RoPA: чому за GDPR все починається з карти руху даних?

RoPA (облік або ж карта руху даних) – ключовий елемент роботи з персональними даними. Карту передбачають як європейський, так і британський GDPR. RoPA є звітним документом перед регуляторними органами, а будь-які суттєві зміни у бізнес-процесах повинні регулярно відображатися у карті. У цій статті ми розглянемо, кому необхідна RoPA, як її створити, а також оптимізувати процес заповнення. 

Яким компаніям потрібно вести RoPA? 

GDPR зобов’язує вести облік даних усі компанії, де: 

• працюють понад 250 працівників; або
• обробка може призвести до ризику для прав і свобод суб’єктів даних; або
• обробка є не епізодичною (не випадковою); або 
• обробляються чутливі персональні дані.

На практиці для визначення обов’язку потрібно хоча б одну підставу. Іноді організації, які за структурою менші за 250 працівників, все одно повинні вести RoPA. У таких ситуаціях кожен невипадковий вид обробки, обробка у значних масштабах чи потенційні ризики для прав суб’єктів даних оцінюються залежно від специфіки організації, її сфери діяльності, а також локальних законів держав-членів ЄС, які можуть встановлювати більш суворі вимоги до визначення чутливих даних чи ведення RoPA. 

З чого складається карта руху даних?

За ст. 30 GDPR, RoPA повинна містити щонайменше таку інформацію:

• назву, контактні дані організації, а також за наявності контактні дані представника організації та DPO;
• цілі обробки;
• опис категорій персональних даних фізичних осіб, які обробляє організація;
• категорії одержувачів персональних даних, тобто перелік внутрішніх підрозділів чи працівників або ж зовнішніх підрядників, які матимуть доступ до даних;
• деталі передачі даних до третіх країн, включаючи наявні механізми захисту; 
• графіки (плани чи розклади) видалення даних.

Британський регулятор ICO опублікував перелік кращих практик заповнення RoPA. Хоч і Великобританія не входить в ЄС – локальний GDPR дуже подібний за змістом до європейського, а британський регулятор створює дуже корисні візуальні та текстові підбірки для тлумачення закону. ICO рекомендує безпосередньо вказувати у RoPA або додавати гіперпосилання на таку інформацію: 

• повідомлення про обробку, де зазначаються підстави обробки і джерела збору даних;
• підтвердження про надання згоди суб’єктом даних;
• обробку спеціальних категорій даних;
• місця зберігання даних;
• політики видалення та знищення даних;
• звіти про оцінку впливу на захист даних (DPIA). 

Життєвий цикл RoPA

Процес створення RoPA поетапний, і чим складніша структура компанії, тим більше часу можуть зайняти підготовчі процеси, тобто аудит усіх потоків даних. 

1. Потрібно ідентифікувати, які дані обробляє компанія. (!) Нагадаємо, що обробка – це будь-яка дія з даними, включаючи збір, розкриття даних шляхом надсилання, копіювання, зберігання, створення резервних копій чи шифрування тощо. 
2. Далі потрібно займатися мапуванням процесів: визначити, куди, в якому обсязі, в який спосіб дані передаються між працівниками чи командами. 
3. Пізніше, а іноді паралельно, можна працювати над самим середовищем та згрупувати дані за категоріями. 
4. Врешті, час від часу потрібно поновлювати дані, особливо, якщо у компанії змінюються чи з’являються нові процеси, перепідписуються договори з постачальниками чи підрядниками, або ж значно змінюється організаційна структура. 

Принцип невеликої кількості зусиль, що дадуть величезні результати потім, не завжди ефективний, однак з RoPA його можна переформулювати так: повна підготовка даних та їхня структуризація на початку – це 80% роботи з RoPA. Решта 20% – це лише доповнення даних та оптимізація ведення карти. 

Хто перевіряє RoPA? 

Якщо у вашій компанії призначений DPO (Data Protection Officer), він відповідатиме за системність та цілісність заповнення RoPA внутрішньо, тобто всередині компанії. Назовні DPO ставатиме контактною особою між регуляторним органом та вашою організацією, і тоді регуляторний орган може перевіряти та накладати штрафи за невідповідність RoPA.

Більше про відповідальність DPO та взаємозв’язки DPO з компаніями читайте у нашій статті.

Q&A про RoPA 

● Чи існує визначена обов’язкова форма карти руху даних?

    ○ Ні. Форма може бути довільною. Ви можете обрати спеціальний сервіс, адаптовану CRM-систему, обрати шаблон, який пропонує регулятор чи ваш DPO, або навіть вести облік в інструментах Microsoft чи Google. Головне, щоб у документі зазначалася уся необхідна інформація. До речі, ось шаблони, які пропонує ICO для контролера та для процесора. А тут шаблон, який пропонує французький регулятор CNIL.

● Де краще зберігати RoPA?

    ○ Ми радили б користуватися хмарними сервісами, однак GDPR не виключає використання звичайного електронного носія. 

● Хто з працівників компанії може мати доступ до карти? 

    ○ Важливо, щоб особи, відповідальні за заповнення RoPA, мали до неї доступ. Менеджмент компанії повинен мати уявлення про процеси, пов’язані з обробкою даних, але доступ повинні мати ті, хто безпосередньо працюватиме з картою. 

● Як визначити ефективність RoPA?

    ○ Насамперед RoPA повинна відображати актуальні процеси та бути системною. Наприклад, ірландський регулятор радить розділити категорії на частини за різними функціями в межах організації, як-от: HR, фінанси або маркетинг; відображати інформацію послідовно, виходячи з життєвого циклу процесів, а також додавати більше контекстуальної інформації, навіть якщо вона прямо не вимагається. 

● Як часто потрібно оновлювати RoPA? 

  ○ Не існує спільного правила для компаній, однак усе залежить від динамічності ваших бізнес-процесів. Наприклад, зміна способів збору (обробки) даних, запуск нового продукту або послуги, впровадження нових технологічних рішень, де компанія збиратиме більше даних чи використовуватиме ШІ, або вихід на нові ринки – це чіткі індикатори для оновлення RoPA. 

Наявність RoPA – не панацея, а швидше відправна точка для GDPR-комплаєнсу. Опис процесів може допомогти менеджменту компанії “підсвітити” вразливі місця, а далі пріоритезувати не тільки privacy-заходи, а й інші операційні процеси. Це дозволить значно ефективніше управляти ризиками, а ще не боятися перевірок регуляторних органів.