Rambler's Top100
Реклама
 
Блоги Андрей ПРОЗОРОВ

Европейские ценности: Мониторинг сотрудников и DPIA

  05 июля 2019 Страница персоны
В недавней заметке "Европейские ценности: Privacy in Working Life" я рассказывал про ограничения использования средств мониторинга для контроля сотрудников в Европе. Недавно нашел еще одно важное требование, на которое стоит ориентироваться при внедрении SIEM, DLP и других средств мониторинга в ЕС.


На днях работал с GDPR, занимался вопросами "Data protection impact assessment" (DPIA, Art.35). В нем есть следующие положения:
1. В тех случаях, когда тип обработки данных, в частности при использовании новых технологий, а также принимая во внимание характер, объем, контекст и цели обработки, вероятнее всего приведет к высокому риску для прав и свобод физических лиц, контролёр должен, до этой обработки, осуществить оценку воздействия предусмотренных операций обработки на защиту персональных данных. Отдельная оценка может быть проведена в отношении ряда аналогичных операций обработки, который представляет подобные высокие риски.
3. Оценка воздействия на защиту данных, предусмотренная параграфом 1, требуется, в том числе, в случае:
(a) системной и масштабной оценки персональных особенностей, касающихся физических лиц, которая основана на автоматизированной обработке, включая составление профиля, и на которых основаны решения, порождающие правовые последствия, связанные с физическим лицом, либо подобным образом значительно влияют на физическое лицо;
(b) масштабной обработки особых категорий данных, предусмотренных Статьей 9 (1), либо персональных данных, связанных с уголовными приговорами и правонарушениями, в соответствии со Статьей 10; или
(c) систематического мониторинга сфер, открытых для всех пользователей в широких масштабах.
Ну, я посмотрел и решил, что наши внутренние процессы обработки ПДн вроде как и не подпадают под необходимость проведения DPIA, но решил чуть углубиться в тему и изучить разъяснения от WP29 "Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679".

В частности, в документе приводятся примеры процессов обработки ПДн, для которых нужно (или не нужно) проводить DPIA. И тут мы видим:
Examples of processing: A company systematically monitoring its employees’ activities, including the monitoring of the employees’ work station, internet activity, etc
Possible Relevant criteria: Systematic monitoring, Data concerning vulnerable data subjects.
DPIA likely to be required? Yes
Т.е. при внедрении, например, SIEM, DLP или других средств мониторинга ИБ в европейских офисах компании нам необходимо проводить оценку воздействия на защиту данных (DPIA), должна содержать как минимум (см.GDPR Art.35.7):
  • (a) систематизированное описание предусмотренных операций обработки данных, а также целей обработки, в том числе, когда это применимо, законные права, осуществляемые контролёром;
  • (b) оценку необходимости и соразмерности операций обработки по отношению к целям;
  • (c) оценку рисков в отношении прав и свобод субъектов данных, предусмотренных параграфом 1; и
  • (d) меры, предусмотренные в отношении рисков, в том числе гарантии, меры безопасности, а также механизмы для обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента, принимая во внимание права и законные интересы субъектов данных и иных заинтересованных лиц.
Также стоит помнить, что если такая при оценке у нас выявится "высокий риск в отсутствии мер, принятых контролером для минимизации последствий такого риска", то до начала такой обработки (до начала внедрения средств мониторинга) необходимо проконсультироваться с Надзорным органом (Supervisory authority), предоставив ему результаты DPIA, сведения о целях и способах предполагаемой обработки, сведения о мерах и средствах защиты прав и свобод субъектов данных, реквизиты DPO и любую иную информацию по запросу. Об этом сказано в Art.36.1 и 36.3 GDPR.

Вот как-то так, придется подготовить много аналитики для обоснования возможности использования средства мониторинга...

Кстати, у французского надзорного органа CNIL есть отличные методички для расчета DPIA и, что вообще замечательно, бесплатное ПО - https://www.cnil.fr/en/privacy-impact-assessment-pia
Я как-нибудь напишу про них подробнее...


P.S. При использование систем антифрод и при составлении профилей по информации из соц.сетей тоже необходимо проведение DPIA. Вот соответствующие примеры от WP29: 
  • An institution creating a national level credit rating or fraud database.
  • The gathering of public social media data for generating profiles.
Источник:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен