GDPR аудит: як провести?

GDPR аудит – це перевірка, наскільки компанія наразі виконує приписи Regulation 2016/679, і визначення наступних кроків для приведення її у відповідність з приписами GDPR або покращення окремих процесів у обробці даних. 

Цю перевірку краще всього проводити до того, як компанія випускає новий продукт чи додає нові функції. Критерій “новизни” окремої функції у вже приведеному у відповідність продукті часто здається доволі нечітким. Однак головні риси “нового” продукту — те, наскільки різними за природою і інтенсивністю є цілі і способи обробки даних (так звана “поєднуваність” цілей обробки даних), що супроводжують “старі” і “нову” функції. 

Окрім цього, важливими є очікування людини щодо того, як її дані будуть використані: якщо такий спосіб обробки не очікується, або функція має несподівані для користувача результати — краще переконатися, чи ця функція не порушує стан комплаєнсу. 

Однак про це по порядку. 

Кому потрібен GDPR аудит?

Якщо коротко — будь-кому, хто планує працювати на європейському ринку: продавати свої послуги (особливо з таргетом на певну країну ЄС), постачати товари (наприклад, ІоТ-іграшки), чи навіть просто рекламуватися чи проводити конференцію. 

Зокрема, аудит слід провести компаніям, які:

• планують у найближчий час випустити MVP свого застосунку у маркетах застосунків, 
• вирішують розширити свій ринок чи вийти на новий (наприклад, з України чи США на ринки ЄС або Європейської економічної зони), 
• змінюють бізнес-процеси (наприклад, перебудовують свій веб сайт з сайту-візитівки на SaaS-продукт), 
• укладають угоди підряду з європейськими компаніями або американськими компаніями, що працюють з даними європейців (особливо багато про Регламент чують, наприклад, маркетологи, продавці, розробники, аналітики даних тощо), або
• вирішують провести злиття або поглинання з іншою компанією (особливо з європейською) тощо. 

“Чи необхідно мені провести аудит?” є частиною запитання “Чи застосовується GDPR до моєї компанії?”. Якщо маєте сумніви — спробуйте скористатися нашим попереднім GDPR-аудитом. Або  напишіть мені, і постараємось розібратися разом. 

Яким буває GDPR аудит? 

Компанія може провести його самостійно, а може і залучити підрядника. Слід обирати свій варіант, оцінивши власні ресурси. Завжди добре мати співробітника, який достатньо обізнаний з вимогами Регламенту, щоб проконтролювати весь процес. Але  якщо такий варіант відпадає — завжди є підрядники, які будуть раді вашому запиту. 

У аудиту (не плутати з сертифікацією ISO 2700Х або подібними) немає чітко встановленої форми чи шаблону проведення. Тому фінальний результат у різних підрядників може бути по-різному представлений: як таблиця в Excel, видача зі спеціального програмного забезпечення або текстовий файл, роздрукований чи наданий у цифровій формі тощо.

Аудит може проводитися у кілька етапів. Аудитор може запросити документи та відповіді на свої запитання, а може і власноруч збирати інформацію. Часто аудитор може попросити чи призначити низку інтерв’ю з різними учасниками команди, щоб відтворити реальний стан речей і сформувати рекомендації. 

Що відбувається під час GDPR аудиту? 

GDPR аудит проходить у декілька етапів, у залежності від продукту чи задач. У загальному вигляді процес включає в себе: 

1. Етап збору інформації (аудитор надає опитувальники і форми, проводить інтерв’ю, вивчає документацію і документи, досліджує застосунок чи сайт власноруч).
   Зазвичай ще до початку роботи сторони підписують угоду про нерозголошення. Це важливо, щоб почувати себе у безпеці, коли аудитор отримує доступ до ноу-хау і комерційної таємниці, і дати йому всю необхідну інформацію. 
2. Перевірка відповідності Регламенту (аудитор використовує зібрану інформацію про компанію, щоб порівняти її з вимогами GDPR і знайти, які практики і процеси необхідно переглянути). 
3. Формування рекомендацій та плану дій (аудитор підказує можливі засоби подолання проблем комплаєнсу — наприклад, проведення певних тренінгів, введення в оборот документації, розподіл доступу, підписання додаткових угод про нерозголошення або процедури перевірки підрядників за певним алгоритмом). 

Важливо переконатися, що аудитор отримав актуальну і необхідну для перевірки інформацію. За необхідності слід повідомляти його про введення нових функцій продукту чи заплановані події, відкриття нових сторінок у соціальних мережах або набір резюме для працевлаштування. 

GDPR аудит – крок до GDPR compliance

Аудит вирішує кілька задач. Він допомагає виявити проблему, оцінити її серйозність і пріоритет, сформувати план роботи з нею і виділити ресурси для її подолання. Окрім того, аудит може допомогти передбачити небезпеки, ризики і наслідки, та дізнатися про нові практики збору і обробки інформації, що поширені на ринку. 

Виконання законів про захист персональних даних є не просто витратою на юридичний compliance. Часто це додаткова перевага для клієнтів, яка виявляється вирішальною при виборі з кількох аналогічних продуктів, і вміло використаний інструмент утримання користувачів. Більше того — аудит може дати нові ідеї подальшого розвитку конкретного продукту чи створення нових продуктів, а отже, навіть перевиконати свою вартість для креативного підприємця. 

Legal IT Group проводять GDPR аудит, щоб оцінити, наскільки поточні процеси компанії відповідають вимогам регламенту. Ми аналізуємо договори, політики, технічні та організаційні заходи, після чого надаємо рекомендації та план дій для усунення прогалин.