Аудит на відповідність нормативним актам у сфері захисту персональних даних

GDPR, California Consumer Privacy Act, UK GDPR, ЗУ “Про захист персональних даних” – це основні акти, з якими може зіткнутися будь-який бізнес із СНД, що обробляє дані своїх користувачів.

Необхідно розуміти, що якщо у вас є вебсайт і ви користуєтеся Google аналітикою, то ви вже є контролером у термінах, вжитих у GDPR. Прошу звернути увагу, що надалі, за текстом ми будемо зосереджуватися саме на GDPR, але в багатьох вимогах і поняттях цей Регламент схожий з іншими актами у сфері захисту персональних даних, що діють в інших, відмінних від ЄС, юрисдикціях.

Незалежно від того, оперуєте ви вже кілька років на ринку або тільки починаєте свою діяльність в онлайн просторі – вам необхідно провести повноцінний аудит на правову відповідність GDPR (якщо ви працюєте з громадянами ЄС або ваша компанія зареєстрована в ЄС) або ж на відповідність іншим актам. Даний аудит включає в себе комплексний аналіз процесів, що відбуваються в компанії на предмет порушення положень GDPR з наданням подальших рекомендацій, які можливо практично імплементувати, не порушуючи цілісність бізнес діяльності.

Команда Legarithm завжди прагнемо до найкращого результату, але ніколи не приносимо в жертву бізнес-процеси, що відбуваються в компанії. Найчастіше рекомендації від юристів – це цілий список нездійсненних пунктів, але в нашому випадку. Розуміючи, що не все можливо змінити, ми допомагаємо модернізувати ту взаємодію з персональними даними, що відбувається у вашій компанії.

Складовими частинами аудиту є перевірка наявних у компанії механізмів взаємодії з персональними даними на:

• Наявність правових підстав отримання та обробки ПД відповідно до ст. 6 GDPR.

Тут ми знаходимо які види персональних даних і з якою метою ви обробляєте. Визначаємо чи є згода суб’єкта ПД на обробку та в разі її відсутності перевіряємо можливість застосування решти 5 пунктів як правої підстави для отримання та обробки персональних даних. Надаємо рекомендації щодо поширення на деякі види обробки вимоги щодо згоди та внесення змін до політик.

• Актуальність і відповідність GDPR обсягів ПД, що обробляються компанією.

У цій частині GDPR наказує “розмиті” норми, і лише юристи, які спеціалізуються на виконанні його вимог, здатні визначити, що означає “актуальність” і “достатні обсяги”. Для цього використовуються рекомендації EDPB і розуміння індустрії, в якій ви працюєте.

• Тривалість зберігання ПД та їх видалення після передбачуваного терміну.

“Достатній період” для кожного виду обробки персональних даних різний, тому ґрунтуючись на цілях, закріплених у політиках, ми визначаємо, який період буде релевантним для цілей GDPR.

• Забезпечення прав суб’єктів ПД на доступ, забуття, уточнення.
• Можливість компанією продемонструвати виконання норм приватності.

Що буде, якщо контролюючі органи попросять вас пояснити, чому ви обробляєте, наприклад, адреси суб’єктів персональних даних, або ваші бізнес-партнери захочуть, щоб ви продемонстрували відповідність GDPR під час купівлі в них софту? Для того, щоб ваші відповіді мали правове підґрунтя, ми проведемо повний аналіз можливості вашою компанією продемонструвати відповідність GDPR.

• Система захисту персональних даних є ефективною та відповідає найкращим практикам.

Цей пункт охоплює не тільки юридичний аналіз, а й технічний.

• Відповідність національним законам та іншим регуляторним актам у сфері захисту персональних даних.

У кожній країні ЄС є свої особливості, що стосуються захисту персональних даних, особливо виражено це проявляється в окремих індустріях, наприклад, на Мальті, ліцензовані онлайн оператори зобов’язані дотримуватися рекомендацій, виданих MGA. Більшість держав неучасників ЄС також ухвалили закони про захист персональних даних, які багато в чому схожі на GDPR, але мають свої особливості і зазвичай не такий високий рівень контролю за виконанням.

Як підсумок, після проведення аудиту Ви отримаєте повну відповідь про всі виявлені порушення. Ба більше, ми проведемо їхню градацію, що дасть змогу сконцентруватися на першочергових проблемах і мінімізувати негативний вплив від змін у бізнес-процесах.