Структурное описание принципа подотчетности в GDPR на основе ICO Accountability Framework

Согласно ст.5(2) GDPR контролёр несет ответственность за соблюдение принципов обработки ПД, зафиксированных в ст.5(1) GDPR, и должен быть в состоянии продемонстрировать его соблюдение («Принцип подотчетности»). В п.82 Преамбулы GDPR указано, что для демонстрации соответствия GDPR контролёр или процессор должен вести учет деятельности по обработке, за которую он отвечает. Каждый контролёр и процессор обязан сотрудничать с надзорным органом и по запросу предоставлять в его распоряжение указанные учетные сведения в целях мониторинга процесса обработки.

Одним из наиболее проработанных и признаваемых в экспертной среде инструментом по созданию и поддержанию комплексной программы управления защитой ПД (Comprehensive Privacy Management Programme), а также по соблюдению принципа подотчётности, является Accountability Framework, разработанный Офисом Уполномоченного по информации в Соединенном Королевстве (Information Commissioner's Office). На основе структуры и содержания указанного документа ниже описано 78 контролей (включающих в себя около 360 элементов) подотчетности, сгруппированных в 10 категорий, где каждый из контролей направлен на обеспечение организацией возможности демонстрации соблюдения требований GDPR.

Данное описание не является дословным переводом на русский язык Accountability Framework, включает в себя несколько дополнительных контролей, а также содержит нормативные ссылки. Отдельным перечнем приведена документированная информация, позволяющая объективно продемонстрировать соблюдение требований GDPR.

Структурное описание принципа подотчетности в GDPR на основе ICO Accountability Framework

Автор: Алексей Мунтян - соучредитель и член Правления RPPA.
10.01.2022