Реестр обработок персональных данных нужен? Нужен!
Ст. 30 GDPR говорит о том, что и контролер, и процессор обязаны вести реестр деятельности по обработке персональных данных (хотя перечень сведений, включаемых в такой реестр, и отличается). Однако из этого общего правила есть исключение, предусмотренное в п. 5 ст. 30 GDPR, на которое опираются многие компании с численностью сотрудников до 250 человек. Действительно ли такие небольшие организации вправе не вести реестр обработок? И если да, почему команда Data Privacy Office работу с любым клиентом начинает именно с составления реестра? Разберемся!
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Что такое реестр обработок персональных данных?
Реестр обработок (он же Реестр деятельности по обработке персональных данных) – это документ, в котором содержится информация о том, как в компании обрабатываются персональные данные. Ст. 30 GDPR устанавливает обязанность вести такой реестр для каждого контролера и процессора. Однако перечень сведений, которые включены в такой реестр, отличается: поскольку процессор обрабатывает данные на основании поручения контролера и не определяет цель и правовое основание обработки, срок хранения данных, категории получателей данных, то и перечень обязательных для процессора компонентов реестра уже.
Обязательные компоненты реестра для контролера | Обязательные компоненты реестра для процессора |
|---|---|
Имя и контактная информацию контролера и, если применимо, со-контролера, представителя контролера и инспектора по защите персональных данных. | Имя и контактные данные процессора или процессоров и каждого контролера, от имени которого работает процессор, и, если применимо, представителя контролера или процессора и инспектора по защите персональных данных. |
Цели обработки. | Цели обработки. |
Описание категорий субъектов данных и категорий персональных данных. | |
Категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международные организации. | |
Если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий. | Если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий. |
Если возможно, планируемые сроки удаления различных категорий персональных данных. | |
Если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR. | Если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR. |
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
В какой форме составлять реестр?
Реестр составляется в письменной форме, при этом компания может вести его в электронном виде. Зачастую документ выглядит как таблица, в которой каждая строка соответствует определенной обработке, а столбец – категории сведений, которые необходимо указывать в реестре. Чем больше в компании обработок персональных данных, тем больше строк в таблице.
Основная цель реестра – дать представление о том, какие данные, для чего и как обрабатываются в компании. Поэтому часто компании включают в реестр дополнительные категории сведений (помимо того, что они обязаны указать в соответствии с GDPR). Например, в реестре также можно включить:
01
Указание на то, требование какой статьи какого закона компания исполняет, если основанием для обработки является требование закона. Поскольку тексты законов регулярно меняются, в будущем такое требование может быть отменено. Если компания продолжит обрабатывать эти данные, такая обработка будет незаконной, ведь правовое основание – требование закона – уже отпало. Конечно, компания может регулярно проверять все применимое законодательство, но гораздо удобнее знать, в какой именно статье закреплено соответствующее требование.
02
Сведения о том, какие категории персональных данных передаются за пределы ЕС и/или получателям данным (в том числе процессорам). Иногда для одной цели обрабатываются несколько категорий данных (например, 10), при этом за рубеж могут передаваться лишь некоторые из них (например, 5 из 10). В этом случае компаниям может быть удобно указать, какие именно данные передаются, чтобы в договоре с контрагентом не перечислять категории данных, к которым этот контрагент фактически не будет иметь доступа.
03
Указание на то, какое именно подразделение контролирует соответствующую обработку в компании. Эта информация полезна потому, что при обновлении и/или проверке актуальности реестра инспектор или менеджер по защите персональных данных всегда знает, кто именно может предоставить ему актуальные сведения об обработке.
04
Отметка о применимости GDPR. Иногда лишь часть обработок персональных данных в компании регулируется положениями GDPR. В такой ситуации удобно иметь в реестре указание на то, к каким обработкам GDPR применяется, а к каким – нет.
Хотя компании вправе добавлять неограниченное количество данных в реестр (и столбцов в соответствующей таблице может быть гораздо больше), мы рекомендуем соблюдать баланс: реестр со множеством дополнительных данных может быть неудобным в работе и скорее тормозить, нежели облегчать поиск информации.
Если в моей компании работает меньше 250 сотрудников, могу ли я не составлять реестр обработок?
Увы, это распространенное заблуждение. На самом деле реестр персональных данных обязана вести даже компания с численностью работников до 250 человек, но в документе тогда можно отображать не все обработки.
П. 5 ст. 30 GDPR предусматривает, что обязательства по ведению реестра не распространяются на предприятия или организации с численностью работников менее 250 человек, за исключением случаев, когда:
- обработка, которую они осуществляют, с большой долей вероятности может привести к риску нарушения прав и свобод субъектов данных;
- обработка не носит случайный характер;
- обработка включает специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.
То есть, компания может не вести реестр обработок вовсе, если все три исключения не актуальны: все обработки безрисковые, И случайные, И не включают специальные категории данных. Но на практике в любой компании есть неслучайные, регулярные обработки (например, обработки персональных данных работников при приеме их на работу, выдаче зарплаты, учете рабочего времени и т.д.).
Значит ли это, что все компании из-за обработки персональных данных работников автоматически лишаются возможности использовать это исключение? Отнюдь. Европейский надзорный орган (European Data Protection Board) разъяснил, что компании размером до 250 человек все еще могут не включать в реестр те обработки, которые одновременно:
- с низкой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, И
- носят случайный характер, И
- не включают специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.
То есть, две компании с одинаковым набором обработок (среди которых есть и случайные, и регулярные), в одной из которых 240 сотрудников, а в другой – 260, будут иметь разный по количеству указанных обработок реестр хотя бы даже потому, что у второй реестр также будет включать безрисковые разовые обработки, не связанные со специальными категориями данных. Первая же из компаний такие обработки указывать в реестре не обязана.
В чем польза реестра обработок?
От реестра обработок, как от картины на стене в мультфильме “Простоквашино” (помните, она дырку на обоях загораживала?), очень большая польза: он раскладывает “по полочкам” информацию о том, как в компании обрабатываются персональные данные. Почему это ценно:
01
02
03
То есть, мы составим реестр – и будет нам счастье?
Безусловно 😊
Но недолго! Потому что процессы в компаниях обычно не стоят на месте: появляются новые продукты и услуги, изменяется законодательство, заводятся отношения с новыми партнерами. Это значит, что при изменении или прекращении существующих обработок, а также при появлении новых необходимо вносить соответствующие изменения в реестр, чтобы он отражал фактическое положение дел. Увы, составить один реестр и жить с ним годами не получится, поэтому с составления реестра работа с ним только начинается. Но поверьте, удобство использования реестра (в том числе возможность для компании “спать спокойно”, если реестром заинтересуется надзорный орган) перекрывает кажущиеся недостатки.
