General Data Protection Regulation отличается от предыдущих нормативных документов ЕС, регулирующих вопросы защиты персональных данных тем, что этот Регламент предусматривает наличие принципа «соответствия» (на английском языке — принцип «accountability»). Он заключается в том, что компания, которая выступает в роли обработчика или в роли контроллера персональных данных, должна доказать контролирующим органам соответствие свое деятельности требованиям GDPR и другого законодательства ЕС в сфере защиты персональных данных.
Одним из ключевых элементов реализации вышеупомянутого принципа, остается проведение инвентаризации, или так называемого аудита деятельности компании на предмет имеющихся в компании персональных данных. Аудит позволит понять, какими персональными данными компания оперирует, а также установить, что с персональными данными происходит с момента получения таких данных компанией и до момента их удаления.
Охватывающей аудит?
Самым главным элементом проведения аудита, остается возможность определения сфер деятельности компании, реализациях которых невозможна без получения персональных данных физических лиц или сфер, которые обеспечивают надлежащий оборот персональных данных внутри компании. Например, в этом случае речь может идти о компании. которая реализует свой бизнес через соб
ственный веб-сайт, который предусматривает возможность его использования физическими лицами-потребителями и тому подобное.
Определив сферы деятельности, необходимо четко идентифицировать категории субъектов данных и категории персональных данных, которые обрабатываются компанией. Такая идентификация поможет также понять объем персональных данных европейцев в процентном соотношении к общей массе данных.
Одной из целей аудита также является определение целей обработки персональных данных и установления границ необходимости и пропорциональности имеющихся в компании персональных данных целям их обработки. Имеется в виду ситуация, когда компания собирает больше персональных данных чем это предполагает установление цель или когда собираются персональные, которые совсем не нужны для реализации конкретной цели.
Вместе с тем, компания должна проводить целый ряд других мероприятий для того, чтобы понять существующее положение дел, касающихся сбора, использования, хранения и другой обработки персональных данных компанией. Кроме всего компания должна определить дальнейший алгоритм шагов для обеспечения соответствия своей деятельности требованиям GDPR и другого законодательства ЕС в сфере защиты персональных данных.
Кого привлекать к проведению аудита?
Многие компании ошибочно считают, что первичный аудит персональных данных, так же как и имплементацию организационных и технических мероприятий должен проводить DPO (Data Protection Officer), назначение которого предполагается требованиями GDPR. Стоит отметить, что это ошибочное видение ситуации, ведь DPO, в контексте применения требований GDPR, имеет совсем другие функции. Эта тема станет предметом обсуждения в наших других материалах.
В целом же, компании необходимо привлекать специалистов в области защиты данных как из числа собственных сотрудников, так и из числа внешних контрагентов, вовлеченные в процесс обработки персональных данных. Все зависит от объемов деятельности компании и от специфики бизнеса, который она осуществляет.
Рассматривая например компанию, которая имеет разветвленную бизнес структуру или привлекает большое количество компаний-обработчиков, в том числе из третьих стран, или сочетает в своей деятельности использование различных веб-ресурсов, необходимо организовывать команду для аудита, которая скрадатиметься из представителей всех имеющихся направлений бизнеса компании , а также представителей всех заинтересованных структурных подразделений. В этом случае, речь идет о представителях технических отделов, HR специалистов, юристов и менеджеров проектов.
Исходя из практической точки зрения, компания не должна отвергать возможность привлечения внешних специалистов, которые специализируются на вопросах, связанных с обеспечением защиты персональных данных, в том числе и по требованиям GDPR. Самое главное в вопросе взаимодействия с внешними подрядчиками, прописать все особенности взаимодействия компании и контрагента, а также определить конечный результат аудита.
Чаще всего, компании, осуществляющие аудит персональных данных, также помогают компании-заказчику адаптировать свою деятельность к требованиям GDPR и другого законодательства ЕС в сфере защиты персональных данных.
Результаты аудита
В любом случае, результатам аудита должна быть четкая карта движения персональных данных в рамках компании, а также понимание того, какие персональные данные компания использует для собственных целей или от имени контроллера. Кроме того, аудит должен дать четкий ответ на то, что компания должна сделать и какие меры должна предпринять, чтобы не нарушать требования законодательства ЕС о защите персональных данных. Проведя аудит должным образом, вы сделаете для своей компании первый шаг в обеспечении ее GDPR compliance.
Специалисты компании BSO Privacy Group всегда рады помочь вам в проведении аудита, включая консультирование по вопросам организации защиты персональных данных в рамках вашей компании, в соответствии с требованиями GDPR.
