НЕ СІСТИ ЗА BIG DATA: ЯК ПОТРІБНО ЗБИРАТИ ТА ОБРОБЛЯТИ ДАНІ ПРО ВАШИХ КЛІЄНТІВ

24 Грудня 2019

Збираючи великі об’єми даних про своїх клієнтів, компанії не завжди беруть до уваги той факт, що кожен з цих клієнтів є суб’єктом даних, який, у відповідності до General Data Protection Regulation (GDPR), має визначений об’єм прав, які гарантують йому, окрім всього іншого, право на отримання інформації та доступ до своїх персональних даних, що оброблюються компанією. Забезпечення реалізації таких прав є лише частиною заходів, які повинна вжити компанія.

Підстави для обробки персональних даних

Компанії, які здійснюють свою діяльність у сфері надання послуг або реалізації товарів, зокрема, через мережу Інтернет, мають досить серйозно підійти до питання гарантування своєї відповідності вимогам GDPR, так як оперуючи з великими базами даних своїх клієнтів, вони мимоволі можуть стати об’єктами штрафних санкцій, які можуть бути накладені компетентними європейськими органами, що реалізують свої повноваження у сфері нагляду за дотриманням законодавства про захист персональних даних.

Перш за все, компаніям необхідно забезпечити законне отримання персональних даних у відповідності до вимог GDPR, зокрема статті 6(1), так як недотримання цієї вимоги, може призвести до того, що обробка персональних даних, з самого свого початку, буде незаконною та призведе до негативних наслідків для бізнесу.

Законодавство розрізняє декілька законних підстав для легітимізації обробки персональних даних. Однією із ключових підстав є «отримання згоди на обробку персональних даних». Однак, така підстава інколи може бути не релевантною, так як GDPR може прямо вимагатися застосування іншої законної підстави або ж отримання згоди на обробку персональних даних є досить обтяжливим у зв’язку з виникненням дисбалансу між інтересами компанії, які здійснює обробку персональних даних, та фізичною особою, якій персональні дані належать (суб’єкт даних).

Разом з тим, компанія може також застосувати інші законні підстави для обробки персональних даних, зокрема, у тому випадку, коли обробка необхідна:

  • для укладення або виконання контракту, стороною якого є суб’єкт даних;
  • для захисту життєво важливих інтересів суб’єкта даних або іншої особи;
  • для виконання обов’язків, покладених на компанію;
  • для цілей реалізації компанією або третьою стороною своїх законних інтересів.

В будь-якому випадку, перед вибором законної підстави, компанія повинна провести ряд заходів, спрямованих на оцінювання та аналіз своєї діяльності, що прямо або опосередковано пов’язана з обробкою персональних даних. Подібні заходи допоможуть представникам компанії точно визначити, яку саме законну підставу необхідно застосовувати, що в свою чергу дозволить побудувати подальшу стратегію підготовки компанії на предмет відповідності вимогам GDPR. Разом з тим, варто зазначити, що проведення таких заходів прямо рекомендується, а інколи і вимагається відповідними контролюючими органами у своїх офіційних роз’ясненнях.

DPIA як ключовий елемент GDPR compliance

Здійснюючи обробку великих об’ємів персональних даних, в рамках компанії можуть виникати  різні  запитанням, такі як: «Які ключові дії повинні бути вжиті, для забезпечення відповідності вимогам GDPR?». Відповідь на питання проста і полягає в тому, що компанія, яка має справу з великими об’ємами персональних даних (Big Data), в обов’язковому порядку повинна забезпечити проведення DPIA (Data Protection Impact Assessment, тобто оцінювання впливу на захист даних, що в першу чергу спрямоване на визначення та оцінювання ризиків для прав та інтересів суб’єктів даних, в процесі здійснення операцій з обробки даних. Критерії для здійснення DPIA визначаються в статті 35 GDPR, однак в роз’ясненнях компетентних європейських органів  (таких як European Data Protection Board) передбачено, що  проведення Data Protection Impact Assessment бажано здійснювати тим компаніям, які мають сумніви щодо того, чи дійсно мають місце відповідні ризики чи ні.

По результатам проведення Data Protection Impact Assessment, компанія повинна вжити всіх необхідних заходів безпеки та здійснити невідкладні дії для  усунення ризиків або ж для мінімізації виявлених ризиків до меж, сприятливих для компанії та для відповідних суб’єктів даних. У разі неможливості вжиття передбачених вище заходів та дій, компанія повинна звернутися до компетентного контролюючого органу для отримання роз’яснень та вказівок щодо подальших дій. Обов’язковість такого звернення визначено в статті 36 GDPR.

Заходи безпеки при обробці та зберіганні великих об’ємів даних

В контексті аналізу європейського законодавства та офіційних роз’яснень компетентних європейських органів, стає зрозумілим, що чим більший об’єм персональних даних оброблює компанія, тим надійніші заходи безпеки повинні вживатися.

Перш за все, персональні дані повинні зберігатися в місцях, які мають належний рівень захисту персональних даних. Серед таких можна виділи найвідоміших провайдерів хмарних сервісів як Google та Amazon. Разом з цим, варто зазначити, що провайдер не повинен бути «гігантом», щоб бути визнаним таким, що має належний рівень захисту у відповідності до GDPR. Безліч компаній пропонують послуги, які мають не гірший ступінь захисту ніж Google, в контексті європейського законодавства. Питання вибору компанії-провайдера завжди повинно досліджуватися індивідуально в кожному окремому кейсі.

По – друге, всі персональні дані, які збирає, зберігає або будь-яким чином оброблює компанія, повинні зберігатися у структурованому та впорядкованому вигляді, однак, разом з тим,  такі персональні дані не повинні бути доступними особам, які не є авторизованими компанією. Стаття 32 GDPR передбачає, що компанії, які здійснюють обробку персональних даних,  для унеможливлення доступу сторонніх осіб, повинні застосовувати такі інструменти як псевдонімізація та шифрування на постійній основі. Таке застосування буде вважатися неабияким внеском для підтвердження належного рівня відповідності компанії вимогам GDPR.

По – третє, технічні засоби, якими оперує компанія, повинні відповідати вимогам, притаманним сучасним тенденціям розвитку систем захисту та кібербезпеки, для можливості запобігти виникненню ризикових ситуацій та вчасного реагування на порушення умов обробки інформації та персональних даних, які можуть виникати в процесі обробки інформації та персональних даних компанією.

Вимоги до залученні третіх осіб

Майже жодна компанія не справляється з обробкою персональних даних без залучення третіх осіб, які надають певні послуги, зокрема компаній, які забезпечують технічну підтримку веб-сайту, сприяють у проведенні рекламних кампаній, або ж просто забезпечують наявність матеріально-технічні засобів для зберігання персональних даних.

Варто зауважити, що коли треті особи, які залучаються компанією, діють від вашого імені та за вашими інструкціями, їх слід вважати обробниками персональних даних, при цьому, ваша компанія буде вважатися контролером в будь-якому випадку. Відносини між контролером та обробником завжди повинні врегульовуватися дуже детально та скрупульозно, так як відповідальність за незаконну обробку персональних даних завжди буде нести контролер.

У відповідності до статті 28 GDPR, співпраця контролера з третіми особами, що діють у ролі обробників, повинна регламентуватися письмовими документами, зокрема окремими договорами на обробку персональних даних або ж додатковими угодами, що укладаються в рамках існуючих комерційних договорів. Такі документи повинні визначати предмет, природу, цілі та тривалість обробки, а також права та обов’язки контролера. Окрім цього, в рамках відповідного документа, на обробника повинен покладатися обов’язок вжити всіх технічних та організаційних заходів для забезпечення безпеки персональних даних, а також обов’язок сприяти контролеру в реалізації заходів, передбачених GDPR. Більш детально про співпрацю між контролером та обробником ви можете знайти в інших наших статтях.

Забезпечення постійної відповідності вимогам GDPR

Будь-яка компанія, після забезпечення відповідності вимогам GDPR, зобов’язана підтримувати необхідний рівень відповідності протягом необмеженого періоду. Насамперед, це необхідно для реалізації принципу «відповідності» (accountability), реалізація якого визначена статтею 5 GDPR.

Однією із вимог в контексті забезпечення дотримання всіх відповідних заходів, вжитих компанією, залишається призначення DPO (Data Protection Officer), який повинен здійснювати моніторинг релевантності стану процесів в середині компанії вимогам General Data Protection Regulation. Компанія має право розпочати співпрацю з DPO на умовах  трудового контракту, або ж на комерційних умовах, в рамках відповідного договору про надання послуг. І хоча DPO повинен призначатися тільки в окремих специфічних випадках, компетентні контролюючі органи наполегливо радять призначати DPO всім компаніям, які вважають, що їхня обробка персональних даних є доволі ризиковою. Коли питання йде про великі об’єми даних, питання щодо призначення DPO повинно автоматично мати позитивний результат.

Компанія BSO Privacy Group як ніхто інший розуміє особливості забезпечення відповідності компанії вимогам GDPR в режимі ongoing, а тому  ми пропонуємо для вашої компанії послуги DPO на договірній комерційній основі. Разом з тим, наші спеціалісти готові взятися за вирішення будь-яких питань, пов’язаних із захистом персональних даних та забезпечення приватності даних.