Подготовка компании к Personal Data Breach

15 апреля 2020

В последнее время, клиенты BSO Privacy Group все чаще задаются вопросом относительно того, как нужно действовать компании при выявлении факта нарушения персональных данных (Personal Data Breach). И хотя некоторым лицам кажется, что возможность наступления такого факта маловероятна, можем отметить, что некоторые много компаний уже столкнулось с подобными вызовами. Ответ на вопрос о подготовке к Personal Data Breach, мы попробуем раскрыть в этой статье.

Первичная подготовка компании

Существует выражение «Хочешь мира — готовься к войне». Хотя он в нашей ситуации и не совсем актуален, но все же основную суть мы можем уловить. Лучше иметь на вооружении все необходимые инструменты, которые могут пригодиться при наступлении Personal Data Breach, а чем потом делать все в один момент, когда над головой нависнет опасность наложения штрафа от контролирующего органа.

Первое, что мы можем посоветовать, это необходимость осуществления оценки влияния на защиту данных (Data Protection Impact Assessment). Эта мера поможет вам понять, какие риски для прав и свобод субъектов данных несут в себе запланированые или текущие операции по обработке персональных данных. Для этого вам необходимо просто выделить некоторые сферы вашего бизнеса и провести их детальный анализ. Проведение Data Protection Impact Assessment лучше организовывать перед началом обработки данных, а также в течение деятельности компании, с промежутком как минимум в полгода.

Выявленные в результате DPIA риски, помогут вам понять, на каких сферах бизнеса вам лучше сосредоточить свое внимание и где наибольшие риски возможного наступления Personal Data Breach.

Например, если в рамках осуществления своего бизнеса вы привлекаете сторонних лиц — подрядчиков (например ФЛП), у вас никогда не будет стопроцентной гарантии, что не произойдет утечка информации через такое лицо.

Целевая подготовка компании

Под целевой подготовкой компании следует понимать разработку соответствующих документов, которые будут регламентировать действия компании в контексте выявленных нарушений персональных данных, а также реализацию технических и организационных мероприятий, которые, кроме всего прочего, помогут компании:

  • своевременно и оперативно отреагировать на выявленное нарушение персональных данных;
  • оперативно сообщить контролирующие органы о факте выявления нарушения персональных данных;
  • оперативно, при необходимости, сообщить субъектов персональных данных о факте выявления нарушения;
  • минимизировать риски и последствия для субъектов персональных данных, которые возникли в результате нарушения персональных данных.

Документы, которые мы рекомендуем разработать, обычно состоят из основного регламентирующего документа, который называется Personal Data Breach Policy, а также целого ряда других документов, которые могут быть разработаны в виде процедур, реестров, регламентов и таблиц.

С технической точки зрения, было бы желательно обеспечить наличие программного обеспечения, которое бы обеспечивало возможность систематизировать информацию о нарушениях персональных данных и определять процессы, необходимые в той или иной ситуации, в зависимости от тяжести нарушения. Исходя из практики, такое программное обеспечение должно быть индивидуальным и соответствовать требованиям каждой отдельной компании.

Команда и ответственные лица как составной организационное мероприятие

Если вам кажется, что организация процесса реагирования на нарушения персональных данных это достаточно просто, то вы ошибаетесь. Силами одного человека обеспечить реализацию такого процесса чрезвычайно сложно. Вместе с тем, следует учитывать, что контролирующие органы не очень-то любят, когда все ключевые функции и решения сосредоточены в руках одного человека.

Именно, в связи с этим, компания должна иметь документы, которые бы регламентировали распределения ролей между всеми работниками компании и лицами, которые привлекаются компанией к процессу обработки персональных данных. Именно такой документ называется Data processing roles and responsibilities.

Кроме этого, вашей компании стоит позаботиться о наличии команды соответствующих специалистов (Data breach response team), которая должна собираться сразу после обнаружения каждого отдельного факта нарушения персональных данных. Основными задачами Personal Data Breach Response Team являются:

  • предварительная обработка информации о нарушении персональных данных;
  • дальнейший анализ нарушения и оценки возможных его последствий;
  • принятие оперативных решений по реагированию на нарушения и принятия мер, на минимизацию или устранение негативных последствий, спровоцированных нарушением;
  • принятие решения о сообщении Data Protection Authority о факте нарушения;
  • принятие решения об уведомлении субъектов персональных данных, которые пострадали в результате нарушения, о факте нарушения.

Как показывает практика, многие компании пренебрегают определением компетентной команды, предоставляя право принимать решения, например, менеджеру конкретного проекта. Это обычно становится проблемой, когда нужно принимать действительно оперативные решения в отношении выявленного нарушения, тем более что нарушения могут быть различного характера.

Именно поэтому, рекомендуем вам подготовить соответствующую команду, а также урегулировать и закрепить ее полномочия и функции в документарном виде.

Особенности сообщение Data Protection Authority (DPA) и субъектов данных

Ну что же, следующим шагом в обеспечении соответствия вашей компании требованиям GDPR, в рамках работы с Data Breach, является уведомление контролирующего органа о факте выявления нарушения и, при необходимости, сообщение об этом же факте субъектов персональных данных, чьи персональные данные были нарушены.

Основной критической разницей, которая различается в двух этих обязанностях является то, что контролирующий орган должен быть уведомлен при выявлении факта любого нарушения в то время, как субъектов данных нужно сообщать только когда существует большой риск для прав и свобод таких субъектов.

Именно здесь возникает вопрос о своевременном определения последствий нарушения и степени их рискованности по отношению к правам и интересам субъектов данных, который должен обеспечиваться Personal Data Breach Response Team.

С практической точки зрения, когда вы колеблетесь при определении того, какой уровень рискованности имеет нарушения, советуем выбирать высокий риск и сообщать о факте выявления нарушения как контролирующие органы, так и субъектов данных, в порядке и сроки, которые определены в GDPR.

Не стоит, наверное, и напоминать, что компания, сообщая контролирующему органу обстоятельства Personal Data breach, должна просчитывать свои действия как минимум на два шага вперед. Имеется в виду, что компания, как минимум, должна иметь на руках все документы, которые будут закрывать все заявленные ею действия по отношению к выявленного нарушения.

Например. Если вы сообщаете DPA, что после выяснения факта наступления Personal Data breach, вы оперативно отреагировали и оценили возможные последствия такого нарушения, будьте готовы предоставить соответствующие протоколы заседания Personal Data breach response team и отчеты.

Вывод

Всегда будьте готовы вовремя отреагировать на выявленное нарушение персональных данных, ведь иногда, контролирующий орган не так особенно обращает внимание на нарушения, как на то, как компания отреагировала на нарушение, а также на действия которые компания совершила, осуществляет или предлагает осуществить.