Реестр обработок персональных данных нужен? Нужен!
- 11 ноября, 2021
- Data Privacy, Для бизнеса
Ст. 30 GDPR говорит о том, что и контролер, и процессор обязаны вести реестр деятельности по обработке персональных данных (хотя перечень сведений, включаемых в такой реестр, и отличается). Однако из этого общего правила есть исключение, предусмотренное в п. 5 ст. 30 GDPR, на которое опираются многие компании с численностью сотрудников до 250 человек. Действительно ли такие небольшие организации вправе не вести реестр обработок? И если да, почему команда Data Privacy Office работу с любым клиентом начинает именно с составления реестра? Разберемся!
Содержание
Что такое реестр обработок персональных данных?
Реестр обработок (он же Реестр деятельности по обработке персональных данных) – это документ, в котором содержится информация о том, как в компании обрабатываются персональные данные. Ст. 30 GDPRустанавливает обязанность вести такой реестр для каждого контролера и процессора. Однако перечень сведений, которые включены в такой реестр, отличается: поскольку процессор обрабатывает данные на основании поручения контролера и не определяет цель и правовое основание обработки, срок хранения данных, категории получателей данных, то и перечень обязательных для процессора компонентов реестра уже.
| Обязательные компоненты реестра для контролера | Обязательные компоненты реестра для процессора |
|---|---|
| Имя и контактная информацию контролера и, если применимо, со-контролера, представителя контролера и инспектора по защите персональных данных. | Имя и контактные данные процессора или процессоров и каждого контролера, от имени которого работает процессор, и, если применимо, представителя контролера или процессора и инспектора по защите персональных данных. |
| Цели обработки. | Цели обработки. |
| Описание категорий субъектов данных и категорий персональных данных. | |
| Категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международные организации. | |
| Если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий. | Если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий. |
| Если возможно, планируемые сроки удаления различных категорий персональных данных. | |
| Если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR. | Если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR. |
В бесплатном гайде рассказываем как Реестр связан с другими документами, что он должен включать и как быстро сделать его драфт с помощью ИИ.
В какой форме составлять реестр?
Реестр составляется в письменной форме, при этом компания может вести его в электронном виде. Зачастую документ выглядит как таблица, в которой каждая строка соответствует определенной обработке, а столбец – категории сведений, которые необходимо указывать в реестре. Чем больше в компании обработок персональных данных, тем больше строк в таблице.
Основная цель реестра – дать представление о том, какие данные, для чего и как обрабатываются в компании. Поэтому часто компании включают в реестр дополнительные категории сведений (помимо того, что они обязаны указать в соответствии с GDPR). Например, в реестре также можно включить:
Указание на то, требование какой статьи какого закона компания исполняет, если основанием для обработки является требование закона.
Поскольку тексты законов регулярно меняются, в будущем такое требование может быть отменено. Если компания продолжит обрабатывать эти данные, такая обработка будет незаконной, ведь правовое основание – требование закона – уже отпало. Конечно, компания может регулярно проверять все применимое законодательство, но гораздо удобнее знать, в какой именно статье закреплено соответствующее требование.
Сведения о том, какие категории персональных данных передаются за пределы ЕС и/или получателям данным (в том числе процессорам).
Иногда для одной цели обрабатываются несколько категорий данных (например, 10), при этом за рубеж могут передаваться лишь некоторые из них (например, 5 из 10). В этом случае компаниям может быть удобно указать, какие именно данные передаются, чтобы в договоре с контрагентом не перечислять категории данных, к которым этот контрагент фактически не будет иметь доступа.
Указание на то, какое именно подразделение контролирует соответствующую обработку в компании.
Эта информация полезна потому, что при обновлении и/или проверке актуальности реестра инспектор или менеджер по защите персональных данных всегда знает, кто именно может предоставить ему актуальные сведения об обработке.
Отметка о применимости GDPR.
Иногда лишь часть обработок персональных данных в компании регулируется положениями GDPR. В такой ситуации удобно иметь в реестре указание на то, к каким обработкам GDPR применяется, а к каким – нет.
Хотя компании вправе добавлять неограниченное количество данных в реестр (и столбцов в соответствующей таблице может быть гораздо больше), мы рекомендуем соблюдать баланс: реестр со множеством дополнительных данных может быть неудобным в работе и скорее тормозить, нежели облегчать поиск информации.
Если в моей компании работает меньше 250 сотрудников, могу ли я не составлять реестр обработок?
Увы, это распространенное заблуждение. На самом деле реестр персональных данных обязана вести даже компания с численностью работников до 250 человек, но в документе тогда можно отображать не все обработки.
П. 5 ст. 30 GDPR предусматривает, что обязательства по ведению реестра не распространяются на предприятия или организации с численностью работников менее 250 человек, за исключением случаев, когда:
🔹 обработка, которую они осуществляют, с большой долей вероятности может привести к риску нарушения прав и свобод субъектов данных;
🔹 обработка не носит случайный характер;
🔹 обработка включает специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.
То есть, компания может не вести реестр обработок вовсе, если все три исключения не актуальны: все обработки безрисковые, И случайные, И не включают специальные категории данных. Но на практике в любой компании есть неслучайные, регулярные обработки (например, обработки персональных данных работников при приеме их на работу, выдаче зарплаты, учете рабочего времени и т.д.).
Значит ли это, что все компании из-за обработки персональных данных работников автоматически лишаются возможности использовать это исключение? Отнюдь. Европейский надзорный орган (European Data Protection Board) разъяснил, что компании размером до 250 человек все еще могут не включать в реестр те обработки, которые одновременно:
🔹 с низкой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, И
🔹 носят случайный характер, И
🔹 не включают специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.
То есть, две компании с одинаковым набором обработок (среди которых есть и случайные, и регулярные), в одной из которых 240 сотрудников, а в другой – 260, будут иметь разный по количеству указанных обработок реестр хотя бы даже потому, что у второй реестр также будет включать безрисковые разовые обработки, не связанные со специальными категориями данных. Первая же из компаний такие обработки указывать в реестре не обязана.
Мы помогаем превратить разовые задачи по защите персональных данных в полноценную функцию бизнеса на курсе GDPR Data Privacy Professional. Присоединяйтесь к программе, чтобы разобраться в основах data privacy и уверенно выполнят требования законодательства.
В чем польза реестра обработок?
От реестра обработок, как от картины на стене в мультфильме “Простоквашино” (помните, она дырку на обоях загораживала?), очень большая польза: он раскладывает “по полочкам” информацию о том, как в компании обрабатываются персональные данные. Почему это ценно:
Быстрая проверка информации
При получении запроса от субъекта данных всегда есть возможность быстро проверить, для каких целей обрабатываются данные этого субъекта, куда они передаются, где и как долго хранятся. Ответить на запрос получается быстрее.
Простой поиск необходимой инфoрмации
При составлении политики приватности не нужно запрашивать информацию о проводимых в компании обработках: все необходимые сведения собраны в одном месте.
Актуальная информация всегда под рукой
При составлении договора на обработку данных или заполнении стандартных договорных условий (при передаче данных за пределы ЕС – Standard Contractual Clauses, SCC) сведения о передаваемых данных удобно брать из реестра: там они всегда изложены в актуальном состоянии.
То есть, мы составим реестр – и будет нам счастье?
Безусловно 😊
Но недолго! Потому что процессы в компаниях обычно не стоят на месте: появляются новые продукты и услуги, изменяется законодательство, заводятся отношения с новыми партнерами. Это значит, что при изменении или прекращении существующих обработок, а также при появлении новых необходимо вносить соответствующие изменения в реестр, чтобы он отражал фактическое положение дел. Увы, составить один реестр и жить с ним годами не получится, поэтому с составления реестра работа с ним только начинается. Но поверьте, удобство использования реестра (в том числе возможность для компании “спать спокойно”, если реестром заинтересуется надзорный орган) перекрывает кажущиеся недостатки.
Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
