные (sensitive personal data): это специальные категории данных (например, биометрические данные, информация о здоровье, расовая, этническая и религиозная принадлежность, сексуальная ориентация, членство в организациях, политические и даже философские взгляды) а также личные данные, относящиеся к уголовным обвинительным приговорам или преступлениям. Примерами могут служить городская больница, в которой хранятся медицинские документы пациентов или хранение записей о преступниках частным детективным агентством.
- Данные, обрабатываемые в больших масштабах: GDPR не определяет то, что составляет большой масштаб, но «Рабочая группа 29» рекомендует рассмотреть следующие факторы:
- количество затронутых граждан либо в виде определенного числа, либо как доля от соответствующего населения;
- объем данных и/или диапазон различных обрабатываемых элементов данных;
- продолжительность или постоянство деятельности по обработке данных;
- географическая протяженность обрабатывающей деятельности.
- Наборы данных, которые были сопоставлены или объединены, например, наборы данных, которые происходят из двух или более операций обработки данных, выполняемых для разных целей и/или с помощью разных контроллеров данных таким образом, что человек не может предположить такое сопоставление.
- Данные слабо защищенных категорий населения. Примером таких лиц могут быть: дети, психически больные, беженцы, пожилые люди и т.п.
- Инновационное использование или применение технологических или организационных решений, таких как использования отпечатков пальцев и распознавания лиц для улучшения контроля и доступа, технологии Интернета вещей.
- Передача данных через границы за пределами Европейского союза с учетом, предполагаемой страны назначения и возможности таких дальнейших передач.
- Когда сама обработка «не позволяет субъектам данных осуществлять право или использовать услугу или контракт». Такие операции выполняются в публичной сфере, где люди не могут избежать обработки данных, направленной на возникновение, изменение или отказ в доступе этих людей к услуге. Примером является изучение банком своих клиентов по базе данных кредитных справок, чтобы решить, предлагать ли им кредит.
В соответствии с «Рабочей группой 29», процессы, которые отвечают минимум двум вышеперечисленным критериям должны быть проверены с помощью DPIA. Но этот вопрос должен оцениваться в каждом конкретном случае, поскольку достаточно может быть даже одного совпадения. Во избежание возникновения проблем, «Рабочая группа 29» рекомендует все-таки использовать DPIA, когда существует неопределенность, требуется ли это.
В любом случае следует учитывать, что даже когда DPIA не требуется, все операции по обработке данных должны быть изложены в специальном отчете, который должен содержать технические и организационные меры безопасности, которые применяются компанией.
Когда проводить DPIA?
Общее правило заключается в том, что DPIA должна выполняться до начала операций обработки данных т.е. еще на этапе проектирования продукта или услуги (Data protection by design).
DPIA-оценка изначально должна быть выполнена, а затем обновлена или повторена при введении новых технических условий или организационных мер.
Как проводить DPIA?
Согласно GDPR при составлении отчета DPIA требуется:
— предоставить описание предполагаемых операций обработки и целей обработки;
— провести оценку необходимости и пропорциональности операций обработки данных, например, со ссылкой на принцип минимизации данных;
— провести оценку рисков для прав и свобод субъектов данных;
— определить меры, которые понадобятся, чтобы устранить риски и продемонстрировать соблюдение GDPR.
DPIA — это, по сути, инструмент для управления рисками операций обработки данных и ориентирован на 3 процесса:
- установление контекста: «с учетом характера, сферы применения, целей обработки и источников риска»;
- оценка рисков: «оценить особую вероятность и серьезность высокого риска»;
- устранение рисков: «смягчать конкретный риск» и «обеспечивать защиту персональных данных» и «демонстрировать соблюдение настоящих Правил».
Какие выгоды от проведения DPIA?
Как мы уже разобрались выше, проведение оценки воздействия на защиту данных поможет выявить риски, свойственные определенной деятельности по обработке данных и устранить либо смягчить их. Рассмотрим выгоды аутсорсинговых компаний, интернет-магазинов, владельцев SaaS, IOS/Android приложений от проведения DPIA:
Выгода первая – экономическая. Наличие DPIA будет огромным плюсом при сотрудничестве с европейскими партнерами, поскольку для компаний из ЕС существует прямой запрет передавать персональные организациям не соответствующим GDPR. В результате этого скоро в цепочке субъектов работающих с личными данными вообще не будет компаний, которые не соблюдают GDPR. Проведение «оценки» поможет продемонстрировать соответствие GDPR, что существенно снижает риски финансовых санций.
Выгода вторая – повышение репутации компании. Организация, которая соответствует европейским законам по охране приватности, выглядит более чем достойно в глазах клиентов.
Выгода третья – оптимизация рабочих процессов. Автоматизация процесса контроля за потоком персональных данных позволяет переключить усилия сотрудников на более творческую работу. Таким образом, появляется время на внедрение новых идей и т.п.
Выгода четвертая – привлечение новых клиентов. В эпоху стремительного развития информационных технологий, защита приватности — это новый мировой тренд. Поэтому, проведение DPIA не только повысит лояльность существующих клиентов, но и поможет привлечь новых.
Выгода пятая – отличие от конкурентов. Пока Ваши конкуренты бесконтрольно и незаконно обрабатывают персональные данные, Вы привлекаете пользователей новыми методами. И это уже делает Ваши услуги более привлекательными, качественными и современными в глазах потенциальных клиентов.
Резюме.
В настоящее время IT компаниям, которые работают с иностранными рынками, становится критически важно соблюдать новые правила обработки персональных данных — GDPR. В противном случае компания, которая не будет соответствовать новым стандартам конфиденциальности, рискует остаться аутсайдером среди конкурентов или может быть подвержена финансовым санкциям со стороны регулирующих органов.
Проведение оценки рисков обработки персональных данных DPIA — это отличный способ продемонстрировать свою готовность выполнять требования GDPR и привести свои внутренние процессы к соответствию новым правилам обработки персональных данных.
Что предлагаем мы, юридическая компания «BRONA»?
- Анализ существующих бизнес-процессов и потоков данных на потребность в проведении DPIA.
- Проведение оценки воздействия на защиту данных (DPIA), составление отчета.
- Полная проверка компании на соответствие GDPR.
- Консультация по архитектуре безопасности.
- Внедрение принципов с на этапе составления технического задания.
- Определение и снижение рисков.
- Пересмотр политики конфиденциальности, договора, публичной оферты, шаблонов ответов и других юридических документов.
- Создание Terms of Use, Privacy Policy для сайтов, SaaS, Android/IOS приложений.
Преимущества работы с BRONA.
- Экономия. Нет необходимости IT компании содержать штатного специалиста по GDPR. Мы имеем большое количество наработок и знакомы со многими нюансами новых правил обработки персональных данных, и готовы взять на себя все задачи клиента в этой области.
- Комфортный сервис. Все услуги по подготовке DPIA и консультации IT компании по GDPR наши юристы могут предоставить в режиме онлайн для максимально продуктивного сотрудничества с клиентами.