выключить дудлвключить дудл

Аудит по защите персональных данных. С чего начинать GDPR Compliance? Екатерина Карасева

B98R2037Компании с европейскими корнями уже выполнили требования Европейского регламента по защите персональных данных (ЕР) и «спят спокойно». Большинство украинских компаний уверены, что европейский документ не распространяется ни на Украину, ни на их бизнес. Почему украинскому бизнесу важно соответствовать ЕР?

Понять, зачем украинскому бизнесу без европейских корней все же нужно быть «GDPR compliance» помогут вопросы, на которые стоит ответить честно.  Среди них:

  • Направлен ли мой бизнес на Европу?
  • Поддерживает ли сайт компании англоязычный интерфейс с возможностью расчетов в евро?
  • Есть ли обмен персональными данными с материнской европейской компанией?

Дополнительно ответьте на вопросы об обработке и ранении персональных данных в автоматизированных системах:

  • Какие данные (в т. ч. cookies) собирает ваш сайт куда кому и для каких целей автоматически рассылает?
  • Какие данные обрабатывает и хранит разработанное вами программное обеспечение, включающее SaaS-решение?

Одним из требований ЕР является обязательное знание каждой компании о потоках персональных данных (data flow), о целях обработки и сроках хранения. Но основоположным является физическая и техническая защита персональных данных как неотъемлемая часть системы управления информационной безопасностью (СУИБ) компании. Поэтому, говоря о защите персональных данных по ЕР невозможно не говорить о СУИБ.

Утечка неопределенных данных — это утечка и персональных данных с наступлением репутационных и финансовых рисков.

С чего же начинать «GDPR compliance»? Началом всего есть внутренний анализ/аудит компании. Верным будет проведение аудита СУИБ (ISO270001…) с дополнительным вниманием на персональные данные, учитывая как требования украинского законодательства по защите персональных данных, так и GDPR. Последующим есть этап внедрения.

Как проходит такой «GDPR-аудит»? Аудит затрагивает бизнес-процессы компании, а именно документальную и техническую части.

  • Анализу подлежат документы о риск- и инцидент-менеджменте компании.
  • Оцениваются/выявляются категории данных, персональных данных.
  • Анализируется категорийность рисков компании.
  • Определяются/выделяются потоки и жизненные циклы данных, потоки персональных данных, системы и цели их обработки, и сроки хранения, списки ответственных лиц за каждый из процессов.
  • Анализируются как внутренние, так и публичные документы компании на предмет правомерности сбора, обработки и хранения персональных данных, от политик и процедур, должностных инструкций, трудовых договоров до контрактов с поставщиками, порядок действий при происшествиях.
  • Производится анализ внешних информационных систем (веб-ресурсов, мобильных приложений и т.д.) и анализ безопасности IT систем.

По итогу такой целостной проверки компания имеет представление о внутренней ситуации с набором рекомендаций по соответствию. Внедрять или не внедрять рекомендации аудиторов-консультантов, компания должна принять решение самостоятельно, в зависимости от бюджета и степени принятого риска.

Екатерина Карасева, старший юрист Практики ТМТ ЮК Juscutum.