В Data Privacy Office проходит Акция!
У Вас есть уникальная возможность получить заполненный Pеестр обработок персональных данных* по фиксированной цене — 2000 EURO.
Ст. 30 GDPR говорит о том, что и контролер, и процессор обязаны вести реестр деятельности по обработке персональных данных (хотя перечень сведений, включаемых в такой реестр, и отличается). Однако из этого общего правила есть исключение, предусмотренное в п. 5 ст. 30 GDPR, на которое опираются многие компании с численностью сотрудников до 250 человек. Действительно ли такие небольшие организации вправе не вести реестр обработок? И если да, почему команда Data Privacy Office работу с любым клиентом начинает именно с составления реестра? Разберемся!
Что такое реестр обработок персональных данных?
Обязательные компоненты реестра для контролера | Обязательные компоненты реестра для процессора |
---|---|
Имя и контактная информацию контролера и, если применимо, со-контролера, представителя контролера и инспектора по защите персональных данных. | Имя и контактные данные процессора или процессоров и каждого контролера, от имени которого работает процессор, и, если применимо, представителя контролера или процессора и инспектора по защите персональных данных. |
Цели обработки. | Цели обработки. |
Описание категорий субъектов данных и категорий персональных данных. | |
Категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международные организации. | |
Если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий. | Если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе ст. 49(1) GDPR, с документацией соответствующих гарантий. |
Если возможно, планируемые сроки удаления различных категорий персональных данных. | |
Если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR. | Если возможно, общее описание технических и организационных мер безопасности, упомянутых в ст. 32(1) GDPR. |
Реестр обработок (он же Реестр деятельности по обработке персональных данных) – это документ, в котором содержится информация о том, как в компании обрабатываются персональные данные. Ст. 30 GDPR устанавливает обязанность вести такой реестр для каждого контролера и процессора. Однако перечень сведений, которые включены в такой реестр, отличается: поскольку процессор обрабатывает данные на основании поручения контролера и не определяет цель и правовое основание обработки, срок хранения данных, категории получателей данных, то и перечень обязательных для процессора компонентов реестра уже.
В какой форме составлять реестр?
Реестр составляется в письменной форме, при этом компания может вести его в электронном виде. Зачастую документ выглядит как таблица, в которой каждая строка соответствует определенной обработке, а столбец – категории сведений, которые необходимо указывать в реестре. Чем больше в компании обработок персональных данных, тем больше строк в таблице.
Основная цель реестра – дать представление о том, какие данные, для чего и как обрабатываются в компании. Поэтому часто компании включают в реестр дополнительные категории сведений (помимо того, что они обязаны указать в соответствии с GDPR). Например, в реестре также можно включить:
01.
Указание на то, требование какой статьи какого закона компания исполняет, если основанием для обработки является требование закона. Поскольку тексты законов регулярно меняются, в будущем такое требование может быть отменено. Если компания продолжит обрабатывать эти данные, такая обработка будет незаконной, ведь правовое основание – требование закона – уже отпало. Конечно, компания может регулярно проверять все применимое законодательство, но гораздо удобнее знать, в какой именно статье закреплено соответствующее требование.
02.
Сведения о том, какие категории персональных данных передаются за пределы ЕС и/или получателям данным (в том числе процессорам). Иногда для одной цели обрабатываются несколько категорий данных (например, 10), при этом за рубеж могут передаваться лишь некоторые из них (например, 5 из 10). В этом случае компаниям может быть удобно указать, какие именно данные передаются, чтобы в договоре с контрагентом не перечислять категории данных, к которым этот контрагент фактически не будет иметь доступа.
03.
Указание на то, какое именно подразделение контролирует соответствующую обработку в компании. Эта информация полезна потому, что при обновлении и/или проверке актуальности реестра инспектор или менеджер по защите персональных данных всегда знает, кто именно может предоставить ему актуальные сведения об обработке.
04.
Отметка о применимости GDPR. Иногда лишь часть обработок персональных данных в компании регулируется положениями GDPR. В такой ситуации удобно иметь в реестре указание на то, к каким обработкам GDPR применяется, а к каким – нет.
Хотя компании вправе добавлять неограниченное количество данных в реестр (и столбцов в соответствующей таблице может быть гораздо больше), мы рекомендуем соблюдать баланс: реестр со множеством дополнительных данных может быть неудобным в работе и скорее тормозить, нежели облегчать поиск информации.
Love to work together
Поможем привести компанию к соответствию законам о защите персональных данных.
Если в моей компании работает меньше 250 сотрудников, могу ли я не составлять реестр обработок?
Увы, это распространенное заблуждение. На самом деле реестр персональных данных обязана вести даже компания с численностью работников до 250 человек, но в документе тогда можно отображать не все обработки.
П. 5 ст. 30 GDPR предусматривает, что обязательства по ведению реестра не распространяются на предприятия или организации с численностью работников менее 250 человек, за исключением случаев, когда:
- обработка, которую они осуществляют, с большой долей вероятности может привести к риску нарушения прав и свобод субъектов данных;
- обработка не носит случайный характер;
- обработка включает специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.
То есть, компания может не вести реестр обработок вовсе, если все три исключения не актуальны: все обработки безрисковые, И случайные, И не включают специальные категории данных. Но на практике в любой компании есть неслучайные, регулярные обработки (например, обработки персональных данных работников при приеме их на работу, выдаче зарплаты, учете рабочего времени и т.д.).
Значит ли это, что все компании из-за обработки персональных данных работников автоматически лишаются возможности использовать это исключение? Отнюдь. Европейский надзорный орган (European Data Protection Board) разъяснил, что компании размером до 250 человек все еще могут не включать в реестр те обработки, которые одновременно:
- с низкой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, И
- носят случайный характер, И
- не включают специальные категории данных, упомянутые в ст. 9(1) GDPR, или персональные данные, касающиеся судимостей и правонарушений, упомянутые в ст. 10 GDPR.
То есть, две компании с одинаковым набором обработок (среди которых есть и случайные, и регулярные), в одной из которых 240 сотрудников, а в другой – 260, будут иметь разный по количеству указанных обработок реестр хотя бы даже потому, что у второй реестр также будет включать безрисковые разовые обработки, не связанные со специальными категориями данных. Первая же из компаний такие обработки указывать в реестре не обязана.
В чем польза реестра обработок?
От реестра обработок, как от картины на стене в мультфильме “Простоквашино” (помните, она дырку на обоях загораживала?), очень большая польза: он раскладывает “по полочкам” информацию о том, как в компании обрабатываются персональные данные. Почему это ценно:
01.
Быстрая проверка информации
При получении запроса от субъекта данных всегда есть возможность быстро проверить, для каких целей обрабатываются данные этого субъекта, куда они передаются, где и как долго хранятся. Ответить на запрос получается быстрее.
02.
Простой поиск необходимой инфoрмации
При составлении политики приватности не нужно запрашивать информацию о проводимых в компании обработках: все необходимые сведения собраны в одном месте.
03.
Актуальная информация всегда под рукой
При составлении договора на обработку данных или заполнении стандартных договорных условий (при передаче данных за пределы ЕС – Standard Contractual Clauses, SCC) сведения о передаваемых данных удобно брать из реестра: там они всегда изложены в актуальном состоянии.
То есть, мы составим реестр – и будет нам счастье?
Безусловно 😊
Но недолго! Потому что процессы в компаниях обычно не стоят на месте: появляются новые продукты и услуги, изменяется законодательство, заводятся отношения с новыми партнерами. Это значит, что при изменении или прекращении существующих обработок, а также при появлении новых необходимо вносить соответствующие изменения в реестр, чтобы он отражал фактическое положение дел. Увы, составить один реестр и жить с ним годами не получится, поэтому с составления реестра работа с ним только начинается. Но поверьте, удобство использования реестра (в том числе возможность для компании “спать спокойно”, если реестром заинтересуется надзорный орган) перекрывает кажущиеся недостатки.
Забронируйте бесплатную консультацию прямо сейчас!
- Внедрение GDPR
- Обучение GDPR
- Выстраивание системы защиты персональных данных
- Минимальный комплаенс для выхода на новые рынки
- Индивидуальные решения по вашим запросам