GDPR Aудит: основні кроки

GDPR аудит – це перевірка, наскільки компанія наразі виконує приписи Regulation 2016/679, і визначення наступних кроків для приведення її у відповідність з приписами GDPR або покращення окремих процесів у обробці даних. 

Цю перевірку краще всього проводити до того, як компанія випускає новий продукт чи додає нові функції. Критерій “новизни” окремої функції у вже приведеному у відповідність продукті часто здається доволі нечітким. Однак головні риси “нового” продукту — те, наскільки різними за природою і інтенсивністю є цілі і способи обробки даних (так звана “поєднуваність” цілей обробки даних), що супроводжують “старі” і “нову” функції. 

Окрім цього, важливими є очікування людини щодо того, як її дані будуть використані: якщо такий спосіб обробки не очікується, або функція має несподівані для користувача результати — краще переконатися, чи ця функція не порушує стан комплаєнсу. 

Однак про це по порядку. 

Кому потрібен GDPR аудит?

Якщо коротко — будь-кому, хто планує працювати на європейському ринку: продавати свої послуги (особливо з таргетом на певну країну ЄС), постачати товари (наприклад, ІоТ-іграшки), чи навіть просто рекламуватися чи проводити конференцію. 

Зокрема, аудит слід провести компаніям, які:

  • планують у найближчий час випустити MVP свого застосунку у маркетах застосунків, 
  • вирішують розширити свій ринок чи вийти на новий (наприклад, з України чи США на ринки ЄС або Європейської економічної зони), 
  • змінюють бізнес-процеси (наприклад, перебудовують свій веб сайт з сайту-візитівки на SaaS-продукт), 
  • укладають угоди підряду з європейськими компаніями або американськими компаніями, що працюють з даними європейців (особливо багато про Регламент чують, наприклад, маркетологи, продавці, розробники, аналітики даних тощо), або
  • вирішують провести злиття або поглинання з іншою компанією (особливо з європейською) тощо. 

“Чи необхідно мені провести аудит?” є частиною запитання “Чи застосовується GDPR до моєї компанії?”. Якщо маєте сумніви — спробуйте скористатися нашим попереднім GDPR-аудитом. Або  напишіть мені, і постараємось розібратися разом. 

Яким буває аудит? 

Компанія може провести його самостійно, а може і залучити підрядника. Слід обирати свій варіант, оцінивши власні ресурси. Завжди добре мати співробітника, який достатньо обізнаний з вимогами Регламенту, щоб проконтролювати весь процес. Але  якщо такий варіант відпадає — завжди є підрядники, які будуть раді вашому запиту. 

У аудиту (не плутати з сертифікацією ISO 2700Х або подібними) немає чітко встановленої форми чи шаблону проведення. Тому фінальний результат у різних підрядників може бути по-різному представлений: як таблиця в Excel, видача зі спеціального програмного забезпечення або текстовий файл, роздрукований чи наданий у цифровій формі тощо.

Аудит може проводитися у кілька етапів. Аудитор може запросити документи та відповіді на свої запитання, а може і власноруч збирати інформацію. Часто аудитор може попросити чи призначити низку інтерв’ю з різними учасниками команди, щоб відтворити реальний стан речей і сформувати рекомендації. 

Що відбувається під час GDPR аудиту? 

GDPR аудит проходить у декілька етапів, у залежності від продукту чи задач. У загальному вигляді процес включає в себе: 

  1. Етап збору інформації (аудитор надає опитувальники і форми, проводить інтерв’ю, вивчає документацію і документи, досліджує застосунок чи сайт власноруч).
    Зазвичай ще до початку роботи сторони підписують угоду про нерозголошення. Це важливо, щоб почувати себе у безпеці, коли аудитор отримує доступ до ноу-хау і комерційної таємниці, і дати йому всю необхідну інформацію. 
  2. Перевірка відповідності Регламенту (аудитор використовує зібрану інформацію про компанію, щоб порівняти її з вимогами GDPR і знайти, які практики і процеси необхідно переглянути). 
  3. Формування рекомендацій та плану дій (аудитор підказує можливі засоби подолання проблем комплаєнсу — наприклад, проведення певних тренінгів, введення в оборот документації, розподіл доступу, підписання додаткових угод про нерозголошення або процедури перевірки підрядників за певним алгоритмом). 

Важливо переконатися, що аудитор отримав актуальну і необхідну для перевірки інформацію. За необхідності слід повідомляти його про введення нових функцій продукту чи заплановані події, відкриття нових сторінок у соціальних мережах або набір резюме для працевлаштування. 

GDPR аудит – крок до GDPR compliance

Аудит вирішує кілька задач. Він допомагає виявити проблему, оцінити її серйозність і пріоритет, сформувати план роботи з нею і виділити ресурси для її подолання. Окрім того, аудит може допомогти передбачити небезпеки, ризики і наслідки, та дізнатися про нові практики збору і обробки інформації, що поширені на ринку. 

Виконання законів про захист персональних даних є не просто витратою на юридичний compliance. Часто це додаткова перевага для клієнтів, яка виявляється вирішальною при виборі з кількох аналогічних продуктів, і вміло використаний інструмент утримання користувачів. Більше того — аудит може дати нові ідеї подальшого розвитку конкретного продукту чи створення нових продуктів, а отже, навіть перевиконати свою вартість для креативного підприємця. 

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)