Правила обработки персональных данных (ПД) граждан ЕС, или GDPR — регламент из 99 статей, действующий с 25 мая 2018 года. Он регулирует отношения между субъектами, которые предоставляют конфиденциальную информацию, и компаниями, физлицами, обеспечивающими ее сбор, обработку, использование в работе. Такими могут быть интернет-ресурсы, веб-сервисы, коммерческие и некоммерческие организации. За невыполнение правил предусмотрен штраф до 4 % годового дохода бизнеса. Компании с целью идентификации рисков, провоцирующих утечку данных, обеспечивают аудит GDPR. Такую услугу предоставляют юристы Viveka.
Что такое аудит защиты персональных данных
Системный процесс получения объективной информации об эффективных элементах управления, процедурах и политике для поддержания обязательств по защите персональных данных — это и есть GDPR-аудит. Его результат — точные сведения о том, какими ПД оперирует компания, что с ними происходит с момента сбора до удаления. Проверка соответствующих процессов выполняется с учетом требований GDPR и правил национального законодательства по месту регистрации контроллера (компании, которая собирает ПД).
Кому необходим аудит и почему
Аудит защиты персональных данных направлен на обеспечение комплаенса корпорации или организации требованиям GDPR. Он позволяет выявить любые области, где вероятны риски несоответствия. Чтобы организационный и юридический аудит были эффективными инструментами контроля, его важно проводить:
- в начале и в конце реорганизации деятельности компании;
- каждые 6–12 месяцев планово;
- перед началом работы с новыми контрагентами;
- после выявления факта нарушения безопасности ПД;
- перед проведением рисковых операций с данными.
Обеспечение GDPR-комплаенса — одно из направлений деятельности юридической фирмы Viveka. Комплексный подход и понимание всех правовых нюансов гарантируют высокую эффективность работы.
Основные этапы проведения GDPR-аудита комплаенса в компании
Основная цель комплаенса — обеспечить выполнение правил, предотвратить нарушения, минимизировать риски и сохранить репутацию компании. Юридическое сопровождение GDPR от Viveka предполагает такие этапы: сбор и анализ информации, идентификацию категорий данных и субъектов, оценку применяемых технических и организационных мер защиты, подготовку рекомендаций.
Сбор и анализ документации
Это основа соответствия GDPR. Документы, которые подлежат изучению: записи о действиях по обработке (ROPA), политика конфиденциальности, журналы регистрации согласия, записи об утечках информации, оценки воздействия на ее защиту (DPIA), договоры со сторонними организациями.
Идентификация категорий данных и субъектов
Аудит персональных данных предполагает изучение сведений из разных категорий. К ним относятся:
- тип (ФИО, адрес электронной почты);
- источник (форма клиента, файлы cookie веб-сайтов) ПД;
- места хранения (облако, база данных);
- разрешения на доступ (кто вправе работать с ПД).
Оценка существующих технических и организационных мер защиты
Важны не только надежные методы, но и квалифицированные сотрудники. Обязательно должны использоваться шифрование, контроль доступа, системы безопасности, резервное копирование и восстановление.
Подготовка рекомендаций
Результат аудита по персональным данным на соответствие требованиям GDPR — четкая карта их движения в рамках компании. В рекомендациях приводится перечень действий и мер, которые должны быть предприняты, чтобы не нарушать положения регламента.
Проблемы, которые решает аудит по персональным данным
Аудит по ПД позволяет устранить проблемы:
- незаконной обработки;
- недостаточных сроков анализа и хранения;
- несоответствия процессов заявленной цели обработки;
- механизмов реагирования на случай утечки;
- внутренней организации и др.
Аудит соответствия GDPR — важнейший инструмент для обеспечения надежной защиты данных и соблюдения нормативных требований. Регулярный контроль снижает риск штрафов, позиционирует организации как лидеров в охране конфиденциальности.
