Аудит на соответствие регламенту по защите данных GDPR (ПДн)

Регламент по защите данных GDPR: определение и задачи

Регламент по защите данных GDPR или General Data Protection Regulation – европейский регламент по защите персональных данных, принятый 27.04.2016 года и вступивший в законную силу 25.05.2018 года. Данный документ призван усилить контроль над персональными данными граждан ЕС.

Персональные данные в разрезе GDPR – это любая информация, с помощью которой можно определить, установить субъекта персональных данных:

• основная информация (ФИО, номер телефона, место рождения и т. д.);
• специальные категории персональных данных (пол, цвет кожи, волос, глаз и т. д.);
• интерактивные данные (IP-адрес, адрес электронной почты и т. д.);
• идентификационные данные (номер социального страхования (ASSN), номер европейской карты медицинского страхования (EHIC) и т. д.);
• данные об имуществе (регистрационные знаки транспортных средств в Европе (ELP) и т. д.);
• реквизиты субъекта (номера счетов, карты и т. д.);
• личностные представления о субъекте (рекомендации, ходатайства и т. д.).

Цель GDPR

Основная цель – защита персональных данных и унифицирование методов и подходов при создании и эксплуатации систем организации и защиты персональных данных граждан Европейского союза, а также его резидентов. Необходимо подчеркнуть, что GDPR распространяется на все организации, которые прямо или косвенно обрабатывают персональные данные.

Ключевыми принципами GDPR, утверждёнными Европарламентом, являются:

1. Законность:

• юридически обоснованные основания для обработки персональных данных;
• утверждённый перечень целей обработки;
• минимальный объём;
• актуальность сведений — обновление, уничтожение (право на забвение) и т. д.

2. Обязанность на получение согласия. (ст. 6 GDPR).

3. Особые условия в отношении обработки данных детей.

4. Запрещено обрабатывать специальные категории персональных сведений.

5. Обработка данных, связанных с судимостями, обладает правомерным статусом только под контролем органов государственной власти.

GDPR в первую очередь направлен на бизнес, причем не только на внутренний (Европейский), но и на трансграничный.

Ответственность, в отличие от российской регуляции, подразумевает весьма существенные штрафы.

Услуги по аудиту и приведению в соответствие GDPR

Аудит соответствия требованиям GDPR – основополагающая задача для отечественных развивающихся компаний, стремящихся как на европейский рынок, так и на международный (настоятельная рекомендация для выхода на IPO). Определиться со степенью соответствия требованиям необходимо до начала работы на европейском и международном рынках.

Если же бизнес уже ведётся на территории Европейского союза, то руководству компании необходимо в ближайшее время пройти аудит по GDPR, так как регламент предусматривает многомиллионные штрафы за нарушение требований, которые могут нанести серьёзный удар по компании, либо привести к её ликвидации.

Требования GDPR в России должны выполняться:

• если услуги или товары оплачиваются в евро, либо иных локальных валютах стран-участников Европейского союза;
• если услуги или товары продаются на английском языке, либо на иных языках, носителями которых являются граждане европейского союза;
• в случаях, если компания дислоцируется в России, но продает товары с помощью сети Интернет или оказывает услуги гражданам европейского союза, либо резидентам;
• если услуги или товары реализуют на национальных доменах верхнего уровня .eu.

Что могут сделать эксперты RTM Group?

Эксперты RTM Group проведут анализ бизнес-процессов Организации на применимость/неприменимость требований и выдать GDPR сертификат на необходимом Вам языке.

Мы разработаем весь необходимый пакет внутренней документации, удовлетворяющий требованиям защиты персональных данных GDPR, как на русском, так и на английском языке.

Также дадим перечень рекомендаций по технической защите персональных данных GDPR, например, для соответствия ст. 32 GDPR:

• рекомендации по построению принципов и подходов к обеспечению безопасности передачи и хранения персональных данных;
• рекомендации по реализации защиты от несанкционированного доступа: Frontline (атака хакеров, DDoS-атаки) и Backline (распределение и контроль прав физического и логического доступа среди сотрудников к обработке персональных данных).

Как мы проводим аудит по GDPR?

1. GDPR-аудит начинается с анализа бизнес-процессов, а также бизнес-модели организации, для определения актуальности требований GDPR для заказчика. На данном этапе определяется роль организации в системе организации обработки персональных данных (data controller, data processor).
2. После определения применимости GDPR для организации наши эксперты проводят интервью с руководителями бизнес-процессов и направлений для оценки фактической организационной структуры заказчика.
3. Направляется запрос на предоставление внутренней документации, действующей в организации и её изучение.
4. Далее эксперты RTM Group анализируют элементы информационной инфраструктуры организации, а также конфигурацию настроек средств защиты информации.
5. Аудит охватывает как технические меры защиты персональных данных, так и организационные, включая направления и специфику бизнеса организации-заказчика.

Результатом проведения аудита GDPR являются отчетные документы, а также рекомендации. Соответствие GDPR достигается выполнением рекомендаций наших специалистов.