Обов’язкові та рекомендовані GDPR заходи

невідкладні обов'язкові gdpr процедури і заходи

Обов’язкові та рекомендовані GDPR заходи

Ми розповідали про GDPR, укладення data processing agreement, документування операцій з персональними даними і підготовку положення про конфіденційність. На часі поділитися інформацією про всі обов’язкові GDPR процедури. У цій статті мова йтиме також і про додаткові рекомендовані заходи, на кшталт залучення DPO  або проведення тренінгів.

невідкладні обов'язкові gdpr процедури і заходи
Невідкладні і обов’язкові GDPR заходи (статті 24 – 28, 30, 33 – 36 Регламенту ЄС).

Загальний регламент з захисту даних передбачає низку обов’язкових GDPR процедур, деякі з них потребують невідкладного впровадження одразу з початком обробки персональних даних, а деякі ще раніше – превентивно, наприклад, інформування суб’єкта персональних даних та отримання його згоди на збір, зберігання і обробку даних.

Якщо обробка даних та фактичний контроль за цими процесами здійснюються різними суб’єктами, то до початку будь-яких операцій укладається data processing agreement. При здійсненні транскордонної передачі даних за межі Європейського союзу укладення data processing agreement супроводжується низкою специфічних гарантій, які обов’язково забезпечуються майбутнім обробником персональних даних. Ми перерахуємо і опишемо обов’язкові GDPR процедури, зупинимось на заходах, що носять рекомендаційний характер. Додатково розкажемо, що потрібно для отримання реєстру операцій з персональними даними і data processing agreement.

Кому потрібно впроваджувати обов’язкові GDPR процедури? Власникам бізнесу і програмних рішень, які пов’язані з опрацюванням персональних даних резидентів ЄЕС, мається на увазі країн Європейської економічної спільноти. До таких країн належать: Австрія, Бельгія, Болгарія, Греція, Данія, Естонія, Ірландія, Іспанія, Італія, Кіпр, Латвія, Литва, Люксембург, Мальта, Нідерланди, Німеччина, Польща та інші.

А якщо дані опрацьовуються не з власної ініціативи, а за дорученням європейської компанії? Такий варіант обов’язково передбачає укладення data processing agreement, ведення реєстру операцій з персональними даними та впровадження GDPR compliant процедур. Почнемо огляд з невідкладних заходів, які і знадобляться у цьому випадку, як українській компанії (виконавцю), так і європейській (замовнику).

Невідкладні та обов’язкові GDPR процедури.

Оскільки мова йтиме саме про персональні дані, останні, для лаконічності, у цій статті надалі іменуватимуться просто “дані”. Всі обов’язкові GDPR процедури розділяються на “зовнішні” та “внутрішні”. Зовнішні заходи – ті, які передбачені Загальним регламентом з захисту даних і проводяться для суб’єктів персональних даних (клієнтів, користувачів). Внутрішні документи і процедури – це ті, запровадження яких вимагається від контролера і обробника персональних даних, але не потребує демонстрації суб’єктам персональних даних. Внутрішні і зовнішні процедури разом направлені на виконання Загального регламенту з захисту даних. Правильне впровадження обох видів процедур декларує і засвідчує адекватний рівень відповідності правилам Регламенту – це і є GDPR compliance.

Зовнішні заходи, які декларують дотримання прав суб’єктів персональних даних (статті 12 – 22 Загального регламенту з захисту даних):

  • Вичерпне інформування суб’єкта персональних даних та отримання згоди на проведення відповідних операцій – відбувається за допомогою положень та політик про конфіденційність даних.
  • Організація своєчасного, повного і об’єктивного розгляду запитів суб’єктів персональних даних.

До внутрішніх обов’язкових заходів (внутрішні документи і процедури) належать:

  • Складення реєстру операцій з даними відповідно до статті 30 GDPR (records of processing activities) або інакше документування операцій з персональними даними є невідкладним заходом. Реєстр операцій з персональними даними складається з самого початку роботи з персональними даними та може бути запитаний органами контролю. Цей реєстр має постійно оновлюватись, так само як і політика конфіденційності, у разі запровадження нових операцій з персональними даними та/або зміни підрядників (обробників персональних даних).
  • Укладення data processing agreement та оформлення відносин між підрядником (наприклад, персоналом в Україні) та європейською компанією (наприклад, відкритою в Естонії) щодо обробки персональних даних та їх транскордонної передачі за межі ЄС. Такі правила частини 3 статті 28 GDPR.
  • Реєстр порушень безпеки даних – наявність цього документу обов’язкова, навіть якщо порушення не мали місце і реєстр не містить відповідних записів.
  • Реєстр звернень суб’єктів персональних даних – аналогічно з попереднім пунктом.

Окремо розкажемо про аудит процесів обробки даних, який безперечно відноситься до обов’язкових GDPR процедур, але у поодиноких випадках може бути проведений одночасно з іншими заходами, такими як складання реєстру операцій з персональними даними та підготовкою положення про конфіденційність.

Як та у яких випадках проводиться “спрощений” аудит роботи з даними? При розробці названих у попередньому абзаці документів, наші юристи проводять безкоштовний аудит операцій з даними у випадках, якщо мета, форма, спосіб та обсяги обробки даних є типовими та не є значними. За таких умов, у процесі збору і аналізу первинної інформації для підготовки політики конфіденційності та реєстру операцій, проводиться спрощений аудит. Його результати знаходять відображення у підготовлених документах та рекомендаціях, які надсилаються замовнику. В усіх інших випадках – аудит це самостійна послуга, яка передує впровадженню будь-яких інших GDPR процедур і заходів.

Процедури, які обов’язкові для контролера за певних умов (стаття 27, 35, 36 та 37):

  • Відкриття представництв на території ЄС – правило, передбачене статтею 27 Регламенту (Representatives of controllers or processors not established in the Union), яке діє у випадках, визначених частиною 2 статті 3 Регламенту. Що це за випадки? Наприклад, offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union, тобто в усіх випадках пропозиції (продажу) товарів і послуг громадянам країн ЄЕС. Є декілька способів обійти це правило, але такі способи не характеризуються універсальністю застосування.
  • Підготовка data protection impact assessment – обов’язок контролера (стаття 35 GDPR), який виникає якщо обробка даних повязана з суттєвими ризиками для суб’єктів персональних даних. Причини “ризиковості” можуть бути різними: значні обсяги обробки, застосування нових технологій, обробка”чутливих” даних тощо.
  • Обов’язкові консультації з органами контролю і нагляду за дотриманням правил у сфері захисту персональних даних. Подібні консультації передбачені статтею 36 Регламенту (prior consultation), яка повідомляє нам – “The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk”. Тобто, там де є необхідність підготувати data protection impact assessment, слід проводити такі попередні консультації з органами нагляду.
  • Випадки обов’язкового призначення DPO передбачені статтею 37 Регламенту (designation of the data protection officer). Ми розповідали про функції і задачі Data Protection Officer ще у 2018 році – https://legal-support.top/data-protection-officer-in-ukraine/

Рекомендовані заходи за Загальним регламентом про захист даних.

До необов’язкових, але рекомендованих GDPR заходів відносяться:

  • складання скрипту реагування на випадки порушення захисту даних;
  • проведення навчань і тренінгів для персоналу, який залучений до обробки даних клієнтів і користувачів;
  • поточні, контрольні і стрес-аудити, направлені на перевірку ефективності обов’язкових заходів.

Як отримати реєстр операцій з персональними даними та готовий до підписання DPA?

Для отримання реєстру операцій з персональними даними та готовий до підписання data processing agreement потрібно:

  1. Надати детальний опис того, хто і як опрацьовує дані, які отримуються через сайт, програмний застосунок або в інший спосіб. Інформацію допустимо викласти простою мовою, так би мовити “своїми словами”. Це також можна зробити і у вигляді скрипту.
  2. Описати випадки транскордонної передачі даних, особливо на територію України.
  3. Вказати, які дані зберігатимуться локально, які відомості та на якому етапі опрацьовуються повністю в автоматичному режимі.
  4. І останнє – для підготовки реєстру і data processing agreement необхідно зазначити найменування ФОП (ТОВ), через яких формалізуються дії Ваших працівників (підрядників) в Україні щодо обробки даних. У реєстрі операцій з персональними даними та DPA вказуються найменування Контролера та Обробника даних. Наприклад, юридичної особи, заснованої в Україні, команда якої залучається до обробки персональних даних і виступає у ролі “Processor” за GDPR.

На якому етапі запроваджувати обов’язкові та рекомендовані GDPR заходи?

Принцип “Privacy by Design” передбачає заздалегідь спроектовану модель роботи з персональними даним. На практиці це означає, що передбачені GDPR процедури мають інтегруватися у бізнес-модель, включаючи програмні продукти (сайти, сервіси і застосунки) ще у процесі їх проектування та розробки. Окрім організаційно-юридичних процедур, те саме стосується і безпекових заходів.

Таким чином, з огляду на заходи і процедури юридичного характеру їх слід запроваджувати (пріоритетність процедур, які обов’язкові для контролера за певних умов (статті 35, 36 та 37 GDPR), не розглядається нижче через їх варіативність):

  • До початку обробки даних (наприклад, до запуску роботи маркетплейсу): 1) попередній аудит і складення реєстру запланованих операцій з персональними даними; 2) підготовка політики конфіденційності для вичерпного інформування суб’єктів персональних даних та отримання їх згоди на проведення відповідних операцій; 3) підготовка і підписання data processing agreement; 4) складання інших реєстрів, скрипту реагування на порушення, організація розгляду запитів суб’єктів персональних даних – питання, які також краще пропрацювати до початку обробки даних.
  • З початком фактичної обробки даних допустимо провести: 1) тренінги для персоналу, який залучений до обробки даних; 2) поточні та контрольні стрес-аудити процесів обробки даних.

Якщо має місце випадок порушення безпеки або правил захисту даних, то процедури-реагування, передбачені Загальним регламентом з захисту даних, запроваджуються невідкладно, але не пізніше ніж через 72 години. За GDPR до невідкладних процедур-реагування на порушення належать:

  • мінімізація наслідків, припинення і усунення порушення;
  • повідомлення про порушення наглядовому органу з захисту даних;
  • повідомлення про порушення суб’єктам персональних даних (лише у деяких випадках).

Підтримка реєстрів операцій з даними та інших процедур в актуальному стані.

Провів тренінг, підготував документи і забув про набридливі правила – це не про GDPR. Якщо відбуваються хоч найменші зміни в обсязі або способах обробки даних, то і внутрішні документи (реєстри, DPA) і зовнішні, такі як положення про конфіденційність, слід невідкладно оновлювати. Завдання щодо відслідковування запроваджених процедур на предмет їх актуальності покладається на data processing manager або на DPO, якщо такий призначений.

Є питання стосовно обов’язкових GDPR процедур та їх практичної реалізації? Роз’яснимо всі аспекти, інтегруємо необхідні заходи у Вашу бізнес-модель та візьмемо на себе їх практичну організацію і проведення.

Юрист Євгеній Мовчун

+380506437903 | it_lawyer@ukr.net