РИЗИКИ ПРИ ОБРОБЦІ ПЕРСОНАЛЬНИХ ДАНИХ: ЩО ТАКЕ ОЦІНКА РИЗИКІВ ТА УПРАВЛІННЯ РИЗИКАМИ В МЕЖАХ КОМПАНІЇ

15 Січня 2020

Сучасний бачення захисту персональних даних орієнтується на підході, що передбачає постійну оцінку ризиків, що можуть виникнути як для кампанії, так і для інших суб’єктів, які так чи інакше пов’язані з компанією в процесі обробки персональних даних. Наприклад, мова може йти про клієнтів компанії, які надають компанії дані про себе, для можливості отримати від неї певні послуги або товари.

Види ризиків та управління ризиками

Вимоги, стосовно того, коли та як повинні проводитися оцінювання ризиків, передбачаються великою кількістю нормативних актів Європейського Союзу, а також іншими додатковими роз’ясненнями, які надаються компетентними європейськими органами.

Серед пріоритетних документів, які повинні братися до уваги, є General Data Protection Regulation, що набрав чинності в травні 2018 року. Цей документ є основоположним в питаннях захисту персональних даних, а також в питаннях оцінки ризиків. Так зокрема, в статті 24 та статті 32 GDPR передбачається, що компанія повинна забезпечити належний рівень захисту при обробці персональних даних, шляхом вжиття технічних та організаційних заходів, враховуючи, окрім всього іншого, ризики різної вірогідності та суворості для прав та свобод фізичних осіб.

Під поняттям «ризик» мається на увазі сценарій, що описує подію та її наслідки, а також оцінюється з точки зору тяжкості та ймовірності.

За загальними правилами, необхідно розділяти ризики на загальні, які, наприклад можуть виникати для компанії в процесі здійснення нею своє діяльності в цілому. Наприклад, мова може йти про ризики в рамках інформаційних систем компанії, що можуть стати причиною настання інформаційного інциденту, який матиме негативний вплив на компанію та на інформацію, якою може володіти компанія.

В свою чергу, ризики для інформаційної системи, в рамках якої зберігаються та оброблюються різноманітні типи інформації, можуть стати каталізатором для виникнення ризиків для прав, свобод та інтересів фізичних осіб, чиї персональні дані використовуються компанією. Взаємозв’язок між ризиками щодо інформаційних систем та ризиками для персональних даних є очевидним та логічно послідовним, адже спочатку повинно відбутися порушення системи, а  вже потім порушення даних.

Загалом же, компанія повинна приділити значну увагу питанням встановлення, управління та мінімізації ризиків, так як це є однією із складових в процесі забезпечення відповідності компанії вимогам GDPR та іншого європейського законодавства щодо захисту даних.

Поняття «управління ризиками» можна визначити як скоординовані заходи щодо управління та контролю компанією в контексті певних ризиків. Іншими словами, це система заходів, які повинні вживатися компанією для встановлення ризиків та їхньої мінімізація до рівня, який буде прийнятним для компанії. Прикладом таких заходів можемо вважати призначення осіб, відповідальних за проведення відповідних процедур, розробку документів, які регламентують роботу таких осіб, а також документів, які встановлюватимуть граничні строки реалізації тих чи інших заходів, спрямованих на усунення ризиків.

Data protection impact assessment як один із ключових заходів в процесі управління ризиками

В контексті захисту персональних даних, враховуючи підхід, що базується на постійній оцінці та управлінні ризиками,  GDPR передбачає проведення «оцінки впливу на захист даних» (DPIA) , що по своїй суті і є оцінкою ступеня ризиків, що можуть виникнути для прав, свобод та інтересів фізичних осіб, в процесі обробки персональних даних компанією.

Проведення DPIA не є обов’язковим для кожної операції, що проводиться компанією та яка може призвести до ризиків для прав і свобод фізичних осіб.  Проведення DPIA є обов’язковим лише тоді, коли обробка може призвести до високого ризику для прав та свобод фізичних осіб.  Це особливо актуально при впровадженні нової технології обробки даних або при зміні цілей обробки персональних даних. У випадках, коли незрозуміло, чи потрібне проведення DPIA, компетентні європейські органи рекомендують, щоб DPIA все ж було проведено компанією, оскільки DPIA є надзвичайно корисним інструментом, який допомагає компаніям виконувати вимоги законодавства про захист даних.

Навіть незважаючи на те, що DPIA може вимагатись за інших обставин, стаття 35 GDPR надає деякі приклади, коли операція обробки може призвести до високих ризиків:

  • систематичне та всебічне оцінювання особистих аспектів, пов’язаних з фізичними особами, яке базується на автоматизованій обробці, включаючи профілювання, і на яких ґрунтуються рішення, які спричиняють юридичні наслідки щодо фізичної особи або аналогічно суттєво впливають на фізичну особу;
  • обробка у великих масштабах спеціальних категорій даних або персональних даних, що стосуються кримінальних судимостей та правопорушень, зазначених у статті 10 GDPR; або
  • систематичний моніторинг загальнодоступних місць у великих масштабах.

Оцінка впливу на захист даних повинна проводитися на постійній основі, для можливості оцінювати ризиковість операцій з обробки в режимі онлайн. Це надасть можливість компанії гарантувати безпеку правам та свободам фізичним особам, чиї персональні дані оброблюються. При цьому, первинна Оцінка впливу на захист даних повинна бути здійснена до моменту початку обробки персональних даних. Ця вимога передбачається General Data Protection Regulation.

Організація проведення DPIA

Для проведення оцінки впливу на захист даних, компанія повинна призначити окремого працівника або команду спеціалістів, основною функцією якої була б організація проведення DPIA в рамках компанії. При цьому, якщо в компанії є призначений офіцер із захисту даних (data protection officer), його участь, на нашу думку, повинна бути обов’язковою, для надання свого бачення стосовно питань визначення та управління ризиками.

Здійснюючи DPIA, компанія повинна прийняти до уваги сучасний стан розвитку технологій, які можуть бути застосовані як для забезпечення безпеки обробки даних, так і для здійснення, наприклад, кібератаки зловмисниками. Окрім цього, контекст, цілі, природа обробки персональних даних та багато інших факторів повинні враховуватися компанією для можливості ідентифікувати ризики.

У випадку, якщо компанія виявить ризики, які матимуть високий рівень небезпеки, в контексті обробки персональних даних, і компанія не зможе мінімізувати такі ризики або усунути їх, виникає необхідність в додатковій консультації з компетентним контролюючим органом. Варто підкреслити, що ігнорування цієї вимоги, може призвести до застосування штрафних санкцій до компанії.

Компанія завжди повинна бути готовою до ідентифікації нових ризиків та можливості боротися з ними. Саме така готовність, в поєднання з іншими реалізованими технічними та організаційними заходами, допоможе компанії мати статус GDPR compliance на постійній основі.