Реестр обработки персональных данных
Что такое RoPA?
Реестр обработки данных (Record of Processing Activities — RoPA) — это документ, который содержит информацию о том, как организация обрабатывает персональные данные.
Ведение RoPA является важным требованием закона в ряде юрисдикций (например, ст. 30 GDRP). Реестр дает компании полную картину процессов и потоков с персональными данными, включающую цели, правые основания, инфосистемы и процессоров, участвующих в обработке.
Зачем нужен Реестр?
Вы поймете сильные и слабые стороны в работе над защитой персональных данных, получите информацию о пробелах и точках роста. И будете знать, как их наименее затратно и наиболее эффективно восполнить.
Наличие реестра - одно из требований GDPR-compliance. В ситуации, когда к вам постучится надзорный орган, реестр обработок выступит надежным доказательством, что компания стремится выполнять правила Регламента.
Планируете или уже работаете над GDPR-compliance?
Как выглядит реестр?
По сути, это таблица, которая включает следующие колонки:
- обработки и необходимые персональные данные для ее реализации;
- сроки удаления различных категорий персональных данных;
- правовые основания;
- специфика трансграничной передачи данных;
- общее описание технических и организационных мер безопасности и др.
Охват проекта
Входит в scope
Выявить и заполнить следующие позиции:
- Цели обработки
- Категории субъектов данных
- Категории персональных данных
- Информационные системы, задействованные в процессе
- Юрисдикции и применимые к процессам законы
- Рекомендуемые правовые основания для обработки в соответствии с GDPR
- Контролеры, процессоры и другие получатели данных
- Связи между вышеупомянутыми пунктами
Не входит в scope
- Список технических и организационных мер информационной безопасности
- Сроки хранения / удаления данных
- Правовые основания для других юрисдикций (не GDPR)
- Утвержденные правовые основания и их оформление (формы согласий, LIA и т.д.)
- Ранжирование рисков
- Механизмы для трансграничной передачи
План работы
Гарантии
01
Страхование рисков в размере 1 млн. евро
Мы обеспечиваем комплексную защиту через страхование профессиональной ответственности на сумму до 1 млн. евро.
02
Защита репутации
В случае регуляторной проверки мы защитим ваши интересы: будем управлять коммуникациями и представлять вас перед надзорными органами.
03
Комплаенс без перебоев в работе
Мы интегрируемся в рабочие процессы и каналы коммуникации без вреда для текущего ритма работы.
Авторская разработка
Что вы получите?
Реестр обработок данных (RoPA), который соответствует всем требованиям надзорных органов в применимых юрисдикциях. Он может быть использован всеми компаниями группы и легко масштабируется для включения новых юрисдикций и организаций. RoPA разработан как гибкая и легко обновляемая информационная система на платформе Notion.so. Остальные модули, необходимые для следующего этапа имплементации, также включены и интегрированы:
- Реестр информационных систем,
- Реестр privacy-рисков,
- Модуль таск-менеджмента (план действий и команда)
- Реестр получателей данных
Кроме того, система имеет функциональность искусственного интеллекта, которая может быть включена клиентом.
Забронируйте бесплатную консультацию прямо сейчас!
Сможете задать интересующие вас вопросы в области защиты персональных данных.
Узнаете, подходит ли данный продукт для вашей компании или проекта.
Получите ориентировки по стоимости, длительности и другие детали.
Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!
Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.
Полезные материалы по теме
- 1
- 2
- 3
- 4
Часто задаваемые вопросы
Во-первых, о GDPR необходимо серьезно задуматься каждой компании, которая так или иначе имеет дело с персональными данными граждан ЕС. Это закон, который необходимо соблюдать. И не стоит забывать, что надзорные органы, конкуренты и недовольные клиенты всегда начеку. А во-вторых, каждый случай уникальный и для каждой компании необходимо разработать свой план по внедрению GDPR. Копирование документов конкурентов не спасет вашу компанию от штрафов и прочих рисков.
Для некоторых работ может потребоваться значительный практический опыт или глубокий анализ проблемы. Консультант выполнит эту работу намного быстрее и качественнее.
Мы можем провести бесплатный экспресс-аудит вашей компании, отдельных процессов, продуктов или программного обеспечения на предмет соответствия Общему регламенту защиты персональных данных.
Как показывает практика, в абсолютном большинстве случаев GDPR является золотым стандартом. Вдобавок к этому стандарту мы учитываем и национальные законы.
Мы делаем полное внедрение GDPR под ключ. Юридическая и техническая стороны вопроса по умолчанию входят в план по внедрению принципов Регламента.
К сожалению, такой такой бумаги не существует. Максимально приближённой версией является сертификация ISO27701. И у нас есть большой проект на 6-10 месяцев, по итогу которого мы внедрим стандарт ISO27701 в вашу компанию.
DPO (Data Protection Officer) в первую очередь необходим тем компаниям, которые обрабатывают особую “чувствительную” категорию данных или работают с большим массивом персональных данных. При этом наличие DPO является очень хорошим тоном, спокойствием ваших клиентов и партнеров, которые знаю, что они всегда могут обратиться к нужному человеку для ответов на их запросы.