Велика кількість компаній, які зіштовхуються з питанням практичного застосування вимог General Data Protection Regulation, також зіштовхуються і з питанням оцінки ризиковості обробки персональних даних в тих чи інших сферах обробки персональних даних.

Що таке DPIA і як з цим працювати – розповідає наш постійний спікер Сергій Богарада.

Варто зауважити, що ризики, які стають на шляху компанії, можуть варіюватися та змінюватися в залежності від сфери бізнесу, в якій провадить свою діяльність компанія, а також від персональних даних, збирання та обробка яких є необхідними для реалізації поставлених бізнес цілей.

Європейські законодавці передбачили інструмент, за допомогою якого, компанія може здійснити оцінку впливу на обробку персональних даних та забезпечити відповідність вимогам європейському законодавству. Такий інструмент передбачений положеннями статтею 35 GDPR, та має назву Data Protection Impact Assessment або DPIA.

Так стаття 35 GDPR передбачає, що у випадку, коли обробка персональних даних може призвести до настання високих ризиків для прав та свобод фізичних осіб, чиї персональні дані оброблюються, кожен контролер (незалежно від того фізична це чи юридична особа), беручи до уваги природу, контекст, об’єми та цілі обробки персональних даних, повинен здійснити оцінювання впливу передбачуваної обробки на захист персональних даних.

І хоча європейські законодавці рекомендують здійснювати DPIA лише в тих випадках, коли ідентифікуються лише високі ризики, ми ж рекомендуємо здійснювати оцінку ризиків в будь-якому випадку, не залежно від об’ємів та природи обробки персональних даних. Таке оцінювання буде не аби яким плюсом в доведенні відповідності компанії вимогам GDPR.

Також не варто забувати, що GDPR передбачає конкретні випадки, коли проведення оцінювання ризиків є обов’язковим. Це наприклад випадки, коли:

  • здійснюється систематичне оцінювання особистих аспектів фізичних осіб, які ґрунтуються на автоматичній обробці персональних даних, включаючи профілювання. При цьому, таке оцінювання повинно провокувати появу юридичних наслідків стосовно фізичних осіб або значно впливати на фізичних осіб.
  • здійснюється обробка чутливих персональних даних або персональних даних, пов’язаних з кримінальними злочинами, у великих масштабах.
  • здійснюється систематичний моніторинг публічних місць у великих масштабах.

Порядок проведення DPIA

Компанія повинна забезпечити, щоб були дотримані всі процедури, передбачені для проведення такого типу оцінювання, зокрема, повинна дотримуватися чітка послідовність дій, які компанія повинна вчинити для можливості отримати належний результат. Так, у відповідності до рекомендацій компетентних європейських органів у сфері захисту персональних даних, оцінювання повинно включати наступні етапи:

  • детальний опис передбачуваних операцій з обробки персональних даних, включаючи цілі обробки персональних даних;
  • оцінку необхідності і пропорційності операцій з обробки персональних даних по відношенню до цілей обробки персональних даних;
  • безпосередню оцінку ризиків для прав та свобод фізичних осіб, чиї персональні дані оброблюються;
  • визначення та прийняття заходів, необхідних для реагування на ідентифіковані ризики, включаючи заходи безпеки та механізми, що гарантують захист персональних даних та дотримання вимог GDPR.

Також не варто забувати і про проведення відповідного контролю за ефективністю заходів безпеки, які були вжиті для мінімізації або усунення виявлених ризиків, які повинні бути здійснені компанією після реалізації всіх описаних вище етапів. Мається на увазі, що DPIA, по відношенню до конкретної сфери обробки персональних даних, в рамках якої були виявлені високі ризики, повинно проводитися і в майбутньому, для виявлення можливого рецидиву появи ідентифікованого раніше високого ризику в цій сфері, а також вжиття, при необхідності, додаткових заходів безпеки.

Особи, які беруть участь в проведенні DPIA

Щодо осіб, які повинні приймати участь в проведенні оцінювання ризиковості обробки персональних даних, то варто зазначити, що це можуть бути як працівники компанії, так і сторонні спеціалісти, які мають достатній рівень кваліфікації в питаннях обробки персональних даних. Компанія, з числа вище згаданих осіб, повинна сформувати таку собі команду (DPIA team), основним завданням якої повинне бути виявлення ризиків та ефективна робота з ними.

Склад DPIA team повинен обов’язково передбачати наявність спеціаліста по обробці персональних даних, ІТ спеціаліста та менеджера компанії. Окрім цього, до складу команди можуть входити також інші спеціалісти та співробітники, які, наприклад, очолюють конкретні підрозділи компанії, що приймають участь в обробці персональних даних.

Не варто забувати про той факт, що GDPR передбачає обов’язкове залучення також і Data Protection Officer (DPO) до проведення оцінювання впливу на обробку персональних даних, у якості консультанта. Але ця умова є актуальною тільки тоді, коли компанія призначила або ж співпрацює з таким DPO.

Залучення зовнішніх спеціалістів та необхідність комунікації з Data Protection Authority (DPA)

Чи варто компанії здійснювати оцінювання власними силами? На це питання немає однозначної відповіді, адже для можливості отримати максимально ефективний результат, спеціаліст по персональним даним компанії, повинен мати не аби який досвід та відповідну кваліфікацію.

Ми рекомендуємо, перед початком проведення будь-яких дій, пов’язаних з DPIA, звернутися до спеціалістів, які б, як мінімум, допомогли вам вибудувати чіткий алгоритм дій для компаній, при здійсненні оцінювання ризиковості, або ж надали допомогу при безпосередньому проведенні оцінювання.

Компанія BSO Privacy Group (bsoprivacygroup.com) надає саме такі послуги, так як її спеціалісти мають значний досвід роботи з європейським законодавством у сфері захисту персональних даних.

В підтвердження необхідності звернення до спеціалістів у сфері захисту персональних даних, при проведенні оцінювання ризиковості обробки персональних даних, можемо навести факт обов’язковості звернення до Data Protection Authority (DPA) у разі виявлення високого ризику, а така комунікація, в свою чергу, потребує дій, які вже випробувані практичним досвідом комунікації з відповідними контролюючими органами.

Дотримуйтеся GDPR і вашій компанії не доведеться думати про штрафи.

Pin It on Pinterest