Веб-семинар RPPA 27 августа 2020 года
C 18:30 до 19:30 (GMT+3) состоялся бесплатный открытый онлайн семинар для специалистов по приватности по теме: Ведение реестра процессов обработки персональных данных (RoPA) с учётом требований GDPR и 152-ФЗ. Участники RPPA могут ознакомиться с материалами семинара виде шаблона RoPA и аналитического перечня платформ по автоматизации ведения RoPA (для получения доступа к материалам необходимо зайти в свою учетную запись на сайте). Также эти материалы можно будет запросить у спикеров напрямую.
Перенимаем опыт GDPR: как правильно вести реестр обработки персональных данных
Одним из отличий GDPR от российского закона является обязанность операторов (или контроллеров в терминологии европейского права) вести специальный реестр - так называемый Register of processing activities (ст. 30 GDPR). Указанный реестр служит цели систематизации основных параметров обработки компанией персональных данных и содержит, в частности, указание целей обработки, категорий данных и субъектов, сроков хранения, применимых мер безопасности и так далее.
Практикующие GDPR юристы давно отметили для себя удобство такого инструмента - из обязанности по закону этот реестр превратился в удобный органайзер собственных дел. Для того, чтобы и в российской практике прижился этот инструмент, RPPA организовал встречу известных на рынке профессионалов, которые были рады поделиться своим опытом.
В своем выступлении Паулина Смыковская (IT-юрист, преподаватель ВШЭ) отметила, что в обеих проверках РКН, в которых она участвовала, реестр персональных данных был незаменим. «Создавая реестр, начинайте не с данных и не с процессов. Начинайте с людей, права которых нужно защищать» - советует Паулина. Как правило, компания работает с тремя блоками субъектов: кадры (соискатели, работники, т.д.), бизнес (пользователи, клиенты) и бэкофис (например, посетители, представители госорганов). Определив перечень субъектов, перечислите все цели обработки для каждого из них. Напротив каждой цели укажите правовое основание обработки.
Артем Дмитриев, руководитель отдела IP, Technology и Data protection в компании PwC Legal, рассказал слушателям о том, на что обратить внимание при ведении реестра одновременно для целей двух законов - 152-ФЗ и GDPR. “Реестры по обоим режимам точно можно привести к одному знаменателю” - уверен Артем, однако предупреждает о некоторых подводных камнях. Дело в том, что, к примеру один и тот же процесс может иметь разные основания обработки по 152-ФЗ и GDPR. Европейский закон практически исключает обработку данных работников по согласию, что сильно отличается от российской практики.
Даже после окончания составления первой версии реестра трудности не окажутся позади. В своем выступлении Станислав Никитин, Risk Manager в компании KoronaPay Europe, сконцентрировался на том, какие проблемы встанут перед ответственным за обработку при поддержании актуальности реестра. Окончания как такового никогда не будет - уверен Станислав, реестр нужно будет постоянно обновлять и переделывать. Важно установить доверительные отношения с владельцами бизнес-процессов, чтобы “держать руку на пульсе” и вовремя обновить реестр.
В заключительной части вебинара Елена Себякина (консультант DPO LLC, член экспертного совета RPPA) совместно с Максимом Лагутиным (ведущий эксперт и основатель Б-152) представили наглядные рекомендации по ведению реестра.
Елена Себякина, член рабочей группы RPPA по подготовке темплейтов, показала разработанную ею форму реестра, а также продемонстрировала участникам вебинара пример заполнения в отношении одного из процессов. После этого Максим поделился своими рекомендациями относительно платформ, на которых можно вести реестр - от обычного Excel до специализированных решений, таких как OneTrust.