Статья 30 EU GDPR (Records of processing activities)

документирование персональных данных gdpr

Статья 30 EU GDPR (Records of processing activities)

Обязательное документирование персональных данных, точнее операций с персональными данными – прямое предписание EU GDPR, закреплённое в диспозиции статьи 30. Перед Вами вторая часть консультации о построении бизнес-процессов в соответствии с требованиями General Data Protection Regulation (Regulation (EU) 2016/679 от 27.04.2016).

документирование персональных данных gdpr
Статья 30 EU GDPR обязывает документировать процессы сбора и обработки данных.

Как осуществляется документирование персональных данных в соответствии с EU GDPR, в какой форме оформляется и с чего начинается? Вот предмет данной консультации. В первой части консультации юристы Legal Support рассказывали о создании personal data flow maps, а также об этапах комплексной организации работы с персональными данными. Этот материал раскрывает вопрос обязательного документирования процессов сбора данных и объясняет что должно быть в data flow map.

Объем сведений о клиентах и пользователях, с которыми приходится работать, увеличивается от года к коду. Увеличение количества потоков персональных данных усложняет задачу обеспечения их сохранности. Усложняются не столько технические мероприятия, сколько организационные. Чем больше сотрудников компании и подрядчиков имеют доступ к информации клиентов, тем сложнее обеспечить сохранность данных и провести организационные мероприятия, предусмотренные EU GDPR. За примерами далеко ходить не надо – вспомним Facebook.

Усложнение организационных мероприятий, обусловленное закономерными процессами, накладывается на ужесточение законодательного регулирования в этой сфере. Тенденция сохранится и в будущем. Дело надлежащей организации сбора и обработки сведений о клиентах (пользователях) становится по-настоящему ювелирной задачей. Как же организовать всё правильно, с соблюдением законодательных требований и с наименьшими затратами?

Ответ и механизм содержится в нормах EU GDPR. Да, этот свод правил создал определенную “проблему” для бизнеса и, одновременно, содержит способы её разрешения. Идентификация (аудит) потоков персональных данных, с которыми работает персонал и подрядчики, их документирование и фиксация в понятной форме, например, в форме personal data flow map, – открывают возможность разработать и внедрить оптимальные юридические, организационные и технические решения.

Первоначальное проведение названных мероприятий и внедрение последующих решений – сложная задача и, нередко, весьма затратная. Вместе с тем, целесообразность EU GDPR compliance процедур трудно переоценить. После их реализации требуется минимум затрат на поддержание актуальности и эффективности проведённых мероприятий. Тот же personal data flow map значительно легче дорабатывается и дополняется, нежели готовится с нуля.

Наличие даже предварительной редакции data flow map – уже замечательно. Предварительная версия карты потоков персональных данных является фундаментом и отправной точкой как для полного документирования потоков данных, так и для составления окончательной редакции data map. Без проведения обязательного документирования персональных данных и наличия personal data flow map, написание объективной data protection impact assessment не представляется возможным.

Гости сайта Legal Support, которые ищут информацию о подготовке data protection impact assessment в скором времени смогут ознакомиться с самостоятельной консультацией. Ссылка на консультацию будет добавлена непосредственно здесь. Обращаем внимание – наши юристы осуществляют подготовку оценки воздействия на защиту данных (data protection impact assessment) и проводят сопутствующие организационные мероприятия.

Далее проанализированы данные и процессы, которые подлежат обязательному документированию в соответствии с нормами EU GDPR. Перед этим небольшая ремарка о взаимосвязи процесса документирования с подготовкой data flow map – условно, это как содержание и форма. Результат документирования персональных данных, их потоков, целесообразно сопровождать графическим оформлением personal data flow map. В отличии от предварительной версии data flow map, ее окончательный вариант отображает все обязательные в соответствии со статьей 30 General Data Protection Regulation сведения в удобной для восприятия форме.

Документирование персональных данных и требования статьи 30 EU GDPR:

Для начала развенчаем главный миф о требованиях EU GDPR. General Data Protection Regulation не требует каталогизировать все персональные данные и документировать всю работу с ними, каждый “чих”. Статья 30 EU GDPR указывает на необходимость документирования потоков данных. Имеется ввиду документирование (учет) операций обработки персональных данных (языком оригинала – maintain a record of processing activities).

Что предполагает обязательное документирование персональных данных? В соответствии с предписаниями статьи 30 General Data Protection Regulation осуществляется документирование процессов сбора, обработки, хранения и передачи личных данных физических лиц резидентов ЕС. О содержании, форме и характере осуществления обязательного документирования далее по тексту.

Какие данные и процессы подлежат обязательному документированию в соответствии с нормами EU GDPR?

Положения статьи 30 EU GDPR (records of processing activities) устанавливают перечень процессов, которые подлежат обязательному документированию и фиксации. В соответствии с частью 1 статьи 30 General Data Protection Regulation каждый контролер персональных данных должен осуществлять запись (документирование) процессов, связанных с обработкой персональных данных. Такая запись (форма её фиксации) должна отображать всю нижеприведённую информацию:

  • наименование и контактные данные контролера, аналогичные сведения о лице ответственном за защиту данных (data protection officer);
  • конкретно определённые задачи проводимых операций обработки данных;
  • список и описание категорий субъектов персональных данных, а также информации подлежащей обработке;
  • перечень контрагентов, сотрудников, независимых консультантов, которым будет предоставлен доступ к собранным персональным данным;
  • сведения о передачи персональных данных в третьи страны и в распоряжение международных организаций, сведения о регуляторных правилах третьих стран, информация о мерах защиты и гарантиях субъектов персональных данных;
  • сроки  удаления собранных/обработанных персональных данных.;
  • краткое описание мер безопасности организационного и технического характера, направленных на обеспечение сохранности персональных данных.

Документирование персональных данных обязательно и для обработчика персональных данных. Часть 2 статьи 30 EU GDPR обязывает обработчика осуществлять документирование персональных данных и связанных процессов – вести учет всех категорий операций обработки, выполняемых от имени контроллера. Со стороны обработчика документированию подлежат:

  • наименование и контактные данные обработчика персональных данных, а также контролера от имени которого осуществляются операции обработки, сведения о DPO (data protection officer);
  • категории операций обработки данных, выполняемых от имени контролёра;
  • информация о случаях передачи данных в третьи страны или в распоряжение международных организаций, идентификация третьей страны или международной организации, сведения о предпринятых защитных мерах, связанных с такой передачей;
  • описание (в рамках разумного) технических и организационных мер безопасности, упомянутых в статье 32 General Data Protection Regulation (пункты a – d части 1 указанной нормы).

Значение терминов “контролер” (controller) и “обработчик персональных данных” (processor) раскрыто в пунктах 7 и 8 статьи 4 EU GDPR. В целом и в общем, термины контролер и обработчик сопоставимы с терминами “владелец персональных данных” и “распорядитель персональных данных” согласно положений статьи 2 Закона Украины “О защите персональных данных”.

Документирование персональных данных и проводимых с ними операций должно осуществляться в письменном виде, в том числе фиксироваться в цифровой форме. Контролер и обработчик персональных данных должны предоставить результаты проводимого документирования в ответ на запрос контролирующего органа. Таковы требования части 4 статьи 30 EU GDPR.

Какие сведения о задокументированных операциях обработки отобразить в окончательной редакции data flow map?

Как Вы помните, personal data flow map является наглядным представлением проведенного документирования потоков персональных данных. Закономерным является вопрос о том, что следует отобразить в графической и текстовой части data flow map.

personal data flow maps - карта потоков персональных данных
Что отображается в окончательной редакции Data flow map?

В окончательной редакции personal data flow map воплощаются результаты документирования. Таким образом, в документе кратко отображаются все сведения, перечисленные в статье 30 Регламента (рассмотрены нами выше). Для контролера перечень сведений установлен частью 1 статьи 30 EU GDPR. Для обработчика персональных данных – во второй части указанной нормы.

Организация документирования сбора и обработки персональных данных и советы для украинского бизнеса:

С чего начать документирование персональных данных и учет операций с ними? С проведения предварительного аудита и установление обшей картины процессов взаимодействия с данными физических лиц. Результаты предварительного аудита желательно оформить в обобщенной предварительной редакции personal data flow map. Следующий шаг – проведение основного аудита, разработка рекомендаций и устранение очевидных нарушений и несоответствий требованиям EU GDPR.

Закончив с указанными этапами и имея на руках все вводные сведения, специалист может приступать к документированию существующих или запланированных (в случае перед запуском бизнеса) операций с персональными данными. В некоторых случаях документирование персональных данных осуществляется сразу после проведения предварительного аудита и сбора базовых сведений об операциях с данными физических лиц. Последний вариант допустим если очевидно отсутствие грубых нарушений в организации работы с персональными данными, требующих детального изучения и поиска решений.

9 советов украинскому бизнесу, которые помогут правильно и просто реализовать EU GDPR compliance процедуры:

  1. Сообщать специалисту (юристу, data protection officer), который проводит аудит и последующее документирование, исчерпывающие сведения о всех процессах сбора и обработки личных данных клиентов, а если требуется нормами EU GDPR, то и сотрудников компании.
  2. Оформлять результаты предварительного аудита в форме personal data flow map.
  3. Оформление результатов учета операций с персональными данными (документирования) также желательно осуществлять в форме data flow map (уже окончательной редакции). Приложение к data flow map должно содержать всю информацию предусмотренную статьей 30 General Data Protection Regulation.
  4. Статья 35 EU GDPR предусматривает подготовку оценки воздействия на защиту персональных данных. Если Вы не подпадаете под требования указанной нормы, то нет необходимости разрабатывать data protection impact assessment и переплачивать за этот объём работы.
  5. Провести тренинги для персонала компании. Ошибки персонала и незнание требований General Data Protection Regulation – основная причина нарушений и ненадлежащего реагирования в критических ситуациях.
  6. Если происходят существенные изменения в процессах работы с персональными данными, то необходимо повторно задокументировать все операции, включая произошедшие изменения, с отображением результатов в data flow maps.
  7. Спустя 6 – 8 месяцев после реализации EU GDPR compliance процедур, заказать и провести контрольный аудит. Убедится в отсутствии недостатков в организации работы, правильности учета и корректности юридических документов.
  8. Активно работать с обращениями, запросами и жалобами физических лиц в отношении операций сбора и обработки их личных данных.
  9. Первоначальное документирование операций с персональными данными желательно поручать специалисту, владеющему глубокими знаниями законодательства в сфере защиты персональных данных. Далее допустимо силами привлеченного на аутсорсе DPO обучить и собственный персонал, возложив функции  data protection officer на конкретного сотрудника.

Помощь DPO (data protection officer) в Украине:

Осуществление compliance процедур в рассмотренной нами сфере всегда происходит с привлечением квалифицированных специалистов. Главная отличительная черта профессионала в сфере организации работы с персональными данными – безупречное знание требований General Data Protection Regulation и других регуляторных правил, умение разрабатывать и воплощать необходимые организационные мероприятия. Юристы правового объединения Legal Support обладают указанными качествами и достаточным опытом для реализации поставленных Вами задач.

Вы можете заказать выезд специалиста в любой город Украины. Кроме того, помощь DPO в Украине и ЕС доступна в удалённом формате. Дистанционная форма организационно-правовой поддержки охватывает все задачи – от предварительной консультации и аудита до полного документирования операций с персональными данными в соответствии с предписаниями статьи 30 General Data Protection Regulation.

Контакты: +38 0506437903 и +38 0636268523.

юрист Legal Support, Евгений Мовчун

Блог – Документирование процессов сбора и обработки персональных данных в соответствии с EU GDPR