— Каким белорусским компаниям стоит проверить себя в отношении действия регламента?
— Регламент распространяется на компании, работающие с европейскими персональными данными по всему миру. Правда, еще не все из них осознали, что находятся под его действием. Скажем, в Беларуси за моей помощью обращаются компании из сферы IT, транспорта, туризма, финансово-кредитной сферы, медицины и фармацевтики. Но это далеко не все, кому действительно следует заняться данным вопросом. Вот типичные ситуации, когда ваша компания обязана соблюдать регламент, работая с персональными данными:
— ваши услуги и сервисы не имеют границ, то есть предполагается, что пользоваться ими будут независимо от местоположения (например, вы разработали онлайн-игру или мобильное приложение);
— у вас есть сайт с интерфейсом на одном из языков ЕС, на котором присутствуют веб-формы для заполнения пользователями («подписаться», «отправить заявку», «заказать», «связаться», «регистрация» и т.д.);
— в базе данных отдела продаж вашей компании — контакты множества людей, находящихся в ЕС.
— Каков алгоритм действий, с чего следует начать?
— Обучитесь (узнайте сами о GDPR и научите сотрудников). Необходимо ознакомиться с требованиями регламента. Официальный текст опубликован на сайте Европейской комиссии на всех языках ЕС. Учтите, что меры по защите персональных данных (ПД) применяются не к деятельности всей белорусской компании, а к конкретному бизнес-процессу. Более того, зачастую к разным процессам применяются разные правила регламента.
Доведите до сведения каждого сотрудника, что такое данные и какие нормы GDPR их касаются. Такие знания необходимы на стадии инвентаризации ПД. Обязательно убедитесь в том, что работники усвоили информацию и смогут использовать ее в дальнейшей работе.
Сертификация по GDPR — это не обязательство, а возможность. Правда, на текущий момент сертификация, предусмотренная ст. 42 GDPR, еще не разработана.
Проведите аудит (анализ) всех процессов, в которых участвуют ПД. Важно знать, где находятся и как используются данные. Чтобы найти и не пропустить ни один процесс обработки данных, стоит привлечь все департаменты (отделы) компании. Одним из удобных вариантов является проведение анкетирования. Ваша цель — найти и идентифицировать все процессы с ПД.
Определите свою роль в обработке ПД. С учетом проведенного анализа и требований регламента квалифицируйте себя по каждой из выявленных обработок как контролера или процессора. Контролер определяет цель и средства обработки ПД, способы их получения, в то время как процессор выполняет обработку данных по поручению контролера.
Если вы являетесь процессором — проверьте, подпадаете ли под GDPR. Будучи процессором, проведите ревизию договорной базы с контролером (заказчиком), убедитесь, подписаны ли с вами стандартные договорные условия (Standard Contractual Clauses — SCC). Если такой документ подписан — на вашу компанию распространяются правила регламента, правда, лишь те, что регулируют обязательства процессора. Так, компания-процессор должна обеспечить информационную безопасность и помощь контролеру в реализации прав субъектов.
Справочно.
Процессор — это физическое или юридическое лицо, государственный орган, учреждение (иной орган), которые обрабатывают персональные данные от имени и по поручению контролера.
Если с компанией не подписаны SCC (не предлагал контролер), она находится не на территории ЕС и является процессором, то ответственность полностью лежит на иностранном контрагенте. Если про вас «забыли», напомните самостоятельно, предложив подписать договорные условия. Так вы застрахуетесь от разрыва договорных отношений, покажете серьезность и готовность разделить с контрагентом существующие риски.
Справочно.
SCC — типовой документ, подписываемый сторонами и содержащий стандартные условия о защите персональных данных (форма утверждается Европейской комиссией в соответствии с процедурой экспертизы).
Если вы — контролер, стоит определиться с целью обработки ПД. Определитесь с целью обработки ПД, найдите одно из правовых оснований для нее, а также отразите цель обработки ПД в политике приватности. По регламенту предусмотрено 6 правовых оснований для обработки ПД: контракт, согласие, легитимный интерес (справедливый, воспринимаемый субъектом как соответствующий законным ожиданиям), требование закона, публичный интерес, жизненно важный интерес.
Справочно.
Контролер — это любое физическое или юридическое лицо, государственный орган, учреждение (иной орган), которые самостоятельно или совместно с другими определяют цели и средства обработки персональных данных; контролер или критерии для его определения могут быть установлены законодательством ЕС или государства-члена в случаях, когда цели и средства этой обработки определяются их законодательством.
Под каждое основание существует свой набор прав у субъекта, а у контролера — разный объем обязанностей. Если ни одно основание не подходит под законную цель, то обработка ПД невозможна (запрещена). В такой ситуации обработку данных необходимо прекратить либо обрабатывать анонимные (обезличенные) данные, которые не являются ПД.
Справочно.
Обезличенные данные — это данные, на основании которых невозможно идентифицировать субъекта.
Обезличьте ПД при отсутствии законных оснований и обеспечьте их прозрачность. Прозрачность данных субъекта важна независимо от избранного вами законного основания. Нужно проинформировать субъект о компании, которая обрабатывает его данные, целях, временных рамках их использования, получателях ПД и др. Субъект уведомляется с помощью политики приватности (на сайтах, информационных стендах, в магазинах на кассах, устно) по общему правилу контролером, но не процессором.
Справочно.
Политика приватности (политика защиты персональных данных) — документ, уведомляющий пользователей об обработке их данных и содержащий информацию в соответствии со ст. 13 или 14 GDPR (название зачастую ошибочно и переводится на русский язык как «политика конфиденциальности»).
Сократите обработку данных до минимально возможного уровня исходя из поставленных целей. Речь идет как о минимизации содержания (объема) данных, так и о сокращении количества операций над ПД. Не просите больше данных, чем необходимо (не спрашивайте, не собирайте, не храните), своевременно удаляйте лишние данные.
Обеспечьте точность данных. Помните о принципе точности. У субъекта есть право уточнять свои данные с точки зрения цели их использования. Субъекту предоставляется возможность сличить данные и затребовать их корректировку.
Установите сроки обработки и хранения данных. Период обработки ПД определяется целями их использования. Договоры, содержащие информацию, хранятся до выполнения договорных обязательств с учетом установленных сроков для хранения (проведения налоговых проверок). Во многих европейских странах действуют похожие нормы. С момента достижения заявленной цели и в отсутствие необходимости хранить документ для другой сопоставимой цели данные нужно удалить или анонимизировать (обез-личить). Это касается как бумажной, так и электронной формы документа. Необходимо разработать инструкции о сроках хранения и утилизации данных.
Придерживайтесь ограничения целей при использовании ПД. Помните, что разрешено использовать данные только в целях, для которых осуществлялся сбор. Если ваши цели использования ПД изменились (расширились), необходимо найти новое правовое основание для обработки, например, запросить новое согласие субъекта на дополнительную обработку или обосновать свой легитимный интерес.
Документируйте защиту персональных данных. GDPR не содержит конкретного перечня необходимой документации. Как минимум вам придется вести реестр обработки данных в соответствии со ст. 30 GDPR. На практике это журнал всех бизнес-процессов, где присутствуют ПД.
В компании для учета и эффективного осуществления защиты ПД назначают инспектора по защите персональных данных. Зачастую эти обязанности совмещает специалист по информационной безопасности, реже — юристы или иные сотрудники.
Проведите риск-анализ. Результаты риск-анализа учитываются при выборе технических и организационных мер защиты (GDPR не содержит закрытого перечня таких мер). Критерии технической защиты зависят от конкретной ситуации и бюджета компании с учетом рисков для субъекта данных, а не для вашей компании.
— Где можно получить необходимые знания и информацию, которая будет применима к конкретной ситуации?
— Есть 3 альтернативы: разбираться самостоятельно, записываться на обучающие курсы или нанимать консультанта.
Самостоятельному изучению способствует то, что вся необходимая информация есть в открытых источниках. И регламент, и разъяснения надзорного органа доступны онлайн, причем на всех языках ЕС, но общий объем этой информации превышает тысячи страниц юридического текста и требует огромного количества времени.
Обучающие курсы по GDPR сокращают время до нескольких недель, но они в основном читаются на английском и их программа написана под зарубежный бизнес. Можно пройти курс «Защита персональных данных по GDPR» в школе бизнеса в Минске, Москве, Киеве или другом городе (информация есть в Интернете).
В сложных вопросах может потребоваться привлечение стороннего консультанта. При выборе консультанта обратите внимание на наличие у него опыта и профессиональной сертификации в области информационной приватности. Не следует путать образование с сертификациями в области информационной безопасности — это совершенно другая отрасль. Стандартом сертификации считаются CIPP/E для юриста, CIPM для менеджера, CIPT для технолога.
— Что еще стоит учитывать при работе с европейской компанией?
— С введением регламента европейские компании обязуются не только сами соответствовать его нормам, но и проверять соответствие всех своих подрядчиков, выступающих в качестве процессоров данных. При несоответствии требованиям регламента контролер будет привлекаться к ответственности. Из-за угрозы огромного штрафа партнер скорее предпочтет отказаться от обработки персональных данных в вашей компании, если вы не сможете доказать, что внедрили положения регламента.
— Как европейские партнеры могут проверить готовность белорусской компании к работе в рамках GDPR?
— Обычно проводится стандартная процедура аудита защиты персональных данных: предоставление документации, интервьюирование сотрудников, анализ материальных доказательств выполнения процедур. После того как будет запущена схема сертификации, предусмотренной ст. 42 GDPR, организации смогут демонстрировать соответствие с помощью этих механизмов.
Беседу вела Ирина Пунько, редактор журнала «Юрист»