Действия, которые необходимо предпринять, когда CNIL запрашивает разъяснения по поводу обработки персональных данных: риски и рекомендации
Когда компания получает письмо от Национальной комиссии по информационным технологиям и свободам (CNIL) с просьбой объяснить ее методы обработки персональных данных, она сталкивается с деликатной ситуацией, которая требует быстрого, строгого и соответствующего требованиям Общий регламент защиты данных (GDPR). Действительно, неадекватный ответ может привести к серьезным последствиям, включая административные санкции на сумму до 20 миллионов евро или 4 % мирового годового оборота (статья 83 GDPR). В этой статье рассматриваются шаги, которые следует предпринять при получении такого письма, связанные с этим риски, возможность подать оценку воздействия на защиту данных (DPIA), а также три ключевых элемента, которые следует указать в ответе, чтобы избежать спора.
1. Действия в ответ на письмо CNIL
CNIL, как надзорный орган, ответственный за обеспечение соблюдения законов о защите данных, может направить письмо компаниям для получения информации об обработке персональных данных, которую они осуществляют. Мотивация этого письма может быть разная: жалоба от физического лица, плановая проверка или проверка, связанная с отчетом. Какими бы ни были причины, важно отнестись к запросу серьезно и быстро.
имеет. Внимательно анализируйте содержимое письма
Первый шаг – внимательно прочитать форму заявки. CNIL. В письме может быть запрошена конкретная информация об определенной обработке данных, обоснование их правовой основы, принятых мерах безопасности или даже подробности о внутренние процедуры, позволяющие осуществлять права заинтересованных людей. Крайне важно четко понимать, что ожидается, указанные сроки ответа и документы, которые необходимо предоставить.
б. Создайте полный файл для ответа на запрос
После идентификации запрошенной информации необходимо составить полный и документированный файл. Этот файл должен включать в себя:
- Регистр обработки данных (статья 30 GDPR): в этом документе перечислены обработки, выполняемые компанией, цели этой обработки, категории обрабатываемых данных, используемые правовые основы и любые задействованные субподрядчики.
- Внутренние политики защиты данных : позволяют продемонстрировать, что компания реализовала организационные меры по соблюдению принципов защиты данных (минимизация, ограничение хранения, безопасность и т. д.).
- Принятые технические и организационные меры гарантировать безопасность данных в соответствии со статьей 32 GDPR, включая шифрование, псевдонимизацию, контроль доступа и процедуры управления инцидентами безопасности.
в. Проконсультируйтесь с уполномоченным по защите данных (DPO)
Если компания назначила ответственного за защиту данных (DPO), необходимо обязательно привлечь его к процессу ответа на CNIL. DPO играет ключевую роль в
помощь в обеспечении организационного соответствия и в управлении отношениями с надзорным органом. В его задачу входит контроль над обработкой данных, повышение осведомленности сотрудников и консультирование по ответам на запросы властей. Таким образом, его консультации являются гарантией добросовестности и усердия в контексте диалога с CNIL.
2. Риски в случае несоблюдения или недостаточного реагирования
Неадекватный ответ или отсутствие ответа на запрос разъяснений со стороны CNIL может повлечь за собой различные риски для компании — от финансовых санкций до ограничений на обработку данных.
имеет. Риск административных санкций
Статья 83 GDPR предусматривает административные штрафы, пропорциональные серьезности нарушения. Нарушение основных принципов защиты данных, прав субъектов данных или обязательств по обеспечению безопасности может привести к штрафам в размере до 20 миллионов евро или 4 % глобального годового оборота компании, при этом удерживается наибольшая сумма.
б. Риск официального уведомления или запрета на соблюдение требований
Если CNIL посчитает, что обработка данных не соответствует требованиям GDPR, он может отправить компании официальное уведомление соблюдать в течение определенного периода времени. В отсутствие регуляризации орган власти может принять принудительные меры, такие как запрет на прекращение обработки или ограничение ее целей.
в. Приостановление обработки данных
В наиболее серьезных случаях CNIL может распорядиться о временной или постоянной приостановке обработки данных, что может существенно повлиять на деятельность компании. Например, компании электронной коммерции может быть запрещено использовать базы данных своих клиентов, что нанесет прямой ущерб ее доходам.
3. Подать AIPD: когда и почему?
AIPD (Оценка воздействия на защиту данных) – это оценка рисков для права и свободы лиц, затронутых обработкой данных. Оно требуется, когда лечение представляет высокий риск, в частности в следующих случаях:
- Масштабное профилирование ;
- Систематический мониторинг территории, доступной для общественности. ;
- Обработка специальных категорий данных в больших масштабах (конфиденциальные данные, данные о состоянии здоровья и т. д.).
Если для соответствующей обработки была проведена AIPD, рекомендуется передать ее в CNIL в ответ на письмо. Это свидетельствует о том, что компания оценила риски и приняла соответствующие меры для их смягчения (статьи 35 и 36 GDPR). Если AIPD не проводился, необходимо обосновать, почему лечение не представляло высокого риска, оправдывающего такой анализ.
4. Три основных элемента, которые следует указать в ответе, чтобы избежать судебных разбирательств
Адекватный ответ на CNIL должен включать конкретную информацию, чтобы продемонстрировать соблюдение компанией требований и избежать перерастания в судебные разбирательства. Вот три ключевых элемента, которые необходимо предоставить:
имеет. Опишите принятые меры по обеспечению соответствия
Важно продемонстрировать, что компания соблюдает основные принципы GDPR (статья 5), в частности законность, прозрачность, ограничение целей и минимизацию данных. Это включает в себя:
- Обоснование правовых оснований на чем основана обработка (статья 6 GDPR).
- Предоставление информации субъектам данных об обработке своих данных, включая их права на доступ, исправление, возражение и удаление (статьи 12–22 GDPR).
б. Объясните меры безопасности, принятые для защиты данных.
Статья 32 GDPR требует от компаний принятия соответствующих мер безопасности с учетом рисков, связанных с обработкой. В ответ на CNIL уместно:
- Подробно технические и организационные мероприятия такие как контроль доступа, шифрование данных и процедуры управления инцидентами.
- Обоснуйте выбор безопасности в связи с AIPD, если оно проводилось, или с оценкой риска.
в. Передайте AIPD или обоснуйте его отсутствие
Если обработка сопряжена с высокими рисками, предоставление DPIA может продемонстрировать, что компания приняла необходимые меры предосторожности. В случаях, когда DPIA не требовалось, важно объяснить причины, по которым обработка не представляла достаточных рисков для требования такого анализа (статьи 35 и 36).
Короче говоря, ответ на письмо CNIL должен быть подготовлен с максимальной тщательностью, предоставляя точную и обоснованную информацию, подтверждающую соответствие компании требованиям. Процедуры прозрачности, сотрудничество с DPO и полное документирование принятых мер являются важными элементами снижения рисков санкций и укрепления доверия к надзорному органу.
Аргументированного ответа, подкрепленного соответствующими документами, может быть достаточно, чтобы убедить CNIL в добросовестности компании и избежать дорогостоящих судебных разбирательств.