СЕРГЕЙ ШЕЛУХА
Сертифицированный эксперт по GDPR
Соответствие Регламенту – это правильная оценка менеджментом компании репутационных и финансовых рисков. В этом материале мы расскажем о роли сотрудника по защите персональных данных — Data Protection Officer (DPO), механизмах взаимодействия Контроллера/Процессора и другие вопросы безопасной обработки, включая оценку рисков передачи ПД в третьи страны.
Задачи DPO в компании
Если деятельность вашей компании в ЕС является приоритетной или стратегия развития в дальнейшем уже невозможна без потребителей или сотрудников из ЕС, необходимость взаимодействия с надзорными органами поможет реализовать ваши планы. Задачи и роль надзорных органов, как отдельных правомочных субъектов в части создания механизмов сертификации защиты данных, поощрения разработки пакета документов и их согласования между Контроллерами и Процессорами, являются неоспоримыми, и главным коммуникатором в этом должен стать DPO.
Возвращаясь к обзорному материалу о GDPR, нужно отметить, что DPO не имеет полномочий для прямого влияния на персонал компании. Его деятельность находиться больше в плоскости консультационных, контролирующих и аудиторских услуг. Вот почему Регламентом предусмотрена непосредственная отчетность DPO перед руководством компании. В Регламенте существуют также достаточно веские оговорки, направленные на поддержание независимости DPO и его функций контроля и мониторинга безопасности данных. DPO не должен быть уволен или оштрафован контроллером/процессором за надлежащее выполнение своих задач, его деятельность не может быть ограничена какими – либо инструкциями, которые могут противоречить требованиям Регламента.
Такой уровень коммуникации с руководством контроллера/процессора должен обеспечить всеобъемлющее участие DPO на каждом из этапов обработки ПД, его понимание и прогнозирование рисков. Кроме того, поддержание необходимых экспертных знаний, как и обеспечение необходимыми ресурсами, позволит комплексно выполнять задачи DPO, которые предусматривают как минимум:
- информирование персонала, на основании рисков, связанных с операциями обработки персональных данных, принимая во внимание их характер, объем, контекст и цели обработки
- контроль за соблюдением Регламента, других положений Союза или государств-членов о защите данных, а также Privacy Policy, включая распределение обязанностей в компании, повышение осведомленности и обучение персонала, участвующего в обработке данных
- коммуникацию в качестве контактного лица с надзорным органом
- организацию соответствующих проверок, а в случае необходимости — проведение консультаций в отношении оценки воздействия на защиту данных, ее эффективность в соответствии со Статьей 35.
Даже поверхностное ознакомление с этапами внедрения требований Регламента, показывает, что введение DPO в штат компании не позволит сотруднику по защите персональных данных провести все мероприятия самостоятельно. Если ваша компания использует разветвленную CRM, вам необходимо проанализировать такую схему. Это поможет избежать неточностей при реализации следующих 10 этапов адаптации к требованиям Регламента.
О целесообразности создания на предприятии Группы защиты данных
Для целенаправленной работы вы можете избрать более эффективный путь – создать группу защиты данных (Data Protection Group — DPG). Так у руководителя компании появится возможность назначить DPO координатором этой группы и укрепить его полномочия уже на первичном этапе его работы. Для полноценной инвентаризации информационных активов (которые, в совокупности или как отдельные идентификаторы, могут быть отнесены к персональным данным) в эту группу целесообразно включить CIO, CLO, CSO, COO и DBA CRM компании.
Без привлечения указанных сотрудников, DPO не сможет учесть все нюансы операционной деятельности компании (COO), мест хранения ПД (DBA), реестров и условий договоров (CLO), инцидентов информационной безопасности (CIO), сегментацию внутренних расследований (CSO) и, соответственно, согласовать перечень, содержание и порядок обновления необходимых документов для соответствия GDPR. Кроме этого, участие этих специалистов может быть спроецировано на вопросы управления рисками и превентивные меры информационной безопасности, т.к. создание матрицы рисков и внедрение Data Loss Prevention (DLP) систем в многопрофильных компаниях с разветвленной филиальной сетью всегда оправданы и позволяют минимизировать т.н. “человеческий фактор” утечек ПД с привязкой к финансовым показателям (количество, период и суммы договоров, статус и профилирование контрагентов).
Штрафные санкции и репутационные риски, как их избежать?
Увы, но даже такие известные игроки в сфере аудиторских и консультационных услуг как «PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA» (PWC BS) уже получили соответствующие «желтые карточки» с достаточно внушительными суммами штрафов.
Локальный надзорный орган определил, что контроллер обрабатывал ПД своих сотрудников непрозрачным образом, что противоречит положениям подпункта (b) и (c) пункта 1 Cтатьи 5 Регламента. Греческое отделение “PWC BS” обрабатывало ПД сотрудников на основании, о котором их никогда не информировали. Регламент обязывает повышать осведомленность и настаивает на обучении персонала, вовлеченного в обработку персональных данных.
Но и о партнерах забывать не следует. Целесообразно включить в партнерские договора следующую трактовку:
«Стороны предпринимают необходимые меры для обеспечения устойчивой коммуникации при введении в действие новых процедур, регламентов и политик, путем заблаговременного взаимного информирования, повышения осведомленности, с использованием элементов контроля на основании внутренних стандартов в соответствии с GDPR».
Эти условия обеспечат процессорам доступ к программам обучения, политикам и процедурам, которые контроллер считает необходимыми. А налаженные процессы тестирования, позволят DPO убедиться, что персонал контроллера/процессора обучен процессам, проинформирован об изменениях и способен с ними справиться.
Примеры нарушений
Одним из примеров несогласованности таких действий может быть инцидент нарушения приватности в одном из британских медучреждений. При рассылке электронных писем пациентам клиники, которая проводит диагностику ВИЧ-инфицированных, исполнитель внес почтовые адреса в поле «Кому», а не в поле «Скрытая копия». Таким образом раскрыв информацию, позволяющую идентифицировать пациентов — 730 из 781 e-mail содержали их полные имена. Это факт отсутствия элементарной безопасности при обработке персональных данных, которые отнесены к специальным категориям ПД (расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзных организациях, а также генетические и биометрических данные, данные о здоровье или данные, касающиеся сексуальной ориентации и половой жизни).
Случай утери данных (Data breach), скрыть который было бы еще большим нарушением, произошел в Великобритании. Он стал беспрецедентным по количеству утерянных ПД и стоил карьеры успешному чиновнику британской короны.
Инцидент случился из-за того, что при межведомственной пересылке вместо услуг курьера спецсвязи была задействована обычная почтовая служба. В результате были утеряны диски с данными около 25 млн человек и 7,25 млн семей. В документах содержалась информация о всех получателях детских пособий.
Оба случая можно связать с отсутствием у контроллеров минимальной адаптации к требованиям Регламента (непонимание сущности ПД, пренебрежение процессами их безопасной передачи). Это и стало первопричиной нарушения целостности или утери целых массивов ПД. В аналогичных ситуациях Регламент обязывает информировать об этом надзорные органы без неоправданных промедлений, в срок не позднее 72 часов. Также необходимо описать характер нарушения персональных данных, приблизительное количество/категории ПД, возможные последствия нарушений (формуляр уведомления).
Регламент также предусматривает информирование субъектов персональных данных, если не были предприняты меры, направленные на локализацию угроз.
Передача ПД в третьи страны. Как оценить риски и внедрить адекватные меры обработки ПД?
На основе Статьи 45 Регламента, Европейская комиссия уполномочена определять, способна ли «страна или территория за пределами ЕС, один или несколько указанных секторов в пределах этой третьей страны или же международная организация, обеспечить адекватный уровень безопасной обработки персональных данных». Ярким примером этого может быть взаимодействие Министерства торговли США и Европейской Комиссии в части имплементации т.н. «Щита конфиденциальности ЕС-США» (EU-U.S. Privacy Shield). Это позволило американским компаниям соответствовать законодательным нормам ЕС для обеспечения достаточной защиты персональных данных, передаваемых из ЕС в США. Таким образом Регламент предоставляет механизмы для более действенного контроля гражданами их персональными данных, а также для унификации нормативной базы не только в границах ЕС.
Если для какой-либо страны не принято решение об адекватности, это не обязательно исключает передачу данных в эту страну. Регламентом предусмотрены дополнительные механизмы для безопасной трансграничной передачи ПД:
«Обязательные корпоративные правила» (Binding Corporate Rules), которые устанавливают порядок передачи персональных данных в рамках одной группы компаний. BCR могут быть утверждены компетентным надзорным органом при условии, что они применяются всеми предприятиями группы, занимающимися совместной экономической деятельностью. Правила должны содержать структуру и контактные данные группы предприятий, категории персональных данных, тип их обработки и законные цели, а также мониторинг законодательства третьих стран, куда запланирована трансграничная передача.
Для первичного анализа потенциальных рисков, наличия надзорных органов и понимания уровня законодательства государств и территорий ваших деловых устремлений, я рекомендую воспользоваться актуальным ресурсом, позволяющим комплексно оценить адекватность обработки персональных данных.
«Кодексы поведения» (Codes of Conduct) — это кодексы, разработанные ассоциациями и другими органами, представляющие отдельные категории контроллеров/процессоров в отдельных секторах экономики (например, в банковском секторе). Надзорные органы призваны поощрять разработку кодексов поведения, которые учитывают особенности обработки ПД торговыми ассоциациями или объединениями, по согласованию с другими заинтересованными сторонами — участниками рынка ЕС.
«Стандартные положения о защите данных» (Standard Contractual Clauses) разработаны задолго до вступления в силу GDPR. Особенность документов заключается в том, что они являются дополнением к главным договорам между контроллерами и процессорами, и в них нельзя вносить изменения. Планируется, что их обновления в соответствии с требованиями GDPR будут опубликованы на сайте ЕС в ближайшее время.
В следующих материалах мы более предметно обсудим этапы внедрения необходимых политик и процедур для безопасной обработки ПД, а также варианты улучшения их защиты в комплексе с Политикой информационной безопасности предприятия.
Проверить свои знания регламента поможет тест, разработанный редакцией совместно с сертифицированными экспертами.
ВАС ЗАИНТЕРЕСУЕТ: Что нужно знать о GDPR в Украине: обзор для бизнеса
