Аудит персональних даних (GDPR аудит)

General Data Protection Regulation відрізняється від попередніх нормативних документів ЄС, які регулюють питання захисту персональних даних тим, що цей Регламент передбачає наявність принципу «відповідності» ( англійською мовою – принцип «accountability»). Він полягає в тому, що компанія, яка виступає в ролі обробника або в ролі контролера персональних даних, повинна довести контролюючим органам відповідність своє діяльності вимогам GDPR та іншого законодавства ЄС у сфері захисту персональних даних.

Одним із ключових елементів реалізації вищезгаданого принципу, залишається проведення інвентаризації, або так званого аудиту діяльності компанії на предмет наявних в компанії персональних даних. Аудит надасть змогу зрозуміти, якими персональними даними компанія оперує, а також встановити, що з персональними даними відбувається з моменту отримання таких даних компанією і до моменту їх видалення.

Що охоплює аудит?

Найголовнішим елементом проведення аудиту, залишається можливість визначення сфер діяльності компанії, реалізаціях яких не можлива без отримання персональних даних фізичних осіб або ж сфер, які забезпечують належний обіг персональних даних в середині компанії. Наприклад, в цьому випадку мова може йти про компанію. яка реалізовує свій бізнесу через власний веб-сайт, який передбачає можливість його використання фізичними особами-споживачами тощо.

Визначивши сфери діяльності, необхідно чітко ідентифікувати категорії суб’єктів даних та категорії персональних даних, які оброблюються компанією. Така ідентифікація допоможе також зрозуміти об’єм персональних даних європейців у відсотковому співвідношенні до загальної маси даних.

Однією із цілей аудиту також є визначення цілей обробки персональних даних та встановлення меж необхідності і пропорційності наявних у компанії персональних даних цілям їхньої обробки. Мається на увазі ситуація, коли компанія збирає більше персональних даних ніж це передбачає встановлення ціль або коли збираються персональні, які зовсім не потрібні для реалізації конкретної цілі.

Разом з тим, компанія повинна проводити цілий ряд інших заходів для того, щоб зрозуміти наявний стан справ, що стосується збирання, використання, зберігання та іншої обробки персональних даних компанією. Окрім всього компанія повинна визначити подальший алгоритм кроків для забезпечення відповідності своєї діяльності вимогам GDPR та іншого законодавства ЄС у сфері захисту персональних даних.

Кого залучати до проведення аудиту?

Багато компаній помилково вважають, що первинний аудит персональних даних, так само як і імплементацію організаційних та технічних заходів повинен проводити DPO (Data Protection Officer), призначення якого передбачається вимогами GDPR. Варто зазначити, що це помилкове бачення ситуації, адже DPO, в контексті застосування вимог GDPR, має зовсім інші функції. Ця тема стане предметом обговорення в наших інших матеріалах.

Загалом же, компанії необхідно залучати спеціалістів у сфері захисту даних як з числа власних працівників, так і з числа зовнішніх контрагентів, що залучені в процес обробки персональних даних. Все залежить від об’ємів діяльності компанії та від специфіки бізнесу, який вона здійснює.

Розглядаючи наприклад компанію, яка має розгалужену бізнес структуру або залучає велику кількість компаній-обробників, в тому числі з третіх країн, або поєднує в своїй діяльності використання різноманітних веб-ресурсів, необхідно організовувати команду для аудиту, яка скрадатиметься з представників всіх наявних направлень бізнесу компанії, а також представників всіх зацікавлених структурних підрозділів. В цьому випадку, мова йде про представників технічних відділів, HR спеціалістів, юристів та менеджерів проектів.

Виходячи з практичної точки зору, компанія не повинна відкидати можливість залучення зовнішніх професіоналів, які спеціалізуються на питаннях, пов’язаних із забезпеченням захисту персональних даних, зокрема і щодо вимог GDPR. Найголовніше в питанні взаємодії із зовнішніми підрядниками, прописати всі особливості взаємодії компанії та контрагента, а також визначити кінцевий результат аудиту.

Найчастіше, компанії, які здійснюють аудит персональних даних, також допомагають компанії-замовнику адаптувати свою діяльність до вимог GDPR та іншого законодавства ЄС у сфері захисту персональних даних.

Результати аудиту

В будь-якому випадку, результатами аудиту повинна бути чітка карта руху персональних даних в рамках компанії, а також розуміння того, які персональні дані компанія використовує для власних цілей або від імені контролера. Окрім того, аудит повинен дати чітку відповідь на те, що компанія має зробити та які заходи повинна вжити, щоб не порушувати вимоги законодавства ЄС про захист персональних даних. Провівши аудит належним чином, ви зробите для своєї компанії перший крок у гарантуванні її GDPR compliance.

Спеціалісти компанії BSO Privacy Group завжди раді допомогти вам в проведенні аудиту, включаючи консультування з питань організації захисту персональних даних в рамках вашої компанії, у відповідності з вимогами GDPR.