среда, 4 октября 2017 г.

Бельгийский орган по защите персональных данных выпустил руководство по управлению документами в целях соответствия законодательству GDPR


Статья Харри Валека (Harry Valetk) и Элизабет Дехарен (Elisabeth Dehareng) была опубликована 10 августа 2017 года на сайте b:Inform .

Новое законодательство Евросоюза о защите персональных данных (General Data Protection Regulation, GDPR, http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN ) привлекает всё большее внимание (и вызывает озабоченность) по мере того, как всё ближе подходит момент его вступления в силу в 2018 году.

Бельгийский уполномоченный орган по защите персональных данных (Commission de la protection de la vie privée - «Комиссия по неприкосновенности частной жизни») – один из первых европейских регуляторов, выпустивших руководства по документированию деятельности по обработке персональных данных (ПДн) в соответствии со статьей 30 GDPR (это статья «Документирование деятельности по обработке ПДн» - Н.Х.).
Для справки:

GDPR, статья 30: Документирование деятельности по обработке ПДн

1. Каждый оператор и, где это уместно, представитель оператора, должен документировать деятельность по обработке ПДн, за которую он отвечает. Эта документация должна содержать всю перечисленную ниже информацию:

(a) имя и контактные данные оператора и, где это уместно, со-оператора (joint controller), представителя оператора и сотрудника, ответственного за защиту ПДН (data protection officer);

(b) цели обработки;

(c) описание категорий субъектов ПДн и категорий персональных данных;

(d) категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах и международные организации;

 (e) если это применимо, факты передачи персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации; а в случае передачи, подпадающей под второй подпараграф статьи 49 (1), - документация на соответствующие меры предосторожности;

(f) где возможно, предполагаемые временные рамки для проведения уничтожения различных категорий данных;

(g) где возможно, общее описание технических и организационных мер безопасности, упомянутых в статье 32 (1).

2. Каждый обработчик и, где это уместно, представитель обработчика должен документировать все категории операций обработки, выполняемых от имени оператора, включая:

(a) имя и контактные данные обработчика или обработчиков и каждого оператора, от имени которого обработчик действует; и, где уместно, представителя оператора или обработчика; а также сотрудника, ответственного за защиту ПДН;

(b) категории обработки, выполняемые от имени каждого из операторов;

(c) где уместно, факты передачи персональных данных в третью страну или международную организацию, включая идентификацию этой третьей страны или международной организации; а в случае передачи, подпадающей под второй подпараграф статьи 49 (1), - документация на соответствующие меры предосторожности;

(d) где возможно, общее описание технических и организационных мер безопасности, упомянутых в статье 32 (1).

3. Документы, упомянутые в пунктах 1 и 2, должны быть в письменной форме, в том числе в электронной форме.

4. Оператор или обработчик и, где это применимо, представитель оператора или обработчика, должен предоставлять доступ к документации надзорному органу по запросу.

5. Обязанности, упомянутые в пунктах 1 и 2, не относятся к предприятию или организации численностью менее 250 человек, за исключением случаев, когда обработка, которую она осуществляет, с большой вероятностью может привести к риску для прав и свобод субъектов ПДн; обработка не носит случайный характер; или обработка охватывает специальные категории персональных данных, упомянутые в статье 9 (1) или персональные данные, относящиеся к уголовным судимостям и преступлениям, упомянутым в статье 10.
Руководство, опубликованное 14 июня 2017 года, инструктирует операторов и обработчиков персональных данных относительно создания реестра операций по обработке ПДн (Registre des activités de traitements, далее Реестр). Такой Реестр должен быть создан и доступен по запросу контролирующим органам к 25 мая 2018 года.

Руководство (CO-AR-2017-011, Recommandation n° 06/2017 du 14 juin 2017 relative au Registre des activités de traitements (article 30 du RGPD)) доступно на веб-сайте Комиссии по неприкосновенности частной жизни на французском языке по адресу https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf  (35 страниц), и на голландском языке – по адресу https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_06_2017_0.pdf  .


Сфера применения обязанности по документированию

Обязанность документировать относится как к операторам, так и к обработчикам персональных данных, согласно определениям, данным в статье 4, пп.7 и 8 GDPR (и к их представителям, если оператор или обработчик не зарегистрирован как юридическое лицо на территории Евросоюза).
Для справки:

GDPR, статья 4: Определения

Для целей настоящего правового акта:

(7) «Оператор» означает физическое или юридическое лицо, государственное учреждение, орган исполнительной власти или иной орган, который самостоятельно или совместно с другими лицами определяет цели и средства обработки персональных данных. Там, где цели и средства такой обработки определяются законодательством Евросоюза или его государств-членов, оператор или конкретные критерии для его определения могут быть установлены законодательством Евросоюза или его государств-членов;

(8) «Обработчик» означает физическое или юридическое лицо, государственное учреждение, орган исполнительной власти или иной орган, который обрабатывает личные данные от имени оператора;
Компании и организации численностью менее 250 человек, тем не менее, освобождаются от ведения документации, за исключением случаев, когда
  • Обработка данных может создать риски для прав и свобод субъектов данных (как поясняется в п.75 Преамбулы GDPR),

  • Обработка не является случайной (при этом отмечается, что согласно точке зрения Комиссии, обработка кадровых данных, данных клиентов и поставщиков считается «неслучайной»),

  • Обработка включает специальные категории данных (чувствительные данные), или

  • Обработка охватывает персональные данные, относящиеся к уголовным судимостям и преступлениям, либо связанным с ними мерам безопасности.
Несмотря на такое исключение, Комиссия по неприкосновенности частной жизни рекомендует всем операторам и обработчикам вести Реестр своих операций по обработке ПДн, даже если это обязательство не применимо к ним в силу положений GDPR. Что касается малых и средних предприятий, то Комиссия, в то же время, считает достаточным документировать лишь операции по обработке, не носящие случайного характера.

Цель обязанности по документирования

Согласно мнению Комиссии, Реестр является ключевым инструментом, обеспечивающим соблюдение принципа подотчетности в рамках GDPR. Для обеспечения соответствия организаций требованиям GDPR первостепенное значение имеет выявление и получение полной картины их деятельности по обработке ПДн.

Доступ к Реестру должен предоставляться контролирующему органу по его запросу. В этом смысле Реестр является существенным источником информации для Комиссии в плане выполнения ею её контрольных функций.

Из законодательства убрано требование об уведомлении надзорного органа о деятельности по обработке ПДн, и вместо этого вводится требование о ведении внутренней документации. В то время как оба подхода позволяли организации идентифицировать и предоставлять информацию о своей деятельности по обработке ПДн, Реестр включает внутренние документы, которые не предназначены для публичного раскрытия.

Ранее поданные уведомления могут, тем не менее, быть полезными для создания Реестра, поскольку они содержат определенную информацию, которая должна быть отражена в Реестре. Однако существует ряд различий между ранее требовавшимися уведомлениями и Реестром. Так, обязательство уведомлять относилось только к операторам ПДн, но не к их обработчикам. Кроме того, сведения об определенных видах обработки ПДн, о которых ранее уведомлять не требовалось (поскольку они считались деятельностью с низким уровнем риска, такой, как обработка ПДн в интересах управления персоналом или клиентами), теперь должны быть включены в Реестр. Наконец, Реестр должен поддерживаться в актуальном состоянии.

В своё руководство Комиссия также включила часть рекомендаций, которые она ранее опубликовала для разъяснения организациям, как правильно готовить уведомления - поскольку они могут быть полезными при формировании Реестра (хотя эти рекомендации не в полной мере соответствуют требованиям GDPR к документированию). Комиссия по неприкосновенности частной жизни также отметила, что она продолжит предоставлять доступ к своему существующему публичному реестру уведомлений в течение года после 25 мая 2018 года (чтобы помочь тем организациям, которые хотели бы повторно использовать некоторые элементы своих уведомлений).

Содержание Реестра: Реестр должна содержать сведения обо всех действиях по обработке ПДн, выполняемых по состоянию на 25 мая 2018 года, независимо от того, была ли такая обработка начата недавно или является многолетней практикой.

Комиссия отметила, что, по сравнению с требованиями GDPR, в Реестре могут также содержаться дополнительная сведения, которые могут оказаться полезными и помочь организациям с определением необходимых мер для соответствия положениям GDPR. Такие дополнительные сведения могут включать элементы, содержащиеся в прошлых уведомлениях для контрольных органов, а также сведения о соответствующей нормативно-правовой базе для обработки ПДн, о необходимости проведения оценки воздействия обработки ПДн на неприкосновенность частной жизни; а также список имевших место утечек ПДн.

Формирование Реестра: Комиссия рекомендует, чтобы организация привлекла своего сотрудника, ответственного за защиту ПДн, а также всех сотрудников соответствующих оперативных деловых подразделений, способных предоставить точную информацию об обработке ПДн при формировании Реестра. Кроме того, реестр должен вестись в письменном виде ясным и понятным языком, и быть доступным в электронном виде. Комиссия не предписывает какой-либо «типовой формат» для создания Реестра, хотя она поощряет профессиональные ассоциации создавать отраслевые шаблоны. Реестр также должен постоянно актуализироваться и, хотя GDPR не упоминает об ограничениях на сроки хранения данных после завершения обработки, Комиссия рекомендует организациям сохранить обработанную информацию для целей отчетности (с учетом существующих сроков исковой давности). Наконец, нет требования относительно языков, хотя контролирующий орган может потребовать перевод материалов Реестра на местный язык за счет организации, которая, к примеру, ведёт свои документы на английском языке.

Пользователи Реестра: Реестр - это, прежде всего, инструмент, помогающий компаниям соответствовать GDPR, и не предполагается предоставлять доступ к нему широкой общественности. В то же время сведения из Реестра должны предоставляться контролирующему органу по запросу.

Санкции: Неисполнение обязанности по ведению реестра может привести к административным штрафам до 10 миллионов евро или 2% от общего мирового годового оборота компании, в зависимости от того, что больше.

Харри Валек (Harry Valetk) и Элизабет Дехарен (Elisabeth Dehareng)

Источник: сайт b:Inform
http://www.bakerinform.com/home/2017/8/10/belgiums-privacy-commission-issues-recordkeeping-guidance-for-gdpr

Комментариев нет:

Отправить комментарий