Personal data protection audit (UKR)

The original material is in Ukrainian.

Згідно з новим дослідженням Finbold штрафи за порушення GDPR у ІІІ кварталі 2021 р. перевищили майже 1,14 мільярда доларів США.

Порівняно з минулим роком, сукупна вартість GDPR-штрафів зросла майже втричі. Ба більше, нещодавній штраф у розмірі 865 мільйонів доларів США, накладений на Amazon, доводить, що тенденція до зростання штрафів, схоже, ще зберігатиметься.

Тим часом чимало компаній поза межами Європейського Союзу ще й досі не знають, чи застосовується до них GDPR і законодавчі акти про захист персональних даних інших юрисдикцій, а також які вимоги вони передбачають. Тому й не підозрюють, “чим це їм загрожує”.

Щоб зрозуміти, чи “безпечно” у вашій компанії обробляються персональні дані та чи зможе ваша компанія довести GDPR-compliance у разі виникнення питань від європейських регуляторів, найперше завжди рекомендуємо провести аудит захисту персональних даних. Про суть і його основні принципи розповімо далі.

Залучайте всіх стейкхолдерів 

Перш ніж оцінювати рівень захисту персональних даних у компанії, передусім важливо зрозуміти, які ж саме персональні дані обробляються, де вони зберігаються й кому передаються.

І цілком імовірно, що персональні дані обробляються в багатьох різних департаментах, причому часто без усвідомлення працівниками, що вони працюють із персональними даними та щодо таких дій є якісь законодавчі вимоги. Наприклад, відділ продажу зберігає бази даних клієнтів, ІТ-фахівці – e-mail та IP-адреси, а маркетологи – “usage data”, зокрема дані про попередні відвідування вебсайту, тощо.

Який же вихід?

Організуйте зустріч керівників департаментів, які потенційно працюють із персональними даними. Роз’ясніть їм, що таке персональні дані, та проведіть відповідні опитування: що збираєте, як використовуєте, де зберігаєте та яке майбутнє таких даних?

Проведення DATA MAPPING 

А далі результати таких опитувань щодо обробки персональних даних варто оформити у вигляді так званої data flow map, яка міститиме такі основні елементи щодо обробки персональних даних:

  1. Перелік персональних даних. Які саме персональні дані обробляє те та чи обробляєте “чутливі” дані? Якщо доречно, то такі дані можна поділити на категорії.
  2. Формат даних. У якому форматі зберігаються дані? Скажімо, вони зберігаються лише електронно чи, можливо, також як друковані копії.
  3. Законна підстава для обробки персональних даних. Зокрема, чи ваші клієнти/користувачі вебсайту знають, що компанія збирає й обробляє їхні персональні дані. Також чи є законна підстава для такої обробки (як, наприклад, згода користувача чи здійснення обробки для виконання договору або вимог закону тощо).

Більш докладний аналіз відповідності таких підстав вимогам застосовних актів зазвичай здійснюють пізніше, а на стадії data mapping важливо розуміти, якими ж підставами керується компанія на практиці.

  1. Доступ до персональних даних, їх місце знаходження та передання третім особам. Чи є доступ до персональних даних і чи призначено осіб, відповідальних за належне їх зберігання? Необхідно також визначити місце знаходження персональних даних (з огляду на країну, використання послуг хмарних провайдерів тощо), а також чи поширюються дані третім особам.

Чи застосовують до компанії GDPR або законодавчі акти інших юрисдикцій

Наразі у світі прийнято понад 120 законодавчих актів щодо захисту персональних даних у різних юрисдикціях. Причому чимало з них застосовуються за принципом “екстратериторіальності” – як, скажімо, GDPR. Тобто, простіше кажучи, навіть якщо компанія немає фізичного відділення на території Європейської економічної зони (ЄЕЗ), але таргетує резидентів ЄЕЗ, до такої компанії застосовується GDPR.

Крім GDPR, найпоширенішими актами щодо захисту персональних даних є також HIPAA, CCPA, Privacy Act у Канаді.

Оскільки дедалі більше країн приймають GDPR-like-регуляції, то одним з основних завдань під час аудиту є з’ясування того, у яких країнах компанія здійснює підприємницьку діяльність і які регуляції, відповідно, застосовуватимуть.

Наступний крок – визначення ролі компанії в процесах обробки персональних даних, оскільки обов’язки процесора та контролера (як визначено згідно з GDPR та деякими іншими актами) суттєво відрізняються. Логічно, що контролер, який визначає, навіщо збирати персональні дані та як їх використовувати, повинен мати більше обов’язків щодо забезпечення належної їх обробки відповідно до вимог і принципів.

Створення та імплементація комплаєнс-плану

Звісно, зміст комплаєнс-плану у сфері захисту персональних даних суттєво відрізнятиметься залежно від потреб і діяльності компанії. Проте зазвичай його можна структурувати з урахуванням таких чинників:

Дотримання законодавчих вимог у сфері захисту персональних даних

Законодавчі вимоги стосуватимуться переважно обґрунтування наявності законних підстав для обробки персональних даних, а за потреби – одержання згоди користувачів на таку обробку, вимог про надання суб’єктам доступу до їхніх персональних даних і можливості “керувати” власними даними.

Управління

Для ефективного управління персональними даними необхідно створити для цього відповідні організаційні умови. Зокрема, відповідно до GDPR може бути необхідно призначити data protection officer (DPO) у компанії або представника в Європейському Союзі.

Основна мета DPO – виконувати різноманітні дії для забезпечення належної обробки персональних даних в організації, такі як оцінка ризиків щодо витоку даних, оцінка систем кіберзахисту та відповідності діяльності компанії в цій сфері певним законодавчим актам.

Безпека персональних даних

Звісно ж, найкраща рекомендація – застосовувати шифрування та/або псевдонімізацію даних і керуватися принципом “data protection by design and by default” уже під час створення майбутніх продуктів.

Також варто пам’ятати, що безпечна обробка даних –це не лише наявність необхідних технічних засобів, а й відповідальне ставлення до персональних даних ваших працівників. Тому проводьте тренінги із захисту персональних даних для працівників і на всяк випадок підготуйте data breach response plan із чітким покроковим планом дій, якщо витік даних усе-таки відбудеться.

Якісний аудит захисту персональних даних є ефективним інструментом перевірки обробки персональних даних у вашій компанії на безпечність і відповідність законодавчим вимогам. Аудит допомагає визначити weak spots методів обробки персональних даних у компанії, вчасно на них відреагувати й усунути або ж хоча б мінімізувати ризики щодо потенційних витоків даних.

Джерело: ЮРИСТ&ЗАКОН

In Focus