GDPR аудит: как проводить и что такое Data Protection Impact Assessment?

Соблюдение положений Общего регламента о защите данных (англ. General Data Protection Regulation, GDPR) неразрывно связано с аудитом. Хотите понять с чего начать внедрять GDPR на предприятии? Сделайте аудит.

Вы уже имплементировали нормы GDPR в деятельность компании? Теперь надо проводить периодический аудит, чтобы поддерживать комплаенс.

Заключаете договор, при выполнении которого придется передавать / обрабатывать персональные данные? Делайте аудит контрагента на предмет его соответствия требованиям GDPR.

Виды GDPR аудита и способы их проведения отличаются. Регламент содержит более или менее конкретные требования лишь к оценке воздействия на защиту данных (англ. Data Protection Impact Assessment, DPIA). Во всех остальных случаях аудит является удобным инструментом контроля за реальным состоянием выполнения положений GDPR, но форма его проведения остается без внимания GDPR. Так давайте же разберемся как пользоваться этим инструментом и для чего он необходим.

Когда проводится GDPR аудит?

GDPR достаточно опосредованно упоминает об аудите в широком значении этого слова. Однако, предполагается целый ряд обязанностей, когда обойтись без аудита невозможно.

В частности, GDPR аудит проводится:

  1. В начале и в конце реорганизации деятельности компании согласно GDPR. С одной стороны, компании необходимо выявить те бизнес-процессы, которые не соответствуют положениям GDPR. С другой стороны, после имплементации указанных положений следует иметь документ, подтверждающий каким образом компания реализует требования GDPR в своей деятельности. Оба аспекта обеспечивают соблюдение принципа подотчетности (англ. Accountability) и демонстрацию комплаенса в динамике. Так, компания всегда сможет продемонстрировать контролирующим органам способы выполнения ею конкретных статей GDPR.
  2. Планово — каждые 6-12 месяцев. Текущий плановый периодический аудит, направлен на мониторинг и поддержание состояния согласованности между фактической деятельностью компании и актуальным законодательством о защите данных.
  3. Перед началом работы с новыми контрагентами. Организация процессов получения и передачи персональных данных третьим лицам включает оценку компанией таких третьих лиц. Перед тем как привлекать новых контрагентов к обработке полученных компанией персональных данных, компания должна убедиться в достаточности мер безопасности по обработке данных нового контрагента, а также соответствия этих мер требованиям GDPR.
  4. Перед проведением рисковых операций с данными. Компании, согласно GDPR, нужно инициировать DPIA, когда:

— (а) проводится автоматизированная обработка персональных данных или осуществляется профайлинг;

— (б) обрабатываются чувствительные персональные данные, или же персональные данные, принадлежат лицам, на которых контроллер имеет влияние (например, это может касаться студентов, пациентов, работников компании)

— (в) обрабатываются персональные данные в больших масштабах, или они собраны в публичных местах. Некоторые страны имеют утвержденные на уровне нормативных актов списки операций, при проведении которых DPIA является обязательным.

  1. После выявления факта нарушения безопасности персональных данных. Обычно к утечке персональных данных приводят проблемы с техническими или организационными мерами защиты информации. В таком случае, для выявления проблем проводится экстренный аудит.

Кто ответственный за проведение GDPR аудита?

  • Внутренний аудит. Осуществляется компанией самостоятельно. В большинстве случаев, к нему относится периодический аудит и аудит контрагентов. Обычно проводится штатным сотрудником по вопросам защиты данных (англ. Data Protection Officer, DPO). К внутреннему аудиту также могут привлекаться и другие сотрудники компании, в зависимости от того, насколько обработка данных касается их должностных обязанностей.
  • Санкционированный аудит. Контролирующие органы уполномоченные на проведение расследований и инспекций по надлежащей обработке персональных данных компаниями. Каждой страной-членом Европейского Союза регламентируются собственные процессуальные аспекты проверок защиты данных, которые осуществляются органами государственной власти соответствующей страны. Обычно такой аудит проводится согласно утвержденному плану-графику, а иногда и внепланово, в случае нарушения безопасности персональных данных.
  • Внешний аудит. Время от времени компания вынуждена привлекать независимых экспертов по вопросам защиты данных. Главным образом это касается специфических аудитов, например DPIA, когда опыта и специализации своей команды недостаточно для решения вопросов касательно снижения рисков обработки персональных данных.

Какая процедура GDPR аудита?

Цель аудита в каждом из упомянутых ранее случаев отличается, что влияет на их план проведения. К наиболее типичным и распространенным разновидностям GDPR аудита принадлежит текущий плановый аудит и аудит контрагента. Именно с этими двумя аудитами компании придется иметь дело чаще всего.

  • Текущий плановый периодический аудит.

Характерной особенностью его проведения является план-график, который определяет не только даты осуществления аудита в компании, а и, собственно, предмет аудита. Каждый раз проводить проверку всех внутренних процессов компании без исключения — слишком ресурсозатратно. Поэтому компания, по собственному усмотрению, выбирает с какой периодичностью необходимо проверять отдельные аспекты внутренней обработки персональных данных. Вместе с планом-графиком в качестве приложения нужно утвердить стандартную форму результатов аудита.

  • Аудит контрагента. Компании следует принять политику в отношении проведения оценки контрагентов, где четко установить основания и процедуру аудита.
    В общем, процедура аудита контрагентов выглядит следующим образом:

1) Определить будет ли компания получать / передавать персональные данные при взаимодействии с новым контрагентом и какова роль компании во время обработки персональных данных;

2) Направить контрагенту опросник. Опросник обычно является типичным;

3) На основе ответов на опросник сделать выводы о соответствии контрагента требованиям GDPR и возможности дальнейшего сотрудничества с ним. В зависимости от роли контрагента при обработке персональных данных, GDPR возлагает различные обязанности на него, а также на компанию по обеспечению защиты персональных данных.

Какие особенности DPIA?

Оценка влияния на защиту данных кроме проверки компанией рисковых операций с персональными данными включает подбор способов снижения риска, по результатам аудита. Учитывая сложность DPIA, к оценке привлекаются многие специалисты вместе с независимыми экспертами. Имейте в виду, что ответственность за DPIA несет контроллер, даже если проверку делали независимые эксперты. Выводы DPIA имеют важнейшее значение для соответствия деятельности компании положениям GDPR, поэтому они обязательно оформляются должным образом и содержат, как минимум:

(А) систематическое описание предусмотренных операций обработки и цели обработки, в том числе, при необходимости, законный интерес компании к обработке этих персональных данных;

(Б) оценка необходимости и пропорциональности операций по обработке данных относительно целей;
(В) оценка рисков для прав и свобод субъектов данных; и

(Г) меры, предусмотренные для борьбы с рисками, в том числе, гарантии, меры безопасности и механизмы обеспечения защиты персональных данных, с учетом прав и законных интересов субъектов данных.

Итак, аудит защиты персональных данных может стать чрезвычайно полезным инструментом в воплощении компанией положений GDPR. Гибкость этого инструмента, одновременно с отсутствием жестких требований к процедуре проведения аудита, позволяет компании по своему усмотрению воплощать удобные для нее формы GDPR аудита.

Первичная консультация по ІТ праву в твоем кейсе. Не медли ;)Твой вопрос ІТ юристам


Хочешь получать крутую инфу по IT-праву,
без спама и надоедливых акций?