Что такое RoPA и почему о нём так часто говорят?
- 9 сентября, 2022
- Документы, Законодательства, Защита данных
Record of Processing Activities (RоPA), или реестр обработок персональных данных, – это своего рода таблица, где содержится вся информация об имеющихся в компании обработках. Данное понятие взялось из 30 статьи Общего регламента по защите персональных данных в ЕС (GDPR).
Содержание
Кому требуется вести Реестр?
Легче оттолкнуться от обратного и рассмотреть, каким компаниям данный документ вести НЕ требуется. Правда, стоит сделать оговорку: RoPA рекомендуется иметь всем (немного дальше расскажем почему).
Согласно 30 статьи GDPR не требуется вести ROPA, если выполняются четыре условия:
📎 Численность компании до 250 человек.
📎 Обработки носят ситуативный случайный характер.
📎 Отсутствуют обработки с высоким риском последствий для субъекта.
📎 Не обрабатываются специальные (чувствительные) категории данных.
Не стоит обращать внимание лишь на первый пункт, ведь обязательно сочетание четырёх условий. Вероятно, вам просто нужно будет вносить не все обработки. В любой компании есть сотрудники, которых необходимо оформлять, выплачивать зарплату, а следовательно – их персональные данные регулярно используются и обрабатываются (что явно не носит хаотический характер), а значит – необходимо внести данную обработку в Реестр.
Обработка – это совокупность некоторых действий с персональными данными (сбор, хранение и т. д.), подчиненная какой-то цели. К примеру, для принятия на работу нужны паспортные данные, ФИО и др. информация, а вот для выдачи ЗП нужно знать номер банковского счета, размер оклада и количество отработанных дней. Совокупность данных для одной цели является одной обработкой.
Реестр важно вести, так как это стартовая точка на пути к приведению компании к соответствию GDPR.
Представьте, что вы хотите убраться в чёрном подвале. Существует два способа, как это сделать. Можно взять зажигалку и пытаться на ощупь находить предметы, рассматривая их только с помощью маленького огня вблизи, а можно включить свет. Полноты данных не стоит ожидать от первого метода. Реестр – та самая возможность включить свет, ведь этот документ даёт понять фронт работ и осознать, куда, что, в каком порядке и на какой срок складывать.
В нашей компании работу на комплексных и долгосрочных консалтинговых проектах мы всегда начинаем с создания Реестра обработок персональных данных, чтобы понять, в какие компании передаются данные, какие риски существуют и т.д. Так быстрее и удобнее создавать DPA (соглашение об обработке данных), политику приватности, оформлять трансграничную передачу персональных данных, выполнять требования всех статей, касающихся прав субъектов (нужно уметь уточнять и удалять данные, предоставлять копию), назначать ответственных за инфосистему и т.д.
Забронируйте бесплатную консультацию прямо сейчас.
Какая информация обычно вносится в Реестр?
1) Информационная система, где находятся персональные данные. Это облачная система, любой сервисный апликейшн, который развернут в компании, или локальная сеть, если используемый сервер не известен. К примеру, на курсе по защите персональных данных GDPR Data Privacy Professional используется несколько инфосистем: Notion (выполнение практических заданий) – e-mail, имя, действия в учебно-рабочем пространстве, а также Google-форма (прохождение тестов) – e-mail, ФИО и субкатегории (результаты, время, баллы, сами ответы).
2) Категории данных и категории субъектов, чьи данные обрабатываются. То, какие данные задействованы в указанной обработке.
3) Цель обработки. Пояснение, почему вы собираете определенные категории данных. Цель должна быть прописана максимально понятно и не двусмысленно. Одна обработка может подразумевать несколько целей. Заполнив правильно которую, вы сможете легко определить правовое основание.
4) Роль. На данном этапе вы определяете роль вашей компании в данной обработке (контролёр/процессор/соконтролёр).
5) Получатели данных. Указать юридические и физические лица, которым в рамках указанной обработки раскрываются персональные данные.
6) Сроки обработки. Вряд ли вы найдёте информацию о том, какие сроки обработки и в каком случае необходимо указывать. Прежде всего, опирайтесь на здравый смысл. Срок обработки зависит от цели, поэтому один и тот же e-mail может храниться 2 дня, месяц или год. Предположим, вы осуществляете маркетинговую рассылку. Обработку данных необходимо прекратить, когда закончились события для информирования или клиент забыл, что он подписался. Но как определить, что человек забыл о подписке на рассылку? Каждый раз, когда субъект открывает e-mail, он демонстрирует свою заинтересованность. Те, кто не открывал вашу рассылку на протяжение шести месяцев, вероятно, забыли о своей подписке, поэтому их стоит отписать.
7) Правовое основание. В зависимости от цели необходимо определить правовое основание: легитимный интерес, согласие, публичный интерес, контракт, жизненно важный интерес, требование закона. Если вы затрудняетесь в определении правового основания, то, возможно, необходимо подкорректировать цель.
Разберём, каким образом внести одну из обработок маркетинга в Реестр.
1) Информационная система, где находятся персональные данные. Это облачная система, любой сервисный апликейшн, который развернут в компании, или локальная сеть, если используемый сервер не известен. К примеру, на курсе по защите персональных данных GDPR Data Privacy Professional используется несколько инфосистем: Notion (выполнение практических заданий) – e-mail, имя, действия в учебно-рабочем пространстве, а также Google-форма (прохождение тестов) – e-mail, ФИО и субкатегории (результаты, время, баллы, сами ответы).
2) Категории данных и категории субъектов, чьи данные обрабатываются. То, какие данные задействованы в указанной обработке.
3) Цель обработки. Пояснение, почему вы собираете определенные категории данных. Цель должна быть прописана максимально понятно и не двусмысленно. Одна обработка может подразумевать несколько целей. Заполнив правильно которую, вы сможете легко определить правовое основание.
4) Роль. На данном этапе вы определяете роль вашей компании в данной обработке (контролёр/процессор/соконтролёр).
5) Получатели данных. Указать юридические и физические лица, которым в рамках указанной обработки раскрываются персональные данные.
6) Сроки обработки.Вряд ли вы найдёте информацию о том, какие сроки обработки и в каком случае необходимо указывать. Прежде всего, опирайтесь на здравый смысл. Срок обработки зависит от цели, поэтому один и тот же e-mail может храниться 2 дня, месяц или год. Предположим, вы осуществляете маркетинговую рассылку. Обработку данных необходимо прекратить, когда закончились события для информирования или клиент забыл, что он подписался. Но как определить, что человек забыл о подписке на рассылку? Каждый раз, когда субъект открывает e-mail, он демонстрирует свою заинтересованность. Те, кто не открывал вашу рассылку на протяжение шести месяцев, вероятно, забыли о своей подписке, поэтому их стоит отписать.
7) Правовое основание. В зависимости от цели необходимо определить правовое основание: легитимный интерес, согласие, публичный интерес, контракт, жизненно важный интерес, требование закона. Если вы затрудняетесь в определении правового основания, то, возможно, необходимо подкорректировать цель.
Разберём, каким образом внести одну из обработок маркетинга в Реестр.
Также, согласно требованиям Регламента, необходимо указывать контактные данные контролёра и процессора.
Надеемся, что ведение Реестра теперь не пугает вас настолько сильно. Но стоит учитывать, что в заполнении каждого поля есть свои нюансы и особенности, которым тренер курса профессии Data Protection Officer учит своих слушателей. В рамках обучения Сергей Воронкевич CIPP/E, CIPM, CIPT, FIP рассматривает кейс компании АБВ, где собраны все сложные ситуации, чтобы вы смогли справляться с любыми практическими вызовами в реальной работе.
Что касается вопроса предоставления субъекту доступа к Реестру – в этом нет необходимости. Это внутренний документ, где может содержаться коммерческая тайна. Субъектам достаточно видеть политику приватности.
