Підготовка компанії до Personal Data Breach

15 Квітня 2020

Останнім часом, клієнти BSO Privacy Group все частіше задаються питанням стосовного того, як  потрібно діяти компанії при виявленні факту порушення персональних даних (Personal Data Breach).І хоча деяким особам здається, що можливість настання такого факту  малоймовірна, можемо зазначити, що деякі наші клієнти вже зіштовхнулися з подібними викликами.  Відповідь на питання про Personal Data Breach, ми спробуємо розкрити в цій статті.

Первинна підготовка компанії

Існує вислів «Хочеш миру – готуйся до війни». Хоча він в нашій ситуації і не зовсім актуальний, але все ж основну суть ми можемо уловити. Ліпше мати на озброєнні всі необхідні інструменти, які можуть стати у нагоді при настанні Personal Data Breach, а ніж потім робити все один момент, коли над головою нависне небезпека накладення штрафу від контролюючого органу.

Найперше, що ми можемо порадити, це необхідність здійснення оцінювання впливу на захист даних (Data Protection Impact Assessment). Цей захід допоможе вам зрозуміти, які ризики для прав та свобод суб’єктів даних несуть в собі заплановані або поточні операції з обробки персональних даних. Для цього вам необхідно просто виокремити деякі сфери вашого бізнесу та провести їхній детальний аналіз. Проведення Data Protection Impact Assessment краще організовувати перед початком обробки даних, а також протягом діяльності компанії, з проміжком як мінімум в пів року.

Виявлені в результаті DPIA ризики, допоможуть вам зрозуміти, на яких сферах бізнесу вам краще зосередити свою увагу та де найбільші ризики можливого настання Personal Data Breach.

Наприклад, якщо в рамках здійснення свого бізнесу ви залучаєте сторонніх осіб – підрядників (наприклад ФОП), у вас ніколи не буде стовідсоткової гарантії, що не відбудеться витік інформації через таку особу. 

Цільова підготовка компанії.

Під цільовою підготовкою компанії варто розуміти розробку відповідних документів, які регламентуватимуть дії компанії в контексті виявлених порушень персональних даних, а також реалізацію технічних та організаційних заходів, які, окрім всього іншого, допоможуть компанії:

  • вчасно та оперативно відреагувати на виявлене порушення персональних даних;
  • оперативно повідомити контролюючі органи про факт виявлення порушення персональних даних;
  • оперативно, при необхідності, повідомити суб’єктів персональних даних про факт виявлення порушення;
  • мінімізувати ризики та наслідки для суб’єктів персональних даних, які виникли в результаті порушення персональних даних.

Документи, які ми рекомендуємо розробити, зазвичай складаються з основного регламентуючого документу, який має назву Personal Data Breach Policy, а також цілої низки інших документів, які можуть бути розроблені у вигляді процедур, реєстрів, регламентів та таблиць.

З технічної точки зору, бажано було б забезпечити наявність програмного забезпечення, яке б забезпечувало можливість систематизувати інформацію про порушення персональних даних та визначати процеси, які потрібні в тій чи іншій ситуації, в залежності від тяжкості порушення. Виходячи з практики, таке програмне забезпечення повинно бути індивідуальним та відповідати вимогам кожної окремої компанії.

Команда та відповідальні особи як складовий організаційний захід

Якщо вам здається, що організація процесу реагування на порушення персональних даних це просто, то ви помиляєтеся.  Силами однієї особи забезпечити реалізацію такого процесу надзвичайно складно. Разом з тим, варто враховувати, що контролюючі органи не дуже вже полюбляють, коли всі ключові функції та рішення зосереджені в руках однією людини.

Саме у зв’язку з цим, компанія повинна мати документи, які б регламентували розподілення ролей між всіма працівниками компанії та особами, які залучаються компанією. Що залучаються до процесу обробки персональних даних. Саме такий документ має назву Data processing roles and responsibilities.

Окрім цього, вашій компанії варто подбати про наявність команди відповідних спеціалістів (Data breach response team), яка повинна збиратися відразу після   виявлення кожного окремого факту порушення персональних даних. Основними завданнями Personal Data Breach Response Team є:

  • попередня обробка інформації про порушення персональних даних;
  • подальший аналіз порушення та оцінювання можливих його наслідків;
  • прийняття оперативних рішень щодо реагування на порушення та вжиття заходів, на мінімізацію або ж усунення негативних наслідків, спровокованих порушенням;
  • прийняття рішення про повідомлення Data Protection Authority про факт порушення;
  • прийняття рішення про повідомлення суб’єктів персональних даних, які постраждали в результаті порушення, про факт порушення.

Як показує практика, багато компаній нехтують визначенням компетентної команди, надаючи право приймати рішення, наприклад, менеджеру конкретного проекту. Це зазвичай стає проблемою, коли потрібно приймати дійсно оперативні рішення по відношенню до виявленого порушення, тим більше, що порушення можуть надзвичайно різного характеру.

Саме тому, рекомендуємо вам підготувати відповідну команду, а також врегулювати та закріпити її повноваження та функції в документарному вигляді.

Особливості повідомлення Data Protection Authority (DPA) та суб’єктів даних

Ну що ж, наступним кроком в забезпечені відповідності вашої компанії вимогам GDPR, в рамках роботи з Data breach, є повідомлення контролюючого органу про факт виявлення порушення та, при необхідності,  повідомлення про цей же факт суб’єктів персональних даних, чиї персональні дані були порушені.

Основною критичною різницею, яка вбачається в цих двох обов’язках є те, що контролюючий орган повинен бути повідомлений при виявленні факту будь-якого порушення, в той час, як суб’єктів даних потрібно повідомляти тільки коли існує великий ризик для прав і свобод таких суб’єктів.

Саме тут постає питання про вчасне визначення наслідків порушення та ступеня їхньої ризиковості по відношенні до прав та інтересів суб’єктів даних, яке повинне забезпечуватися Personal Data Breach Response Team.

З практичної точки зору, коли ви вагаєтеся при визначенні того, який рівень ризиковості має порушення, радимо обирати високий ризик та повідомляти про факт виявлення порушення як контролюючі органи, так і суб’єктів даних, в порядку та строки, що визначені в GDPR.

Не варто напевно і нагадувати, що компанія, повідомляючи контролюючому органу обставини Personal Data breach, повинна прораховувати свої дії як мінімум на два кроки вперед. Мається на увазі, що компанія, як мінімум, повинна мати на руках всі документи, які закриватимуть всі заявлені нею дії по відношенню до виявленого порушення.

Наприклад. Якщо ви повідомляєте DPA, що після з’ясування факту настання Personal Data breach, ви оперативно відреагували та оцінили можливі наслідки такого порушення, будьте готові надати відповідні протоколи засідання Personal Data breach response team та звіти.

Висновок

Завжди будьте готові вчасно відреагувати на виявлене порушення персональних даних, адже інколи, контролюючий орган не так особливо звертає увагу на порушення, як на те, як компанія відреагувала на порушення та які дії здійснила, здійснює або ж пропонує здійснити.