GDPR-аудит у 2026 році: перевірка технічних та організаційних заходів

Сьогодні персональні дані живуть одночасно в продукті, хмарній інфраструктурі, аналітичних сервісах, CRM, листуванні, ексельках, моделях штучного інтелекту та інтеграціях із зовнішніми сервісами.

GDPR-аудит має показати не лише те, що компанія декларує, а й те, що фактично відбувається з персональними даними в системах, процесах і щоденній роботі команд.

Чому класичний список перевірки GDPR більше не працює.

На ринку є різні підходи. Часто обсяг перевірки виглядає приблизно так: беруть список статей GDPR, просять політику конфіденційності, переглядають договори, ставлять кілька галочок і готують звіт. Проблема в тому, що реальна відповідність вимогам так не працює.

Компанія може мати правильну політику і неправильний продукт. Може мати добре налаштовану систему, але працівники обходять її через пошту чи звичайну ексельку. Може мати договір з обробником, але зовнішній сервіс отримує широкий доступ через API, який ніхто не переглядав два роки.

Тому в аудиті є три різні “правди”:

  • юридична правда – що компанія задекларувала в документах, договорах і системі управління;
  • технічна правда – що системи реально збирають, передають, зберігають, захищають і видаляють;
  • поведінкова правда – як люди фактично працюють з даними, де вигадують обхідні рішення і створюють тіньові потоки даних.

Нормальний аудит починається там, де ці три правди порівнюються між собою. Саме в розриві між ними зазвичай і живе ризик.

Саме тому мають місце GDPR паперові тигри😊

Спеціальна формула: 3 × 14 × 3

Щоб не перетворювати аудит на хаотичну розмову про «все, що стосується GDPR», пропонуємо методологію, в якій є три виміри, чотирнадцять доменів і три послідовні стадії.

На словах формула проста. На практиці кожен її елемент відповідає за окрему частину перевірки.

ВимірЩо перевіряємоТипове питання
ЮридичнийПравові підстави, документи, прозорість, система управління та підзвітність.Чи відповідає юридична модель фактичній обробці?
ТехнічнийСистеми, доступи, API, журнали подій, резервні копії, шифрування, видалення та інтеграції.Чи може система реально виконати те, що обіцяє компанія?
ПоведінковийРобочі звички, вивантаження, спільні облікові записи, пересилання поштою і в робочих чатах, неузгоджені сервіси.Чи не обходять люди встановлені правила?

Формула методології
14 GDPR-доменів × 3 виміри × 3 стадії = структурована модель аудиту, яка веде від фактичного стану до зафіксованих прогалин і керованого плану виправлення.

Крок 0. Спочатку розбираємося в бізнесі

Є спокуса почати аудит з документів. Запропонована методологія починається з історії бізнесу: що компанія продає, хто користувач, де виникають дані, навіщо вони потрібні та які команди, системи і підрядники беруть участь у цьому ланцюгу.

На старті аудиту необхідно зафіксувати:

  • ключові операції з обробки та бізнес-цілі;
  • категорії суб’єктів даних і персональних даних;
  • географію обробки та міжнародні передачі;
  • основні системи, бази даних, API та зовнішні сервіси;
  • відповідальних за процеси: продукт, юридичну функцію, безпеку, маркетинг, кадри та підтримку;
  • елементи підвищеного ризику: профілювання, штучний інтелект, біометрію, геолокацію, спостереження, дані дітей або масштабну обробку.

Крок 1. Збір фактів: встановлюємо, як усе працює насправді

Тут діє доказовий принцип. Кожне твердження має спиратися на те, що можна показати: документ, знімок екрана, вивантаження із системи, журнал подій, заявку, нотатку з розмови або покроковий перегляд роботи системи.

Що збирається на етапі встановлення фактів

Робочий матеріалЩо дає аудитору
Реєстр обробокОперації з обробки, цілі, категорії даних, системи та відповідальні.
Карта руху данихЗвідки дані надходять, де змінюються і куди передаються.
Перелік системЗастосунки, бази даних, сховища, інтеграції та технічні відповідальні.
Матриця правових підставМета обробки, правова підстава, перевірка необхідності та докази.
Матриця доступівСистема, роль, рівень доступу, привілейовані облікові записи, MFA та відповідальний.
Карта підрядниківОбробники й субпідрядники, країни, DPA, технічні заходи та механізм передачі.
Карта строків зберіганняКатегорія даних, система, строк зберігання, спосіб видалення та резервні копії.
Журнал фактичних практикРучні вивантаження, неузгоджені сервіси, спільні облікові записи, обхідні рішення і «тимчасові» копії.

Документи тут важливі, але це лише один шар доказів. Наприклад, політика може передбачати видалення через 12 місяців. А перегляд системи показує, що автоматичного видалення немає, архіви не враховані, а працівники зберігають локальні ексельки «про всяк випадок».

Практичне правило
Збір фактів показує, що реально відбувається. До завершення цього етапу не варто поспішати з висновком «відповідає / не відповідає».

Крок 2. Оцінка прогалин: знаходимо місце, де модель розходиться з реальністю

Коли фактичний стан зібрано, починається оцінка. Методологія пропонує порівняти докази з вимогами GDPR, практикою регуляторів і кращими практиками. Головне питання просте: де юридична модель, технічна реальність і поведінка людей не збігаються між собою?

Щоб звіт не став набором загальних фраз, прогалини потрібно розкласти за типами.

Тип прогалиниЯк виглядає на практиці
Правова прогалинаОбробка існує, але правова підстава відсутня або обрана некоректно.
Прогалина в документахРеальний рух даних не відображений у RoPA, повідомленні або політиці.
Технічна прогалинаСистема не підтримує заявлену вимогу: наприклад, видалення не працює.
Прогалина в процесіНемає відповідального, строку реагування, погодження, порядку ескалації або контрольної точки.
Прогалина в доказахКомпанія каже, що контроль працює, але не може це довести.
Поведінкова прогалинаПрацівники обходять процес або створюють неконтрольовані потоки даних.
Прогалина щодо підрядникаТретя сторона має доступ або обробляє дані без належного контролю.
Прогалина в управлінніНемає регулярного нагляду, актуалізації та доказів підзвітності.

Хороша картка прогалини – це не фраза «оновити політику конфіденційності». У ній мають бути зона перевірки, вимір, опис проблеми, докази, зв’язок із GDPR, ризик, першопричина, рівень критичності, відповідальний, рекомендована дія та строк.

Наприклад, фраза «повідомлення про приватність не описує передачу даних аналітичному сервісу» – це лише поверхня. Одна добре описана прогалина часто показує цілий ланцюг причин.

Крок 3. План виправлень: перетворюємо аудит на керований план змін

Саме тут багато аудитів закінчуються невдало. Компанія отримує 60 сторінок висновків, але не розуміє, що робити в понеділок зранку. Тому результатом має бути не список побажань, а впорядкований перелік робіт із виправлення.

Кожна дія повинна відповідати на чотири питання:

  1. Що саме треба змінити?
  2. Хто відповідальний?
  3. У який строк це має бути зроблено?
  4. Чим буде доведено виконання?
Тип виправленняПриклади
ДокументиRoPA, повідомлення про приватність, DPA, DPIA, LIA, політика строків зберігання, процедура DSAR.
ПроцесиПеревірка нових підрядників, ескалація інцидентів, маршрут запитів DSAR, перегляд доступів, перевірка приватності перед запуском.
Технічні заходиMFA, рольова модель доступу, журналювання, шифрування, автоматичне видалення, обмеження API, сховище секретів.
Культура і поведінкаНавчання за ролями, погоджений порядок вивантажень, відповідальні за приватність у командах, заборона неузгоджених сервісів.

Доказ виконання тут критичний. Фразу «MFA впроваджено» мають підтверджувати вивантаження із системи керування доступами, знімок екрана та правила доступу. Фразу «процес DSAR працює» – маршрут заявки, контроль строку, тестовий запит і приклад відповіді.

Фінальна логіка
Оцінка прогалин показує, що не так. План виправлень показує, як це виправити, хто це робить і як довести результат.

14 доменів: проходимо весь життєвий цикл даних

Чотирнадцять доменів – це не чотирнадцять окремих папок. Це чотирнадцять міні-аудитів, які разом покривають шлях даних від збору до видалення, включно з інцидентами, підрядниками та системою управління.

ДоменГоловне питання аудиту
1. Управління доступом, автентифікація та повноваженняХто реально має доступ? Чи є MFA, принцип мінімальних прав, процес надання, зміни та відкликання доступів і журналювання привілейованих дій?
2. Шифрування, паролі та токениДе лежать облікові дані, ключі API, токени, журнали і резервні копії? Чи немає відкритого тексту, слабкого хешування або секретів у репозиторіях?
3. Реагування на інциденти, виявлення порушень та повідомленняЯк компанія виявляє порушення, визначає момент, коли про нього стало відомо, ескалює ситуацію та документує 72-годинний строк?
4. Приватність за задумом і за замовчуваннямЩо продукт збирає і показує за замовчуванням? Чи є мінімізація даних і перевірка приватності в розробці?
5. Технічний контроль підрядниківЯкий технічний доступ має підрядник? Чи обмежені права API, субпідрядники та подальший доступ?
6. DPIA та оцінка технічних ризиківЧи визначено обробки підвищеного ризику? Чи оцінено ризики для прав людей і чи впроваджено заходи зниження?
7. Відеоспостереження та моніторингЩо саме потрапляє в поле огляду, скільки зберігаються записи, чи є попередження, хто має доступ і яка правова підстава?
8. Правова підстава та сумісність цілейЯка мета і правова підстава кожної обробки? Чи немає непомітного розширення мети або слабкого LIA?
9. Згода, налаштування та відкликанняЧи є згода окремою і доказовою? Чи відкликати її так само просто і чи доходить відкликання до всіх систем?
10. Прозорість та повідомленняЧи пояснюють повідомлення реальні цілі, одержувачів, строки зберігання, передачі та профілювання?
11. Реалізація прав суб’єктів данихЧи можна знайти, вивантажити, виправити та видалити дані в усіх системах у встановлений строк?
12. Строки зберігання та видаленняЧи працює видалення технічно? Що відбувається з архівами, резервними копіями, журналами і локальними копіями?
13. Управління обробниками і третіми сторонамиЧи є DPA, опис технічних заходів, перевірка підрядника, право аудиту, контроль субпідрядників і законні передачі?
14. Підзвітність, документація, DPO та взаємодія з регуляторомЧи може компанія показати відповідність вимогам, а не просто заявити про неї?

Чому саме така структура? Бо ризики рідко живуть в одному місці. Проблема зі згодою може одночасно бути правовою прогалиною, технічною помилкою синхронізації між банером і CRM та поведінковою проблемою, якщо маркетинг продовжує кампанії після відкликання згоди.

Проблема зі строками зберігання може починатися з політики, продовжуватися відсутністю автоматичного видалення і закінчуватися локальними копіями в пошті.

Типові сценарії невідповідності GDPR.

GDPR-ризики люблять повторюватися. Галузь може бути іншою, продукт може бути іншим, але конструкція проблем часто однакова.

1. Паперова відповідність. Документи існують, але ніхто не перевіряв, чи відповідають вони реальній архітектурі та робочим процесам.

2. Карта даних закінчується на «офіційних» системах. До неї не потрапляють вивантаження, спільні диски, вкладення з підтримки, локальні файли та неузгоджені сервіси.

3. Згода живе тільки в банері. Статус не синхронізується з CRM, аналітичними сервісами або списками заборони; відкликання згоди не поширюється далі.

4. Строки зберігання є, видалення немає. Строки визначені, але система не видаляє дані, резервні копії не враховані, доказів видалення немає.

5. DPA підписаний, доступ підрядника не контролюється. Контракт нормальний, але права API широкі, журнали доступу не переглядаються, субпідрядники невідомі.

6. Процедура DSAR є, карти пошуку немає. Компанія знає, як відповісти юридично, але не знає, де фізично шукати всі дані конкретної людини.

7. DPO або команда з приватності залучаються після запуску. Перевірка відбувається тоді, коли мета, архітектура і підрядник уже обрані, а змінювати продукт дорого.

У 2026 році ці сценарії стають ще помітнішими через штучний інтелект, профілювання, хмарну архітектуру та перетин GDPR з іншими цифровими правилами.

Що має залишитися після хорошого GDPR аудиту

Після аудиту компанія має отримати доказовий комплект матеріалів, який можна використовувати для виправлень, звітування керівництву, перевірки перед угодами та подальшого контролю.

Мінімальний набір може виглядати так:

  • короткий підсумок для керівництва: ключові ризики, вплив на бізнес і головні пріоритети;
  • реєстр обробок і карту руху даних;
  • переліки систем, доступів, підрядників і строків зберігання;
  • реєстр прогалин із доказами, ризиком, першопричиною та пріоритетом;
  • план виправлень із відповідальними, строками та доказами виконання;
  • сховище доказів, щоб компанія могла показати, на чому базуються висновки;
  • графік регулярного перегляду ризиків після аудиту.
  •  

Ключове: аудит не повинен залишатися статичним. Уявіть GDPR аудит, як книгу, яку ви читаєте, але перескочити сторінки не можна, повернутись назад теж (хіба що, щоб подивитись, що ж там було).

Висновок: GDPR аудит як реконструкція реального життя даних

GDPR-аудит у 2026 році – це не пошук відсутньої політики. Це реконструкція реального життя персональних даних у компанії.

Запропонована методологія розкладає систему на складові, розглядає її юридично, технічно і поведінково, проводить через 14 зон ризику та рухається у чіткій послідовності: спочатку факти, потім прогалини, потім зміни.

Суть підходу можна звести до трьох речень:

1. Збір фактів показує, що реально відбувається.

2. Оцінка прогалин показує, що саме не працює і чому.

3. План виправлень показує, як це виправити і чим довести виконання.

Якщо політика не підтверджується доказами із системи – це лише намір. Якщо контроль не має відповідального – він тимчасовий. Якщо виконання не можна довести – з погляду підзвітності його майже не існує.

Тому хороший GDPR-аудит не закінчується висновком «є ризики». Він закінчується керованою моделлю, в якій компанія розуміє рух своїх даних, знає пріоритети і може показати, що відповідність вимогам працює не тільки на папері.

Є запитання до юристів?
до 500 символів
Сталася помилка
Запит надіслано Дякуємо за ваше повідомлення! Ми обробимо його якнайшвидше.

Статті по темі

Перейти до блогу