Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Аудит персональных данных: выявить и предотвратить
Алина Подоляк, адвокат практики интеллектуальной собственности, МЮГ "Eterna Law"

Заглянуть в будущее

Каким будет мир через 10 лет? Уже все прогрессивные люди признали: мы живем в эпоху Big Data. Феномен Big Data имеет огромное влияние на нашу повседневную жизнь. Прежде всего частные компании признали, что он может иметь чрезвычайно положительное влияние на бизнес и взаимодействие с потребителями. Для физических лиц эффект Big Data проявляется в ходе их онлайн-активности. В то же время несанкционированный доступ к персональным данным – это большой или маленький, но скандал. Защита персональных данных и конфиденциальность информации, конечно, понятия неновые, однако новый европейский стандарт защиты персональных данных – General Data Protection Regulation (GDPR, Регламент) привлек внимание к данной теме.

Don't panic!

В контексте внедрения GDPR в странах ЕС существует и наше, локализованное, пояснение, почему украинскому бизнес-сообществу следует принять упомянутый Регламент GDPR во внимание. Прежде всего, если ваша организация ведет дела в Европе, то она, вероятно, подпадает под действие GDPR. И первый шаг, который должен быть сделан на пути к соблюдению Регламента, – это аудит персональных данных. Аудит данных подскажет вам, какие данные ваш бизнес собирает, как и где эти данные хранятся, в каком формате и т. п.

Аудит используется для выявления любых вопросов, требующих контроля и усовершенствования текущих процедур. Если владелец персональных данных или распорядитель проводит собственный аудит защиты данных, – это признак современного, взрослого бизнеса, позволяющий иметь уверенность в соблюдении положений Регламента. Такой аудит может быть проведен как внутренними силами компании, так и с привлечением внешних специалистов.

Перед аудитором стоит задача "очертить" комплексную карту того, какие личные данные компания сохраняет и обрабатывает, как она их собирает и кому передает (если передает) и выработать лучшие советы о соответствии (комплаенсе) Регламенту.

Соглашение о конфиденциальности vs соглашение об обработке персональных данных

Компании часто обращаются к третьим лицам с помощью в управлении своими веб-сайтами, поддержании ІТ-инфраструктуры, организовывают маркетинговые кампании, конкурсы, розыгрыши, колл-центры и другие активности в формате В2С, когда собираются уже известные нам Big Data. Когда деятельность, осуществляемая третьим лицом, предусматривает обработку персональных данных, такое лицо, как правило, считается распорядителем данных в соответствии с Регламентом (в оригинале термин "data processor").

Регламент предусматривает, что когда третья сторона обрабатывает личные данные от имени владельца данных (в оригинале "data controller"), то есть стороны, определяющей цель и способ обработки, такой владелец должен заключить письменное соглашение с этой третьей стороной (распорядителем) – по сути, соглашение об обработке персональных данных. Такое письменное соглашение об обработке персональных данных должно, в частности: 1) содержать положение, предусматривающее, что распорядитель обрабатывает персональные данные только по документальным указаниям владельца; 2) определять ответственность распорядителя перед владельцем; 3) определять соответствующие технические и организационные меры, которые должны быть предоставлены распорядителем владельцу в процессе обработки персональных данных.

На первый взгляд кажется, что речь идет о стандартном соглашении о неразглашении конфиденциальной информации (non-disclosure agreement). Однако это не так. Классическое соглашение о конфиденциальности – это соглашение, по которому стороны соглашаются не раскрывать определенную информацию, поэтому она не всегда касается обработки персональных данных как таковых (например, касается коммерческой тайны и других данных в формате В2В).

При этом важно указать, что Регламент устанавливает, что соглашение об обработке персональных данных должно предусматривать, в частности, что распорядитель гарантирует, что лица, имеющие право обрабатывать персональные данные, взяли на себя обязательство по конфиденциальности или подпадают под действие соответствующего законодательного обязательства о конфиденциальности.

Поэтому при работе с третьими лицами-распорядителями важно заключать письменную сделку. В дальнейшем настоящее соглашение может защитить владельца в случае нарушения распорядителем порядка обработки персональных данных.

При этом Регламент устанавливает, что распорядитель должен предоставить владельцу всю информацию, необходимую для подтверждения соответствия обязательствам, изложенным в Регламенте, и разрешать и содействовать проведению проверок, включая проверки владельцем или аудитором, определенным владельцем.

Регламент делает больший акцент на документах, которые владельцы персональных данных должны сохранять, чтобы продемонстрировать свою ответственность – как соглашения о неразглашении информации, так и соглашения об обработке персональных данных, а аудит персональных данных должен стать частью полного обзора ІТ-контроля, чтобы гарантировать, что определенная компания отвечает стандартам GDPR.

Таким образом, регулярный аудит персональных данных компании будет демонстрировать неравнодушие контролера к данным, которые им собираются. Не убедили? Тогда последний абзац для вас.

Представьте: украинская ІТ-компания "А" ведет переговоры с норвежским негосударственным пенсионным фондом на предмет ІТ-аутсорсинга. В случае успешных переговоров у ІТ-компании будет крупный европейский заказчик и "тонны" Big Data. Причем это не только фейковые аккаунты для целей тестирования программного обеспечения, но и реальные данные, поскольку нужно обслуживать онлайн-платформу с персональными пенсионными счетами реальных граждан ЕС. ІТ-компания "А" получила заключение аудиторов, которых направил пенсионный фонд на проверку GDPR-комплаенса, и в итоге получила замечательный контракт и крупный заказ. Как думаете, без положительного заключения аудиторов был бы заключен этот контракт или нет?

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua