Data records: чому потрібно зберігати записи про операції з обробки персональних даних

26 Листопада 2020

На ряду з іншими вимогами європейського законодавства, спрямованого на захист персональних даних, в положеннях GDPR існує вимога щодо зберігання інформації про операції з обробки персональних даних, для можливості забезпечити та гарантувати GDPR compliance компанії.

Для яких цілей потрібні data records

Контролюючі органи, з метою контролю за діяльністю суб’єктів, які так чи інакше здійснюють обробку персональних даних, в контексті вимог GDPR, а також для оперативного з’ясування обставин, у випадку настання порушення персональних даних, мають право ознайомлюватися з записами компанії про операції, які здійснюються по відношенню до персональних даних. 

Про таку необхідність може свідчити положення, що міститься в статті 30(4) GDPR, яке передбачає, що контролери або обробники, або їхні представники зобов’язані надавати контролюючим органам доступ до таких записів на першу їхню вимогу.

Отже можемо констатувати, що вимога забезпечити наявність data records є нічим іншим, як ще одним інструментом контролю за діяльністю контролерів та обробників з боку держав – членів ЄС та Європейського Союзу в цілому, який закріплений в тексті GDPR.

Вимоги щодо зберігання data records

Загалом, вимоги до компаній щодо зберігання записів про операції, які проводяться по відношенню до персональних даних, застосовуються як до контролерів, так і до обробників, але зміст таких вимог відрізняється для кожної із категорій компаній.

Вимоги до контролерів. У відповідності до вимог GDPR, контролер, і при необхідності його представник, зобов’язаний зберігати записи, які містять:

  • інформацію про особу та контактні дані контролера та, за необхідності, об’єднаного контролера;
  • представника контролера та офіцера із захисту даних (Data Protection Officer);
  • інформацію про цілі обробки персональних даних;
  • інформацію про категорії суб’єктів даних, чиї персональні дані оброблюються;
  • інформацію про категорії персональних даних, які оброблюються;
  • інформацію про категорії одержувачів, яким персональні дані були або будуть розкриті (передані). В цьому випадку мова йде і про одержувачів, які знаходяться або здійснюють свій бізнес в третіх країнах;
  • у разі передачі персональних даних до компаній в треті країни, інформацію про ідентифікаційні дані таких осіб;
  • у разі передачі персональних даних до третіх країн, які не мають належного рівня обробки персональних даних, або до яких не застосовуються виключення, передбачені GDPR, але при цьому, передавання не є повторюваним, стосується лише обмеженої кількості суб’єктів даних, є необхідним для цілей істотних законних інтересів контролера, над якими не переважають інтереси чи права і свободи суб’єкта даних, і контролер оцінив усі обставини, що супроводжують передавання даних, і на підставі такої оцінки надав належні гарантії щодо захисту персональних даних, інформацію про документацію, яка забезпечує відповідні гарантії;
  • за можливості, інформацію про передбачені часові обмеження для видалення різних категорій персональних даних;
  • за можливості, загальний опис технічних і організаційних заходів безпеки, які компанія вживає при обробці персональних даних, зокрема вимоги, передбачені в статті 32(1) GDPR.

Вимоги до обробників. У відповідності до вимог GDPR, обробник, і за необхідності його представник, зобов’язаний зберігати записи, які містять:

  • інформацію про особу та контактні дані обробника чи обробників та кожного контролера, від імені якого діє обробник, та, за необхідності, представника контролера або представника обробника та офіцера із захисту даних (Data Protection Officer);
  • інформацію про категорії обробки персональних даних, що здійснюються обробником від імені кожного контролера;
  • у разі передачі персональних даних до компаній в треті країни, інформацію про ідентифікаційні дані таких осіб;
  • за можливості, загальний опис технічних і організаційних заходів безпеки, які компанія вживає при обробці персональних даних, зокрема вимоги, передбачені в статті 32(1) GDPR.

Особливості зберігання data records

Зберігання data records, в контексті вимог європейського законодавства, може здійснюватися як в письмовій, так і в електронній формі. Головне, щоб на першу вимогу контролюючого органу, компанія змогла надати чітко структуровану інформацію, зрозумілу для представників влади.

Поряд з вимогами щодо зберігання записів про операції, які проводяться по відношенню до персональних даних, існують також виключення стосовного того, які компанії не підпадають під вимоги GDPR, спрямовані на зберігання data records. Мова йде про ті підприємства чи організації з кількістю працівників, меншою за 250 осіб, за винятком, якщо здійснювана обробка персональних даних може призвести до виникнення ризику для прав і свобод суб’єктів даних, або обробка не є випадковою, або якщо обробка передбачає спеціальні категорії персональних даних або персональні дані про судимості і кримінальні злочини.

В будь якому випадку, важливо дотримуватися вимог General Data Protection Regulation щодо збереження data records для того, щоб в повній мірі забезпечити GDPR compliance своєї компанії.

Якщо ж у вас виникають питання щодо того, як краще організувати та забезпечити процес збереження записів про операції з обробки персональних даних, компанія BSO Privacy Group зможе надати вам високоякісні профільні послуги та посприяє у вирішенні питань, пов’язаних з забезпеченням приватності в рамках компанії.