Data protection impact assessment что это
DPIA на практике
1. В тех случаях, когда тип обработки данных, в частности при использовании новых технологий, а также принимая во внимание характер, объем, контекст и цели обработки, вероятнее всего приведет к высокому риску для прав и свобод физических лиц, контролёр должен, до этой обработки, осуществить оценку воздействия предусмотренных операций обработки на защиту персональных данных. Отдельная оценка может быть проведена в отношении ряда аналогичных операций обработки, который представляет подобные высокие риски.
.
3. Оценка воздействия на защиту данных, предусмотренная параграфом 1, требуется, в том числе, в случае:
(a) системной и масштабной оценки персональных особенностей, касающихся физических лиц, которая основана на автоматизированной обработке, включая составление профиля, и на которых основаны решения, порождающие правовые последствия, связанные с физическим лицом, либо подобным образом значительно влияют на физическое лицо;
(b) масштабной обработки особых категорий данных, предусмотренных Статьей 9 (1), либо персональных данных, связанных с уголовными приговорами и правонарушениями, в соответствии со Статьей 10; или
(c) систематического мониторинга сфер, открытых для всех пользователей в широких масштабах.
Оценка влияния на защиту данных в рамках GDPR
Общий регламент по защите данных (GDPR) вводит новые правила для организаций, предоставляющих товары и услуги жителям Европейского союза (ЕС) или занимающихся сбором и анализом данных резидентов ЕС, независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения можно найти в разделе Сводка по GDPR. В этом документе вы можете получить сведения относительно оценки влияния на защиту данных (DPIA) в рамках GDPR при использовании продуктов и служб Майкрософт.
Термины
Полезные определения терминов GDPR, используемых в этом документе:
Что такое DPIA?
Общий регламент по защите данных (GDPR) требует, чтобы управляющие подготовили оценку влияния на защиту данных (DPIA) для операций, которые «с высокой вероятностью могут повлечь значительный риск для прав и свобод физических лиц». Продукты и службы Майкрософт не имеют характеристик, требующих DPIA. Однако это продукты и службы с широкими возможностями настройки, поэтому иногда конфигурация Майкрософт может требовать DPIA. Корпорация Майкрософт не контролирует такие данные и практически не имеет соответствующих аналитических сведений. Управляющим данными необходимо определить, какое использование данных является надлежащим.
Выполнение DPIA
Руководство по DPIA применимо к Office 365, Azure, Dynamics 365, службе поддержки и профессиональным услугам Майкрософт. В этом руководстве рассматриваются следующие вопросы:
Когда требуется DPIA?
Рассматривая вопрос о необходимости DPIA, следует учесть перечисленные ниже факторы риска. Другие факторы потенциального риска и дополнительные сведения см. в части 1 каждой инструкции.
В GDPR поясняется: «Обработка персональных данных не должна считаться масштабной, если обработка относится к персональным данным пациентов или клиентов, обрабатываемым отдельным врачом, другим специалистом в области здравоохранения или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной».
Что требуется для выполнения DPIA?
DPIA предоставляет подробные сведения о планируемой обработке, которые описаны в части 2 руководства. Эти сведения включают следующие данные.
Дополнительные рекомендации
Конкретные сведения, которые могут быть важны для вашей реализации Майкрософт, см. ниже.
Data protection impact assessment
Data protection impact assessment
Data protection impact assessment на примере рынка Великобритании. Юрист и учредитель объединения Legal Support объясняет особенности составления Data protection impact assessment в соответствии с регуляторными правилами Британии. Оценка воздействия на защиту персональных данных и документ, который воплощает результат этого процесса, должны строго соответствовать требованиям UK Data Protection Act, General Data Protection Regulation и рекомендациям Information Commissioner`s Office в Великобритании.
Data protection impact assessment в ЕС и Великобритании.
Данная статья построена на фундаменте решения практической задачи из опыта работы наших специалистов. Компания разрабатывающая и обслуживающая ПО, что включало работу с пользователями – гражданами Великобритании, обратилась за помощью к нашим DPO для полного сопровождения всех стадий работы с персональными данными.
Программное обеспечение представляло собой сервис, реализованный через веб-сайт заказчика и мобильное приложение. В числе функций ПО имелись финансовые инструменты – собственное платежное средство платформы, а также обмен/конвертация 2-х наиболее популярных криптовалют (Ethereum и Bitcoin). Функционал платформы также предусматривал ввод привычных фиатных средств для покупки (обмена) их электронных вариантов. Описанные финансовые инструменты – факультативная функция ПО. Однако, сам факт их наличия и существенные обороты вынудили правообладателя платформы обеспечить соблюдение и выполнение AML/KYC процедур.
Значительный объем собираемых и обрабатываемых персональных данных, в том числе финансового характера, в совокупности с потенциальными рисками их компрометации вынудили правообладателя и разработчика обеспечить выполнение не только привычного набора GDPR Compliance процедур, но также и составление Data protection impact assessment. Анализ всех операций с персональными данными, разработка Data protection impact assessment (DPIA), выполнение других формальностей и рекомендаций ICO (Information Commissioner`s Office) Великобритании стало необходимым условием для выхода на рынок UK и соответствия регуляторным правилам данной юрисдикции.
В каких случаях оценка воздействия на защиту персональных данных (Data protection impact assessment) обязательна? Подготовка оценки воздействия на защиту данных требуется во всех случаях предусмотренных статьёй 35 General Data Protection Regulation.
Перед выполнением любой задачи надлежит установить критерии, которым должен соответствовать результат. В вопросе организации работы с данными пользователей, перед выходом на рынок Великобритании, критериями надлежащего выполнения поставленной задачи является соответствие обязательным регуляторным правилам Британии – DPA (Data Protection Act 2018), Европейского Союза – General Data Protection Regulation и крайне желательно рекомендациям Information Commissioner`s Office.
Data protection impact assessment на примере Великобритании.
Особенности составления Data protection impact assessment рассматриваются нами на примере Великобритании, так как это наиболее сложный случай. Несмотря на Brexit, законодательство Британии полностью адаптировано к требованиям General Data Protection Regulation. Положения последнего нашли своё воплощение в обновлённом тексте Data Protection Act от 2018 года (ссылка на официальный текст документа). Более того, регуляторные правила Великобритании превосходят EU GDPR в “качестве и количестве” требований к контролеру и обработчику данных. Из этого следует, что Data protection impact assessment, составленный для рынка Великобритании и выписанный в соответствии с предписаниями UK Data Protection Act и EU GDPR, в 99,99% будет соответствовать законодательству всех юрисдикций Европейского Союза.
DPA (Data Protection Act), GDPR, требования ICO и особенности регуляторных правил в UK:
В чем особенность регуляторных правил Великобритании в сфере защиты персональных данных? Юристы выделяют 2 ключевых особенности: чрезмерность предписаний UK Data Protection Act, принятого и доработанного в соответствии с General Data Protection Regulation; “добровольно-принудительный” характер рекомендаций ICO (Information Commissioner`s Office), которые несколько излишни даже в контексте требований GDPR.
Всё изложенное в этой консультации на 99% справедливо для обеспечения Legal compliance перед выходом на рынок любой страны Еврозоны. Применённые подходы и общий алгоритм действий юриста/юридического отдела, data protection officer применимы ко всем подобным ситуациям.
Обе особенности характеризуются расширенными требованиями в сравнении с базовыми, предусмотренными нормами General Data Protection Regulation. К примеру, рекомендации UK ICO по обязательному составлению Data protection impact assessment явно выходят за рамки тех случаев, что предусмотрены в части 3 статьи 35 General Data Protection Regulation. Тоже относится и к содержанию Data protection impact assessment. Впрочем, сам регламент устанавливает лишь минимальный перечень вопросов, которые находят своё отражение в оценке воздействия на защиту персональных данных (часть 7 статьи 35 EU GDPR). Потому чрезмерные требования не являются злоупотреблениями.
Это еще не всё! Information Commissioner`s Office Британии настойчиво и активно навязывает предварительные консультации и своего рода учёт для бизнеса. Учёт и услуги ICO предоставляются с обязательными “членскими взносами”. Рассмотренные особенности являются изюминкой Великобритании. Ещё большее количество юридических тонкостей не рассматриваются в данной статье, так как их разрешение не относится к задачам собственника бизнеса, а находится в непосредственной компетенции юриста или data protection officer.
Сложности разработки Data protection impact assessment и способы их преодоления:
Оценка воздействия на защиту данных и сложность её подготовки во многом зависят от качества Legal compliance процедур, которые предшествуют разработке Data protection impact assessment. Наиболее критичная из которых – осуществление обязательного документирования операций с персональными данными. Требование проводить инвентаризацию и документирование закреплено в EU GDPR Article 30 “Records of processing activities”. Для получения качественного результата, перед проведением оценки воздействия на защиту персональных данных, требуется глубокая систематизация предшествующих организационных, юридических и технических мероприятий, направленных на защиту данных, а также их полная ревизия. Исходя из этого, при разработке Data protection impact assessment, наибольшие сложности вызывает:
Составить Data protection impact assessment с указанием всех недостатков в организации работы – относительно простая задача для опытного DPO. Куда сложнее разработать Data protection impact assessment с готовыми организационными решениями и предварительным устранением наиболее существенных недостатков в работе с данными.
Как устранить недостатки и подготовить Data protection impact assessment с готовыми решениями?
Для подготовки Data protection impact assessment с отражением реальной ситуации, предварительным устранением большинства недостатков и готовым решением оставшихся из них, воспользуйтесь приведёнными здесь советами. Преодолеть перечисленные выше сложности и достичь желаемого результата возможно с помощью:
Составление Data protection impact assessment на заказ:
Рассмотренное здесь составление Data protection impact assessment на примере Великобритании – отличная возможность понять насколько требования конкретной юрисдикции могут отличаться от общеевропейских правил. Да, DPA (Data Protection Act) Великобритании принят на выполнение EU GDPR, что не мешает ему, наряду с ICO Британии, расширить базовые требования статьи 35 Регламента ЕС.
Тем не менее, соблюсти требования регуляторных правил Великобритании возможно. DPO команды Legal Support Ukraine проведут предварительные мероприятия и составят Data protection impact assessment на заказ под нужды Вашего бизнеса. Предварительные мероприятия включают: аудит процессов сбора и обработки персональных данных; документирование операций с персональными данными (дополнительно) и составление карт жизненных циклов данных (data flow maps); разработка положений и политик; проведение консультаций.
DPO Legal Support также готовы продолжить работу ранее задействованных Вами специалистов, провести инвентаризацию проделанной ими работы, дать оценку, доработать Data protection impact assessment и выполнить поставленную задачу.
Проведение DPIA
Закажите услугу по оценке воздействия на защиту персональных данных для вашей компании.
Оценка воздействия на защиту персональных данных (Data Protection Impact Assessment — DPIA) — процедура, предусмотренная ст. 35 GDPR. Она заключается в выявлении и описании всех процессов работы с персональными данными внутри компании. DPIA проводится для оценки рисков негативного воздействия на данные, поиска наиболее уязвимых мест в системе защиты, но главное — для выработки действий по недопущению утечек и ошибок.
Результатом проведения DPIA является сводная таблица, в которой описаны:
Проведение DPIA необходимо в двух случаях: либо непосредственно перед началом сбора и обработки персональных данных, либо в случае существенных изменений в уже исследованных процессах компании. К примеру, если вы запускаете новый продукт, то обязаны провести DPIA для оценки рисков, связанных с обработкой персональных данных. Или же, проведение Оценки необходимо при изменении среды, в которой происходит обработка (внедрение нового оборудования, ПО, правил обработки), или при добавлении новых категорий данных в уже отлаженный процесс.
Кроме этого, провести Оценку необходимо в следующих ситуациях:
1.Преобразование бумажных записей и документов в электронные.
2. Объединение нескольких баз данных в одну.
3. Включение персональных данных, полученных из коммерческих источников, в существующую базу компании.
4. Внесение изменений в бизнес-процесс, что приведет к сбору и использованию персональных данных.
5. Реализация проектов с использованием сторонних поставщиков.
6. Изменение характера персональных данных в связи с добавлением новых типов информации.
7. Добавление новых функций в существующий продукт или услугу.
Регламент не устанавливает четкой периодичности проведения DPIA, поскольку его частота напрямую зависит от деятельности компании. По замыслу создателей Регламента, каждый раз, когда вы приступаете к новому проекту, связанному с персональными данными, вы должны провести DPIA.
Интервьюирование сотрудников, анализ документов, поиск и детальное описание бизнес-процессов, несущих риски для приватности пользователей — долгий и муторный процесс, требующий внимания к мелочам.
Мы предлагаем не тратить время на поиск зарытой собаки, а обратиться за помощью к сертифицированным специалистам в области защиты персональных данных, которые провели не один десяток Data Protection Impact Assessment и знают все подводные камни этой процедуры.
Консультанты
Этапы работы
Шаг 1. Выявление контекста, ценности и объема обработки.
Шаг 2. Выявление и анализ средств, позволяющих субъектам данных воспользоваться своими правами.
Шаг 3. Анализ внедренных механизмов защиты персональных данных.
Шаг 4. Выявление действующих в обработке лиц в зоне риска, источников угроз и возможных нарушений приватности.
Шаг 5. Оценка вероятности риска и серьезности последствий для субъектов данных.
Шаг 6. Подбор тактик для минимизации риска, определение плана действий, сроков и ответственных.
Что вы получите, завершив DPIA?
✓ Соблюдение ст. 35 Регламента для проверки надзорного органа.
✓ Таблицу с описанием движения всех персональных данных для дальнейшей работы по достижению комплаенса.
✓ Заключение о проведенном DPIA для демонстрации клиентам и партнерам соблюдения вашей компанией GDPR.
Чек-листы DPIA
Наши консультанты разработали несколько чек-листов DPIA для соответствия GDPR:
1.Проводим обучение для того, чтобы наши сотрудники понимали необходимость учёта DPIA на ранних этапах любого проекта, затрагивающего персональные данные.
2.Наши текущие принципы деятельности, процессы и процедуры включают ссылки на требования DPIA.
3.Мы знаем типы обработки, которые требуют DPIA, и используем контрольный список проверки для определения необходимости проведения DPIA.
4.Мы создали и задокументировали процесс DPIA.
5.Мы проводим обучение соответствующего персонала в отношении проведения DPIA.
1.Мы рассматриваем возможность проведения DPIA в любом крупном проекте, затрагивающем использование персональных данных.
2.Мы рассматриваем вопрос о том, стоит ли проводить DPIA, если планируем осуществлять:
3.Мы всегда проводим DPIA, если планируем:
4.Мы проведём новый DPIA в том случае, если произойдёт изменение характера, объема, контекста или целей нашей обработки.
5.Если мы решаем не проводить DPIA, мы предоставляем документы, обосновывающие наши причины для этого.
1.Мы описываем характер, объем, контекст и цели обработки.
2.Мы просим наших процессоров данных помочь нам разобраться и документируем их действия по обработке, определяя любые сопутствующие риски.
3.Мы рассматриваем вопрос о том, как лучше всего консультировать отдельных лиц (или их представителей) и другие соответствующие заинтересованные стороны.
4.Мы спрашиваем совет у нашего инспектора по защите персональных данных.
5.Мы проверяем, является ли обработка необходимой и соразмерной нашим целям, а также описываем каким образом мы обеспечим соблюдение принципов защиты персональных данных.
6.Мы проводим объективную оценку вероятности и тяжести любых рисков для прав и интересов отдельных лиц.
7.Мы определяем меры, которые мы можем применить для устранения или уменьшения высоких рисков.
8.Мы фиксируем наши решения в результатах DPIA, включая любые расхождения во мнениях с нашим инспектором по защите персональных данных или лицами, с которыми мы консультировались.
9.Мы внедряем меры, которые мы определили, и интегрируем их в наш проектный план.
10.Мы консультируемся с надзорным органом перед обработкой в том случае, если мы не можем уменьшить высокие риски.
11.Мы следим за нашими DPIA и при необходимости пересматриваем их.
Оценка рисков в рамках GDPR
В апреле-мае 2018 года СМИ подводили нас к мысли, что GDPR должен стать сокрушительным ударом по интернет-стартапам и мелким предпринимателям, погребающим их под бременем штрафов и проверок. Как оказалось, Регламент не прекратил развитие интернет-рынков: он распространил новый стандарт взаимоотношений между потребителями и технологическими компаниями, подкрепляющий желание работать с прозрачными поставщиками.
Полный комплект документации может включать в себя несколько десятков политик и реестров. Вместе с тем, паниковать не стоит: многие из них достаточно стандартизированы, и рынок уже предлагает готовые решения для отслеживания комплаенса – хотя они и не идеальны, но могут подсказать, в каком направлении необходимо двигаться. Но что учитывать и за чем следить?
На этот вопрос призвана отвечать процедура оценки влияния мер для защиты персональных данных, или Data Protection Impact Assessment (DPIA). Часто от результатов именно этой проверки и будет зависеть количество документов в итоговом пакете.
Когда необходимо проводить DPIA
DPIA проводится всегда до начала каких-либо операций с персональными данными при наличии хотя бы малейших сомнений в безопасности обработки данных. К примеру, европейские контролирующие органы не считают DPIA лишним в таких случаях:
Некоторые страны имеют списки операций, при проведении которых DPIA строго обязателен (black list), или наоборот – операций, которые точно исключены из обязательного при DPIA списка (white list). Обычно они составлены и отслеживаются национальными органами, в то время как European Data Protection Board отслеживает эти списки и издает рекомендации и заключения касаемо их соответствия GDPR и корпусу наднационального права, призванного охранять внутренний рынок и экономические свободы Европейского Союза. Например, в «черные» списки страны, где компания собирает большое количество персональных данных, могут входить операции касаемо HR-менеджмента (поскольку информация о здоровье работника или об уголовной ответственности является достаточно чувствительными данными), обработка купленных или приобретенных другим законным способом баз персональных данных, организация мероприятий, аналитика с помощью Big Data, дейтинг-сервисы, фитнес-трекинг, программы лояльности для покупателей и так далее. Общее правило – если обработка персональных данных может создать достаточно высокую вероятность негативного влияния на субъект данных, то проведения DPIA обязательно.
Доказательство проведения DPIA
Традиционно, документ, фиксирующий результатыData Protection Impact Assessment, должен:
Например, минимальный объем информации, который должен быть в документе, описан в ст. 35(7) GDPR:
Также GDPR подчеркивает необходимость предусмотрительности: важно вовремя оценить возможные результаты обработки персональных данных, предвидеть угрозы для своих клиентов и обратить внимание на источники потенциальных рисков, их природу, особенности и серьезность последствий. Это важно, поскольку каждому риску должен соответствовать адекватный способ его снижения или ликвидации.
DPIA может проводиться касаемо одной операции или целого запуска нового продукта. Обычно разрешается провести в рамках одного DPIA анализ безопасности целого ряда аналогичных регулярных операций.
Важно помнить, что результаты проверки должны быть задокументированы таким образом, чтобы их можно было предоставить на проверку уполномоченным национальным органам по защите персональных данных. Ответственность за DPIA будет нести контролер, даже если саму проверку проводил обработчик или другое уполномоченное контролером лицо. Вместе с тем, обработчик обязан содействовать контролеру и предоставлять все необходимые сведения.
Проведение DPIA часто требует участия всех отделов и департаментов компании. Это трудоемкий процесс, к которому необходимо отнестись с терпением и вниманием. Часто ввиду сложности или запутанности процессов также лучше заручиться поддержкой профессионала – к примеру, Data Protection Officer, или DPO — который будет консультировать и отслеживать продвижение проверки. Однако главными акцентами DPIA всегда должны оставаться уважение и защита человека от злоупотребления информацией о нем.
Оригинал статьи читайте на сайте Ліга:Закон