Аудит персональних даних: вимоги GDPR та необхідні дії

25 Липня 2020

Компанії, які починають свою діяльність, що пов’язана зі збиранням, використанням або іншою обробкою персональних даних, повинні звернути свою увагу на такий організаційний захід як «аудит персональних даних» або як його ще називають «інвентаризація персональних даних». Такий елемент є ключовим для можливості забезпечення відповідності компанії вимогам GDPR.

Необхідність проведенні аудиту персональних даних

Коли заходить мова про проведення аудиту персональних даних, варто брати до уваги не лише збирання загальної інформації про персональні дані, що використовуються або можуть використовуватися компанією в своїй діяльності, так як цей прийом не буде вважатися достатнім. Мова йде, зокрема, про детальний аналіз кожної із сфер діяльності бізнесу, з можливістю виокремити незалежні категорії персональних даних, а також категорії фізичних осіб, чиї персональні дані оброблюються (суб’єкти персональних даних).

Проведення аудиту, перш за все, необхідне для можливості встановлення та фіксування переміщення персональних даних в середині компанії, від моменту отримання до моменту їхнього видалення. Визначення такого переміщення (Data flow) персональних даних зазвичай слугує підґрунтям для подальших дій компанії в сфері адаптації компанії до вимог європейського законодавства.

Без проведення аудиту, компанія не буде мати можливості оперувати всіма даними, необхідними для впровадження відповідних організаційних та технічних заходів, які передбачаються вимогами GDPR.

Наприклад, не знаючи точний перелік категорій даних в сфері надання послуг клієнтам, компанія не зможе належним чином визначити алгоритми шифрування даних в такій мірі, в які би зберігався баланс між можливістю компанії оперувати в рамках вимог законодавства та можливістю суб’єкта даних реалізувати  передбачені законодавством права.

Якщо продовжувати говорити про необхідність проведення аудиту персональних даних, то його проведення напряму пов’язане з вимогами GDPR щодо фіксування та зберігання записів про операції з опрацювання персональних даних, які передбачають статтею 30 General Data Protection Regulation. У компанії не буде можливості чітко зафіксувати всі операції з обробки даних, якщо в неї  не буде результатів проведеного аудиту персональних даних.

Різновиди аудиту персональних даних

В контексті застосування норм GDPR та іншого європейського законодавства, слід розрізняти два види аудиту персональних даних, а саме:

  • Первинний загальний аудит (Data mapping); та
  • Поточний аудит.

Первинний загальний аудит або як його ще називають, Data mapping, повинен проводитися перед початком обробки персональних даних і повинен включати інвентаризацію всіх, без виключень сфер діяльності компанії, що включають обробку персональних даних.

Поточний же аудит повинен проводитися періодично, але не рідше конкретно визначеного періоду, який встановлюється компанією на власний розсуд. При визначені такого періоду, компанії варто звернути увагу на роз’яснення, які надаються офіційними органами ЄС в сфері захисту персональних даних. Разом з тим, поточний аудит персональних даних повинен проводитися в тих випадках, коли в рамках компанії відбулися значні зміни в її діяльності, що потягли за собою зміни в системі обігу персональних даних. Наприклад, мова йде про випадки, коли Компанія розпочала збирання, зберігання або будь-яку іншу обробку нових категорій персональних даних, або ж коли компанія припинали обробляти ту чи іншу категорію персональних даних.

Наприклад. Компанія займалася розробкою програмного забезпечення для розміщення на платформах, з можливістю скачування кінцевими споживачами, а також забезпечувала технічну підтримку такого софту. Через деякий час, компанією було прийняте рішення про необхідність створювати мобільні додатки (ігри) на базі програмного забезпечення IOS, для можливості їхнього використання кінцевими споживачами. Відповідно, у компанії з’явилася необхідність в обробці персональних даних не тільки кінцевих споживачі софту, а й гравців, які реєструються в онлайн іграх.   

Фактичне проведення аудиту персональних даних

Аудит персональних даних завжди повинен проводитися особами, яких компанія визначила відповідальними за такий аудит. Це може бути як спеціаліст по захисту персональних даних, який працює в компанії в рамках трудових відносин, так і спеціаліст, який залучається компанією в рамках договору підряду, на конкретних комерційних умовах.

Аудит також може проводитися і окремими компаніями, які спеціалізуються у відповідній сфері бізнесу та які мають в своєму штаті висококваліфікованих спеціалістів. Зазвичай це значно пришвидшує та убезпечує процес підготовки компанії до вимог GDPR.

(BSO Privacy Group саме така компанія)

У великих компаніях, до процесу аудиту можуть залучатися не поодинокі спеціалісти, а ціла команда професіоналів, які представляють ключові сектори бізнесу компанії. Це, зокрема, можуть бути представники юридичного та технічного відділів, а також представники HR департаменту та інші, необхідність участі яких може визначатися потребами компанії.

Регламент проведення аудиту повинен фіксуватися в стандартних затверджених процедурних документах компанії, що повинні розроблятися на власний розсуд компанії але з обов’язковим врахуванням вимог законодавства та роз’яснень відповідних компетентних органів. Зазвичай, такий документ має назву Personal Data Audit Procedure та може включати додатки, необхідні для фіксації як конкретних кроків, здійснених в процесі проведення аудиту, так і для фіксації результатів проведеного аудиту.

Результати мають відображатися в так званому Personal Data Audit Tool, наповнення якого повинне оновлюватися по мірі проведення аудитів в рамках Компанії.

Висновок

Загалом же, можемо порадити проводити аудит персональних даних на регулярній основі. Це потрібно не тільки для того, щоб бути GDPR compliance, а також і для того, щоб самим орієнтуватися в питаннях, які стосуються об’ємів та порядку обробки персональних даних в середині компанії.