Реестр обработок персональных данных нужен? Нужен! Екатерина В 11 ноября, 2021

Реестр обработок персональных данных нужен? Нужен!

Ст. 30 GDPR говорит о том, что и контролер, и процессор обязаны вести реестр деятельности по обработке персональных данных (хотя перечень сведений, включаемых в такой реестр, и отличается). Однако из этого общего правила есть исключение, предусмотренное в п. 5 ст. 30 GDPR, на которое опираются многие компании с численностью сотрудников до 250 человек. Действительно ли такие небольшие организации вправе не вести реестр обработок? И если да, почему команда Data Privacy Office работу с любым клиентом начинает именно с составления реестра? Разберемся!

Что такое реестр обработок персональных данных?

Реестр обработок (он же реестр деятельности по обработке персональных данных) – это документ, в котором содержится информация о том, как в компании обрабатываются персональные данные. Ст. 30 GDPR устанавливает обязанность вести такой реестр для каждого контролера и процессора. Однако перечень сведений, которые включены в такой реестр, отличается: поскольку процессор обрабатывает данные на основании поручения контролера и не определяет цель и правовое основание обработки, срок хранения данных, категории получателей данных, то и перечень обязательных для процессора компонентов реестра уже.

Обязательные компоненты реестра для контролера
Обязательные компоненты реестра для процессора
Имя и контактная информацию контролера и, если применимо, со-контролера, представителя контролера и инспектора по защите персональных данных.
Имя и контактные данные процессора или процессоров и каждого контролера, от имени которого работает процессор, и, если применимо, представителя контролера или процессора и инспектора по защите персональных данных.
Цели обработки.
Цели обработки.
Описание категорий субъектов данных и категорий персональных данных.
Категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международные организации.
Если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий.
Если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий.
Если возможно, планируемые сроки удаления различных категорий персональных данных.
Если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR.
Если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR.

В какой форме составлять реестр?

Реестр составляется в письменной форме, при этом компания может вести его в электронном виде. Зачастую документ выглядит как таблица, в которой каждая строка соответствует определенной обработке, а столбец – категории сведений, которые необходимо указывать в реестре. Чем больше в компании обработок персональных данных, тем больше строк в таблице.

Основная цель реестра – дать представление о том, какие данные, для чего и как обрабатываются в компании. Поэтому часто компании включают в реестр дополнительные категории сведений (помимо того, что они обязаны указать в соответствии с GDPR). Например, в реестре также можно включить:

1

Указание на то, требование какой статьи какого закона компания исполняет, если основанием для обработки является требование закона. Поскольку тексты законов регулярно меняются, в будущем такое требование может быть отменено. Если компания продолжит обрабатывать эти данные, такая обработка будет незаконной, ведь правовое основание – требование закона – уже отпало. Конечно, компания может регулярно проверять все применимое законодательство, но гораздо удобнее знать, в какой именно статье закреплено соответствующее требование.

2

Сведения о том, какие категории персональных данных передаются за пределы ЕС и/или получателям данным (в том числе процессорам). Иногда для одной цели обрабатываются несколько категорий данных (например, 10), при этом за рубеж могут передаваться лишь некоторые из них (например, 5 из 10). В этом случае компаниям может быть удобно указать, какие именно данные передаются, чтобы в договоре с контрагентом не перечислять категории данных, к которым этот контрагент фактически не будет иметь доступа.

3

Указание на то, какое именно подразделение контролирует соответствующую обработку в компании. Эта информация полезна потому, что при обновлении и/или проверке актуальности реестра инспектор или менеджер по защите персональных данных всегда знает, кто именно может предоставить ему актуальные сведения об обработке.

4

Отметка о применимости GDPR. Иногда лишь часть обработок персональных данных в компании регулируется положениями GDPR. В такой ситуации удобно иметь в реестре указание на то, к каким обработкам GDPR применяется, а к каким – нет.

Хотя компании вправе добавлять неограниченное количество данных в реестр (и столбцов в соответствующей таблице может быть гораздо больше), мы рекомендуем соблюдать баланс: реестр со множеством дополнительных данных может быть неудобным в работе и скорее тормозить, нежели облегчать поиск информации.

Love to work together
Мы открыты к сотрудничеству с развивающимися, инициативными компаниями.

Если в моей компании работает меньше 250 сотрудников, могу ли я не составлять реестр обработок?

Увы, это распространенное заблуждение. На самом деле реестр персональных данных обязана вести даже компания с численностью работников до 250 человек, но в документе тогда можно отображать не все обработки.

П. 5 ст. 30 GDPR предусматривает, что обязательства по ведению реестра не распространяются на предприятия или организации с численностью работников менее 250 человек, за исключением случаев, когда:

  • обработка, которую они осуществляют, с большой долей вероятности может привести к риску нарушения прав и свобод субъектов данных;
  • обработка не носит случайный характер;
  • обработка включает специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.

То есть, компания может не вести реестр обработок вовсе, если все три исключения не актуальны: все обработки безрисковые, И случайные, И не включают специальные категории данных. Но на практике в любой компании есть неслучайные, регулярные обработки (например, обработки персональных данных работников при приеме их на работу, выдаче зарплаты, учете рабочего времени и т.д.).

реестр обработок данных

Значит ли это, что все компании из-за обработки персональных данных работников автоматически лишаются возможности использовать это исключение? Отнюдь. Европейский надзорный орган (European Data Protection Board) разъяснил, что компании размером до 250 человек все еще могут не включать в реестр те обработки, которые одновременно:

  • с низкой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, И
  • носят случайный характер, И
  • не включают специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.

То есть, две компании с одинаковым набором обработок (среди которых есть и случайные, и регулярные), в одной из которых 240 сотрудников, а в другой – 260, будут иметь разный по количеству указанных обработок реестр хотя бы даже потому, что у второй реестр также будет включать безрисковые разовые обработки, не связанные со специальными категориями данных. Первая же из компаний такие обработки указывать в реестре не обязана.

Love to work together
Мы открыты к сотрудничеству с развивающимися, инициативными компаниями.

В чем польза реестра обработок?

От реестра обработок, как от картины на стене в мультфильме “Простоквашино” (помните, она дырку на обоях загораживала?), очень большая польза: он раскладывает “по полочкам” информацию о том, как в компании обрабатываются персональные данные. Почему это ценно:

1
Быстрая проверка информации

При получении запроса от субъекта данных всегда есть возможность быстро проверить, для каких целей обрабатываются данные этого субъекта, куда они передаются, где и как долго хранятся. Ответить на запрос получается быстрее.

1
Простой поиск необходимой инофрмации

При составлении политики приватности не нужно запрашивать информацию о проводимых в компании обработках: все необходимые сведения собраны в одном месте.

3
Актуальная информация всегда под рукой

При составлении договора на обработку данных или заполнении стандартных договорных условий (при передаче данных за пределы ЕС – Standard Contractual Clauses, SCC) сведения о передаваемых данных удобно брать из реестра: там они всегда изложены в актуальном состоянии.

То есть, мы составим реестр – и будет нам счастье?

Безусловно 😊

Но недолго! Потому что процессы в компаниях обычно не стоят на месте: появляются новые продукты и услуги, изменяется законодательство, заводятся отношения с новыми партнерами. Это значит, что при изменении или прекращении существующих обработок, а также при появлении новых необходимо вносить соответствующие изменения в реестр, чтобы он отражал фактическое положение дел. Увы, составить один реестр и жить с ним годами не получится, поэтому с составления реестра работа с ним только начинается. Но поверьте, удобство использования реестра (в том числе возможность для компании “спать спокойно”, если реестром заинтересуется надзорный орган) перекрывает кажущиеся недостатки.

Оставайтесь с нами на связи!

Подробнее о предоставляемых услугах вы можете узнать здесь.  

Остались вопросы? Свяжитесь с нами для консультации (это абсолютно бесплатно). Будем рады стать вашим партнёром в адаптации бизнеса к новой реальности 💙 

P.S. Для того, чтобы оставаться с нами на связи и узнавать о последних апдейтах в мире приватности, подпишитесь на наш Telegram “PRO Приватность”.  

    1 комментарий
    Write a comment
    Your email address will not be published. Required fields are marked *