Что такое RoPA и почему о нём так часто говорят? Екатерина В 9 сентября, 2022

Что такое RoPA и почему о нём так часто говорят?

В Data Privacy Office проходит Акция!

У Вас есть уникальная возможность получить заполненный Pеестр обработок персональных данных* по фиксированной цене — 2000 EURO.

Record of Processing Activities (RоPA), или реестр обработок персональных данных, – это своего рода таблица, где содержится вся информация об имеющихся в компании обработках. Данное понятие взялось из 30 статьи Общего регламента по защите персональных данных в ЕС (GDPR).

Подписывайтесь на рассылку

Хотите получать полезные материалы от Data Privacy Office?

Кому требуется вести Реестр?

Легче оттолкнуться от обратного и рассмотреть, каким компаниям данный документ вести НЕ требуется. Правда, стоит сделать оговорку: RoPA рекомендуется иметь всем (немного дальше расскажем почему).

Согласно 30 статьи GDPR не требуется вести ROPA, если исполняются четыре условия:

Не стоит обращать внимание лишь на первый пункт, ведь обязательно сочетание четырёх условий. Вероятно, вам просто нужно будет вносить не все обработки. В любой компании есть сотрудники, которых необходимо оформлять, выплачивать зарплату, а следовательно – их персональные данные регулярно используются и обрабатываются (что явно не носит хаотический характер), а значит – необходимо внести данную обработку в Реестр.

business-job-interview-concept 1

Обработка – это совокупность некоторых действий с персональными данными (сбор, хранение и т. д.), подчиненная какой-то цели. К примеру, для принятия на работу нужны паспортные данные, ФИО и др. информация, а вот для выдачи ЗП нужно знать номер банковского счета, размер оклада и количество отработанных дней. Совокупность данных для одной цели является одной обработкой.

Реестр важно вести, так как это стартовая точка на пути к приведению компании к соответствию GDPR.

Представьте, что вы хотите убраться в чёрном подвале. Существует два способа, как это сделать. Можно взять зажигалку и пытаться на ощупь находить предметы, рассматривая их только с помощью маленького огня вблизи, а можно включить свет. Полноты данных не стоит ожидать от первого метода. Реестр – та самая возможность включить свет, ведь этот документ даёт понять фронт работ и осознать, куда, что, в каком порядке и на какой срок складывать.

Реестр и его ведение – это отличный способ провести инвентаризацию обработок. В вашей компании могут храниться лишние данные, что повышает риск утечек. Или есть не обновленные данные, которые стоит удалить (чего требует сам Регламент).

Реестр, по мнению экспертов компании Data Privacy Office, – это самый недооценённый аспект комплаенса.

Чаще всего, компании ставят в приоритет процессы и документацию с явным внешним влиянием (Privacy Notice/Policy), процессы соблюдения прав субъектов, язык баннера согласия. В итоге Реестру уделяется меньше всего внимания и, довольно часто, в самом конце. А зря. Самое важное, что нужно компании для соблюдения GDPR – понимание обработок персональных данных и поддержание порядка в этой информации. Реестр выступает этим полезным инструментом и позволяет не только соответствовать ст. 30 Регламента GDPR и принципу подотчетности, но и обрести общую картину всех обработок, создать своего рода фундамент и ориентир для вашей privacy-программы.

В нашей компании работу на комплексных и долгосрочных консалтинговых проектах мы всегда начинаем с создания Реестра обработок персональных данных, чтобы понять, в какие компании передаются данные, какие риски существуют и т.д. Так быстрее и удобнее создавать DPA (соглашение об обработке данных), политику приватности, оформлять трансграничную передачу персональных данных, выполнять требования всех статей, касающихся прав субъектов (нужно уметь уточнять и удалять данные, предоставлять копию), назначать ответственных за инфосистему и т.д.

Love to work together
Мы открыты к сотрудничеству с развивающимися, инициативными компаниями.

Какая информация обычно вносится в Реестр?

1) Информационная система, где находятся персональные данные. Это облачная система, любой сервисный апликейшн, который развернут в компании, или локальная сеть, если используемый сервер не известен. К примеру, на курсе по защите персональных данных GDPR Data Privacy Professional используется несколько инфосистем: Notion (выполнение практических заданий) – e-mail, имя, действия в учебно-рабочем пространстве, а также Google-форма (прохождение тестов) – e-mail, ФИО и субкатегории (результаты, время, баллы, сами ответы).

2) Категории данных и категории субъектов, чьи данные обрабатываются. То, какие данные задействованы в указанной обработке.

3) Цель обработки. Пояснение, почему вы собираете определенные категории данных. Цель должна быть прописана максимально понятно и не двусмысленно. Одна обработка может подразумевать несколько целей. Заполнив правильно которую, вы сможете легко определить правовое основание.

4) Роль. На данном этапе вы определяете роль вашей компании в данной обработке (контролёр/процессор/соконтролёр).

5)  Получатели данных. Указать юридические и физические лица, которым в рамках указанной обработки раскрываются персональные данные.

6)  Сроки обработки. Вряд ли вы найдёте информацию о том, какие сроки обработки и в каком случае необходимо указывать. Прежде всего, опирайтесь на здравый смысл. Срок обработки зависит от цели, поэтому один и тот же e-mail может храниться 2 дня, месяц или год. Предположим, вы осуществляете маркетинговую рассылку. Обработку данных необходимо прекратить, когда закончились события для информирования или клиент забыл, что он подписался. Но как определить, что человек забыл о подписке на рассылку? Каждый раз, когда субъект открывает e-mail, он демонстрирует свою заинтересованность. Те, кто не открывал вашу рассылку на протяжение шести месяцев, вероятно, забыли о своей подписке, поэтому их стоит отписать.

7)  Правовое основание. В зависимости от цели необходимо определить правовое основание: легитимный интерес, согласие, публичный интерес, контракт, жизненно важный интерес, требование закона. Если вы затрудняетесь в определении правового основания, то, возможно, необходимо подкорректировать цель.

Разберём, каким образом внести одну из обработок маркетинга в Реестр.

Инфосистема

Категории данных

Цель обработки

Роль и применимость

Получатели данных

Сроки обработки

Правовое основание

MailChimp

  • e-mail подписчиков;
  • информация о взаимодействии с письмами;
  • имя, если субъект его вводил
  • Сообщать новости в сфере инфоприватности;
  • информировать о предстоящих курсах

GDPR действует (есть субъекты в ЕС, предложение товаров услуг в ЕС). Роль — контролёр

Rocket Science Group (компания, которая владеет MailChimp)

6 месяцев

Согласие

Также, согласно требованиям Регламента, необходимо указывать контактные данные контролёра и процессора.

Надеемся, что ведение Реестра теперь не пугает вас настолько сильно. Но стоит учитывать, что в заполнении каждого поля есть свои нюансы и особенности, которым тренер курса профессии Data Protection Officer учит своих слушателей. В рамках обучения Сергей Воронкевич CIPP/E, CIPM, CIPT, FIP рассматривает кейс компании АБВ, где собраны все сложные ситуации, чтобы вы смогли справляться с любыми практическими вызовами в реальной работе.

Что касается вопроса предоставления субъекту доступа к Реестру – в этом нет необходимости. Это внутренний документ, где может содержаться коммерческая тайна. Субъектам достаточно видеть политику приватности.

Оставайтесь с нами на связи!

Подробнее о предоставляемых услугах вы можете узнать здесь.  

Остались вопросы? Свяжитесь с нами для консультации (это абсолютно бесплатно). Будем рады стать вашим партнёром в адаптации бизнеса к новой реальности 💙 

P.S. Для того, чтобы оставаться с нами на связи и узнавать о последних апдейтах в мире приватности, подпишитесь на наш Telegram “PRO Приватность”.  

    Write a comment
    Your email address will not be published. Required fields are marked *