Реестр обработки персональных данных по GDPR: что это и как его создать
- 9 сентября, 2022
- GDPR, Реестр обработок
RoPA (Record of Processing Activities) — это реестр обработок персональных данных, который обязаны вести все компании, работающие с данными в соответствии с GDPR. Этот документ помогает организовать информацию о процессах обработки данных, минимизируя риски и обеспечивая соответствие требованиям законодательства.
В статье мы расскажем, кто должен вести RoPA, какие данные вносить и как правильно использовать этот инструмент для соблюдения Общего Регламента по защите персональных данных (GDPR).
Содержание
Кому требуется вести Реестр?
Легче оттолкнуться от обратного и рассмотреть, каким компаниям данный документ вести НЕ требуется. Правда, стоит сделать оговорку: RoPA рекомендуется иметь всем (немного дальше расскажем, почему).
Согласно 30 статье GDPR не требуется вести ROPA, если выполняются четыре условия:
📎 Численность компании до 250 человек.
📎 Обработки носят ситуативный случайный характер.
📎 Отсутствуют обработки с высоким риском последствий для субъекта.
📎 Не обрабатываются специальные (чувствительные) категории данных.
Не стоит обращать внимание лишь на первый пункт, ведь обязательно сочетание четырёх условий. Вероятно, вам просто нужно будет вносить не все обработки. В любой компании есть сотрудники, которых необходимо оформлять, выплачивать зарплату, а следовательно — их персональные данные регулярно используются и обрабатываются (что явно не носит хаотический характер), а значит — необходимо внести данную обработку в Реестр.
Обработка — это совокупность некоторых действий с персональными данными (сбор, хранение и т. д.), подчиненная какой-то цели. К примеру, для принятия на работу нужны паспортные данные, ФИО и др. информация, а вот для выдачи ЗП нужно знать номер банковского счета, размер оклада и количество отработанных дней. Совокупность данных для одной цели является одной обработкой.
Хотите научиться создавать реестр обработок персональных данных?
Пройдите курс GDPR Data Privacy Professional. На нем участники в командах изучают учебный кейс и пошагово создают реестр на его основе.
Зачем нужен реестр?
Реестр важно вести, так как это стартовая точка на пути к приведению компании к соответствию GDPR.
Представьте, что вы хотите убраться в чёрном подвале. Существует два способа, как это сделать. Можно взять зажигалку и пытаться на ощупь находить предметы, рассматривая их только с помощью маленького огня вблизи, а можно включить свет. Полноты данных не стоит ожидать от первого метода. Реестр — та самая возможность включить свет, ведь этот документ даёт понять фронт работ и осознать, куда, что, в каком порядке и на какой срок складывать.
Рассказывает в подкасте Анастасия Пархимович, GDPR DPP, CIPP/E, консультант Data Privacy Office.
Вот, чем полезен реестр обработок для бизнеса:
1. Проведение инвентаризации процессов обработки
Реестр — это первый шаг к тому, чтобы навести порядок в обработке персональных данных. Он позволяет компании увидеть полную картину того, какие данные обрабатываются, где они хранятся и кто ими управляет. Это живой инструмент, который помогает сразу выявить пробелы или несоответствия в обработке данных.
Например, в компании есть несколько информационных систем, таких как Trello, Salesforce и корпоративная почта. Реестр помогает привязать к этим системам данные, например, имена сотрудников или их электронные адреса, и проследить, какие данные хранятся в каждой системе, кто их использует и для каких целей.
2. Соблюдение принципа подотчетности
Реестр помогает организации демонстрировать готовность к проверкам со стороны регуляторов. Особенно важно понимать, что реестр отражает реальную картину того, как данные обрабатываются и защищаются.
Если компания работает с персональными данными клиентов, реестр помогает вам обосновать законность обработки их данных. В нем можно указать, например, на какое правовое основание опирается каждая обработка.
Кроме того, наличие реестра подтверждает выполнение принципа подотчетности (Accountability). Он становится важным аргументом при проверке компании на соответствие законодательству.
3. Повышение оперативности и удобства работы
Реестр обработки персональных данных упрощает множество операций, которые могут возникнуть при запросах от субъектов данных, составлении политики приватности или заключении договоров с контрагентами.
Если кто-то из сотрудников или клиентов решит запросить доступ к своим данным или, например, попросит их удалить, с помощью реестра можно сразу найти нужную информацию и быстро указать, где хранятся их данные, как долго они хранятся и с какой целью они обрабатываются.
Реестр также удобен при составлении политики приватности или при сотрудничестве с контрагентами. В нем будут собраны все сведения о том, какие данные передаются третьим лицам, и с кем заключены соответствующие соглашения.
4. Управление рисками и обеспечение безопасности данных
Один из важнейших аспектов реестра — это управление рисками. Реестр помогает выявить потенциальные угрозы для безопасности данных и принять меры для их минимизации.
Например, реестр помогает следить за сроками хранения данных и их безопасным удалением по истечении срока.
Кроме того, реестр — это место, где фиксируются меры безопасности: шифрование данных, контроль доступа и регулярные резервные копии.
5. Поддержание актуальности процессов
Важно помнить, что нельзя составить реестр и забыть про него. Процессы в компании постоянно меняются, и поэтому реестр нужно регулярно обновлять, чтобы он отражал текущие практики обработки данных.
Допустим, в компании запускается новый продукт или услуга, и для их работы требуется сбор новых данных. Команды, ответственные за обработку данных, должны вовремя обновлять реестр, чтобы все сведения о новых процессах были актуальными. В некоторых компаниях назначаются специальные члены команды, privacy-чемпионы, которые отслеживают изменения и обеспечивают обновление реестра в соответствующие сроки.
В нашей компании работу на комплексных и долгосрочных консалтинговых проектах мы всегда начинаем с создания Реестра обработок персональных данных, чтобы понять, в какие компании передаются данные, какие риски существуют и т.д. Так быстрее и удобнее создавать DPA (соглашение об обработке данных), политику приватности, оформлять трансграничную передачу персональных данных, выполнять требования всех статей, касающихся прав субъектов (нужно уметь уточнять и удалять данные, предоставлять копию), назначать ответственных за инфосистему и т.д.
Разбираемся, что такое трансграничная передача данных, при каких условиях ее можно осуществлять и какие документы для нее нужны.
Какая информация обычно вносится в Реестр?
1) Информационная система, где находятся персональные данные. Это облачная система, любой сервисный апликейшн, который развернут в компании, или локальная сеть, если используемый сервер не известен. К примеру, на курсе по защите персональных данных GDPR Data Privacy Professional используется несколько инфосистем: Notion (выполнение практических заданий) — e-mail, имя, действия в учебно-рабочем пространстве, а также Google-форма (прохождение тестов) — e-mail, ФИО и субкатегории (результаты, время, баллы, сами ответы).
2) Категории данных и категории субъектов, чьи данные обрабатываются. То, какие данные задействованы в указанной обработке.
3) Цель обработки. Пояснение, почему вы собираете определенные категории данных. Цель должна быть прописана максимально понятно и не двусмысленно. Одна обработка может подразумевать несколько целей. Заполнив правильно которую, вы сможете легко определить правовое основание.
4) Роль. На данном этапе вы определяете роль вашей компании в данной обработке (контролёр/процессор/соконтролёр).
Объясняем простым языком, кто является контролером, а кто — процессором по GDPR
5) Получатели данных. Указать юридические и физические лица, которым в рамках указанной обработки раскрываются персональные данные.
6) Сроки обработки. Вряд ли вы найдёте информацию о том, какие сроки обработки и в каком случае необходимо указывать. Прежде всего, опирайтесь на здравый смысл. Срок обработки зависит от цели, поэтому один и тот же e-mail может храниться 2 дня, месяц или год. Предположим, вы осуществляете маркетинговую рассылку. Обработку данных необходимо прекратить, когда закончились события для информирования или клиент забыл, что он подписался. Но как определить, что человек забыл о подписке на рассылку? Каждый раз, когда субъект открывает e-mail, он демонстрирует свою заинтересованность. Те, кто не открывал вашу рассылку на протяжение шести месяцев, вероятно, забыли о своей подписке, поэтому их стоит отписать.
7) Правовое основание. В зависимости от цели необходимо определить правовое основание: легитимный интерес, согласие, публичный интерес, контракт, жизненно важный интерес, требование закона. Если вы затрудняетесь в определении правового основания, то, возможно, необходимо подкорректировать цель.
Разберём, каким образом внести одну из обработок маркетинга в Реестр.
Также, согласно требованиям Регламента, необходимо указывать контактные данные контролёра и процессора.
Рассказываем, как бизнесу найти баланс между маркетинговыми целями и правами субъектов персональных данных и не наткнуться на штрафы и санкции.
В какой форме необходимо делать реестр?
Требования GDPR к форме составления реестра
Когда речь идет о реестре обработки персональных данных (RoPA), GDPR не требует, чтобы он был составлен в какой-то конкретной форме или с использованием определенного программного обеспечения. Главное — это наличие структурированной и доступной информации. Даже если ваша компания использует простые электронные таблицы или специализированные решения, важно, чтобы информация была легко доступной для сотрудников и регуляторов.
Согласно статье 30 GDPR, реестр должен быть составлен в письменной электронной форме. Это открывает возможность использования различных инструментов, от простых таблиц до сложных автоматизированных систем. Реестр должен содержать всю информацию, прописанную в GDPR для контролеров и процессоров, включая цели обработки данных, категории субъектов, сроки хранения, а также информацию о передаче данных третьим сторонам.
На практике реестр часто представлен как таблица или база данных, где каждая строка соответствует отдельной обработке, а столбцы содержат цели обработки, сроки хранения и категории данных и другие важные детали. Чем больше операций с данными в компании, тем более детализированным будет реестр.
Возможные формы составления реестра
В зависимости от размера компании и объема обработки данных, можно выбрать подходящую форму для ведения реестра. Существует несколько вариантов, каждый из которых имеет свои преимущества и недостатки.
А. Простые электронные таблицы (для малого и среднего бизнеса)
Для малых и средних предприятий с ограниченным количеством обработок реестр может быть создан с использованием простых и доступных инструментов. Это наиболее экономичный вариант, особенно если объем данных не слишком велик.
Инструменты:
📎 Excel или Google Таблицы — это самые распространенные и доступные решения. Тем не менее, при большом объеме данных Excel может стать неудобным: файл может зависать, а фильтры сбиваться. Для небольших команд это отличное решение для старта.
📎 Notion — отличная альтернатива для компаний с ограниченным бюджетом, так как этот инструмент позволяет гибко работать с данными и обладает большими возможностями для настройки.
📎 CRM-системы — если ваша компания уже использует CRM, такие системы могут поддерживать табличный формат данных и быть полезными для ведения реестра.
Б. Специализированные автоматизированные решения
Для крупных компаний или организаций с большим объемом обработок и потребностью в автоматизации и визуализации данных, можно рассмотреть специализированные программные решения.
Преимущества таких решений:
📎 Data Discovery — автоматическое обнаружение и классификация данных.
📎 Data Mapping — визуализация потоков данных, включая трансграничные передачи.
📎 Автоматическое формирование отчетов — например, в формате Excel или PDF, которые можно отправить регулятору.
Примеры программных решений: OneTrust, TrustArc, TrustBarrow, WireWheel и Data Privacy Organiser. Эти решения, как правило, дорогие, но они могут существенно упростить ведение реестра, особенно в крупных организациях.
В. Разработка собственного решения
Некоторые крупные компании с большими техническими возможностями могут принять решение о создании собственного программного решения для ведения реестра. В таких случаях используется собственная платформа, например, система управления бизнес-процессами.
Для этого необходимы квалифицированные разработчики, которые будут учитывать требования GDPR при создании системы. Это решение идеально подходит для компаний с уникальными потребностями.
Составление реестра с помощью Notion — Опыт команды Data Privacy Office
В Data Privacy Office мы активно используем Notion как инструмент для ведения реестра обработки персональных данных. Этот инструмент предлагает множество преимуществ. Он гибкий, недорогой и простой в использовании.
Основатель Data Privacy Office, Сергей Воронкевич, делится своим опытом создания и наполнения реестра обработок с помощью ИИ-инструментов.
Основные преимущества Notion для создания реестра:
1) Заполнение категорий данных:
📎 Для каждой категории данных можно создать отдельную страницу в Notion. Это позволяет быстро организовать данные и обеспечить их легкую доступность.
📎 Если у вас уже есть список категорий данных в Excel, его можно просто скопировать и вставить в Notion, что ускоряет процесс заполнения.
2) Гибкая настройка полей:
📎 Notion позволяет создавать любые поля, включая выпадающие списки, что удобно для указания правовых оснований обработки, целей, сроков хранения и других важных характеристик.
📎 В Notion можно создать отдельные базы данных для реестра получателей данных и реестра обработчиков, которые будут ссылаться на карточки обработки данных.
3) Командная работа и прозрачность:
📎 Notion позволяет эффективно работать в команде. при наличии прав доступа, которыми, к слову, удобно управлять, сотрудник может оставлять комментарии по поводу обработок данных.
Что касается вопроса предоставления субъекту доступа к Реестру — в этом нет необходимости. Это внутренний документ, где может содержаться коммерческая тайна. Субъектам достаточно видеть политику приватности.
Собрали обязательный моменты, которые нужно включить в политику приватности по GDPR в один файл.
Надеемся, что ведение Реестра теперь не пугает вас настолько сильно. Но стоит учитывать, что в заполнении каждого поля есть свои нюансы и особенности. Именно их объясняет Сергей Воронкевич на курсе GDPR Data Privacy Professional. В качестве практического задания участники курса рассматривают кейс компании АБВ и учатся на его примере составлять реестр обработок.
