Что такое RoPA и почему о нём так часто говорят?

Record of Processing Activities (RоPA), или реестр обработок персональных данных, – это своего рода таблица, где содержится вся информация об имеющихся в компании обработках. Данное понятие взялось из 30 статьи Общего регламента по защите персональных данных в ЕС (GDPR).

Содержание

Кому требуется вести Реестр?

Легче оттолкнуться от обратного и рассмотреть, каким компаниям данный документ вести НЕ требуется. Правда, стоит сделать оговорку: RoPA рекомендуется иметь всем (немного дальше расскажем почему).

Согласно 30 статьи GDPR не требуется вести ROPA, если выполняются четыре условия:

📎 Численность компании до 250 человек.

📎 Обработки носят ситуативный случайный характер.

📎 Отсутствуют обработки с высоким риском последствий для субъекта.

📎 Не обрабатываются специальные (чувствительные) категории данных.

Не стоит обращать внимание лишь на первый пункт, ведь обязательно сочетание четырёх условий. Вероятно, вам просто нужно будет вносить не все обработки. В любой компании есть сотрудники, которых необходимо оформлять, выплачивать зарплату, а следовательно – их персональные данные регулярно используются и обрабатываются (что явно не носит хаотический характер), а значит – необходимо внести данную обработку в Реестр.

Обработка – это совокупность некоторых действий с персональными данными (сбор, хранение и т. д.), подчиненная какой-то цели. К примеру, для принятия на работу нужны паспортные данные, ФИО и др. информация, а вот для выдачи ЗП нужно знать номер банковского счета, размер оклада и количество отработанных дней. Совокупность данных для одной цели является одной обработкой.

Реестр важно вести, так как это стартовая точка на пути к приведению компании к соответствию GDPR.

Представьте, что вы хотите убраться в чёрном подвале. Существует два способа, как это сделать. Можно взять зажигалку и пытаться на ощупь находить предметы, рассматривая их только с помощью маленького огня вблизи, а можно включить свет. Полноты данных не стоит ожидать от первого метода. Реестр – та самая возможность включить свет, ведь этот документ даёт понять фронт работ и осознать, куда, что, в каком порядке и на какой срок складывать.

Рассказывает в подкасте Анастасия Пархимович, GDPR DPP, CIPP/E, консультант по GDPR в компании Data Privacy Office.

В нашей компании работу на комплексных и долгосрочных консалтинговых проектах мы всегда начинаем с создания Реестра обработок персональных данных, чтобы понять, в какие компании передаются данные, какие риски существуют и т.д. Так быстрее и удобнее создавать DPA (соглашение об обработке данных), политику приватностиоформлять трансграничную передачу персональных данных, выполнять требования всех статей, касающихся прав субъектов (нужно уметь уточнять и удалять данные, предоставлять копию), назначать ответственных за инфосистему и т.д.

Забронируйте бесплатную консультацию прямо сейчас.

Мы оцениваем риски для конкретного продукта и выстраиваем индивидуальную стратегию – наиболее быструю и эффективную.

Какая информация обычно вносится в Реестр?

1) Информационная система, где находятся персональные данные. Это облачная система, любой сервисный апликейшн, который развернут в компании, или локальная сеть, если используемый сервер не известен. К примеру, на курсе по защите персональных данных GDPR Data Privacy Professional используется несколько инфосистем: Notion (выполнение практических заданий) – e-mail, имя, действия в учебно-рабочем пространстве, а также Google-форма (прохождение тестов) – e-mail, ФИО и субкатегории (результаты, время, баллы, сами ответы).

2) Категории данных и категории субъектов, чьи данные обрабатываются. То, какие данные задействованы в указанной обработке.

3) Цель обработки. Пояснение, почему вы собираете определенные категории данных. Цель должна быть прописана максимально понятно и не двусмысленно. Одна обработка может подразумевать несколько целей. Заполнив правильно которую, вы сможете легко определить правовое основание.

4) Роль. На данном этапе вы определяете роль вашей компании в данной обработке (контролёр/процессор/соконтролёр).

5)  Получатели данных. Указать юридические и физические лица, которым в рамках указанной обработки раскрываются персональные данные.

6)  Сроки обработки. Вряд ли вы найдёте информацию о том, какие сроки обработки и в каком случае необходимо указывать. Прежде всего, опирайтесь на здравый смысл. Срок обработки зависит от цели, поэтому один и тот же e-mail может храниться 2 дня, месяц или год. Предположим, вы осуществляете маркетинговую рассылку. Обработку данных необходимо прекратить, когда закончились события для информирования или клиент забыл, что он подписался. Но как определить, что человек забыл о подписке на рассылку? Каждый раз, когда субъект открывает e-mail, он демонстрирует свою заинтересованность. Те, кто не открывал вашу рассылку на протяжение шести месяцев, вероятно, забыли о своей подписке, поэтому их стоит отписать.

7)  Правовое основание. В зависимости от цели необходимо определить правовое основание: легитимный интерес, согласие, публичный интерес, контракт, жизненно важный интерес, требование закона. Если вы затрудняетесь в определении правового основания, то, возможно, необходимо подкорректировать цель.

Разберём, каким образом внести одну из обработок маркетинга в Реестр.

1) Информационная система, где находятся персональные данные. Это облачная система, любой сервисный апликейшн, который развернут в компании, или локальная сеть, если используемый сервер не известен. К примеру, на курсе по защите персональных данных GDPR Data Privacy Professional используется несколько инфосистем: Notion (выполнение практических заданий) – e-mail, имя, действия в учебно-рабочем пространстве, а также Google-форма (прохождение тестов) – e-mail, ФИО и субкатегории (результаты, время, баллы, сами ответы).

2) Категории данных и категории субъектов, чьи данные обрабатываются. То, какие данные задействованы в указанной обработке.

3) Цель обработки. Пояснение, почему вы собираете определенные категории данных. Цель должна быть прописана максимально понятно и не двусмысленно. Одна обработка может подразумевать несколько целей. Заполнив правильно которую, вы сможете легко определить правовое основание.

4) Роль. На данном этапе вы определяете роль вашей компании в данной обработке (контролёр/процессор/соконтролёр).

5)  Получатели данных. Указать юридические и физические лица, которым в рамках указанной обработки раскрываются персональные данные.

6)  Сроки обработки.Вряд ли вы найдёте информацию о том, какие сроки обработки и в каком случае необходимо указывать. Прежде всего, опирайтесь на здравый смысл. Срок обработки зависит от цели, поэтому один и тот же e-mail может храниться 2 дня, месяц или год. Предположим, вы осуществляете маркетинговую рассылку. Обработку данных необходимо прекратить, когда закончились события для информирования или клиент забыл, что он подписался. Но как определить, что человек забыл о подписке на рассылку? Каждый раз, когда субъект открывает e-mail, он демонстрирует свою заинтересованность. Те, кто не открывал вашу рассылку на протяжение шести месяцев, вероятно, забыли о своей подписке, поэтому их стоит отписать.

7)  Правовое основание. В зависимости от цели необходимо определить правовое основание: легитимный интерес, согласие, публичный интерес, контракт, жизненно важный интерес, требование закона. Если вы затрудняетесь в определении правового основания, то, возможно, необходимо подкорректировать цель.

Разберём, каким образом внести одну из обработок маркетинга в Реестр.

marketing-ropa

Также, согласно требованиям Регламента, необходимо указывать контактные данные контролёра и процессора.

Надеемся, что ведение Реестра теперь не пугает вас настолько сильно. Но стоит учитывать, что в заполнении каждого поля есть свои нюансы и особенности, которым тренер курса профессии Data Protection Officer учит своих слушателей. В рамках обучения Сергей Воронкевич CIPP/E, CIPM, CIPT, FIP рассматривает кейс компании АБВ, где собраны все сложные ситуации, чтобы вы смогли справляться с любыми практическими вызовами в реальной работе.

Что касается вопроса предоставления субъекту доступа к Реестру – в этом нет необходимости. Это внутренний документ, где может содержаться коммерческая тайна. Субъектам достаточно видеть политику приватности.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.