Продвинутый

25 минут

DPIA Impact Assessment Risk Analysis

Оценка воздействия на защиту данных (DPIA)

Введение

Что произойдёт, если нейросеть BioGenesis предскажет генетическую предрасположенность к заболеванию, а затем эти данные утекут? Какие последствия для пациента, для компании, для доверия общества к геномным исследованиям? DPIA (оценка воздействия на защиту данных) — формальный процесс, который задаёт эти вопросы до начала обработки, а не после инцидента.

:::caution[Правовая оговорка] Данный материал носит образовательный характер и не является юридической консультацией. Для применения в конкретной организации обратитесь к юристу, специализирующемуся на защите данных. :::

Когда требуется DPIA

GDPR требует проведения DPIA при обработке данных, создающей высокий риск для прав и свобод субъектов данных. Три основных триггера:

1. Систематическая оценка и профилирование

Автоматизированные решения, существенно влияющие на субъекта данных:

Кредитный скоринг
Автоматическое отклонение заявок
Поведенческий таргетинг

2. Обработка специальных категорий в большом объёме

Массовая обработка чувствительных данных:

Медицинские данные пациентов
Биометрические данные сотрудников
Генетические данные

3. Систематический мониторинг публичных зон

Наблюдение за общественными пространствами:

Видеонаблюдение с распознаванием лиц
Трекинг перемещений через Wi-Fi
Мониторинг поведения сотрудников

Требования к DPIA определены в GDPR. 152-ФЗ не содержит прямого аналога DPIA, но проведение оценки рисков является best practice при обработке персональных данных граждан РФ. Актуально на 2026-03.

Процесс DPIA: шесть этапов

1. Описание обработки

Чёткое описание: что обрабатывается, зачем, кем, на каком основании:

Проект: Система рекомендаций для клиентов
Данные: История покупок (~500,000 клиентов)
Цель: Персонализированные рекомендации продуктов
Основание: Легитимный интерес контроллера
Retention: 730 дней
Третьи лица: нет

2. Оценка необходимости и пропорциональности

Необходимость: можно ли достичь цели без обработки персональных данных?
Пропорциональность: собираются ли только минимально необходимые данные?
Альтернативы: рассмотрены ли менее инвазивные подходы?

3. Идентификация рисков

Систематический поиск рисков для субъектов данных:

Риск	Описание	Пострадавшие
Реидентификация	Восстановление личности из агрегированных данных	Клиенты
Несанкционированный доступ	Утечка обучающих данных ML-модели	Клиенты
Дискриминационное профилирование	Предвзятость рекомендаций по демографии	Клиенты
Превышение retention	Данные хранятся дольше заявленного срока	Клиенты

4. Оценка рисков: вероятность и ущерб

DPIA: Матрица оценки рисков (BioGenesis)

	Вероятность (40%)	Ущерб субъекту (35%)	Масштаб (25%)	Итого
R1: Реидентификация пациентов	3	5	4	4.0
R2: Утечка геномных данных	2	5	3	3.3
R3: Предвзятость ML-модели	4	3	4	3.6
R4: Нарушение consent scope	3	4	5	3.9

Матрица показывает: риск R4 (нарушение scope согласия) имеет наивысший общий балл — пациенты дали согласие на лечение, но не на исследования. Риск R1 (реидентификация) также критичен из-за максимального ущерба для субъекта.

5. Меры митигации

Для каждого идентифицированного риска — конкретные меры снижения:

{
  "risk_id": "R1",
  "description": "Реидентификация пациентов из исследовательских данных",
  "measure": "k-anonymity >= 5 для квази-идентификаторов + differential privacy для геномных данных",
  "residual_risk": "low",
  "responsible": "Data Engineering Lead",
  "deadline": "2026-06-01"
}

6. Консультация с DPO

DPO (или ответственный за обработку данных по 152-ФЗ) оценивает результаты DPIA и даёт заключение:

Proceed — обработка допустима после внедрения митигаций
Proceed with conditions — обработка допустима при выполнении дополнительных условий
Do not proceed — риски не могут быть снижены до приемлемого уровня

Проверка знаний

BioGenesis хочет использовать геномные данные пациентов для обучения ML-модели предсказания биомаркеров. Нужна ли DPIA?

Ответ

Да, DPIA обязательна по двум триггерам: (1) обработка специальных категорий данных в большом объёме — геномные данные являются биометрическими по GDPR Art. 9, (2) систематическая оценка и профилирование — ML-модель создаёт предсказания о здоровье. Кроме того, существует риск реидентификации из геномных данных (геном уникален для каждого человека).

Сценарий: BioGenesis Lab

Сценарий: BioGenesis Lab (БиоГенезис Лаб)

BioGenesis планирует запустить новый проект: ML-модель для предсказания эффективности лекарства на основе геномных данных 3,000 пациентов. Пациенты дали согласие на «использование данных для лечения», но не на «использование для машинного обучения».

IRB/Этический комитет BioGenesis запрашивает DPIA перед одобрением проекта. Задача: провести полную оценку воздействия, идентифицировать риски, предложить митигации и получить заключение DPO.

Ключевые риски в этом сценарии:

Consent scope — согласие на «лечение» не покрывает «ML-исследования»; необходимо получить отдельное согласие или найти альтернативное законное основание
Реидентификация — геномные данные уникальны; даже без имени пациента последовательность ДНК позволяет идентификацию
Третьи стороны — если модель будет shared с партнёрской лабораторией, возникает риск inference attack (восстановление обучающих данных из модели)
Right to erasure — если пациент отзовёт согласие, необходимо удалить его данные из обучающего набора; переобучение модели — дорогая и сложная операция

Проверка знаний

Пациент BioGenesis отзывает согласие на обработку данных. Его геномные данные использовались в обучении ML-модели. Какие действия необходимы?

Ответ

Необходимо: (1) удалить геномные данные пациента из хранилища, (2) оценить, влияют ли данные пациента на модель (machine unlearning), (3) если модель обучалась на данных без обезличивания — переобучить модель без данных этого пациента, (4) задокументировать отзыв в audit trail, (5) уведомить партнёрские организации, если данные были переданы. Это один из сложнейших вызовов AI governance: right to erasure vs model retraining cost.

Практика: DPIA Template Builder

В БиоГенезис необходимо создать формализованный шаблон DPIA для проекта рекомендательной системы DataTech Solutions. Создайте JSON-документ с описанием обработки, оценкой необходимости, идентификацией рисков, мерами митигации и заключением DPO.

Итоги

DPIA обязательна по GDPR при высоком риске для субъектов: профилирование, специальные категории, систематический мониторинг
Шесть этапов: описание, необходимость, идентификация рисков, оценка, митигации, консультация DPO
Оценка риска учитывает вероятность, ущерб для субъекта и масштаб обработки
BioGenesis: геномные данные создают уникальные вызовы — реидентификация, consent scope, machine unlearning
DPIA — не разовая процедура: пересмотр при изменении обработки или регуляторных требований

Модуль «Приватность и Compliance» завершён. В следующем модуле мы перейдём к Безопасности и Контролю доступа — RBAC, ABAC, policy-as-code и row-level security.

Проверьте понимание

Результат: 0 из 0

Прикладной

BioGenesis хочет обучить ML-модель на геномных данных 3,000 пациентов. Нужна ли DPIA? Какие триггеры применимы?

DPIA нужна только если данные передаются третьим лицамDPIA обязательна по двум триггерам: обработка специальных категорий в большом объёме (геномные = биометрические) + систематическая оценка и профилирование (ML-предсказания о здоровье)DPIA заменяется одобрением IRB/Этического комитетаDPIA не нужна — геномные данные обрабатываются в исследовательских целях

Закончили урок?

Отметьте его как пройденный, чтобы отслеживать свой прогресс

Войдите чтобы оценить урок