Это новое delo.ua. Cайт работает в тестовом режиме

Что такое DPIA и почему украинским компаниям вскоре нужно будет приручить этого зверя

  • Юлия Бруско

    юрист юридической фирмы Sayenko Kharenko

Проведение DPIA полезно для всех контролеров независимо от осуществления ими обработки, представляющей риски для прав субъектов данных

Несмотря на то что законопроект № 5628 о защите персональных данных ( Законопроект) был подан в Верховную Раду более четырех месяцев назад, он все еще остается далекой страшилкой, о которой многие украинские компании или не знают вовсе, или предпочитают игнорировать до поры до времени. Для тех, кто привел свои внутренние процессы в соответствие с GDPR, это может быть и оправданно, однако после принятия законопроекта остальных ждет много нововведений, иногда время- и ресурсозатратных. 

Заметим, что GDPR — это аббревиатура англоязычного названия Общего регламента по защите данных (англ. General Data Protection Regulation), который действует в Европейском Союзе еще с 2018 года. GDPR устанавливает процедуры обработки персональных данных пользователей из ЕС, одной из которых является процедура DPIA.

Поэтому для гармонизации законодательства с GDPR одним из новшеств законопроекта будет процедура оценки влияния обработки персональных данных ( data protection impact assessment, или DPIA). Что это такое и для кого проведение DPIA станет актуальным уже в 2023-м, попробуем разобраться.

Что будет требовать закон о DPIA

Требование о проведении DPIA было представлено миру в статье 35 GDPR и перекочевало в законопроект. Контролер обязан провести процедуру DPIA до начала обработки персональных данных, если (1) использование новых технологий или (2) характер, объем, контекст и цели обработки, вероятно, приведут к высокому риску для прав и свобод субъектов данных.

Также законопроект приводит случаи, которые по умолчанию несут риски для прав и свобод субъектов данных и требуют обязательное проведение DPIA:

  • систематический и широкомасштабный анализ личных аспектов жизни физических лиц с помощью автоматизированных средств обработки, в том числе профилирования, на результатах которого основываются решения, имеющие юридические последствия для физического лица или схожим образом влияющие на него. Одним из ярких примеров является оценка кредитоспособности клиента;
  • широкомасштабная обработка чувствительных персональных данных и данных, связанных с привлечением к уголовной ответственности; и
  • систематический и широкомасштабный мониторинг общедоступных мест или источников (например, ТРЦ, вокзалы или автодороги).

Отчет по результатам проведения DPIA должен содержать следующую информацию:

  1. детальное описание запланированной обработки персональных данных и ее целей;
  2. информацию об оценке необходимости и пропорциональности обработки персональных данных указанным целям;
  3. информацию об оценке рисков для прав и свобод субъектов данных; и
  4. информацию о мерах, предусмотренных для реагирования на риски, в том числе гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения требований закона.

В случае, если по результатам проведения DPIA обнаружено, что риски не удастся нивелировать с помощью доступных контролеру средств, последний обязан обратиться за консультацией к надзорному органу (согласно законопроекту № 6177 таким надзорным органом в Украине должна стать Национальная комиссия по вопросам защиты персональных данных и доступа к публичной информации).

Как это должно работать на практике

Ситуации, приведенные в законопроекте, при которых DPIA является обязательным, — это только примеры рискованных видов обработки персональных данных. Если ни один из упомянутых случаев не относится к вашей компании, это не значит, что не нужно проводить DPIA. В таком случае необходимо на постоянной основе оценивать все процессы по обработке персональных данных с целью выявления тех, которые потенциально ведут к рискам для прав и свобод субъектов данных.

Проведение DPIA полезно для всех контролеров независимо от осуществления ими обработки, представляющей риски для прав субъектов данных. Это позволяет обрести полное понимание всех процессов по обработке данных, организационных и технических мер обеспечения безопасности данных.

Кого задействовать в проведении DPIA

Для проведения полноценного DPIA контролеру недостаточно провести анализ только тех операций по обработке, которые осуществляет непосредственно он. К DPIA стоит также привлекать операторов данных, которые действуют от имени контролера.

Кроме того, кроме офицера по защите данных имеет смысл привлекать к оценке других специалистов, вовлеченных в обработку и защиту данных, например, специалиста по информационной безопасности.

Какую информацию следует анализировать в рамках DPIA

Несмотря на общее описание составляющих DPIA в законопроекте и отсутствие на данном этапе официальных разъяснений, на основании зарубежной практики можно примерно представить, какую именно информацию об обработке персональных данных следует проанализировать:

  • объемы обработки — виды и объем данных, их природа, наличие чувствительных данных, длительность и частота обработки, количество вовлеченных субъектов данных и пр.;
  • цели обработки;
  • контекст обработки — источники данных, практика осуществления подобной обработки ранее, используемые технологии и пр.;
  • соблюдение принципов необходимости и пропорциональности обработки — правовые основания, способы обеспечения выполнения ключевых принципов обработки данных и реализации прав субъектов данных, механизмы контроля действий операторов и механизмы защиты данных, в том числе при их трансграничной передаче и пр. 

Что может считаться риском для прав и свобод субъектов данных

Любая возможность нарушения прав и свобод субъектов данных вследствие обработки. Сюда можно отнести, например, риск утечки данных, невозможность реализации прав субъектов на доступ к их данным, моральный/материальный ущерб, риск идентификации ранее псевдонимизированных данных и пр.

Следующие компоненты позволят в полной мере определить уровень риска:

  1. тяжесть последствий;
  2. вероятность их наступления;
  3. источник угрозы; и
  4. влияние на субъектов данных.

Что делать после определения рисков обработки данных

Основная цель DPIA не столько выявить риски, сколько найти пути их минимизации или полного устранения. Такие меры могут носить:

  • технический характер — использование более безопасных технологий, дополнительные меры защиты данных, минимизация и деперсонализация данных и пр.;
  • организационный характер — проведение дополнительных тренингов для сотрудников, разработка отдельных политик и процедур для такого вида обработки, изменение сроков хранения данных или способов реализации прав субъектов данных пр.

В то же время не все риски могут или должны быть устранены. Контролер может прийти к выводу, что некоторые риски приемлемы и выгода для субъектов данных, полученная в результате обработки, перекрывает выявленные риски.

Если же уровень идентифицированных рисков высокий и контролер не может самостоятельно их устранить, необходимо обращаться за предварительной консультацией к надзорному органу.

Последним этапом перед началом обработки персональных данных будет имплементация всех инструментов минимизации рисков.

Ответственность

Текущей редакцией законопроекта не предусмотрена ответственность за непроведение DPIA. В то же время законопроект устанавливает ответственность за непроведение предварительных консультаций с надзорным органом в случае невозможности устранения рисков для субъектов данных, выявленных в процессе DPIA.

Штраф за каждое такое нарушение составит:

  • до 100 000 грн для физических лиц; и
  • 0,5-1 % от общего годового оборота юридического лица, но не менее 100 000 грн.

Не стоит также забывать, что непроведение DPIA может потенциально привести к нарушениям других положений законопроекта и, соответственно, даже большим штрафам.

Юлия Бруско, юрист Sayenko Kharenko