Реєстр операцій з персональними даними

Реєстр операцій з персональними даними (Art. 30 GDPR).

Реєстр операцій з персональними даними

Коли необхідно складати реєстр операцій з персональними даними? Чи є реєстр тим самим документом, що і “records of processing activities” за ст. 30 GDPR? Чому наявність правильно складеного реєстру настільки важлива? Бізнес, який працює з персональними даними резидентів ЄС, знає про вимоги та процедури GDPR з власного досвіду. Адже недотримання останніх закриває шлях до роботи з європейськими клієнтами та бізнес-партнерами.

Юристи Legal Support опублікували низку дописів, які роз’яснюють порядок організації бізнес процесів відповідно до GDPR. Стаття доповнює наші публічні консультації та роз’яснює значення головного внутрішнього документа за GDPR – Реєстру операцій з персональними даними (records of processing activities according to Art. 30 GDPR або data processing inventory).

Реєстр операцій з персональними даними (Art. 30 GDPR).
Реєстр операцій з персональними даними (Art. 30 GDPR).

Чому при обробці даних потрібно складати реєстр операцій?

Обробка персональних даних це процес, який в усіх деталях врегульовано законодавством України та інших країн. Найсуворішим та найдетальнішим збірником правил обробки персональних даних є Регламент ЄС, відомий як GDPR. Цей збірник правил висуває низку детально прописаних вимог до процесу організації обробки персональних даних. Ознайомитись з ключовими принципами та правилами Регламенту ЄС можна за посиланням – GDPR для IT та digital commerce.

Чому ж при обробці персональних даних потрібно складати реєстр операцій? Ведення записів процесів обробки даних – це пряма вимога GDPR, закріплена у статті 30 Регламенту. Невдовзі такі ж правила обробки персональних даних поширюватимуться не тільки на відносини з європейськими клієнтами. В Україні зареєстровано проект нової редакції Закону про захист персональних даних, який передбачає абсолютно аналогічні правила та процедури. Таким чином, навіть орієнтуючись виключно на внутрішній ринок України, доцільно вже зараз провести організацію процесів обробки даних відповідно до GDPR.

Як складається реєстр операцій з персональними даними?

Процеси обробки даних ідентифікуються під час комплексного або модульного аудиту та відображаються у довільній формі із зазначенням всіх відомостей, вказаних у статті 30 Регламенту. Оптимальною формою складання реєстру є таблиця. Єдина вимога щодо форми, яка безпосередньо вказана у статті 30 GDPR, це необхідність вести записи процесів обробки у письмовій формі.

Які відомості відображаються у реєстрі операцій?

На відміну від форми, зміст реєстру детально регламентований. Вичерпний перелік відомостей, які відображаються у реєстрі операцій з персональними даними, наведено у статті 30 GDPR. Контролер зобов’язаний відобразити у записах процесів обробки такі дані:

  1. The name and contact details of the controller and, where applicable, the joint controller, the controller’s representative and the data protection officer / найменування та контактні дані контролера та, за необхідності, об’єднаного контролера, представника контролера та співробітника з питань захисту даних.
  2. The purposes of the processing / цілі обробки даних.
  3. A description of the categories of data subjects and of the categories of personal data / опис категорій суб’єктів даних і категорій персональних даних.
  4. The categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations / категорії одержувачів, яким персональні дані були або будуть розкриті, в тому числі одержувачі в третіх країнах або міжнародні організації.
  5. Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards / факти передачі персональних даних третій країні або міжнародній організації, в тому числі, ідентифікацію такої третьої країни чи міжнародної організації, а також задокументовані гарантії та заходи безпеки.
  6. The envisaged time limits for erasure of the different categories of data / строки видалення різних категорій даних.
  7. A general description of the technical and organisational security measures referred to in Article 32(1) / загальний опис технічних і організаційних заходів безпеки, вказаних у статті 32(1).

Реєстр – внутрішній документ, політика на сайт – зовнішній.

Реєстр операцій з персональними даними – внутрішній документ. Він, за замовчуванням, нікуди не відсилається, не опубліковується та не надається. Втім, записи операцій з персональними даними мають постійно оновлюватися, бути актуальними та враховувати наявні процеси обробки даних. Крім того, Контролер та Обробник зобов’язані надати записи процесів обробки даних на вимогу компетентного органу у сфері захисту даних.

А яка ж інформація обов’язково публікується для суб’єктів даних (клієнтів, відвідувачів сайтів і користувачів додатків) у відкритому доступі? У якій формі має бути виконаний такий обов’язок? Перелік такої інформації визначено у статті 13 GDPR, а найкращою формою ознайомлення суб’єктів даних є політика конфіденційності та захисту даних.

Ідентифікація процесів обробки даних та складання реєстру під ключ.

Для того щоб скласти реєстр операцій з даними та підтримувати його в актуальному стані, необхідно провести ідентифікацію процесів обробки та потоків даних, а також здійснювати їх постійний моніторинг на предмет будь-яких змін. Ідентифікувати процеси обробки даних можна в процесі аудиту, про який йдеться у дописі – GDPR аудит.

Реєстр операцій з персональними даними (data processing inventory / register) є фундаментом для визначення необхідних організаційних, юридичних та технічних заходів безпеки та їх подальшої реалізації. Досвідчені співробітники з питань захисту даних проведуть аудит, складуть реєстр операцій та визначать вичерпний перелік необхідних організаційних заходів. Актуальні контакти наших співробітників із захисту даних доступні у відповідному розділі сайту.

Records of processing activities adjusted to your business model.

The data processing register is an internal document of any organization that processes personal data. According to Art. 30 GDPR, records of processing activities should be up-to-date and indicate existing personal data processing activities. The Controller and the Processor are obliged to provide records of data processing activities at the request of the supervisory authority in the field of data protection.

The register should be drawn up in writing and contain all the information specified in Art. 30 GDPR. The best way to compile the register correctly is to conduct a preliminary audit of personal data processing activities. Our DPOs are ready to assist with all GDPR issues: to audit and identify existing data processing activities, to draft a records of processing activities, and to implement the necessary organizational measures.

Julia Burym

Facebook
fb-share-icon
Twitter
Tweet
LinkedIn
Share