Аудит як перший крок на шляху комплаєнсу у сфері захисту персональних даних

Тетяна Слабко,

старший юрист практики IP, адвокат, CIPP/E

Сфера захисту персональних даних – це, безперечно, про аналітичний підхід. Тут вам і відповідне законодавство приймуть, і зобов'язання слідувати положенням такого законодавства передбачать, але які саме заходи із захисту даних слід запровадити, не скажуть - у цьому і полягатиме найбільше питання. Річ у застосуванні так званого принципу "контрольованості" (accountability principle). Віднедавна цей принцип є ключовим у сфері і передбачений в ЄС у Регламенті з захисту даних (GDPR), а також в Україні відповідно до Проекту Закону про захист персональних даних No 5628 від 07.06.2021, який нещодавно передано на розгляд до Верховної Ради України.  

Принцип "контрольованості" полягає у тому, що кожна компанія повинна вжити ті заходи організаційного і правового характеру, які (1) забезпечать відповідність компанії всім необхідним стандартам у захисті персональних даних, (2) даватимуть можливість продемонструвати таку відповідність. Зважаючи на такий підхід, годі й шукати універсальний вичерпний перелік дій, необхідних для захисту персональних даних. Кожна компанія формуватиме його самостійно, зважаючи на специфіку операційної діяльності, географію свого бізнесу, а також плани подальшого розвитку. В результаті в компанії і буде побудована система комплаєнсу у сфері захисту персональних даних.

Загалом система комплаєнсу у сфері приватності складатиметься з:

-       аудиту та розробки плану подальших дій,

-       розробки політик та системи сповіщень,

-       організаційних та технічних заходів,

-       заходів із підтримки комплаєнсу у сфері.

Тож першим кроком буде саме аудит. Важливо окреслити, із чим маємо справу для того, щоб знати, що саме захищаємо. З чого варто розпочати та на які особливості звернути увагу:

1. 1.    Визначити лідера, сформувати команду, заручитися підтримкою команди

Для ефективного аудиту потрібна, перш за все, відповідальна особа, яка виступить драйвером процесу, організує його, а також зможе проаналізувати отримані результати й представити рішення щодо подальших дій. В ідеальному варіанті такою людиною є спеціаліст у сфері захисту даних (data protection officer) із розумінням специфіки цієї сфери. Але ситуативно може траплятися, що такі повноваження надають юристам, фахівцям у сфері комплаєнсу та технічним спеціалістам.

Також важливо сформувати робочу групу з представників кожного із департаментів компанії (або принаймні ключових департаментів із точки зору захисту персональних даних – юридичний департамент, маркетинговий департамент, IT-департамент, HR-департамент, комплаєнс-офіцер), які допоможуть швидко та точно визначити, в яких бізнес-процесах компанії є збір та обробка персональних даних (наразі чи запланована в майбутньому), а також будуть готові в подальшому підтримати реалізацію організаційних і технічних заходів із захисту персональних даних.

Не зайвим буде винести питання майбутнього аудиту персональних даних в компанії на широкий загал для того, щоб заручитися підтримкою усіх колег у компанії загалом. Це сформує розуміння такої ініціативи, а головне – допоможе на подальших етапах аудиту, коли потрібно буде виокремлювати категорії персональних даних у бізнес-процесах і визначати специфіку їх обробки.

1. 2.    Виокремити персональні дані

Здавалося б, це найпростіше, але насправді – найскладніше завдання. Наразі в Законі України "Про захист персональних даних" № 2297-VI від 01.06.2010 вказано, що "персональні дані" – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Знову доволі широке і цілком аналітичне поняття. Та в цьому і полягає його перевага, оскільки дійсно наперед не можливо встановити, які дані будуть персональними й потребуватимуть особливого режиму обробки.  

Щоб розпізнати персональні дані, рекомендуємо застосовувати так званий "4-ступінчатий тест", який слідує із покрокового аналізу самого поняття "персональні дані":

a)    "відомості чи сукупність відомостей" – тобто це може бути як окрема одиниця даних (наприклад, прізвище), так і декілька одиниць даних (наприклад, прізвище, ім'я, по-батькові, адреса, номер телефону);

b)    "про" – мається на увазі дані, які тим чи іншим чином стосуються;

c)    "фізичну особу" – чітка вказівка на те, що мова йде не про дані щодо компанії, а саме про дані щодо людини;

d)    " яка ідентифікована або може бути конкретно ідентифікована" – підкреслюється, що не обов'язково прямо називати фізичну особу, а достатньо надати про неї такі дані, в такій кількості, і такого характеру, які дозволять її чітко визначити.

Тож маючи певні сумніви щодо того, чи є ті чи інші дані персональними, потрібно проаналізувати їх за методикою, наведеною вище, і в подальшому дотримуватися належних правил їх обробки.  

1. 3.    Визначити мету та правові підстави обробки персональних даних

По відношенню до кожної із категорій персональних даних, потрібно відповісти на питання: з якою метою відбувається обробка даних. Якщо відповіді немає, це вказує на те, що компанія нехтує принципом "мінімізації даних" (обробка лише тих даних, які необхідні для досягнення відповідної мети), що є порушенням.

Більше того, після того, як визначено категорії даних та мету їх обробки, важливо встановити і правові підстави обробки. Якщо цього не вдалось зробити, компанія не дотримується принципу "законності", що є також порушенням у сфері захисту персональних даних.

Аудит персональних даних дозволяє виявити такі невідповідності і в подальшому є запорукою того, що компанія вибудує належну систему комплаєнсу у сфері приватності.

1. 4.    Перевірити процеси з передачі персональних даних

За певних обставин у компанії виникає потреба передати персональні дані третім особам. В залежності від мети обробки даних третьою особою, визначатиметься і її роль у правовідносинах із компанією. Саме на стадії аудиту компанії важливо це встановити по відношенню до кожної третьої особи, а також перевірити, чи належним чином це врегульовано.

Окремим аспектом є транскордонна передача персональних даних. В ЄС, а також у законодавстві України визначено ряд механізмів, на основі яких здійснюється передача персональних даних за кордон. В цьому випадку ключову роль відіграє саме те, в яку країну передаються персональні дані. Слід звернути увагу, що із внесенням змін до національного законодавства у сфері захисту персональних даних ці механізми в Україні будуть докорінно змінені й кореспондуватимуть відповідним положенням законодавства ЄС (GDPR).  

1. 5.    Дотримуватися правил видалення даних

Серед ключових принципів у сфері захисту даних – обмеження строку зберігання даних. Тому компанія по відношенню до кожної категорії персональних даних окремо визначає такий строк, зважаючи на мету обробки даних, відповідні правові підстави для обробки, а також зовнішні обставини (наприклад, згода була винятковою правовою підставою для обробки персональних даних, після відкликання такої згоди суб'єктом даних компанія повинна негайно припинити обробку персональних даних і видалити їх). Недотримання таких правил також є одним із найчастіших порушень, які компанія якраз і виявляє на стадії аудиту.    

Проаналізувавши персональні дані в компанії за вищевказаною логікою, а також зафіксувавши результати (бажано використовувати для цього спеціалізовані цифрові платформи управління даними) ви отримаєте впорядковану інформацію, на основі якої стане можливим побудувати найдосконалішу систему комплаєнсу в цій сфері.