Мы працягваем серыю публікацый аб тым, як некамерцыйныя арганізацыі могуць наладзіць больш адказную працу з прыватнасцю і персанальнымі данымі людзей.
Тэкст падрыхтаваў Аляксей Казлюк, кансультант, эксперт па лічбавай прыватнасці і абароне персанальных дадзеных.
На мой погляд, разуменне 7 асноўных прынцыпаў GDPR — гэта самае важнае на шляху да адпаведнасці патрабаванням гэтага дакумента. Замест дакладнай інструкцыі рэгламент прапануе арганізацыям прымаць большасць рашэнняў, грунтуючыся на інтэрпрэтацыі прынцыпаў. Рэалізацыя прынцыпаў у штодзённай працы наўпрост адлюстроўваецца на адказнай апрацоўцы персанальных даных супрацоўніц, бенефіцыяраў і прыхільнікаў.
Другие материалы по теме:
- 8 крокаў да GDPR у некамерцыйнай арганізацыі
- Апытанкі. Як грамадскім арганізацыям клапаціцца пра персанальныя дадзеныя
Содержание
1. Законнасць, справядлівасць і празрыстасць
Гэты прынцып складаецца з трох кампанентаў. Законная апрацоўка персанальных даных магчыма толькі пры наяўнасці адной законнай падставы для апрацоўкі, такіх як згода, кантракт, юрыдычны абавязак, жыццёвы інтарэс, выкананне публічнай функцыі або легітымны інтарэс. Так, згода суб’екта не адзіная і далёка не заўсёды абавязковая падстава для апрацоўкі, але аб гэтым падрабязней у іншым артыкуле: Не толькі згода. Якія падставы для апрацоўкі даных дае некамерцыйным арганізацыям GDPR.
Апрацоўка персанальных даных павінна быць справядлівай у адносінах да суб’ектаў і не ўводзіць іх у зман. Суб’екты даных павінны быць інфармаваныя аб тым, як арганізацыя выкарыстоўвае іх даныя. Ім павінна быць прадастаўленая ясная і даступная інфармацыя, звычайна з дапамогай публікацыі паведамлення або палітыкі прыватнасці.
Кейс: Арганізацыя ладзіць трэнінг і прапануе патэнцыйным удзельнікам і удзельніцам запоўніць анкету. У анкеце ёсць пытанне: “Ці маеце вы захворванні, якія трэба ўлічваць арганізатарам?”
Парушэнне: Інфармацыя аб здароўі адносіцца да спецыяльных катэгорыяў даных і яе апрацоўка дапускаецца ў выключных выпадках. Магчыма, для некаторых івэнтаў такая інфармацыя будзе патрэбная, але ў большасці выпадкаў будзе бракаваць законнай падставы. Тады фармулёўку лепей памяняць на больш агульную з адпаведным папярэджаннем: “Ці ёсць у вас нейкія дадатковыя патрэбы, якія варта ўлічваць арганізатарам? (Калі ласка, не пішыце сюды ваш дыягназ ці іншую медыцынскую інфармацыю)”.
2. Абмежаванне мэтай
Гэты прынцып прадугледжвае, што даныя павінны збірацца з вызначанымі, канкрэтнымі і легітымнымі мэтамі і не павінны далей апрацоўвацца ў манеры, несумяшчальнай з гэтымі мэтамі.
Кейс: Арганізацыя прымае ахвяраванні праз старонні сервіс, які збірае email ахвярадаўцаў для перасылкі ім падцверджання аб аперацыі. Адрасы таксама даступныя арганізацыі. Калі ў арганізацыі такім чынам накопліваецца значны аб’ём кантактаў ахвярадаўцаў, кіраўніцтва вырашае пачаць выкарыстоўваць адрасы для рэгулярнай рассылкі інфармацыі аб сваёй дзейнасці.
Парушэнне: Першапачатковая мэта збору кантактных даных — падцверджанне фінансавай аперацыі. Дадатковая мэта, якая з’явілася пазней, несумяшчальная з першапачатковай. Такая маркетынгавая рассылка патрабуе папярэдняй згоды карыстальніка.
3. Мінімізацыя даных
Апрацоўваць можна толькі тыя даныя, якія неабходныя для вызначанай мэты. Ніякіх “давайце будзем збіраць дадаткова і гэта, на ўсялякі выпадак”.
Кейс: Арганізацыя ладзіць замежную стажыроўку і аб’яўляе набор 10 удзельніц. Анкета, якую запоўнілі 100 кандыдатак, патрабуе прадаставіць разам з іншай інфармацыяй пашпартныя даныя для мэтаў браніравання пералёту і гатэля.
Парушэнне: Пералёт і гатэль будзе патрэбны толькі адабраным удзельніцам, таму ў арганізацыі няма падстаў збіраць гэтыя даныя на этапе адбору.
4. Дакладнасць
Персанальныя даныя павінны быць дакладнымі і там, дзе неабходна, абнаўляцца своечасова. Неабходна своечасова выпраўляць ці выдаляць некарэктныя даныя.
Кейс: Арганізацыя праводзіць адукацыйны онлайн-курс і па выніках выдае паспяховым удзельніцам сертыфікат. Праз памылку мэнэджэркі адной з удзельніц не залічылі рэзультаты тэсту і, як вынік, не выдалі сертыфікат праз недахоп балаў. Просьбу даслаць зводны ліст з яе рэзультатамі па ўсіх заданнях праігнаравалі.
Парушэнне: Акрамя таго, што арганізацыя павінна была паклапаціцца пра дакладнасць рэзультатаў, яна яшчэ і парушыла права ўдзельніцы атрымаць копію яе персанальных даных, якія апрацоўвае арганізацыя.
5. Абмежаванне захоўвання
Персанальныя даныя павінны захоўвацца на працягу часу, які неабходны для выканання вызначанай мэты. Калі даныя больш не патрэбныя для першапачатковай мэты, іх трэба выдаліць ці ананімізаваць.
Кейс: Арганізацыя штогадова адкрывае набор на стажыроўкі. Кандыдаты запаўняюць анкету ў GoogleForms і дасылаюць CV на пошту арганізацыі. Нейкія працэдуры выдалення ці ананімізацыі даных у арганізацыі адсутнічаюць.
Парушэнне: Калі першапачаткова не былі заяўленыя дадатковыя мэты для апрацоўкі гэтых даных, арганізацыя павінна выдаліць або ананімізаваць іх у разумны тэрмін пасля заканчэння адбору.
6. Цэласнасць і Канфідэнцыйнасць (Бяспека)
Персанальныя даныя павінны апрацоўвацца так, каб забяспечыць належную бяспеку, уключна з абаронай ад неаўтарызаванага або незаконнага доступу, выпадковай страты, знішчэння або пашкоджання. Гэта прадугледжвае прыняцце тэхнічных і арганізацыйных мераў бяспекі.
Кейс: У інтэрнэце была апублікаваная ўнутраная база даных арганізацыі з персанальнай інфармацыяй бенефіцыяраў. Унутраная праверка паказала, што копія базы захоўвалася на асабістым кампутары супрацоўніка, які не выдаліў яе пасля звальнення, а кампутар неўзабаве згубіў.
Парушэнне: Арганізацыя павінна ацаніць рызыкі і прыняць адпаведныя меры бяспекі. Арганізацыя самастойна вызначае, якія меры неабходныя і нясе адказнасць у тым ліку за дзеянні супрацоўнікаў і супрацоўніц. У гэтым выпадку варта было мець, як мінімум, (а) унутраныя правілы апрацоўкі персанальных даных з забаронай захоўвання базы даных на асабістых дэвайсах, (б) абмежаваны доступ да базы толькі для тых, хто з ёй працуе, (в) адказнасць за парушэнне правілаў у працоўным кантракце, (г) абавязковае шыфраванне працоўнай тэхнікі і г.д.
7. Падсправаздачнасць
Арганізацыі павінны не толькі адпавядаць патрабаванням GDPR, але і мець магчымасць дэманстраваць такую адпаведнасць. Гэта патрабуе захоўвання запісаў аб апрацоўцы даных, правядзенне ацэнкі ўздзеяння апрацоўкі даных (DPIA) і прызначэнне супрацоўніка ці супрацоўніцы адказных за апрацоўку даных (DPO), калі гэта неабходна.
Кейс: Удзельніца, незадаволеная тым, што арганізацыя адлічыла яе з адукацыйнага курса праз неэтычныя паводзіны, адправіла скаргу ў Інспекцыю па абароне персанальных даных (DPA) на парушэнні пры апрацоўцы яе даных арганізацыяй. Інспекцыя пачала праверку і найперш запытала ў арганізацыі рэестр апрацовак персанальных даных (RoPA), а таксама кантакты адказных супрацоўніка ці супрацоўніцы (DPO). Высветлілася, што арганізацыя не вяла рэестр і не прызначала DPO.
Парушэнне: GDPR вызначае выпадкі, у якіх арганізацыя павінна весці рэестр апрацовак (Арт. 30) і прызначаць DPO (Арт. 37). Нягледзячы на тое, што дробныя арганізацыі (улічваецца не толькі памер) могуць не трапляць пад гэтыя патрабаванні, абавязак дэманстраваць выкананне правілаў Рэгламента ўсё адно застаецца.
Аўтар: Аляксей Казлюк