НЕ СЕСТЬ ЗА BIG DATA: КАК НУЖНО СОБИРАТЬ И ОБРАБАТЫВАТЬ ДАННЫЕ О ВАШИХ КЛИЕНТОВ

24 декабря 2019

Собирая большие объемы данных о своих клиентах, компании не всегда принимают во внимание тот факт, что каждый из этих клиентов является субъектом данных, который, в соответствии с General Data Protection Regulation (GDPR), имеет определенный объем прав, гарантирующих ему, помимо всего прочего, право на получение информации и доступ к своим персональным данным, которые обрабатываются компанией. Обеспечение реализации таких прав является лишь частью мер, которые должна принять компания.

Основания для обработки персональных данных

Компании, осуществляющие свою деятельность в сфере оказания услуг или реализации товаров, в частности, через Интернет, имеют достаточно серьезно подойти к вопросу обеспечения своей соответствия требованиям GDPR, так как оперируя с большими базами данных своих клиентов, они невольно могут стать объектами штрафных санкций, которые могут быть наложены компетентными европейскими органами, реализующих свои полномочия в сфере надзора за соблюдением законодательства о защите персональных данных.

Прежде всего, компаниям необходимо обеспечить законное получение персональных данных в соответствии с требованиями GDPR, в частности статьи 6 (1), так как несоблюдение этого требования может привести к тому, что обработка персональных данных, с самого своего начала, будет незаконным и приведет к негативных последствий для бизнеса.

Законодательство различает несколько законных оснований для легитимизации обработки персональных данных. Одной из ключевых оснований является «получение согласия на обработку персональных данных». Однако, такое основание иногда может быть не релевантной, так как GDPR может прямо требоваться применение другой законного основания или получения согласия на обработку персональных данных является достаточно обременительным в связи с возникновением дисбаланса между интересами компании, осуществляет обработку персональных данных, и физической лицом, которому персональные данные относятся (субъект данных).

Вместе с тем, компания может также применить другие законные основания для обработки персональных данных, в частности, в том случае, когда обработка необходима:

для заключения или исполнения контракта, стороной которого является субъект данных;
для защиты жизненно важных интересов субъекта данных или другого лица;
для выполнения обязанностей, возложенных на компанию;
для целей реализации компанией или третьей стороной своих законных интересов.

В любом случае, перед выбором законного основания, компания должна провести ряд мероприятий, направленных на оценку и анализ своей деятельности, прямо или косвенно связана с обработкой персональных данных. Подобные меры помогут представителям компании точно определить, какую именно законное основание необходимо применять, что в свою очередь позволит построить дальнейшую стратегию подготовки компании на предмет соответствия требованиям GDPR. Вместе с тем, стоит отметить, что проведение таких мероприятий прямо рекомендуется, а иногда и требуется соответствующими контролирующими органами в своих официальных разъяснениях.

DPIA как ключевой элемент GDPR compliance

Осуществляя обработку больших объемов персональных данных, в рамках компании могут возникать различные вопросом, такие как: «Какие ключевые действия должны быть приняты для обеспечения соответствия требованиям GDPR?». Ответ на вопрос прост и заключается в том, что компания, которая имеет дело с большими объемами персональных данных (Big Data), в обязательном порядке должна обеспечить проведение DPIA (Data Protection Impact Assessment, то есть оценки влияния на защиту данных, в первую очередь направлено на определение и оценка рисков для прав и интересов субъектов данных, в процессе осуществления операций по обработке данных. Критерии для осуществления DPIA определяются в статье 35 GDPR, однако в разъяснениях компетентных европейских органов (таких как European Data Protection Board) предусмотрено, что проведение Data Protection Impact Assessment желательно осуществлять тем компаниям, которые имеют сомнения относительно того, действительно ли имеют место соответствующие риски или нет.

По результатам проведения Data Protection Impact Assessment, компания должна принять все необходимые меры безопасности и осуществить неотложные действия для устранения рисков или же для минимизации выявленных рисков до пределов, благоприятных для компании и для соответствующих субъектов данных. В случае невозможности принятия предусмотренных выше мероприятий и действий, компания должна обратиться в компетентный контролирующий орган для получения разъяснений и указаний относительно дальнейших действий. Обязательность такого обращения определено в статье 36 GDPR.

Меры безопасности при обработке и хранении больших объемов данных

В контексте анализа европейского законодательства и официальных разъяснений компетентных европейских органов, становится понятным, что чем больше объем персональных данных обрабатывает компания, тем надежнее меры безопасности должны использоваться.

Прежде всего, персональные данные должны храниться в местах, которые имеют надлежащий уровень защиты персональных данных. Среди таких можно выдели самых известных провайдеров облачных сервисов как Google и Amazon. Вместе с тем, стоит отметить, что провайдер не должен быть «гигантом», чтобы быть признанным имеющим надлежащий уровень защиты в соответствии с GDPR. Множество компаний предлагают услуги, которые имеют не хуже степень защиты чем Google, в контексте европейского законодательства. Вопрос выбора компании-провайдера всегда должно исследоваться индивидуально в каждом отдельном кейсе.

Во — вторых, все персональные данные, которые собирает, сохраняет или каким-либо образом обрабатывает компания, должны храниться в структурированном и упорядоченном виде, однако, вместе с тем, такие персональные данные не должны быть доступны лицам, которые не являются авторизованными компанией. Статья 32 GDPR предусматривает, что компании, которые осуществляют обработку персональных данных, для предотвращения доступа посторонних лиц, должны применять такие инструменты как псевдонимизация и шифрования на постоянной основе. Такое применение будет считаться большим вкладом для подтверждения надлежащего уровня соответствия компании требованиям GDPR.

В — третьих, технические средства, которыми оперирует компания, должны соответствовать требованиям, присущим современным тенденциям развития систем защиты и кибербезопасности, для возможности предотвратить возникновение рисковых ситуаций и своевременного реагирования на нарушения условий обработки информации и персональных данных, которые могут возникать в процессе обработки информации и персональных данных компанией.

Требования к привлечении третьих лиц

Почти ни одна компания не справляется с обработкой персональных данных без привлечения третьих лиц, предоставляющих определенные услуги, в частности компаний, которые обеспечивают техническую поддержку сайта, содействие в проведении рекламных кампаний, или же просто обеспечивают наличие материально-технические средств для хранения персональных данных.

Стоит заметить, что когда третьи лица, привлекаемые компанией, действуют от вашего имени и по вашим инструкциям, их следует считать обработчиками персональных данных, при этом, ваша компания будет считаться контроллером в любом случае. Отношения между контроллером и обработчиком всегда должны регулироваться очень подробно и скрупулезно, так как ответственность за незаконную обработку персональных данных всегда будет нести контроллер.

В соответствии со статьей 28 GDPR, сотрудничество контроллера с третьими лицами, действующими в качестве обработчиков, должна регламентироваться письменными документами, в частности отдельным договорам на обработку персональных данных или дополнительными соглашениями, заключаемыми в рамках существующих коммерческих договоров. Такие документы должны определять предмет, природу, цели и продолжительность обработки, а также права и обязанности контроллера. Кроме этого, в рамках соответствующего документа, на обработчика должен возлагаться обязанность принять всех технических и организационных мероприятий для обеспечения безопасности персональных данных, а также обязанность способствовать контроллеру в реализации мероприятий, предусмотренных GDPR. Более подробно о сотрудничестве между контроллером и обработчиком вы можете найти в других наших статьях.

Обеспечения постоянного соответствия требованиям GDPR

Любая компания, после обеспечения соответствия требованиям GDPR, обязана поддерживать необходимый уровень соответствия в течение неограниченного периода. Прежде всего, это необходимо для реализации принципа «соответствия» (accountability), реализация которого определена статьей 5 GDPR.

Одним из требований в контексте обеспечения соблюдения всех соответствующих мер, принятых компанией, остается назначения DPO (Data Protection Officer), который должен осуществлять мониторинг релевантности состояния процессов внутри компании требованиям General Data Protection Regulation. Компания имеет право начать сотрудничество с DPO на условиях трудового договора, или на коммерческих условиях, в рамках соответствующего договора о предоставлении услуг. И хотя DPO должен назначаться только в отдельных специфических случаях, компетентные контролирующие органы настойчиво советуют назначать DPO всем компаниям, которые считают, что их обработка персональных данных является довольно рискованной. Когда вопрос идет о больших объемах данных, вопрос о назначении DPO должно автоматически иметь положительный результат.

Компания BSO Privacy Group как никто другой понимает особенности обеспечения соответствия компании требованиям GDPR в режиме ongoing, поэтому мы предлагаем для вашей компании услуги DPO на договорной коммерческой основе. Вместе с тем, наши специалисты готовы взяться за решение любых вопросов, связанных с защитой персональных данных и обеспечения приватности данных.