GDPR аудит: як проводити та що таке Data Protection Impact Assessment?
Дотримання положень Загального регламенту про захист даних (англ. General Data Protection Regulation, GDPR) нерозривно пов’язане із аудитом. Бажаєте зрозуміти з чого почати впроваджувати GDPR на підприємстві? Робіть аудит. Ви вже імплементували норми GDPR у діяльність компанії? Тепер треба проводити періодичний аудит, щоб підтримувати комплаєнс. Укладаєте договір, під час виконання якого доведеться передавати/обробляти персональні дані? Робіть аудит контрагента на предмет його відповідність вимогам GDPR.
Види GDPR аудиту і способи їх проведення різняться. Регламент містить більш-менш конкретні вимоги лиш до оцінювання впливу на захист даних (англ. Data Protection Impact Assessment, DPIA). У всіх інших випадках аудит є зручним інструментом контролю за реальним станом виконання положень GDPR, але форма його проведення залишається поза увагою GDPR. То ж давайте розберемося для чого і як користуватися цим інструментом.
Коли проводиться GDPR аудит?
GDPR достатньо опосередковано згадує про аудити у широкому значені цього терміну. Однак, передбачається цілий ряд обов’язків, коли обійтися без аудиту неможливо. Зокрема, аудит проводиться:
-
-
- На початку та в кінці реорганізації діяльності компанії згідно GDPR. З одного боку, компанії необхідно виявити ті бізнес-процеси, які не відповідають положенням GDPR. З іншого боку, після імплементації зазначених положень варто мати документ, що підтверджує яким чином компанія реалізовує вимоги GDPR у своїй діяльності. Обидва аспекти забезпечують дотримання принципу підзвітності (англ. accountability) та демонстрацію комплаєнсу у динаміці. Так, компанія завжди зможе продемонструвати контролюючим органам способи виконання нею конкретних статей GDPR.
- Планово кожні 6-12 місяців. Поточний плановий періодичний аудит, направлений на моніторинг й підтримку стану узгодженості між фактичною діяльністю компанії і актуальним законодавством про захист даних.
- Перед початком роботи із новими контрагентами. Організація процесів отримання і передачі персональних даних третім особам включає оцінювання компанією таких третіх осіб. Перед тим як долучати нових контрагентів до обробки отриманих компанією персональних даних, компанія повинна впевнитись у достатності заходів безпеки нового контрагента щодо обробки даних, а також відповідності цих заходів вимогам GDPR.
- Перед проведенням ризикових операцій із даними. Компанії згідно з GDPR потрібно ініціювати DPIA, коли: (а) проводиться автоматизована обробка персональних даних або здійснюється профайлинг; (б) обробляються чутливі персональні дані, або ж персональні дані, що належать особам, на яких контролер має вплив (наприклад, це може стосуватися студентів, пацієнтів, працівників компанії); (в) обробляються персональні дані у великих масштабах, або вони зібрані в публічних місцях. Деякі країни мають затверджені на рівні нормативних актів списки операцій, при проведенні яких DPIA є обов’язковим.
- Після виявлення факту порушення безпеки персональних даних. Зазвичай до витоку персональних даних призводять проблеми із технічними чи організаційними заходами захисту інформації. В такому випадку для виявлення проблем проводиться екстрений аудит.
-
Хто відповідальний за проведення GDPR аудиту?
- Внутрішній аудит. Здійснюється компанією самостійно. В більшості випадків до нього відноситься періодичний аудит і аудит контрагентів. Зазвичай проводиться штатним співробітником з питань захисту даних (англ. Data Protection Officer, DPO). До внутрішнього аудиту також можуть залучатися і інші працівники компанії в залежності від того наскільки обробка даних стосується їх посадових обов’язків.
- Санкціонований аудит. Контролюючі органи уповноважені на проведення розслідувань та інспекцій щодо належної обробки персональних даних компаніями. Кожною країною-членом Європейського Союзу регламентуються власні процесуальні аспекти перевірок захисту даних, що здійснюються органами державної влади відповідної країни. Зазвичай такий аудит проводиться або згідно з затвердженим планом-графіком або позапланово у випадку порушення безпеки персональних даних.
- Зовнішній аудит. Іноді компанія вимушена залучати незалежних експертів з питань захисту даних. Головним чином це стосується специфічних аудитів, наприклад DPIA, коли досвіду і спеціалізації власної команди не достатньо для вирішення питань із зниженням ризиків обробки персональних даних.
Яка процедура GDPR аудиту?
Мета аудиту в кожному із згаданих раніше випадків різниться, що впливає на їх план проведення. До найбільш типових і розповсюджених різновидів GDPR аудиту належить поточний плановий аудит та аудит контрагента. Саме із цими двома аудитами компанії доведеться мати справу найчастіше.
- Поточний плановий періодичний аудит. Характерною особливістю його проведення є план-графік, який визначає не лише дати здійснення аудиту у компанії, а і предмет аудитів. Проводити кожного разу перевірку всіх без виключення внутрішніх процесів у компанії вбачається занадто ресурсозатратним. Так, компанія на власний розсуд обирає із якою періодичністю перевіряти окремі аспекти з внутрішньої обробки персональних даних. Разом із планом-графіком в якості додатку потрібно затвердити стандартну форму результатів аудиту.
- Аудит контрагента. Компанії варто прийняти політику щодо проведення оцінювання контрагентів, де чітко встановити підстави та процедуру аудиту. Загалом процедура аудиту контрагентів виглядає наступним чином:
-
- Визначити чи буде компанія отримувати/передавати персональні дані під час взаємодії із новим контрагентом та роль компанії під час обробки персональних даних;
- Направити контрагенту опитувальник. Опитувальник зазвичай є типовим;
- На основі відповідей на опитувальник зробити висновки щодо відповідності контрагента вимогам GDPR і можливості подальшої співпраці із ним. Залежно від ролі контрагента під час обробки персональних даних, GDPR покладає різні обовязки на нього, а також на компанію щодо забезпечення захисту персональних даних.
Які особливості DPIA?
Оцінювання впливу на захист даних, окрім власне перевірки компанією ризикових операцій із персональними даними, включає підбір за результатами аудиту способів зниження ризику. З огляду на складність DPIA, до оцінювання залучається багато спеціалістів разом із незалежними експертами. Майте на увазі, що відповідальність за несе DPIA несе контролер навіть якщо перевірку робили незалежні експерти. Висновки DPIA мають надважливе значення для правильного налагодження діяльності компанії згідно з GDPR, тому вони обов’язково належним чином оформлюються і містять, як мінімум:
(а) систематичний опис передбачених операцій обробки та цілі обробки, в тому числі, за необхідності, законний інтерес компанії щодо обробки цих персональних даних;
(б) оцінювання необхідності та пропорційності операцій з обробки даних щодо цілей; (в) оцінювання ризиків для прав і свобод суб’єктів даних; та
(г) заходи, передбачені для боротьби з ризиками, в тому числі, гарантії, заходи безпеки та механізми забезпечення захисту персональних даних, з урахуванням прав і законних інтересів суб’єктів даних.
Отже, аудит захисту персональних даних може стати надзвичайно корисним інструментом у втіленні компанією положень GDPR. Гнучкість цього інструменту одночасно із відсутністю жорстких вимог до процедури проведення аудиту дозволяє компанії на власний розсуд втілювати зручні для неї форми GDPR аудиту.