У нас появилась новая обработка персональных данных. Что делать?

Перед тем, как начать обрабатывать персональные данные, важно ответить на вопрос “зачем нам нужна эта обработка?” От ответа будет зависеть многое: нужно ли подбирать под такую обработку отдельное правовое основание или же эта цель совместима с одной из заявленных ранее? какие права будут у субъекта данных в отношении этой обработки? необходимо ли проводить оценку легитимного интереса (Legitimate Interest Assessment, LIA) или оценку воздействия на информационную приватность (Data Protection Impact Assessment, DPIA)? и т.д.

📌 Пример: ваша компания хочет внедрить в продукт новую функцию, но нет уверенности в ее необходимости. Для изучения мнения клиентов вы хотите устроить анкетирование, один из пунктов которой– контактный адрес электронной почты (email). Он необходим, чтобы сотрудник, обрабатывающий данные, мог связаться с клиентом и уточнить интересующие детали.

💡  Цель обработки персональных данных в примере – изучение мнения клиентов о планируемом функционале.

Согласно ст. 5(1b) GDPR персональные данные должны собираться для конкретных, отчетливых и законных целей и не обрабатываться в последующем несовместимым с этими целями образом (принцип ограничения целью). Он означает, что если новая цель обработки персональных данных не совместима с ранее заявленными целями, то ее следует выделить как отдельную обработку и подобрать для нее соответствующее правовое основание.

В дальнейшем все шаги мы будем рассматривать на примере из Шага 1:

📌  Цель обработки персональных данных – изучение мнения клиентов о планируемом функционале. Ранее заявленные цели обработки персональных данных связаны с предоставлением клиентам услуг (доступа к определенному онлайн-сервису и использованию его возможностей). Изучение мнения клиентов о новом функционале не относится к предоставлению уже существующих услуг. Соответственно, новая цель обработки данных не совместима с уже существующими.

Таким образом, в реестре обработок персональных данных появится новая обработка (новая цель).

Что делаем? Вносим сведения об обработке в реестр обработок персональных данных (RoPa).

Контролер в письменном или электронном виде фиксирует сведения, относящиеся к новой обработке, в RoPa в соответствии со ст. 30(1) GDPR. 

💡  Принцип справедливости

В рамках принципа справедливости следует ответить на вопрос “Не вредит ли ваша обработка субъекту персональных данных?”

Изучая мнение клиентов, вы используете полученную информацию для улучшения вашего сервиса. Это не приведет к отрицательным последствиям для клиентов. Соответственно, принцип справедливости нарушен не будет.

💡  Принцип законности

Принцип законности требует подобрать для каждой обработки персональных данных отдельное – и только одно – правовое основание из перечисленных в ст. 6(1) GDPR. Помните: правовое основание подбирается в зависимости от цели обработки персональных данных.

В рассматриваемом случае такие основания, как “защита жизненно важного интереса” (ст. 6(1d) GDPR), “исполнение или заключение договора” (ст. 6(1b) GDPR), “выполнение задачи в публичном интересе” (ст. 6(1е) GDPR) и “исполнение предусмотренной законом обязанности” (ст. 6(1с) GDPR) не подходят по своей сути. Остаются “легитимный интерес” (ст. 6(1f) GDPR) и “согласие” ст. 6(1а) GDPR). При проведении анкетирования компания может обозначить свой легитимный интерес – разработку нового функционала и увеличение выручки. Кроме того, сама по себе обработка данных в целях анкетирования (с учетом принятых компанией мер защиты) не связана с чрезмерным ограничением прав и свобод субъектов персональных данных и нарушением их приватности. Поэтому компания выбирает “легитимный интерес” (ст. 6(1f) GDPR) в качестве правового основания для новой обработки. После этого компания проводит LIA.

💡  Принцип минимизации данных

В соответствии с принципом минимизации данных следует ограничить объем персональных данных тем минимумом, который действительно необходим для достижения цели. Собирать данных больше, нежели необходимо, – значит, нарушать этот принцип.

Чтобы узнать мнение клиента о новом функционале и иметь возможность связаться с клиентом для уточнения деталей, компании необходимо знать мнение клиента и его контактный email. Обработка других данных будет излишней.

💡  Принцип ограничения хранения

Согласно этому принципу, персональные данные должны храниться не дольше, чем это необходимо для достижения цели обработки. После данные необходимо удалить или анонимизировать.

Компания проводит анкетирование с 10 по 20 марта 2022 г. Результаты будут обрабатываться с 21 по 31 марта 2022 г., чтобы представить выводы на стратегической сессии уже 1 апреля 2022 г. Это значит, что цель обработки персональных данных будет достигнута 31 марта 2022 г. и хранить данные после 31 марта 2022 г. нельзя. В соответствии с планом проведения анкетирования данные должны быть уничтожены к 18:00 31 марта 2022 г.

💡  Принцип целостности и конфиденциальности

Этот принцип означает, что данные должны обрабатываться способом, обеспечивающим их безопасность (в том числе от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения). Для этого как контролер, так и процессор принимают различные технические и организационные меры.

Компания решила не привлекать процессора к обработке персональных данных, что было бы неизбежно, если бы использовались сторонние сервисы для анкетирования (в том числе Google Формы). Вместо этого компания разместила форму анкеты на собственном сайте, при заполнении которой данные передаются на сервер в зашифрованном виде. Доступ к информации есть только у сотрудников, которые обрабатывают данные анкет (доступ осуществляется по корпоративному логину и паролю). Компания учитывает все случаи доступа сотрудников к данным (логирование), чтобы удостовериться, что никто посторонний не обращался к ним. Все сотрудники компании, работающие с данными анкет, прошли корпоративный тренинг по GDPR и успешно сдали экзамен по правилам обращения с персональными данными.

Подробнее о принципах обработки персональных данных читайте в нашем лонгриде "Что такое GDPR (General Data Protection Regulation)".

Принцип прозрачности устанавливает обязанность контролера уведомить субъекта персональных данных об обработке в момент получения данных (ст. 13(1) GDPR). Для этого субъекту необходимо представить сведения, изложенные в этой статье.

👉  Важно: нельзя начать обработку персональных данных, а соответствующие сведения предоставить субъекту через некоторое время.

Контролер самостоятельно определяет, как именно он донесет информацию о новой обработке до субъекта персональных данных. На практике это можно сделать несколькими способами:

✔  внести изменения в политику приватности – и уведомить субъектов об этом;

✔  изложить сведения, указанные в ст. 13 GDPR, непосредственно на странице, где будет размещена форма анкеты: такой способ дает возможность сохранить “стабильность” текста основной политики приватности и не уведомлять об изменениях тех субъектов, которых такие изменения не касаются.

📌  Компания разместила сведения, указанные ст. 13 GDPR и относящиеся к обработке в целях анкетирования, непосредственно на странице с формой анкеты (выше формы). Когда форма анкеты стала недоступной (с 21 марта 2022 г.) изложенные сведения об обработке были перенесены в архив раздела “Новости приватности”, в котором компания публикует информацию обо всех изменения в обработке персональных данных. Таким образом, даже после завершения анкетирования у субъекта есть возможность уточнить, как именно обрабатывались его данные.

Поздравляем! Если ваша компания выполнила описанные выше шаги, она может приступать к обработке персональных данных. 

📌  Обратите внимание на то, что представленный алгоритм носит общий характер. Возможно, ваша обработка будет включать трансграничную передачу данных. Кроме того, вам может потребоваться провести DPIA или заключить с процессором договор об обработке персональных данных (Data Processing Agreement, DPA). Эти нюансы не рассмотрены в статье, поскольку каждая обработка уникальна. Однако мы надеемся, что эта пошаговая инструкция поможет вам правильно выстроить процесс внедрения новой обработки персональных данных в компании.