Аудит персональных данных: требования GDPR и необходимые действия

25 июля 2020

Компании, которые начинают свою деятельность, связанную со сбором, использованием или другой обработкой персональных данных, должны обратить свое внимание на такое организационное мероприятие как «аудит персональных данных» или как его еще называют «инвентаризация персональных данных». Такой элемент является ключевым для возможности обеспечения соответствия компании требованиям GDPR.

Необходимость проведении аудита персональных данных

Когда заходит речь о проведении аудита персональных данных, стоит принимать во внимание не только сбор общей информации о персональных данных, которые используются или могут использоваться компанией в своей деятельности, так как этот прием не будет считаться достаточным. Речь идет, в частности, о детальном анализе каждой из сфер бизнеса, с возможностью выделить независимые категории персональных данных, а также категории физических лиц, чьи персональные данные обрабатываются (субъекты персональных данных).

Проведение аудита, прежде всего, необходимо для возможности установки и фиксирования перемещения персональных данных внутри компании, с момента получения и до момента их удаления. Определение такого перемещения (Data flow) персональных данных обычно служит основой для дальнейших действий компании в сфере адаптации компании к требованиям европейского законодательства в сфере защиты данных.

Без проведения аудита, компания не будет иметь возможности оперировать всеми данными, необходимыми для внедрения соответствующих организационных и технических мероприятий, которые предусмотрены требованиями GDPR.

Например, зная точный перечень категорий данных в сфере предоставления услуг клиентам, компания не сможет должным образом определить алгоритмы шифрования данных в такой мере, в которой бы сохранялся баланс между возможностью компании оперировать в рамках требований законодательства и возможностью субъекта данных реализовать предусмотренные законодательством права.

Если продолжать говорить о необходимости проведения аудита персональных данных, то его проведения напрямую связано с требованиями GDPR по фиксации и хранения записей об операциях по обработке персональных данных, предусматривающийся статьей 30 General Data Protection Regulation. В компании не будет возможности четко зафиксировать все операции по обработке данных, если у нее не будет результатов проведенного аудита персональных данных.

Разновидности аудита персональных данных

В контексте применения норм GDPR и другого европейского законодательства, следует различать два вида аудита персональных данных, а именно:

  • Первичный общий аудит (Data mapping) и
  • Текущий аудит.

Первичный общий аудит или как его еще называют Data mapping, должен проводиться перед началом обработки персональных данных и должен включать инвентаризацию всех без исключений сфер деятельности компании, включающих обработку персональных данных.

Текущий же аудит должен проводиться периодически, но не реже конкретно определенного периода, устанавливаемого компанией по своему усмотрению. При определении такого периода, компании стоит обратить внимание на разъяснение, предоставляемых официальными органами ЕС в сфере защиты персональных данных. Вместе с тем, текущий аудит персональных данных должен проводиться в тех случаях, когда в рамках компании произошли значительные изменения в ее деятельности, повлекшие за собой изменения в системе обращения персональных данных. Например, речь идет о случаях, когда Компания начала сбор, осуществляет хранение или любую другую обработку новых категорий персональных данных, или же когда компания прекратила обрабатывать ту или иную категорию персональных данных.

Например, компания занималась разработкой программного обеспечения для размещения на платформах, с возможностью скачивания конечными потребителями, а также обеспечивала техническую поддержку такого софта. Через некоторое время, компанией было принято решение о необходимости создавать мобильные приложения (игры) на базе программного обеспечения IOS, для возможности их использования конечными потребителями. Соответственно, в компании появилась необходимость в обработке персональных данных не только конечных потребители софта, но и игроков, которые регистрируются в онлайн играх.

Фактическое проведение аудита персональных данных

Аудит персональных данных всегда должен проводиться лицами, которых компания определила ответственными за такой аудит. Это может быть как специалист по защите персональных данных, который работает в компании в рамках трудовых отношений, так и специалист, привлекаемый компанией в рамках договора подряда на конкретных коммерческих условиях.

Аудит также может проводиться и отдельными компаниями, которые специализируются в соответствующей сфере бизнеса и которые имеют в своем штате высококвалифицированных специалистов. Обычно это значительно ускоряет и защищает процесс подготовки компании к требованиям GDPR.

(BSO Privacy Group именно такая компания)

В крупных компаниях, в процесс аудита могут вовлекаться не отдельные специалисты, а целая команда профессионалов, представляющих ключевые сектора деятельности компании. Это, в частности, могут быть представители юридического и технического отделов, а также представители HR департамента и другие, необходимость участия которых может определяться потребностями компании.

Регламент проведения аудита должен фиксироваться в стандартных утвержденных процедурных документах компании, которые разрабатываются по своему усмотрению компанией, но с обязательным учетом требований законодательства и разъяснений соответствующих компетентных органов. Как правило, такой документ называется Personal Data Audit Procedure и может включать приложения, необходимые для фиксации как конкретных шагов, предпринятых в процессе проведения аудита, так и для фиксации результатов проведенного аудита.

Результаты должны отражаться в так называемом Personal Data Audit Tool, наполнение которого должно обновляться по мере проведения аудитов в рамках компании.

Вывод

В целом же, можем посоветовать проводить аудит персональных данных на регулярной основе. Это нужно не только для того, чтобы быть GDPR compliance, а также и для того, чтобы компания самостоятельно могла ориентироваться в вопросах, касающихся объемов и порядка обработки персональных данных внутри компании.