Data protection impact assessment на примере рынка Великобритании. Юрист и учредитель объединения Legal Support объясняет особенности составления Data protection impact assessment в соответствии с регуляторными правилами Британии. Оценка воздействия на защиту персональных данных и документ, который воплощает результат этого процесса, должны строго соответствовать требованиям UK Data Protection Act, General Data Protection Regulation и рекомендациям Information Commissioner`s Office в Великобритании.

Data protection impact assessment в ЕС и Великобритании.

Данная статья построена на фундаменте решения практической задачи из опыта работы наших специалистов. Компания разрабатывающая и обслуживающая ПО, что включало работу с пользователями – гражданами Великобритании, обратилась за помощью к нашим DPO для полного сопровождения всех стадий работы с персональными данными.

Программное обеспечение представляло собой сервис, реализованный через веб-сайт заказчика и мобильное приложение. В числе функций ПО имелись финансовые инструменты – собственное платежное средство платформы, а также обмен/конвертация 2-х наиболее популярных криптовалют (Ethereum и Bitcoin). Функционал платформы также предусматривал ввод привычных фиатных средств для покупки (обмена) их электронных вариантов. Описанные финансовые инструменты – факультативная функция ПО. Однако, сам факт их наличия и существенные обороты вынудили правообладателя платформы обеспечить соблюдение и выполнение AML/KYC процедур.

Значительный объем собираемых и обрабатываемых персональных данных, в том числе финансового характера, в совокупности с потенциальными рисками их компрометации вынудили правообладателя и разработчика обеспечить выполнение не только привычного набора GDPR Compliance процедур, но также и составление Data protection impact assessment. Анализ всех операций с персональными данными, разработка Data protection impact assessment (DPIA), выполнение других формальностей и рекомендаций ICO (Information Commissioner`s Office) Великобритании стало необходимым условием для выхода на рынок UK и соответствия регуляторным правилам данной юрисдикции.

В каких случаях оценка воздействия на защиту персональных данных (Data protection impact assessment) обязательна? Подготовка оценки воздействия на защиту данных требуется во всех случаях предусмотренных статьёй 35 General Data Protection Regulation.

Перед выполнением любой задачи надлежит установить критерии, которым должен соответствовать результат. В вопросе организации работы с данными пользователей, перед выходом на рынок Великобритании, критериями надлежащего выполнения поставленной задачи является соответствие обязательным регуляторным правилам Британии – DPA (Data Protection Act 2018), Европейского Союза – General Data Protection Regulation и крайне желательно рекомендациям Information Commissioner`s Office.

Особенности составления Data protection impact assessment рассматриваются нами на примере Великобритании, так как это наиболее сложный случай. Несмотря на Brexit, законодательство Британии полностью адаптировано к требованиям General Data Protection Regulation. Положения последнего нашли своё воплощение в обновлённом тексте Data Protection Act от 2018 года (ссылка на официальный текст документа). Более того, регуляторные правила Великобритании превосходят EU GDPR в “качестве и количестве” требований к контролеру и обработчику данных. Из этого следует, что Data protection impact assessment, составленный для рынка Великобритании и выписанный в соответствии с предписаниями UK Data Protection Act и EU GDPR, в 99,99% будет соответствовать законодательству всех юрисдикций Европейского Союза.

DPA (Data Protection Act), GDPR, требования ICO и особенности регуляторных правил в UK:

В чем особенность регуляторных правил Великобритании в сфере защиты персональных данных? Юристы выделяют 2 ключевых особенности: чрезмерность предписаний UK Data Protection Act, принятого и доработанного в соответствии с General Data Protection Regulation; “добровольно-принудительный” характер рекомендаций ICO (Information Commissioner`s Office), которые несколько излишни даже в контексте требований GDPR.

Всё изложенное в этой консультации на 99% справедливо для обеспечения Legal compliance перед выходом на рынок любой страны Еврозоны. Применённые подходы и общий алгоритм действий юриста/юридического отдела, data protection officer применимы ко всем подобным ситуациям.

Обе особенности характеризуются расширенными требованиями в сравнении с базовыми, предусмотренными нормами General Data Protection Regulation. К примеру, рекомендации UK ICO по обязательному составлению Data protection impact assessment явно выходят за рамки тех случаев, что предусмотрены в части 3 статьи 35  General Data Protection Regulation. Тоже относится и к содержанию Data protection impact assessment. Впрочем, сам регламент устанавливает лишь минимальный перечень вопросов, которые находят своё отражение в оценке воздействия на защиту персональных данных (часть 7 статьи 35 EU GDPR). Потому чрезмерные требования не являются злоупотреблениями.

Это еще не всё! Information Commissioner`s Office Британии настойчиво и активно навязывает предварительные консультации и своего рода учёт для бизнеса. Учёт и услуги ICO предоставляются с обязательными “членскими взносами”. Рассмотренные особенности являются изюминкой Великобритании. Ещё большее количество юридических тонкостей не рассматриваются в данной статье, так как их разрешение не относится к задачам собственника бизнеса, а находится в непосредственной компетенции юриста или data protection officer.

Сложности разработки Data protection impact assessment и способы их преодоления:

Оценка воздействия на защиту данных и сложность её подготовки во многом зависят от качества Legal compliance процедур, которые предшествуют разработке Data protection impact assessment. Наиболее критичная из которых – осуществление обязательного документирования операций с персональными данными. Требование проводить инвентаризацию и документирование закреплено в EU GDPR Article 30 “Records of processing activities”. Для получения качественного результата, перед проведением оценки воздействия на защиту персональных данных, требуется глубокая систематизация предшествующих организационных, юридических и технических мероприятий, направленных на защиту данных, а также их полная ревизия. Исходя из этого, при разработке Data protection impact assessment, наибольшие сложности вызывает:

1. Установление всех потоков персональных данных, составление исчерпывающего перечня операций с ними (проведение их документирования).
2. Оперативная коммуникация с техническими специалистами относительно предпринятых мероприятий технического характера, направленных на предотвращение случаев компрометации данных.
3. Разработка механизма реагирования в случае нарушения сохранности персональных данных, любых data security breaches, связанных с сведениями о физических лицах.
4. При составлении рекомендаций от имени DPO – поиск компромисса между эффективностью предложенных мероприятий и адекватностью затрат на их реализацию.

Составить Data protection impact assessment с указанием всех недостатков в организации работы – относительно простая задача для опытного DPO. Куда сложнее разработать Data protection impact assessment с готовыми организационными решениями и предварительным устранением наиболее существенных недостатков в работе с данными.

Как устранить недостатки и подготовить Data protection impact assessment с готовыми решениями?

Для подготовки Data protection impact assessment с отражением реальной ситуации, предварительным устранением большинства недостатков и готовым решением оставшихся из них, воспользуйтесь приведёнными здесь советами. Преодолеть перечисленные выше сложности и достичь желаемого результата возможно с помощью:

1. Глубокого анализа всех операций с персональными данными, их систематизации и выработке конструктивного решения по минимизации количества таких операций.
2. Правильной расстановки приоритетов для контролера персональных данных и обработчика в лице собственника бизнеса и руководящего состава.
3. Разработки эффективного механизма коммуникации между критически важным персоналом на всех этапах внедрения GDPR compliance процедур, в процессе разработки DPIA и, самое главное, оперативного реагирования в случаях personal data security breaches.
4. Относительно реагирования на нарушения целостности и сохранности персональных данных – механизм эффективной коммуникации следует дополнить чёткой иерархической структурой, которая автоматически вводится в действие в случаях data security breaches. Три главных элемента “тревожной структуры” – а) лицо, ответственное за оповещение руководителя и выполнение других неотложных организационных мероприятий; б) специалист, ответственный за выполнение “тревожных мероприятий” технического характера (например, системный администратор); в) совет из специалистов разных направлений при руководителе для комплексного реагирования, в который обязательно входят: DPO\юрист (с решающим правом голоса), технический специалист, специалист по работе с общественностью и СМИ, руководитель отдела поддержки пользователей (клиентов).

Составление Data protection impact assessment на заказ:

Рассмотренное здесь составление Data protection impact assessment на примере Великобритании – отличная возможность понять насколько требования конкретной юрисдикции могут отличаться от общеевропейских правил. Да, DPA (Data Protection Act) Великобритании принят на выполнение EU GDPR, что не мешает ему, наряду с ICO Британии, расширить базовые требования статьи 35 Регламента ЕС.

Тем не менее, соблюсти требования регуляторных правил Великобритании возможно. DPO команды Legal Support Ukraine проведут предварительные мероприятия и составят Data protection impact assessment на заказ под нужды Вашего бизнеса. Предварительные мероприятия включают: аудит процессов сбора и обработки персональных данных; документирование операций с персональными данными (дополнительно) и составление карт жизненных циклов данных (data flow maps); разработка положений и политик; проведение консультаций.

DPO Legal Support также готовы продолжить работу ранее задействованных Вами специалистов, провести инвентаризацию проделанной ими работы, дать оценку, доработать Data protection impact assessment и выполнить поставленную задачу.

юрист Legal Support, Евгений Мовчун

it_lawyer@ukr.net | +380506437903 (Telegram)