4.4 ОЦЕНКА ВОЗДЕЙСТВИЯ ОБРАБОТКИ ДАННЫХ (DPIA)

Авторы раздела:

К. И. Боровикова

Е. К. Волкович

Р. В. Мартинсон

Время чтения: 6 мин.

Оценка воздействия обработки ПДн на права и свободы субъекта данных (англ. Data Protection Impact Assessment, DPIA) входит в число требований регламента GDPR. Такая оценка позволяет понять, создает ли обработка риски для субъектов ПДн. В случаях, когда тип обработки ПДн создает риски, оператор ПДн должен их оценить до начала процесса и в случае изменения процесса.

Оценка воздействия обработки данных DPIA позволяет понять, создает ли обработка данных риски для субъектов ПДн, и необходима в случаях, когда имеет место:

систематическая и глубокая оценка личностных качеств физических лиц, основанная на автоматизированной обработке ПДн (в том числе профилировании), причем эта оценка используется для принятия решений, имеющих юридические последствия для физического лица или существенно влияющих на него;

обработка в большом объеме специальных категорий ПДн, упомянутых в ст. 9 (1) GDPR, или обработка ПДн, относящихся к сведениям о судимости и совершенных преступлениях (указанных в ст. 10 GDPR);

мониторинг общедоступных мест в большом объеме.

В соответствии с разъяснениями рабочей группы WP29 и рекомендациями по проведению DPIA оценка необходима, если в процессе обработки ПДн имеет место:

скоринг;
профилирование и прогнозирование;
автоматизированное принятие решений с юридическим или аналогичным значимым эффектом;
систематический мониторинг;
обработка чувствительной информации
широкомасштабная обработка ПДн;
сопоставление или объединение баз данных;
обработка данных об уязвимых субъектах ПДн (например, детях, сотрудниках, инвалидах, пациентах);
инновационное использование или применение новых технологических или организационных решений.

Согласно рекомендациям упомянутого выше надзорного органа CNIL и разъяснениям WP29, для оценки воздействия обработки данных на права и свободы субъектов ПДн следует определить контекст обработки ПДн, необходимость и соразмерность операций обработки ПДн; оценить риски для субъекта, связанные с обработкой ПДн; разработать рекомендации по митигированию выявленных рисков (то есть смягчению последствий в случае их реализации).

Предлагаемые надзорными органами подходы к оценке рисков позволяют провести качественную, но не количественную оценку рисков, а качественная оценка может быть субъективной и неточной. При оценке рисков также рассматривается возможность несанкционированного изменения ПДн, незаконного доступа к ПДн, уничтожения ПДн, то есть проводится анализ возможных последствий в случае нарушения конфиденциальности, целостности и доступности ПДн. Оценивается вероятность реализации угроз, связанных с уязвимостью средств обработки данных, оценивается возможный ущерб для субъектов ПДн (финансовый, моральный или ущерб репутации).

Анализ реестра нарушений и штрафов, связанных с обработкой и защитой ПДн, позволяет оценить вероятность реализации риска и рассчитать вероятную величину ущерба. Методология количественной оценки рисков нарушения требований GDPR, разработанная консалтинговой компанией KPMG, состоит из следующих этапов.

Вычисление вероятности реализации риска.
Вычисление ущерба для компании от реализации риска.
Вычисление статистического значения риска.
Построение графиков распределения, расчет отклонения, определение значения статистических величин.
Экспертная оценка уровня подготовленности организации на основании интервью и разработанных документов (см. таблицу 2).
На основании полученных оценок рисков и их соотношения вырабатывается шкала критериев, позволяющих определить уровень риска. Риск с наименьшей оценкой является низким, риск с наибольшей оценкой — высоким.

Таблица 2. Уровень соответствия организации требованиям GDPR

В зависимости от полученных результатов организация может принять решение о внедрении соответствующих мер защиты, например ввести дополнительные функции в системах обработки ПДн, использовать соглашения о защите ПДн с операторами, установить дополнительные средства защиты, шифровать данные. Также можно изменить сам процесс обработки ПДн, отказаться от сбора определенных категорий ПДн (например, специальных категорий) или ограничить географический охват обработки ПДн, не обрабатывать ПДн физических лиц, находящихся на территории стран — участниц Европейской экономической зоны (ЕЭЗ).

С точки зрения российского законодательства операторы ПДн обязаны в соответствии с ч. 1 ст. 18.1 ФЗ-152 принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом и принятыми в соответствии с ним НПА. Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения ФЗ-152. К таким мерам могут, в частности, относиться оценка вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ-152, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152. Определение угроз безопасности ПДн, актуальных для ИС, производится с учетом оценки возможного вреда. В ФЗ-152 отсутствуют требования к методам и способам оценки вреда субъектам ПДн, однако в государственных и муниципальных учреждениях обязательна к использованию «Методика оценки угроз безопасности информации», утвержденная ФСТЭК России 5 февраля 2021 года.

Описанная выше методика широко используется в европейских организациях, в том числе в госсекторе. В России госорганизации могут применять эту методику по своему усмотрению в качестве дополнительной — для расчета рисков, приоритизации угроз и повышения уровня приватности в организации.

В разделе приведена общая характеристика методики оценки рисков. Для получения полной информации о методике см.: Практическое руководство по соответствию требованиям GDPR. Опыт работы КПМГ с требованиями GDPR // KPMG

Разъяснения WP29 по DPIA см.:Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) // European Commission.

Article 29 Data Protection Working Party (WP29) — рабочая группа, созданная во исполнение ст. 29 Директивы 95/46/ЕЭЗ. Этот консультативный орган состоял из представителей регуляторов: Европейского союза по защите данных, Европейского наблюдателя по вопросам защиты данных (European Data Protection Supervisor, EDPS) и Еврокомиссии. 25 мая 2018 года рабочая группа WP29 была заменена на Европейский совет по защите данных.

List of processing operations requiring data protection impact assessment (DPIA) pursuant to Art. 35, paragraph 4 of Regulation (EU) 2016/679 // Republic of Bulgaria. Commission for Personal Data Protection.

Методические рекомендации CNIL по оценке воздействия на конфиденциальность данных см.: Privacy Impact Assessment (PIA) // CNIL.

Компания КПМГ, в которой работают авторы раздела, ведет такой реестр. КПМГ — международная сеть фирм, предоставляющих аудиторские, налоговые и консультационные услуги.

Методика оценки угроз безопасности информации // ФСТЭК России. 05.02.2021.

ВЫВОДЫ. КАК ЗАЩИТИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

В концепции PbDD (Privacy by Default и Privacy by Design) описаны принципы управления персональными данными. Хранить и обрабатывать ПДн будет проще, быстрее и безопаснее, если собирать минимум необходимых данных и ограничивать доступ к ним (Privacy by Default), заранее продумывать процедуры обработки и учитывать их на этапе проектирования (Privacy by Design). Соблюдать концепцию PbDD для оператора данных означает защищать данные пользователей и их право на неприкосновенность частной жизни (приватность) в качестве настройки по умолчанию.

Концепция PbDD легла в основу GDPR и в значительно меньшей степени — ФЗ-152. И хотя в настоящее время российское законодательство прямо не требует соблюдать принципы концепции PbDD, их уже применяют в коммерческих организациях для снижения вероятности возникновения проблем с ПДн в будущем, предотвращения рисков и в целом в качестве конкурентного преимущества. Поэтому институт DPO (в России — «лицо, ответственное за обработку персональных данных») развивается последние годы в коммерческом секторе. Многие из рекомендаций по работе DPO, описанные в регламенте GDPR, не противоречат ФЗ-152, и их можно уже сейчас применять в России.

Российское государство не очень-то заинтересовано в сохранении приватности граждан. Я думаю, оно довольно легко поддастся на лоббирующее давление частных компаний и легализует коммерческий оборот данных. У нас присутствует тенденция к коммерциализации, и, скорее всего, в нынешних экономических условиях она будет только усиливаться.

Эльвира Талапина, главный научный сотрудник Института государства и права РАН

Наверх

Предыдущая часть

4.3 Европейский подход к защите данных в контексте пандемии

5. Доверенный искусственный интеллект: концепция и документы