Реестр обработок персональных данных нужен? Нужен!

 

Ст. 30 GDPR говорит о том, что и контролер, и процессор обязаны вести реестр деятельности по обработке персональных данных (хотя перечень сведений, включаемых в такой реестр, и отличается). Однако из этого общего правила есть исключение, предусмотренное в п. 5 ст. 30 GDPR, на которое опираются многие компании с численностью сотрудников до 250 человек. Действительно ли такие небольшие организации вправе не вести реестр обработок? И если да, почему команда Data Privacy Office работу с любым клиентом начинает именно с составления реестра? Разберемся!

 

К слову, с 26 ноября по 25 декабря в Data Privacy Office проходит B2B Черная Пятница. У Вас есть уникальная возможность получить заполненный реестр обработок персональных данных по фиксированной цене — 2000 EURO.

 

Что такое реестр обработок персональных данных?

 

Реестр обработок (он же реестр деятельности по обработке персональных данных) – это документ, в котором содержится информация о том, как в компании обрабатываются персональные данные. Ст. 30 GDPR устанавливает обязанность вести такой реестр для каждого контролера и процессора. Однако перечень сведений, которые включены в такой реестр, отличается: поскольку процессор обрабатывает данные на основании поручения контролера и не определяет цель и правовое основание обработки, срок хранения данных, категории получателей данных, то и перечень обязательных для процессора компонентов реестра уже.

 

Обязательные компоненты реестра для контролера

Обязательные компоненты реестра для процессора

имя и контактная информацию контролера и, если применимо, со-контролера, представителя контролера и инспектора по защите персональных данных;

имя и контактные данные процессора или процессоров и каждого контролера, от имени которого работает процессор, и, если применимо, представителя контролера или процессора и инспектора по защите персональных данных;

цели обработки;

виды обработки, проведенной от имени каждого контролера;

описание категорий субъектов данных и категорий персональных данных;

 

категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международные организации;

 

если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий;

если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий;

если возможно, планируемые сроки удаления различных категорий персональных данных;

 

если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR.

если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR.

 

В какой форме составлять реестр?

 

Реестр составляется в письменной форме, при этом компания может вести его в электронном виде. Зачастую документ выглядит как таблица, в которой каждая строка соответствует определенной обработке, а столбец – категории сведений, которые необходимо указывать в реестре. Чем больше в компании обработок персональных данных, тем больше строк в таблице.

Основная цель реестра – дать представление о том, какие данные, для чего и как обрабатываются в компании. Поэтому часто компании включают в реестр дополнительные категории сведений (помимо того, что они обязаны указать в соответствии с GDPR). Например, в реестре также можно включить:

 

  1. Указание на то, требование какой статьи какого закона компания исполняет, если основанием для обработки является требование закона. Поскольку тексты законов регулярно меняются, в будущем такое требование может быть отменено. Если компания продолжит обрабатывать эти данные, такая обработка будет незаконной, ведь правовое основание – требование закона – уже отпало. Конечно, компания может регулярно проверять все применимое законодательство, но гораздо удобнее знать, в какой именно статье закреплено соответствующее требование.
  2. Сведения о том, какие категории персональных данных передаются за пределы ЕС и/или получателям данным (в том числе процессорам). Иногда для одной цели обрабатываются несколько категорий данных (например, 10), при этом за рубеж могут передаваться лишь некоторые из них (например, 5 из 10). В этом случае компаниям может быть удобно указать, какие именно данные передаются, чтобы в договоре с контрагентом не перечислять категории данных, к которым этот контрагент фактически не будет иметь доступа.
  3. Указание на то, какое именно подразделение контролирует соответствующую обработку в компании. Эта информация полезна потому, что при обновлении и/или проверке актуальности реестра инспектор или менеджер по защите персональных данных всегда знает, кто именно может предоставить ему актуальные сведения об обработке.
  4. Отметка о применимости GDPR. Иногда лишь часть обработок персональных данных в компании регулируется положениями GDPR. В такой ситуации удобно иметь в реестре указание на то, к каким обработкам GDPR применяется, а к каким – нет.

 

Хотя компании вправе добавлять неограниченное количество данных в реестр (и столбцов в соответствующей таблице может быть гораздо больше), мы рекомендуем соблюдать баланс: реестр со множеством дополнительных данных может быть неудобным в работе и скорее тормозить, нежели облегчать поиск информации.

Data Protection Officer

 

Если в моей компании работает меньше 250 сотрудников, могу ли я не составлять реестр обработок?

 

Увы, это распространенной заблуждение. На самом деле реестр персональных данных обязана вести даже компания с численностью работников до 250 человек, но в документе тогда можно отображать не все обработки.

П. 5 ст. 30 GDPR предусматривает, что обязательства по ведению реестра не распространяются на предприятия или организации с численностью работников менее 250 человек, за исключением случаев, когда:

🗹  обработка, которую они осуществляют, с большой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, или

🗹  обработка не носит случайный характер, или 

🗹  обработка включает специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.

То есть, компания может не вести реестр обработок вовсе, если все три исключения не актуальны: все обработки безрисковые, И случайные, И не включают специальные категории данных. Но на практике в любой компании есть неслучайные, регулярные обработки (например, обработки персональных данных работников при приеме их на работу, выдаче зарплаты, учете рабочего времени и т.д.).

Значит ли это, что все компании из-за обработки персональных данных работников автоматически лишаются возможности использовать это исключение? Отнюдь. Европейский надзорный орган (European Data Protection Board) разъяснил, что компании размером до 250 человек все еще могут не включать в реестр те обработки, которые одновременно:

🗹  с низкой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, И

🗹  носят случайный характер, И 

🗹  не включают специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.

То есть, две компании с одинаковым набором обработок (среди которых есть и случайные, и регулярные), в одной из которых 240 сотрудников, а в другой – 260, будут иметь разный по количеству указанных обработок реестр хотя бы даже потому, что у второй реестр также будет включать безрисковые разовые обработки, не связанные со специальными категориями данных. Первая же из компаний такие обработки указывать в реестре не обязана.

 

В чем польза реестра обработок?

 

От реестра обработок, как от картины на стене в мультфильме “Простоквашино” (помните, она дырку на обоях загораживала?), очень большая польза: он раскладывает “по полочкам” информацию о том, как в компании обрабатываются персональные данные. Почему это ценно:

 

  1. При получении запроса от субъекта данных всегда есть возможность быстро проверить, для каких целей обрабатываются данные этого субъекта, куда они передаются, где и как долго хранятся. Ответить на запрос получается быстрее.
  2. При составлении политики приватности не нужно запрашивать информацию о проводимых в компании обработках: все необходимые сведения собраны в одном месте.
  3. При составлении договора на обработку данных или заполнении стандартных договорных условий (при передаче данных за пределы ЕС – Standard Contractual Clauses, SCC) сведения о передаваемых данных удобно брать из реестра: там они всегда изложены в актуальном состоянии.

 

То есть, мы составим реестр – и будет нам счастье?

 

Безусловно 😊

Но недолго! Потому что процессы в компаниях обычно не стоят на месте: появляются новые продукты и услуги, изменяется законодательство, заводятся отношения с новыми партнерами. Это значит, что при изменении или прекращении существующих обработок, а также при появлении новых необходимо вносить соответствующие изменения в реестр, чтобы он отражал фактическое положение дел. Увы, составить один реестр и жить с ним годами не получится, поэтому с составления реестра работа с ним только начинается. Но поверьте, удобство использования реестра (в том числе возможность для компании “спать спокойно”, если реестром заинтересуется надзорный орган) перекрывает кажущиеся недостатки.

Создадим RoPA для Вас!










    Расписание курсов загружается, подожди несколько секунд