вимкнути дудлвключити дудл

Аудит щодо захисту персональних даних. З чого починати GDPR Compliance? Катерина Карасьова

B98R2037Компанії з європейським корінням вже виконали вимоги Європейського регламенту щодо захисту персональних даних (ЕР) і «сплять спокійно». Більшість українських компаній впевнені, що європейський документ не поширюється ні на Україну, ні на їх бізнес. Чому українському бізнесу важливо відповідати ЕР?

Зрозуміти, навіщо українському бізнесу без європейського коріння все ж потрібно бути «GDPR compliance» допоможуть питання, на які варто відповісти чесно. Серед них:

  • Чи спрямований мій бізнес на Європу?
  • Чи підтримує сайт компанії англомовний інтерфейс з можливістю розрахунків в євро?
  • Чи є обмін персональними даними з материнською європейською компанією?

Додатково дайте відповідь на питання про обробку і поранення персональних даних в автоматизованих системах:

  • Які дані (в т. ч. Cookies) збирає ваш сайт, куди кому і для яких цілей автоматично розсилає?
  • Які дані обробляє і зберігає розроблене вами програмне забезпечення, що включає SaaS-рішення?

Однією з вимог ЕР є обов’язкове знання кожної компанії про потоки персональних даних (data flow), про цілі обробки і терміни зберігання. Але основоположним є фізичний і технічний захист персональних даних як невід’ємна частина системи управління інформаційною безпекою (СУІБ) компанії. Тому, кажучи про захист персональних даних по ЕР неможливо не говорити про СУІБ.

Витік невизначених даних – це витік і персональних даних з настанням репутаційних і фінансових ризиків.

З чого ж починати «GDPR compliance»? Початком всього є внутрішній аналіз/аудит компанії. Вірним буде проведення аудиту СУІБ (ISO270001…) з додатковою увагою на персональні дані, з огляду на як вимоги українського законодавства щодо захисту персональних даних, так і GDPR. Наступним є етап впровадження.

Як проходить такий «GDPR-аудит»? Аудит зачіпає бізнес-процеси компанії, а саме документальну і технічну частини.

  • Аналізу підлягають документи про ризик- і інцидент-менеджмент компанії.
  • Оцінюються/виявляються категорії даних, персональних даних.
  • Аналізується категорійність ризиків компанії.
  • Визначаються/виділяються потоки і життєві цикли даних, потоки персональних даних, системи і цілі їх обробки, а також терміни зберігання, списки відповідальних осіб за кожен з процесів.
  • Аналізуються як внутрішні, так і публічні документи компанії на предмет правомірності збору, обробки та зберігання персональних даних, від політик і процедур, посадових інструкцій, трудових договорів до контрактів з постачальниками, порядок дій при подіях.
  • Проводиться аналіз зовнішніх інформаційних систем (веб-ресурсів, мобільних додатків і т. д.) і аналіз безпеки IT систем.

За підсумком такої цілісної перевірки компанія має уявлення про внутрішню ситуацію з набором рекомендацій щодо відповідності. Впроваджувати або не впроваджувати рекомендації аудиторів-консультантів, компанія повинна прийняти рішення самостійно, в залежності від бюджету і ступеня прийнятого ризику.

Катерина Карасьова, старший юрист Практики ТМТ ЮК Juscutum.