Дата: 7/05/21

Аудит на соответствие нормативным актам в сфере защиты персональных данных

GDPR, California Consumer Privacy Act, UK GDPR, ЗУ «О защите персональных данных», ФЗ РФ «О персональных данных» — это основные акты с которыми может столкнуться любой бизнес из СНГ, который обрабатывает данные своих пользователей. Необходимо понимать, что если у вас есть веб-сайт и вы пользуетесь Google аналитикой или Яндекс метрикой, то вы уже есть контроллером в терминах, употребленных в GDPR. Прошу обратить внимание, что в дальнейшем, по тексту мы будем сосредотачиваться именно на GDPR, но во многих требованиях и понятиях данный Регламент схож с другими актами в сфере защиты персональных данных, которые действуют в отличных от ЕС юрисдикциях. Конечно же простой перевод политики конфиденциальности, которая была разработана в соответствии с GDPR, с английского на русский не будет означать полное соответствие ФЗ РФ «О персональных данных» и может потенциально привести к штрафам о Роскомнадзора, поэтому мы вам советуем тщательно выверять механизмы взаимодействия с ПД или обращаться к профессионалам.

Вне зависимости от того оперируете вы уже несколько лет на рынке или только начинаете свою деятельность в онлайн пространстве – вам необходимо провести полноценный аудит на правовое соответствие GDPR (если вы работаете с гражданами ЕС или ваша компания зарегистрирована в ЕС) или же на соответствие другим актам. Данный аудит включает в себя комплексный анализ процессов, происходящих в компании на предмет нарушения положений GDPR с предоставлением дальнейших рекомендаций, которые возможно практически имплементировать, не нарушая целостность бизнес деятельности. Команда Legarithm всегда стремимся к наилучшему результату, но никогда не приносим в жертву бизнес-процессы, происходящие в компании. Зачастую рекомендации от юристов – это целый список неисполнимых пунктов, но в нашем случае. Понимая, что не всё возможно изменить, мы помогаем модернизировать то взаимодействие с персональными данными, что происходит в вашей компании.

Составными частями аудита является проверка существующих в компании механизмов взаимодействия с персональными данными на:

  • Наличие правовых оснований получения и обработки ПД в соответствии со ст. 6 GDPR. Здесь мы находим какие виды персональных данных и с какой целью вы обрабатываете. Определяем или есть согласие субъекта ПД на обработку и в случае его отсутствия проверяем возможность применения остальных 5 пунктов в качестве правого основания для получения и обработки персональных данных. Предоставляем рекомендации по распространению на некоторые виды обработки требования касательно согласия и внесения изменений в политики.
  • Актуальность и соответствие GDPR объёмов ПД, что обрабатываются компанией. В данной части GDPR предписывает «размытые» нормы и лишь юристы, специализирующееся на исполнении его требований способны определить, что означает «актуальность» и «достаточные объёмы». Для этого используются рекомендации EDPB и понимание индустрии, в которой вы работаете.
  • Длительность хранения ПД и их удаление после предвиденного строка. «Достаточный период» для каждого вида обработки персональных данных разный, поэтому основываясь на целях, закреплённых в политиках, мы определяем какой период будет релевантным в целях GDPR.
  • Обеспечение прав субъектов ПД на доступ, забвение, уточнение.
  • Возможность компанией продемонстрировать выполнение норм приватности. Что будет если контролирующие органы попросят вас объяснить почему вы обрабатываете, например, адреса субъектов персональных данных или ваши бизнес партнеры захотят, чтобы вы продемонстрировали соответствие GDPR при покупке у них софта? Для того, чтобы ваши ответы имели правовую подоплеку, мы проведем полный анализ возможности вашей компанией продемонстрировать соответствие GDPR.
  • Система защиты персональных данных есть эффективной и соответствует лучшим практикам. Данный пункт охватывает не только юридический анализ, но и технический.
  • Соответствие национальным законам и другим регуляторным актам в сфере защиты персональных данных. В каждой стране ЕС имеются свои особенности, что касаются защиты персональных данных, особенно выражено это проявляется в отдельных индустриях, например, на Мальте, лицензированные онлайн операторы обязаны придерживаться рекомендаций, изданных MGA. Большинство государств не-участников ЕС также приняли законы о защите персональных данных, которые во многом похожи на GDPR, но имеют свои особенности и как правило не такой высокий уровень контроля за исполнением.

Как итог, после проведение аудита Вы получите полный ответ о всех выявленных нарушениях. Более того, нами будет проведена их градация, давая возможность сконцентрироваться на первостепенных проблемах и минимизировать негативное влияние от изменений в бизнес-процессах.

click fraud detection