GDPR Data Mapping

создание data maps, аудит и инвентаризация жизненных циклов данных

GDPR Data Mapping

Создание data maps или personal data flow maps – неотъемлемая часть и результат аудита процессов сбора персональных данных клиентов, пользователей и даже сотрудников компании. GDPR data mapping – помощник в деле обязательного документирования процессов сбора и обработки персональных данных клиентов. Обязанность документировать такие процессы и проводить их инвентаризацию предусмотрена статьей 30 GDPR (Records of processing activities).

создание data maps, аудит и инвентаризация жизненных циклов данных
Создание Data maps, аудит и инвентаризация жизненных циклов данных.

Предписания и правила General Data Protection Regulation (GDPR) в корне изменили порядок организации работы с персональными данными физических лиц. С 25 мая 2018 года нормы Регламента в полной мере вступили в юридическую силу. Мы осуществляли мероприятия направленные на GDPR compliance и до указанной даты. Однако же, отработанная и общепринятая практика сложилась ближе к осени прошлого года. Специалисты нашего объединения активно участвовали в этом процессе.

Юристы объединения Legal Support с мая 2018 по август 2019 подготовили более 100 индивидуальных консультаций относительно применения норм GDPR на практике. Мы разработали комплексные организационно-юридические мероприятия для 9 стартапов, обеспечили их внедрение и реализацию на практике. Наши юристы регулярно проводят GDPR-аудит процессов сбора, обработки и хранения персональных данных. За прошедших полтора года силами специалистов объединения Legal Support проведено 12 комплексных и 38 модульных проверок организации работы с персональными данными.

Опыт наших юристов доступен для всех – в блоге Legal Support размещаются актуальные консультации о юридических и организационных нюансах работы с персональными данными физических лиц. Большинство материалов консультаций изложены простым и понятным текстом, не перегруженным лишними терминами. Данная публикация открывает новый цикл консультаций. В этой статье и 3-х публикациях связанных с ней, мы рассмотрим такие вопросы:

  1. GDPR data mapping – аудит, создание data maps (personal data flow maps) и первые шаги к инвентаризации процессов сбора персональных данных.
  2. Обязательное документирование способов сбора и обработки персональных данных. Ознакомительная информация о требованиях статьи 30 General Data Protection Regulation содержится и в текущей публикации.
  3. Имплементация результатов GDPR-аудита,  актуализация и доработка политик (положений) обработки персональных данных.
  4. Составление Data protection impact assessment, оценка выявленных рисков и выбор оптимальной стратегии организации процессов сбора и обработки персональных данных.

В отдельной консультации будут рассмотрены вопросы договорных взаимоотношений с бизнес-партнерами из ЕС. В частности юристы Legal Support расскажут об обязательных для ЕС дополнениях к договорам и контрактам, обусловленных нормами GDPR. Все перечисленные статьи максимально информативны и полезны. Вместе с тем, способ изложения консультаций из этого цикла рассчитан, в первую очередь, на штатных специалистов (юристов) и руководителей компаний. Предполагается что читатель имеет базовые знания о требованиях GDPR.

Создание Personal data flow maps – начало комплексной инвентаризации.

Personal data flow maps оформляется относительно простой графической схемой или даже в текстовой форме с изложением “процессов движения персональных данных” в максимально доступной для понимания форме. Вместе с тем, подготовка data maps – дело трудоёмкое и скрупулёзное. Финальной редакции Personal data flow map предшествует детальное изучение всех процессов взаимодействия с персональными данными, установление рисковых зон и предварительная оценка соответствия нормативным правилам.

Создание data maps начинает процесс инвентаризации обработки персональных данных и одновременно заканчивает его. Специалисты, которые реализуют организационные мероприятия, действуют согласно определённому алгоритму: а) проводят предварительный аудит процессов сбора и обработки данных, результатом которого является черновой вариант personal data flow map; б) согласуют результаты и следующие мероприятия с заказчиком; в) проводят инвентаризацию процессов сбора и обработки персональных данных, составляют финальный вариант data map; г) составляют  data protection impact assessment (если требуется) и через некоторое время осуществляют контрольный аудит на предмет правильности реализации предоставленных рекомендаций.

Data protection impact assessment – документ объемный по содержанию и задачам которые на него возлагаются. Составление Data protection impact assessment требуется лишь в случаях прямо предусмотренных статьёй 35 раздела 3 GDPR. Часть 7 статьи 35 Регламента определяет минимально необходимое содержание данного документа. В теории Data protection impact assessment составляется силами компании-контролера персональных данных и содержит рекомендации DPO. Фактически же, составлением Data protection impact assessment от имени контролера занимается Data protection officer (юрист, специализирующийся на организации работы с персональными данными) с обязательным активным привлечением технического персонала контролера.

Таким образом, указанные здесь задачи выполняет DPO (Data protection officer) – специалист (юрист), который не только сопоставляет имеющиеся процессы на соответствие законодательным требованиям, но также непосредственно проводит организационные мероприятия – от создания data maps и написания внутренних политик до проведения тренингов для персонала компании. Приведённый выше алгоритм работы DPO рассмотрим ниже более подробно.

Аудит, создание Data maps и инвентаризация процессов сбора персональных данных:

Перечисленные в заголовке этапы позволяют выстроить надлежащую работу с персональными данными и собрать достаточные сведения для подготовки, если необходимо, Data protection impact assessment. Данный алгоритм эффективен как для приведения в соответствии с GDPR действующих процессов работы с персональными данными, так и для подготовки абсолютно новой модели, например перед выходом на новые рынки.

На практике все организационные этапы, они же промежуточные задачи, выглядят следующим образом:

  1. Предварительный аудит. Его результаты позволяют определить: нормативные требования при работе с данными клиентов, применимые к конкретной ситуации и бизнес-модели; направления последующей работы специалиста, необходимые организационно-юридические мероприятия и перечень задач.
  2. Создание чернового варианта (предварительного проекта) personal data flow map, проведение комплексного аудита, анализ процессов сбора и обработки персональных данных, выявление рисковых зон, подготовка и согласование базовых рекомендаций.
  3. Реализация предварительных рекомендаций Data protection officer и устранение возможных рисков. Написание политик и положений в отношении персональных данных (пункт 5) может проводится уже на этом этапе, при условии последующей доработки.
  4. Документирование (инвентаризация) процессов сбора и обработки персональных данных, подготовка окончательного варианта personal data flow map.
  5. Написание новой или доработка действующей политики в отношении сбора и обработки персональных данных клиентов (и если требуется сотрудников).
  6. Опционально (в предусмотренных статьёй 35 GDPR случаях) – разработка Data protection impact assessment. Внедрение организационных мероприятий предусмотренных Data protection impact assessment.
  7. Контрольный аудит (окончательный анализ), доработка организационных процессов и заключение.
  8. Дальнейшее сопровождение, проверка действующих редакций personal data flow maps, политик и положений на предмет их актуальности.

Создание data maps прямо не предусмотрено General Data Protection Regulation. Однако именно этот шаг является центральным среди перечисленных этапов, в том числе обязательных в соответствии с GDPR. Имеется ввиду инвентаризация и документирование (Records of processing activities) и составление Data protection impact assessment, если требуется в соответствии с предписаниями статьи 35 Регламента. Собственно создание финальной версии Personal data flow map является наглядным и практически применимым результатом проведённой инвентаризации процессов взаимодействия с персональными данными, их жизненных циклов. В этом и заключается главная задача GDPR data mapping – установить, классифицировать и инвентаризировать все процессы и жизненные циклы персональных данных с целью их надлежащей защиты, хранения, использования и обработки.

Детальный перечень сведений и процессов, которые отображаются в personal data maps по результатам инвентаризации, будет доступен во второй части консультации юристов объединения Legal Support. В новом материале подробно раскроем тему документирования процессов взаимодействия с персональными данными. Консультация будет размещена в блоге и доступна для свободного ознакомления и использования. По мере оформления материалов второй части консультации добавим ссылку в данной статье. Сейчас предлагаем предварительно ознакомиться с тем, что такое документирование жизненных циклов персональных данных в соответствии с положениями статьи 30 General Data Protection Regulation.

Обязательное документирование способов сбора и обработки персональных данных (статья 30 GDPR):

Документирование процессов и способов сбора персональных данных обязательно в соответствии с положениями статьи 30 General Data Protection Regulation. Создание data maps или personal data flow maps неотъемлемая часть и первый результат инвентаризации процессов сбора персональных данных клиентов, пользователей и даже сотрудников компании.

инвентаризация персональных данных - задача data protection officer
Инвентаризация и документирование процессов сбора данных – осмысление результатов аудита и обязательный элемент GDPR compliance.

Инвентаризация процессов сбора и обработки персональных данных – нормативно обусловленная задача бизнеса работающего с данными клиентов. Проведение инвентаризации рекомендуется поручать компетентному штатному Data protection officer. Альтернативный вариант – специалист на аутсорсе с опытом создания personal data maps и проведения документирования активностей в отношении персональных данных.

Умение идентифицировать жизненные циклы данных и управлять ими поможет защитить личные данные клиентов и выполнить Ваши обязательства. Нормы Регламента определяют структуру инвентаризации и содержат ключевые предписания по ее реализации. Правила статьи 30 GDPR указывают на содержание процесса документирования. Результаты инвентаризации должны содержать как минимум:

  • цели обработки данных;
  • перечень категорий заинтересованных лиц, чьи интересы, права и обязанности связаны с процессом сбора и обработки данных;
  • перечень категорий обрабатываемых данных;
  • перечень категорий получателей данных (контрагенты, подрядчики и т.д.);
  • детализация относительно возможной трансграничной передачи данных в другие государства;
  • срок хранения данных и его обусловленность;
  • варианты технических и организационных мер безопасности, выбор оптимальных из них, аргументация в пользу сделанного выбора.

Характер инвентаризации жизненных циклов данных определяет специфику работы Data protection officer. Юристы, специализирующиеся на практической реализации требований General Data Protection Regulation, выполняют специфические, сложные и трудоемкие по своей природе задачи. Специалисты объединения Legal Support обеспечивают выполнение этих задач в разумные сроки, не нарушая согласованный с заказчиком график.

Проведённый аудит, создание Data maps и инвентаризация процессов сбора персональных данных обеспечат возможность составить качественный и реальный Data protection impact assessment. Все действия в совокупности и при фактическом соблюдении рекомендаций DPO обеспечат надлежащее соответствие регуляторным правилам.

General Data Protection Regulation во многом унифицирует правила сбора и обработки персональных данных. Вместе с тем, члены ЕС разрабатывают и собственные регуляторные акты. Такие правила принимаются для конкретизации механизмов исполнения General Data Protection Regulation. В тоже время, они могут содержать дополнительные самостоятельные требования. Из этого следует вывод – проведение аудита, создание data maps, осуществление инвентаризации процессов сбора и обработки персональных данных, а также составление DPIA, осуществляется как в соответствии с GDPR, так и с учётом требований внутреннего законодательства.

Создание Data maps (Personal data flow maps) в Украине на аутсорсе:

Предварительный и контрольный аудит, комплекс действий по проведению инвентаризации, исследования и анализа процессов сбора и обработки персональных данных, разработка политики в отношении персональных данных – мероприятия, необходимость которых подтверждена практикой. Без использования возможностей данных мероприятий работа с персональными данными в соответствии с General Data Protection Regulation попросту невозможна.

Создание data maps, срочный аудит, инвентаризация жизненных циклов данных в соответствии с GDPR и документирование процессов сбора персональных данных, составление data protection impact assessment – задачи, открывающие двери к рынкам стран ЕС и новым клиентам. Data protection officer выполнит все перечисленные задачи перед выходом Вашего бизнеса на новые рынки. Квалифицированная помощь специалиста в сфере организации работы с персональными данными доступна в Украине, в том числе на аутсорсе. Помощь юристов объединения Legal Support всегда в Вашем распоряжении в самом удобном формате – выезд специалиста или онлайн сопровождение.

Блог – GDPR Data Mapping, аудит и инвентаризация персональных данных

Facebook
fb-share-icon
Twitter
Tweet
LinkedIn
Share