В конце августа состоялся онлайн-воркшоп по ведению реестра процессов обработки персональных данных, который организовала Российская ассоциация профессионалов в области приватности (RPPA). Участники обсудили ведение реестра согласно российскому закону о персональных данных (152-ФЗ) и Общему положению о защите данных (GDPR) Евросоюза.
GDPR (в отличие от российского закона) обязывает операторов вести специальный реестр – так называемый Register of processing activities. Он призван систематизировать основные параметры обработки компанией персональных данных и содержит указание целей обработки, категорий данных, субъектов, сроков хранения, применимых мер безопасности и так далее. Как отметили участники вебинара, это ещё и удобный инструмент для самих юристов, который можно применять и в российской практике.
Паулина Смыковская, IT-юрист и преподаватель ВШЭ, отметила, что такие реестры были незаменимы при проверках Роскомнадзора, в которых она участвовала. При составлении реестра она рекомендовала начать с определения субъектов, данные которых могут оказаться в распоряжении компании. В основном они делятся на три типа: кадры, бизнес и бэк-офис. К последним относятся посетители и представители госорганов.
Артем Дмитриев, руководитель отдела IP, Technology и Data protection в компании PwC Legal, рекомендовал «привести к одному знаменателю» реестры по российскому и европейскому правовым режимам. Он предупредил, что можно столкнуться с некоторыми трудностями. Один и тот же процесс может иметь разные основания обработки по 152-ФЗ и GDPR. Например, европейские нормы, в отличие от российских, практически исключают обработку данных работников по согласию.
Станислав Никитин, риск-менеджер в компании KoronaPay Europe, отметил, что работа над реестром практически никогда не заканчивается. Его требуется постоянно обновлять и переделывать. Поэтому важно установить доверительные отношения с владельцами бизнес-процессов, чтобы быстро актуализировать реестр.
Елена Себякина, консультант DPO LLC и член рабочей группы RPPA по подготовке темплейтов, показала разработанную ею форму реестра, а также продемонстрировала участникам вебинара пример заполнения в отношении одного из процессов. Максим Лагутин, ведущий эксперт и основатель Б-152, поделился своими рекомендациями относительно платформ, на которых можно вести реестр, включая как общедоступный Excel, так и специализированный OneTrust.