1. Каждый контролёр и, если применимо, его представитель ведут реестр деятельности по обработке, за которую ответственны. Такой реестр содержит всю следующую информацию:
(а) имя и контактную информацию контролёра и, если применимо, со-контролёра, представителя контролёра и инспектора по защите персональных данных;
(e) если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе статьи 49(1), с документацией соответствующих гарантий;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30(1)(e) GDPR:
7.5.1 Определить основание для передачи ПИИ между юрисдикциями
Средство управления
Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.
Руководство по внедрению
Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30(1)(f) GDPR:
8.2.4 Возврат, передача или распоряжение ПИИ
Средство управления
Организация должна обеспечить возможность возврата, передачи и / или утилизации ПИИ безопасным способом. Она также должна сделать свою политику доступной для клиента.
Руководство по внедрению
В какой-то момент времени, может потребоваться избавление от ПИИ каким-либо образом, что может включать в себя возврат ПИИ клиенту, передачу его другой организации или контроллеру ПИИ (например, в результате слияния), удаление или иное уничтожение, де-идентификация или архивирование.
…
Войти
для доступа к полному тексту
2. Каждый процессор и, если применимо, представитель процессора ведут реестр всех видов деятельности по обработке, выполняемых от имени контролёра, содержащий следующую информацию:
(а) имя и контактные данные процессора или процессоров и каждого контролёра, от имени которого работает процессор, и, если применимо, представителя контролёра или процессора и инспектора по защите персональных данных;
(с) если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе статьи 49(1), с документацией соответствующих гарантий;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30(2)(c) GDPR:
8.5.2 Страны и организации, в которые ПИИ может передаваться
Средство управления
Организация должна указать и задокументировать страны и международные организации, в которые ПИИ могут передаваться.
Руководство по внедрению
Идентификационные данные стран и международных организаций, в которые ПИИ могут передаваться в ходе обычной работы, должны быть доведены до сведения клиентов.
…
Войти
для доступа к полному тексту
(d) если возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32(1).
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.
Here is the relevant paragraph to article 30(2)(d) GDPR:
6.12.1.2 Addressing security within supplier agreements
Implementation guidance
The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).
…
Войти
для доступа к полному тексту
3. Реестр, упомянутый в параграфах 1 и 2 должен быть составлен в письменной форме, включая электронную.
4. Контролёр или процессор и, если применимо, представитель контролёра или процессора, предоставляют реестр в распоряжение надзорного органа по его запросу.
5. Обязательства, указанные в параграфах 1 и 2 не распространяются на предприятия или организации с численностью работников менее 250 человек, за исключением случаев, когда обработка, которую они осуществляют, с большой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, либо когда обработка не носит случайный характер, либо когда обработка включает специальные категории данных, упомянутые в Статье 9(1), или персональные данные, касающиеся судимостей и правонарушений, упомянутые в Статье 10.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
Статья 30 довольно проста и дает нам очень прямые указания о том, какой документ должен быть создан и какая информация в нем должна быть. Часто достаточно создать обычную таблицу Excel, если количество ваших обработок не так велико. Однако если вы видите, что простая таблица уже недостаточно читабельна или не очень хорошо масштабируется, то для Реестра существуют также специализированные программные решения.
Зачастую обязанность вести Реестр деятельности по обработке может выглядеть как очередная бюрократическая процедура, которую GDPR требует только для того, чтобы сделать обработку персональных данных более сложной. Однако, мы предлагаем смотреть на это, как на важный инструмент и процесс не только потому что необходимо соответствовать Регламенту, но и для нас самих как для контролеров и/или процессоров.
Вот почему.
При планировании действий по соблюдению Регламента, компании часто склонны отдавать предпочтение внешне заметным шагам, таким как Политика Приватности, содержание баннеров о согласии и т.д. Ведь именно с этим сталкивается «внешний наблюдатель», и субъекты данных в частности. И несмотря на то, что в такой приоритезации много смысла, в стремлении составить идеальный текст Политики Приватности мы можем легко забыть о важности внутренней документации, такой как, например, Реестр деятельности по обработке. В этом случае мы теряем возможность очень простым способом получить четкое и понятное представление о том, какие персональные данные, почему и как обрабатываются в нашей компании. Очевидно, что стремление соблюсти Статью 30 также является большим стимулом для контроллеров и процессоров к созданию и ведению реестра. Но есть еще больше причин, почему GDPR посвящает ему отдельную статью и почему мы, как профессионалы в области приватности, рассматриваем его как полезный инструмент для самих контролеров и процессоров.
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30 GDPR:
7.2.8 Записи, связанные с обработкой ПИИ
Средство управления
Организация должна определить и надежно вести необходимые записи в поддержку своих обязательств по обработке ПИИ.
Руководство по внедрению
Способ ведения записей обработки ПИИ состоит в том, чтобы иметь перечень или список действий по обработке ПИИ, которые выполняет организация.
…
Войти
для доступа к полному тексту
(13) В целях обеспечения соответствующего уровня защиты физических лиц на территории Союза и предотвращения расхождений, затрудняющих свободное движение персональных данных в пределах внутреннего рынка, Регламент необходим для обеспечения правовой определённости и прозрачности для хозяйствующих субъектов, в том числе микро, малых и средних предприятий, для предоставления физическим лицам во всех государствах-членах одинакового уровня юридически закреплённых прав и обязанностей, а также функциональных обязанностей контролёров и процессоров; обеспечения соответствующего мониторинга обработки персональных данных и равнозначных санкций во всех государствах-членах, равно как и для обеспечения эффективного сотрудничества между надзорными органами различных государств-членов. Надлежащее функционирование внутреннего рынка требует, чтобы свободное движение персональных данных в пределах Евросоюза не ограничивалось или запрещалось по причинам, связанным с защитой физических лиц при обработке персональных данных. Для учёта конкретной ситуации на микро, малых и средних предприятиях, настоящий Регламент предусматривает изъятия в отношении ведения учёта для организаций с менее чем 250 сотрудников. Кроме того, учреждениям и органам Евросоюза, а также государствам-членам и их надзорным органам, рекомендуется учитывать конкретные потребности микро, малых и средних предприятий по применению настоящего Регламента. Понятие микро, малых и средних предприятий должно пониматься исходя из статьи 2 Приложения Рекомендации Комиссии 2003/361/ЕС [5].
[5] Рекомендация Европейской Комиссии от 6 мая 2003 г. относительно определения микропредприятий, малых и средних предприятий (C(2003) 1422) (Официальный журнал Европейского союза N L 124, 20.05.2003, стр. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC
(39) Любая обработка персональных данных должна быть законной и справедливой. До физических лиц должно быть прозрачно донесено то, что их персональные данные собираются, используются, просматриваются или иным образом обрабатываются, а также то, в каком объеме персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любые сведения или сообщения в отношении обработки указанных персональных данных были легкодоступны, понятны и представлены на ясном и простом языке. Этот принцип, в частности, предусматривает необходимость извещения субъектов данных о том, кто является контролёром, о целях обработки данных, а также дополнительное информирование для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сведений об имеющих к ним отношение персональных данных, которые обрабатываются. Физические лица должны быть осведомлены о рисках, правилах, средствах защиты и правах в отношении обработки персональных данных и о том, как реализовать свои права в связи с такой обработкой. В частности, конкретные цели обработки персональных данных, должны быть ясными и законными и должны определяться в момент сбора персональных данных. Персональные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо для целей, с которыми они обрабатываются. Это требует, в частности, обеспечения того, чтобы период, в течение которого персональные данные хранятся, ограничивался строгим минимумом. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть в разумных пределах достигнута иными средствами. Чтобы гарантировать, что персональные данные не будут храниться дольше, чем это необходимо, контролёр должен установить сроки, по истечении которых персональные удаляются или пересматриваются. Необходимо принять все рационально обусловленные меры для того, чтобы обеспечить исправление или удаление неточных персональных данных. Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность этих персональных данных, в том числе для предотвращения несанкционированного доступа к персональным данным или несанкционированного использования персональных данных и оборудования, используемого для обработки.
(82) Для демонстрации соответствия Регламенту контролёр или процессор должен вести учет деятельности по обработке, за которую он отвечает. Каждый контролёр и процессор обязан сотрудничать с надзорным органом и по запросу предоставлять в его распоряжение указанные учетные сведения в целях мониторинга процесса обработки.
(EN) Information Commissioner’s Office (ICO, Great Britain), Documentation template for controllers
Information Commissioner’s Office (ICO, Great Britain), Documentation template for processors
Information Commissioner’s Office (ICO, Great Britain), Right of Access (2020).
Information Commissioner’s Office (ICO, Great Britain), Data sharing: a code of practice (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 30(1)(d) GDPR:
7.5.4 Записи о раскрытии ПИИ третьим лицам
Средство управления
Организация должна регистрировать раскрытие ПИИ третьим сторонам, включая информацию о том, какая информация ПИИ была раскрыта, кому и в какое время.
Руководство по внедрению
ПИИ может быть раскрыта в ходе обычной работы. Эти раскрытия должны быть зарегистрированы.
…
Войти
для доступа к полному тексту