Риски при обработке персональных данных: что такое оценка рисков и управление рисками в пределах компании

15 января 2020

Современное видение защиты персональных данных основывается на подходе, который предполагает постоянную оценку рисков, которые могут возникнуть как для кампании, так и для других субъектов, которые так или иначе связаны с компанией в процессе обработки персональных данных. Например, речь может идти о клиентах компании, которые предоставляют компании данные о себе, для возможности получить от него определенные услуги или товары.

Виды рисков и управление рисками

Требования, о том, когда и как должны проводиться оценки рисков, предусматриваются большим количеством нормативных актов Европейского Союза, а также другими дополнительными разъяснениями, которые предоставляются компетентными европейскими органами.

Среди приоритетных документов, которые должны приниматься во внимание, является General Data Protection Regulation, который вступил в силу в мае 2018 года. Этот документ является основополагающим в вопросах защиты персональных данных, а также в вопросах оценки рисков. Так, в частности, в статье 24 и статье 32 GDPR предполагается, что компания должна обеспечить надлежащий уровень защиты при обработке персональных данных, путем принятия технических и организационных мероприятий, учитывая, кроме всего прочего, риски различной достоверности и строгости для прав и свобод физических лиц.

Под понятием «риск» имеется в виду сценарий, описывающий событие и его последствия, а также оценивается с точки зрения тяжести и вероятности.

По общим правилам, необходимо разделять риски на общие, которые, например могут возникать для компании в процессе осуществления им своей деятельности в целом. Например, речь может идти о рисках в рамках информационных систем компании, которые могут стать причиной наступления информационного инцидента, который будет иметь негативное влияние на компанию и на информацию, которой может обладать компания.

В свою очередь, риски для информационной системы, в рамках которой хранятся и обрабатываются различные типы информации, могут стать катализатором для возникновения рисков для прав, свобод и интересов физических лиц, чьи персональные данные используются компанией. Взаимосвязь между рисками по информационным системам и рисками для персональных данных является очевидным и логически последовательным, ведь сначала должно произойти нарушение системы, а уже затем нарушения данных.

В целом же, компания должна уделить значительное внимание вопросам установления, управления и минимизации рисков, так как это является одной из составляющих в процессе обеспечения соответствия компании требованиям GDPR и другого европейского законодательства по защите данных.

Понятие «управление рисками» можно определить как скоординированные меры по управлению и контролю компанией в контексте определенных рисков. Другими словами, это система мер, которые должны приниматься компанией для установления рисков и их минимизация до уровня, который будет приемлемым для компании. Примером таких мероприятий можем считать назначение лиц, ответственных за проведение соответствующих процедур, разработку документов, регламентирующих работу таких лиц, а также документов, которые будут устанавливать предельные сроки реализации тех или иных мероприятий, направленных на устранение рисков.

Data protection impact assessment как один из ключевых мероприятий в процессе управления рисками

В контексте защиты персональных данных, учитывая подход основанный на постоянной оценке и управлении рисками, GDPR предусматривает проведение «оценки воздействия на защиту данных» (DPIA), который по своей сути и является оценкой степени рисков, которые могут возникнуть для прав, свобод и интересов физических лиц, в процессе обработки персональных данных компанией.

Проведение DPIA не является обязательным для каждой операции, проводимой компанией, которая может привести к рискам для прав и свобод физических лиц. Проведение DPIA обязательно только тогда, когда обработка может привести к высокому риску для прав и свобод физических лиц. Это особенно актуально при внедрении новой технологии обработки данных или при изменении целей обработки персональных данных. В случаях, когда непонятно, требуется проведение DPIA, компетентные европейские органы рекомендуют, чтобы DPIA все же было проведено компанией, поскольку DPIA является чрезвычайно полезным инструментом, который помогает компаниям выполнять требования законодательства о защите данных.

Даже несмотря на то, что DPIA может требоваться при других обстоятельствах, статья 35 GDPR предоставляет некоторые примеры, когда операция обработки может привести к высоким рискам:

  • систематическая и всесторонняя оценка личных аспектов, связанных с физическими лицами, основанное на автоматизированной обработке, включая профилирование, и на которых основываются решения, вызывающие юридические последствия в отношении физического лица или аналогично существенно влияют на физическое лицо;
  • обработка в больших масштабах специальных категорий данных или персональных данных, касающихся уголовных судимостей и правонарушений, указанных в статье 10 GDPR; или
  • систематический мониторинг общедоступных мест в больших масштабах.

Оценка воздействия на защиту данных должна проводиться на постоянной основе, для возможности оценивать рискованность операций по обработке в режиме онлайн. Это позволит компании обеспечить безопасность правам и свободам физическим лицам, чьи персональные данные обрабатываются. При этом, первичная Оценка воздействия на защиту данных должна быть осуществлена ​​до момента начала обработки персональных данных. Это требование предполагается General Data Protection Regulation.

Организация проведения DPIA

Для проведения оценки воздействия на защиту данных, компания должна назначить отдельного работника или команду специалистов, основной функцией которой была бы организация проведения DPIA в рамках компании. При этом, если в компании есть офицер по защите данных (data protection officer), его участие, по нашему мнению, должно быть обязательным, в том числе для предоставления своего видения относительно вопросов определения и управления рисками.

Осуществляя DPIA, компания должна принять во внимание современное состояние развития технологий, которые могут быть применены как для обеспечения безопасности обработки данных, так и для осуществления, например, кибератак злоумышленниками. Кроме этого, контекст, цели, природа обработки персональных данных и многие другие факторы должны учитываться компанией для возможности идентифицировать потенциальные риски.

В случае, если компания обнаружит риски, которые будут иметь высокий уровень опасности, в контексте обработки персональных данных, и компания не сможет минимизировать такие риски или устранить их, возникает необходимость в дополнительной консультации с компетентным контролирующим органом. Следует подчеркнуть, что игнорирование этого требования может привести к применению штрафных санкций к компании.

Компания всегда должна быть готова к идентификации новых рисков и возможности бороться с ними. Именно такая готовность, в сочетание с другими реализуемыми техническими и организационными мерами, поможет компании иметь статус GDPR compliance на постоянной основе.