Что такое GDPR (General Data Protection Regulation)

Выявлять контекст организации, определять потребности организации в защите персональных данных, привлекаемых и заинтересованных в этом лиц, охвата работ. Иными словами, необходимо провести рекогносцировку на местности, выбрать союзников и сформулировать цель.

Заручиться поддержкой руководства компании (а здесь рассказали, как уговорить босса дать деньги на внедрение GDPR), поскольку потребуется значительное изменение в процессах и существенные затраты. Кроме того, не редки случаи, когда компании вынуждены ограничить себя в маркетинговой деятельности, умерить свой аппетит к объемам персональных данных.

Спланировать мероприятия по защите персональных данных, определить зоны ответственности различных департаментов, сотрудников (к слову, наша команда всегда поможет помочь с организацией корпоративного обучения для вашей команды). 

На берегу договориться, как будет оцениваться эффективность программы по защите персональных данных. То есть, сформулировать индикаторы успеха, KPI.

Провести инвентаризацию персональных данных и информационных систем, заполнив Реестр обработок персональных данных по ст. 30 GDPR (RoPA).

Оценить, какие есть риски для компании в связи с GDPR (штрафы, потери контрактов, сложности на отдельных рынках, лояльность клиентов). Определить, от каких именно процессов (обработок персональных данных) исходит большинство этих рисков.

Разработать локальные нормативные правовые акты (политики информационной приватности и безопасности) исходя из уровня рисков, вида деятельности, корпоративной культуры, организационной структуры, рынка, потребностей и других характеристик компании.

Привести информационную безопасность компании к должному уровню. Для этого необходимо не только разработать положение об информационной безопасности, но и:

📎 назначить ответственных за безопасность лиц, наделить их необходимыми полномочиями либо выделить отдел по информационной безопасности;

📎 выстроить работы по контролю за информационными активами;

📎 разработать правила использования мобильных устройств и удаленной работы;

📎 обеспечить управление доступами к персональным данным;

📎 проводить скрининг сотрудников, внутренних и внешних аудитов;

📎 шифровать данные;

📎 управлять инцидентами;

📎 обеспечить физическую защиту данных;

📎 согласовать приобретение новых систем управления безопасностью, персональными данными и т.д.;

📎 подключать новых подрядчиков и вести их мониторинг.

📎 Выделить, структурировать и задокументировать все цели обработок персональных данных. Необходимо сформулировать цели не юридическим, а “человеческим” языком, причем настолько конкретно и ясно,

• • чтобы можно было выделить в процессах различные обработки (processing activities) по GDPR;
  • чтобы можно было подобрать одно-единственное правовое основание под каждую обработку;
  • чтобы типичный представитель вашей целевой аудитории мог понять из формулировки, что будет происходить с его персональными данными.

📎 Правильно подобрать одно из шести правовых оснований для каждой цели/обработки персональных данных, проставив в Реестре обработок (RoPA) по одному правовому основанию напротив каждой строки/обработки. В случае, если основание – согласие, необходимо сформулировать и задокументировать его. Потом также придется выполнить требования ISO27701.7.2.4, запустив процесс сбора согласия, ISO27701.3.4 – изменения или отзыва, и ISO27701.2.3 – процесс доказывания его предоставления. Если же основание – легитимный интерес, необходимо очертить его рамки, усилить с помощью мер предосторожности (safeguards) и задокументировать данный интерес, проведя Оценку легитимного интереса (Legitimate Interest Assessment) и затем реализовав меры предосторожности, выбранные в Оценке. Если основание – требование закона, необходимо найти соответствующую норму, обязывающую обрабатывать персональные данные, и сослаться на нее в Реестре обработок.

📎 Если среди обрабатываемой информации есть также биометрические, медицинские и другие специальные категории персональных данных, то наряду с правовыми основаниями обработки необходимо найти одно из исключений по ст. 9(2) GDPR, которое позволяет снять запрет на обработку персональных данных для данной цели.

📎 Среди всего перечня обработок, которые ведет компания, необходимо найти все обработки, в которых правовым основанием является согласие. Далее необходимо убедиться, что компания будет способна продемонстрировать надзорному органу, аудитору или субъекту данных получение согласия на обработку. Также потребуется фиксировать обстоятельства этого (время, место дачи согласия, а также его содержание).

📎 Получать и регистрировать согласия от субъектов. Они могут быть получены в электронной, бумажной или устной формах. Но даже в случае устного согласия необходима их регистрация в соответствующем логе, журнале или карточке клиента. Учтите, что согласие получается не для всех обработок. Это не единственное основание, и отказ о другого правового основания (вроде контракта или легитимного интереса) в пользу согласия может быть нарушением GDPR.

📎 Проводить оценку воздействия на защиту персональных данных (DPIA) для отдельной обработки персональных данных, когда в ее результате скорее всего материализуется серьезный с точки зрения последствий риск. Причем учтите, что риск оценивается не для вашей компании, а с точки зрения последствий для субъекта персональных данных, его прав и свобод. Необходимо руководствоваться ст.35 GDPR и гайдлайнсом о DPIA.

📎 Связывать обязательствами всех подрядчиков, которым передаются персональные данные. Для этого нужно подписать Data Processing Agreement в соответствии со ст.28 GDPR. Соглашение должно содержать все положения, упомянутые в ст.28(3), а также перечень мер информационной безопасности, чтобы обеспечить целостность, конфиденциальность и доступность передаваемых персональных данных.

📎 Выявить процессы, в которых компания совместно с кем-то еще определяет цели и средства обработки, и заключить один или несколько договоров для со-контролеров. Роли и обязанности со-контролеров должны быть задокументированы в контракте или любом аналогичном обязательном документе, который содержит условия совместной обработки данных.

📎 Разработать, наполнить и поддерживать в актуальном состоянии Реестр обработок персональных данных по ст.30 GDPR (RoPA). Он представляет собой каталог целей обработки данных, а также содержит в себе сведения о собираемых данных, процессорах, сроках удаления и т.п. С просмотра Реестра обычно начинаются проверки и аудиты по GDPR. Он помогает оперативно отвечать на запросы субъектов данных, так как облегчает поиск их данных среди департаментов и информационных систем.

📎 Определить и задокументировать в каких точках субъект данных может ознакомиться с privacy notice / privacy policy для каждой обработки. Это не сводится лишь к политике на сайте. Необходимо предусмотреть способы информирования при оффлайн-взаимодействии (в офисе или на мероприятиях), а также при разговорах по телефону. Аналогично необходимо определить какие из прав GDPR есть у субъекта для каждой из обработок (каждого процесса) и каким образом субъект сможет реализовать свои права онлайн на сайте, в приложении, при получении мэйлов, смс, push-уведомлений, бумажных рассылок, либо когда ваш сотрудник беседует с ним по телефону. Например, необходимо определить имеется ли у человека право быть забытым в данном процессе и каким образом он будет при необходимости запрашивать копию своих персональных данных.

📎 Если вы принимаете исключительно автоматизированные серьезные решения в отношении субъектов данных, вам необходимо определить какие обязательства возникают у вас перед людьми в связи с тем, что эти значимые решения были автоматизированы. Необходимо выполнять эти обязательства. Например, 1) уведомлять субъектов о существовании и логике автоматизированных решений, 2) снижать риски причинения вреда правам и интересам людей, 3) предоставлять им право возражать против автоматизированного решения.

📎 Определить о чем компания должна информировать людей в связи с обработкой их персональных данных. Этот перечень потребуется для наполнения политик приватности и уведомлений информацией о ваших процессах. По нему мы будем проверять, насколько полную информацию мы предоставляем субъектам данных. В GDPR эта информация указана в ст.13 и 14 GDPR, а также Guidelines on transparency. Кроме того субъекты данных могут запрашивать информацию индивидуально. В GDPR перечень такой информации содержится в ст.15(1).

📎 Предоставить с помощью политики приватности и других уведомлений четкую и легкодоступную информацию об обработке персональных данных. Например, среди всего прочего указанного в ст.13–14 GDPR нужно сообщать о цели, правовых основаниях, длительности каждой обработки, получателях персональных данных. Требуется назвать компанию, контакты ее DPO, а также наименования других компаний, с которыми она совместно контролирует обработку данных. Политики приватности должны быть понятны типичному представителю целевой аудитории, а значит, нужно сделать перевод политики приватности для каждого языка в интерфейсе, избавиться от юридического сленга, публиковать информацию в визуально наглядной форме, например, форматировать и структурировать текст, добавлять иконки, картинки, видео, таблицы и подсказки. Также придется перевести содержание с юридического языка на “человеческий”, сделать удобную навигацию, разделить бесконечную простынь текста на связные кусочки, чтобы показывать их в подходящий момент (just in time notice).

📎 Разработать и внедрить процесс для отзыва согласий на обработку персональных данных. В рамках процессно-ориентированного подхода необходимо определить “клиентов” процесса, его цели и результаты, показатели эффективности и необходимые ресурсы, поставщиков, исполнителей и владельца процесса отзыва или изменения согласия.

📎 Разработать и внедрить процесс обработки возражений против обработки, которая ведется на основании легитимного или публичного интересов. В отличие от процесса отзыва согласия предполагается рассмотрение индивидуальных запросов и возможность отказа в реализации данного права, если запрос необоснованный.

📎 Разработать и внедрить бизнес-процесс реализации прав на доступ, корректировку и удаление персональных данных.

📎 Разработать и внедрить процесс уведомления сторонних организаций и лиц получивших от нас персональные данные, что субъект данных воспользовался своим правом на отзыв, корректировку данных или возражение против их обработки. Это требуется, чтобы получатели данных могли самостоятельно решить нужно ли им также удалять, блокировать или корректировать данные.

📎 Подготовиться к запросам субъекта на 1) доступ к своим персональным данным (обращению за их копией) в человеко-читабельном виде, а также 2) переносимость данных в машино-читабельной форме: определить объем выгрузки и задействованные информационные системы, а также внедрить соответствующий бизнес-процесс.

📎 Разработать и задокументировать процедуры того, как компания будет отвечать на запросы субъектов персональных данных без неоправданной задержки, но не позже одного месяца. Запросы могут касаться права на доступ, корректировку, удаление, блокирование персональных данных, а также право, не быть объектом решений, принятых автоматически, и право отозвать согласие и возражать против обработки.

📎 Исходя из заявленной цели обработки требуется свести объем собираемых данных к минимально нужному.

📎 При работе с данными, которые оказались в информационной системе организации, необходимо своевременно удалить ненужные сведения, сократить круг лиц, имеющих к ним доступ.

📎 Определить, какая точность необходима для каждой из обрабатываемых категорий персональных данных с точки зрения заявленной организацией цели. Для тех данных, точность которых важна, следует разработать процедуру уточнения (например, ошибок в именах) и регулярной актуализации устаревающих данных (например, адресов жительства или телефонов).

📎 По возможности использовать анонимные данные или как можно быстрее переходить на них с персональных. С помощью реестра обработок компания должна навести порядок в информации: какие из сведений для каких конкретных целей используются. После этого требуется проследить, чтобы эти сведения не использовались для иных целей.

📎 Необходимо предусмотреть технические или организационные механизмы удаления или полной анонимизации персональных данных после истечения сроков хранения данных.

📎 Выявлять, в каких местах информационной системы, каких подразделениях организации в результате регулярной обработки персональных данных могут появляться дубликаты или временные файлы, содержащие личную информацию. Затем необходимо разработать процедуры и правила удаления этих файлов, как только они перестали быть нужны.

📎 Для каждой обрабатываемой категории персональных данных необходимо установить срок обработки или критерий его определения. Эти сроки формируют Графики или Расписания удаления данных.

📎 Внедрить и задокументировать процедуры утилизации носителей с персональными данными.

📎 Использовать надежные каналы для передачи персональных данных, чтобы не допустить потерю личной информации или ее попадание в чужие руки.

📎 Оформить трансграничную передачу персональных данных (в том числе доступа к ним) за пределы Европейского Союза. Самый эффективный механизм передачи в нашем случае – это подписание Standard Contractual Clauses (приложение к Data Protection Agreement) при условии ведения регулярного контроля за подписывающими соглашения поставщиками (опросники и выборочные аудиты).

📎 Вести учет стран, в которые компания отправляет персональные данные.

📎 Регистрировать передачу персональных данных каким-либо третьим лицам (процессорам, партнерам, аудиторам госорганам и т.д.) и обеспечить, чтобы они содействовали выполнению запросов субъектов данных. Например, запросов на доступ, удаление, корректировку и т.д.

📎 Необходимо регистрировать раскрытие персональных данных каким-либо третьим лицам (процессорам, партнерам, аудиторам госорганам и т.д.).

Назначить ответственного за защиту персональных данных (в отдельных случаях это обязательное условие). Процесс приведения компании к соответствию GDPR требует грамотного подхода. Для достижения эффективности, лучше всего обратиться к профессионалу. Но в некоторых случаях Регламент требует наличие DPO (data protection officer) в штате.

Кажется, что всё это сложно и непонятно? Давайте разберем некоторые вещи подробнее.

У каждой обработки должна быть цель. Например, человек решил приобрести билет на самолет. Вы должны четко и понятно объяснить: мы собираем ваши паспортные данные (обработка), чтобы вы смогли приобрести билет (цель №1) и, чтобы проверить, не находитесь ли вы в черном списке для въезда в эту страну (цель №2). Для каждой цели должно быть свое правовое основание. ! Подумайте, какое правовое основание подходит для цели №1, а какое для цели №2. Цель нужно сообщить субъектам данных в политике приватности (так называемой «политике конфиденциальности»). Затем нужно строго придерживаться заявленной цели, чтобы выполнить принцип «ограничения целью» (см. выше). В зависимости от цели находится правовое основание.

Есть следующие варианты правовых оснований обработок:

📎 Жизненный интерес – обработка данных необходима, чтобы спасти кого-то от тяжелого увечья или смерти. Угроза должна быть реальна и актуальна на момент обработки;

📎 Контракт – без обработки персональных данных невозможно исполнение предмета договора, оказание услуги;

📎 Требование закона – когда обработка данных необходима в силу предписаний правовых актов;

📎 Публичный интерес – в случае, если общественно значимая обработка данных возложена на государственный орган, а лицо, обрабатывающее данные, помогает такому органу в обработке. Важным условием является, что орган не справится без нашей помощи;

📎 Легитимный интерес – когда законные интересы компании превалируют над правами и свободами субъекта данных. Например, когда компания окажется под угрозой, если перестанет обрабатывать данные для данной цели;

📎 Согласие субъекта данных – разрешение человека обрабатывать данные для какой-то малозначимой для него цели, которое он дает компании. Оно должно быть добровольным, конкретным, даваться под конкретную цель. При этом человек должен быть информирован обо всех значимых аспектах использования его данных Согласие должно быть выражено активным действием.

В примере про покупку билета на самолет и проверку по «черному списку» используются два разных правовых основания: для цели 1 – контракт, для цели 2 – требование закона.