GDPR в Україні: Необхідність DPIA
GDPR в Україні: Необхідність DPIA
General Data Protection Regulation (далі – GDPR) – Регламент, що прийнято 27 квітня 2016 року Парламентом Європейського союзу, вступає в силу з 25 травня 2018 року і стає обов’язковим для всіх, хто збирає персональні дані резидентів ЄС.
Деяка частина українського бізнесу працює на європейському ринку, в результаті чого, цей сегмент потрапляє в поле дії регламенту General Data Protection Regulation.
GDPR вводить нове поняття «Data Protection Impact Assessment», в перекладі – «Оцінка впливу на захист даних», яку компанії зобов’язані проводити в певних випадках. Даний матеріал про те, що таке «DPIA», коли вона є обов’язковою, в тому числі і для українських компаній, і як вона повинна виконуватися. Стаття базується на методичних рекомендаціях «Робочої групи 29» ( «Article 29 Working Party», Art 24 WP).
«Робоча група 29» це організація, створена Директивою 95/46 / EC, яка надає Європейській комісії незалежні консультації з питань захисту даних і допомагає в розробці узгодженої політики захисту даних в державах-членах ЄС.
Data Protection Impact Assessment (DPIA)
-це інструмент, призначений для того, щоб організації могли виявляти ризики, властиві певній діяльності по обробці даних, до початку такої діяльності. Що, в свою чергу, дозволяє організаціям вирішувати і пом’якшувати ці ризики до початку обробки.
GDPR зобов’язує компанії здійснювати технічні та організаційні заходи для забезпечення збереження персональних даних, а також в разі необхідності продемонструвати їх на першу вимогу суб’єкту або контролюючому органу.
«Робоча група 29» визначає DPIA як процес для побудови і доведення відповідності. Концепція DPIA описана в статті 35 GDPR, частина 1 якої виглядає так:
«Якщо тип обробки (персональних даних – ред.), Зокрема, з використанням нових технологій, з урахуванням характеру, обсягу, контексту і цілей обробки, ймовірно, призведе до високого ризику прав і свобод фізичних осіб, контролер повинен до обробки, провести оцінку впливу передбачених операцій обробки персональних даних. »
З цього випливає, що проведення оцінки DPIA має ґрунтуватися на рівні ризику, пов’язаного з діяльністю по обробці даних.
«Робоча група 29» надала детальний, але не вичерпний, перелік операцій з обробки даних з високим ступенем ризику, які вимагають проведення оцінки впливу на конфіденційність:
- Оцінка або «scoring», включаючи профілювання і прогнозування, особливо «аспектів, пов’язаних з роботою співробітника на робочому місці, матеріальним становищем, здоров’ям, особистими уподобаннями чи інтересами, кредитною платоспроможністю або поведінкою, місцем розташування або переміщеннями». Наприклад, у випадках, коли банк оцінює своїх клієнтів по базі кредитних історій або біотехнологічна компанія, яка пропонує генетичні тести для оцінки і прогнозування можливих захворювань. Або коли компанія створює поведінкові або маркетингові профілі, засновані на використанні або навігації на своєму веб-сайті. Цей останній приклад є найбільш поширеним, оскільки майже всі веб-сайти використовують cookies та інші інструменти для моніторингу.
- Автоматизоване прийняття рішень з юридичними наслідками або аналогічним істотним ефектом. Наприклад, коли автоматизовані системи здійснюють обробку заявок на страховий поліс, іпотечне кредитування або на укладення інших угод.
- Систематичний моніторинг: обробка, яка використовується для спостереження або контролю людей, включаючи дані, зібрані за допомогою «систематичного моніторингу громадських місць». Цей сценарій може бути застосований, наприклад, для технологій розумних міст, систем відеоспостереження, безпілотних літальних апаратів, автомобілів Google Street View або простого моніторингу співробітників на роботі. Цей тип обробки включений сюди, оскільки особисті дані можуть збиратися в обставинах, коли люди можуть не знати, хто збирає ці дані і як вони будуть використовуватися. Крім того, в окремих випадках особи можуть бути не в змозі уникнути такої обробки в громадських (або загальнодоступних) місцях.
- Чутливі дані (sensitive personal data): це спеціальні категорії даних (наприклад, біометричні дані, інформація про стан здоров’я, расову, етнічну та релігійну приналежність, сексуальна орієнтація, членство в організаціях, політичні і навіть філософські погляди), а також особисті дані, які стосуються кримінальних вироків або злочинів. Прикладами можуть служити міська лікарня, в якій зберігаються медичні документи пацієнтів або зберігання записів про злочинців приватним детективним агентством.
- Дані, оброблювані в великих масштабах: GDPR не визначає те, що становить великий масштаб, але «Робоча група 29» рекомендує розглянути наступні фактори:
- кількість громадян, яких це стосується або у вигляді певного числа, або як частка від відповідного населення;
- обсяг даних і /або діапазон різних оброблюваних елементів даних;
- тривалість або стабільність діяльності по обробці даних;
- географічна протяжність обробної діяльності.
- Набори даних, які були зіставлені або об’єднані, наприклад, набори даних, які відбуваються з двох або більше операцій обробки даних, які виконуються для різних цілей і/або за допомогою різних контролерів даних таким чином, що людина не може припустити таке зіставлення.
- Дані слабо захищених категорій населення. Прикладом таких осіб можуть бути: діти, психічно хворі, біженці, люди похилого віку і т.п.
- Інноваційне використання або застосування технологічних або організаційних рішень, таких як використання відбитків пальців і розпізнавання облич для поліпшення контролю та доступу, технології Інтернету речей.
- Передача даних через кордони за межами Європейського союзу з урахуванням, передбачуваної країни призначення і можливості таких подальших передач.
- Коли сама обробка «не дозволяє суб’єктам даних здійснювати право або використовувати послугу або контракт». Такі операції виконуються в публічній сфері, де люди не можуть уникнути обробки даних, спрямованої на виникнення, зміну або відмову в доступі цих людей до послуги. Прикладом є вивчення банком своїх клієнтів по базі даних кредитних довідок, щоб вирішити, чи пропонувати їм кредит.
Відповідно до «Робочої групи 29», процеси, які відповідають мінімум двом перерахованим вище критеріям повинні бути перевірені за допомогою DPIA. Але це питання має оцінюватися в кожному конкретному випадку, оскільки досить може бути навіть одного збігу. Щоб уникнути виникнення проблем, «Робоча група 29» рекомендує все-таки використовувати DPIA, коли існує невизначеність, чи потрібно це.
У будь-якому випадку слід враховувати, що навіть коли DPIA не потрібно, всі операції по обробці даних повинні бути викладені в спеціальному звіті, який повинен містити технічні та організаційні заходи безпеки, які застосовуються компанією.
Коли проводити DPIA?
Загальне правило полягає в тому, що DPIA повинна виконуватися до початку операцій обробки даних, тобто ще на етапі проектування продукту або послуги (Data protection by design).
DPIA-оцінка спочатку повинна бути виконана, а потім оновлена або повторена при введенні нових технічних умов або організаційних заходів.
Як проводити DPIA?
Згідно GDPR при складанні звіту DPIA потрібно:
– надати опис передбачуваних операцій обробки і цілей обробки;
– провести оцінку необхідності і пропорційності операцій обробки даних, наприклад, з посиланням на принцип мінімізації даних;
– провести оцінку ризиків для прав і свобод суб’єктів даних;
– визначити заходи, які знадобляться, щоб усунути ризики і підтвердити виконання GDPR.
DPIA – це, по суті, інструмент для управління ризиками операцій обробки даних і орієнтований на 3 процеси:
- встановлення контексту: «з урахуванням характеру, сфери застосування, цілей обробки і джерел ризику»;
- оцінка ризиків: «оцінити особливу ймовірність і серйозність високого ризику»;
- усунення ризиків: «пом’якшувати конкретний ризик» і «забезпечувати захист персональних даних» та «демонструвати дотримання цих Правил».
Які вигоди від проведення DPIA?
Як ми вже розібралися вище, проведення оцінки впливу на захист даних допоможе виявити ризики, властиві певній діяльності по обробці даних і усунути або пом’якшити їх. Розглянемо вигоди аутсорсингових компаній, інтернет-магазинів, власників SaaS, IOS / Android додатків від проведення DPIA:
Вигода перша – економічна. Наявність DPIA буде величезним плюсом при співпраці з європейськими партнерами, оскільки для компаній з ЄС існує пряма заборона передавати персональні організаціям, що не відповідають GDPR. В результаті цього скоро в ланцюжку суб’єктів, що працюють з особистими даними взагалі не буде компаній, які не дотримуються GDPR. Проведення «оцінки» допоможе продемонструвати відповідність GDPR, що істотно знижує ризики фінансових санкцій.
Вигода друга – підвищення репутації компанії. Організація, яка відповідає європейським законам з охорони приватності, виглядає більш ніж гідно в очах клієнтів.
Вигода третя – оптимізація робочих процесів. Автоматизація процесу контролю за потоком персональних даних дозволяє переключити зусилля співробітників на більш творчу роботу. Таким чином, з’являється час на впровадження нових ідей і т.п.
Вигода четверта – залучення нових клієнтів. В епоху стрімкого розвитку інформаційних технологій, захист приватності – це новий світовий тренд. Тому, проведення DPIA не тільки підвищить лояльність існуючих клієнтів, а й допоможе залучити нових.
Вигода п’ята – відмінність від конкурентів. Поки Ваші конкуренти безконтрольно і незаконно обробляють персональні дані, Ви залучаєте користувачів новими методами. І це вже робить Ваші послуги більш привабливими, якісними і сучасними в очах потенційних клієнтів.
Резюме.
В даний час IT компаніям, які працюють з іноземними ринками, стає критично важливо дотримуватися нових правил обробки персональних даних – GDPR. В іншому випадку компанія, яка не буде відповідати новим стандартам конфіденційності, ризикує залишитися аутсайдером серед конкурентів або може бути схилена до фінансових санкцій з боку контролюючих органів.
Проведення оцінки ризиків обробки персональних даних DPIA – це відмінний спосіб продемонструвати свою готовність виконувати вимоги GDPR і привести свої внутрішні процеси у відповідність до нових правил обробки персональних даних.
Що пропонуємо ми, юридична компанія «BRONA»?
-
Аналіз існуючих бізнес-процесів і потоків даних на потребу в проведенні DPIA.
-
Проведення оцінки впливу на захист даних (DPIA), складання звіту.
-
Повна перевірка компанії на відповідність GDPR.
-
Консультація по архітектурі безпеки.
-
Впровадження принципів з на етапі складання технічного завдання.
-
Визначення та зниження ризиків.
-
Перегляд політики конфіденційності, договору, публічної оферти, шаблонів відповідей та інших юридичних документів.
-
Створення Terms of Use, Privacy Policy для сайтів, SaaS, Android / IOS додатків.
Переваги роботи з BRONA.
- Економія. Немає необхідності IT компанії утримувати штатного фахівця з GDPR. Ми маємо велику кількість напрацювань і знайомі з багатьма нюансами нових правил обробки персональних даних, і готові взяти на себе всі завдання клієнта в цій області.
- Комфортний сервіс. Всі послуги з підготовки DPIA і консультації IT компанії по GDPR наші юристи можуть надати в режимі онлайн для максимально продуктивного співробітництва з клієнтами.