Что включать в реестр обработок: обязательные элементы и информация для GDPR-compliance
- 24 апреля, 2024
- Документы, Законодательства, Обработка данных, Термины
Одним из ключевых требований GDPR является наличие реестра обработки данных.
Реестр обработки данных (Record of Processing Activities — RoPA) — это документ, который содержит информацию о том, как организация обрабатывает персональные данные.
Наличие это документа помогает видеть полную картину всех обработок, обеспечивать соблюдение нормативных требований и прозрачности по отношению к субъектам данных. Реестр упорядочивает хаос: делает обработку персональных данных понятной, а доступ к информации — удобным. В следующих разделах мы более подробно рассматриваем содержание документа и основные принципы его ведения.
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Основные принципы ведения реестра
А задумывались ли вы, какую роль играет реестр в обеспечении прозрачности и соблюдении законодательства?
Он, несомненно, помогает реализовать принцип подотчетности (ст. 5(2) GDPR), так как собранная информация структурируется и хранится в удобочитаемом виде. А это, в свою очередь, весомый туз в рукаве перед надзорными органами. Однако реестр не просто очередной документ в бюрократической рутине, а разумный инструмент, который является “палочкой-выручалочкой” в соблюдении требований GDPR.
Статья 20 GDPR указывает, что в документе обязательно должны быть отражены следующие сведения:
📎 категории персональных данных, а также их субъектов;
📎 группы лиц и органов, которым раскрываются данные;
📎 сроки хранения данных;
📎 цели и основания обработки;
📎 описание способов защиты данных.
Как правило, реестр обработок составляют в виде таблицы. Это удобно: каждая строка равносильна одной обработке, а каждый столбец — одной из категорий информации (для чего используются данные, кто имеет к ним доступ и т.п.).
Заметим, что реестр должен соответствовать следующим принципам:
Законность и добросовестность.
Ведение реестра должно быть основано на законных основаниях и проводиться добросовестно.
Ограничение целей.
Реестр должен отражать истинные цели обработки, с которыми согласны субъекты данных. Обработка данных в целях, не указанных в реестре, является нарушением.
Минимизация данных.
Если обнаруживаются “лишние” виды деятельности, которые не соответствуют первоначальной цели компании, их следует завершить, а данные уничтожить.
Точность данных.
Реестр должен регулярно обновляться, чтобы отражать любые изменения в обработках.
Ограничение сроков хранения данных.
Реестр должен указывать период хранения персональных данных, которые следует удалять по истечении срока использования или при достижении целей обработки.
Целостность и конфиденциальность.
Реестр должен быть защищен от несанкционированного доступа, изменения или раскрытия. Организациям следует принимать меры безопасности для защиты реестра и персональных данных.
Прозрачность.
Организации должны предоставлять информацию об обработке данных субъектам по их запросу.
Персональные данные субъектов
В реестр обработки данных следует включать различные категории персональных данных субъектов, в зависимости от конкретных обстоятельств и целей обработки.
Однако основными категориями данных принято считать следующие:
1. ФИО субъекта.
2. Дата рождения.
3. Паспортные данные (серия, номер, кем и когда выдан).
4. Адрес регистрации и фактического проживания.
5. Контактная информация (телефоны, электронная почта).
6. Данные о семейном положении (семейное положение, наличие детей).
7. Информация о месте работы и должности.
8. Данные о доходах и имуществе.
9. Информация о медицинских данных.
10. Другие сведения, предоставленные субъектом в процессе заполнения анкет или форм.
Важно учитывать, что обработка и хранение личных данных субъектов должны осуществляться с соблюдением требований законодательства о персональных данных.
Разработка реестра персональных данных
Вместе с консультантами вы сможете провести инвентаризацию обработок, структурировать их и получить готовое пространство, удобное для дальнейшей работы DPO.
Цели обработки данных
Четкая и детальная информация о целях обработки данных в реестре имеет важное значение, ведь пользователи должны понимать, зачем их данные собираются и как они будут использоваться. Это помогает установить доверие между сторонами и предотвратить возможные конфликты или недопонимания.
Теперь перейдет к тому, как указывать цели в реестре обработок:
Определите мотив
Цели обработки могут быть разнообразными — от выполнения договорных обязательств до обеспечения безопасности информации. При заполнении реестра важно четко понимать, для чего конкретные данные нужны ваше организации.
Соблюдайте принципы законности и прозрачности
На данном этапе обязательно убедитесь, что у вас есть правовое обоснование для обработки данных по указанным целям.
Так, согласно статье 6 GDPR существует шесть правовых оснований обработки персональных данных:
1. Жизненный интерес
2. Контракт
3. Требование закона
4. Публичный интерес
5. Легитимный интерес
6. Согласие
Обновляйте цели при необходимости
В процессе работы цели обработки данных могут меняться. Поэтому важно регулярно их пересматривать и обновлять в реестре с учетом текущих потребностей и требований.
При соблюдении указанных рекомендаций вы сможете корректно и эффективно указывать цели обработки, обеспечивая законное и прозрачное использование информации.
Ниже приведены примеры целей, которые могут быть указаны в реестре:
📎 Увеличение конверсии: анализировать данные о поведении пользователей на сайте и оптимизировать контент для увеличения числа конверсий.
📎 Улучшение релевантности: использовать данные о предпочтениях и интересах целевой аудитории для создания более персонализированного контента.
📎 Улучшение SEO: анализировать данные о запросах пользователей и популярных ключевых словах для оптимизации контента и улучшения позиций в поисковых результатах.
📎 Создание таргетированных кампаний: использовать данные о поведении пользователей для создания таргетированных рекламных кампаний и увеличения эффективности маркетинга.
📎 Мониторинг результатов: отслеживать и анализировать данные о результатах маркетинговых кампаний для постоянного улучшения стратегии и достижения поставленных целей.
Сроки хранения данных
Согласно GDPR, персональные данные должны храниться только до тех пор, пока они нужны для достижения поставленной цели. И этот срок необходимо оценить исходя из законодательных требований, статистических данных, бизнес-потребностей и других факторов еще до начала сбора данных.
️ Реестр должен содержать информацию о периоде обработки для каждой категории персональных данных!
Однако есть нюанс. Если данные нужные для научных исследований или статистики, то, согласно статье 89(1), они, как архив, могут храниться более продолжительное время.
Также, исходя из принципа обоснованности, сроки хранения данных должны быть оправданы и документированы.
Примеры сроков хранения:
📎 Если данные собираются для выполнения договорных обязательств, они могут храниться на протяжении срока действия договора и в течение определенного периода после его окончания для разрешения споров или соблюдения юридических требований.
📎 В отношении финансовой отчетности, данные могут храниться в течение количества лет, установленного в соответствии с требованиями налогового законодательства.
Не забывайте, что компании должны установить механизмы управления и отслеживания сроков хранения. Как вариант, можно использовать систему с уведомлениями, регулярное обновление реестра данных и проведение периодических аудитов для проверки соответствия законодательству.
Защита данных и безопасность
Организация, которая заботится о своих клиентах, должна обеспечивать защиту их данных от несанкционированного доступа, утечки или потери. Спойлер, все меры должны быть отражены в реестре обработок.
Ниже приведены основные элементы безопасности, которые должны быть включены в реестр:
📎 Шифрование данных
Данные могут быть зашифрованы во время их передачи и хранения, чтобы предотвратить несанкционированный доступ.
📎 Мониторинг безопасности
Регулярный мониторинг безопасности помогает выявить любые угрозы или аномальную активность, которая может указывать на нарушение безопасности данных. Включает: мониторинг журналов доступа, анализ активности пользователей и использование инструментов мониторинга сети.
📎 Обучение сотрудников
Сотрудникам следует предоставлять информацию о политиках безопасности, процедурах обработки данных и осведомлять их о возможных угрозах и методах защиты данных.
📎 Контроль доступа
Должен быть разработан механизм контроля доступа, чтобы разграничить права доступа к данным в соответствии с ролями и ответственностями пользователей. Включает: установку паролей, многоуровневую аутентификацию, ролевое управление доступом и другие меры.
📎 Резервное копирование данных
Регулярное создание резервных копий данных и их хранение в безопасном месте является важным аспектом защиты данных от потери или повреждения.
Стоит отметить, что защита данных не одноразовая акция. Она должна быть непрерывной, а меры безопасности необходима регулярно обновлять и адаптировать к изменяющимся угрозам и требованиям.
Обязательное уведомление и документация
Документация и уведомления важны для соблюдении требований защиты данных. Они помогают организациям поддерживать прозрачность и сообщать субъектам данных их права и цели обработок.
Среди ключевых документов можно выделить следующие:
Политика обработки данных — это основной документ, который описывает принципы, правила и процедуры по сбору, хранению, использованию и защите персональных данных.
Согласие на обработку данных — это документ, согласие человека на обработку его персональных данных.
Положение о защите данных — документ, который определяет механизмы и методы защиты персональных данных от несанкционированного доступа, уничтожения, изменения и распространения.
Инструкции по обработке данных — это документ, который устанавливает порядок действий сотрудников при обработке персональных данных и обеспечивает их безопасность.
Перечень может быть расширен в зависимости от специфики деятельности организации и требований законодательства о защите данных.
Уведомления субъектов данных
Субъекты данных должны быть уведомлены о целях обработки и их. Это может включать информацию о том, какие данные собираются, на каких основаниях они обрабатываются, кто будет иметь доступ к данным, а также права субъекта данных (право на доступ, исправление, удаление и ограничение обработки данных).
Уведомления должны быть ясными, понятными и доступными для субъектов данных.
Включение обязательных элементов в реестр обработки данных согласно GDPR является необходимым. Это позволяет организациям контролировать свои действия с данными, а также демонстрировать готовность к соблюдению принципов GDPR.
Заключение
Обобщим!
Создание и поддержание актуального реестра обработок данных позволяет соблюдать законодательство, реализовывать принцип прозрачности, защищать данные субъектов.
Не забывайте о возможности проверок со стороны контролирующих органов. Продемонстрируйте свою готовность к соблюдению GDPR и ответственность в отношении персональных данных — заполните реестр обработок.
А если потребуется помощь, вы всегда можете обратиться к нам — в Data Privacy Office.
Берегите время, заботьтесь о данных и соблюдайте GDPR 
