Проверка персональных данных GDPR

Услуги юриста по проверке персональных данных по GDPR.

Европейский Регламент по защите персональных данных (General Data Protection Regulation, GDPR) вступил в силу еще в мае 2018 года, то есть без малого пять лет назад. С этого момента он стал основополагающим документом на всем пространстве Евросоюза по работе с личными данными его граждан. Однако и российским компаниям, работающим с европейскими контрагентами, необходимо в своей деятельности соблюдать требования GDPR — таково обязательное требование Регламента. Поэтому, если вы уже внедрили или собираетесь внедрять нормы GDPR в деятельность вашей компании, вам не обойтись без соответствующего аудита.

Итак, что такое аудит персональных данных GDPR?

Помимо того, что это обязательный шаг к проведению GDPR compliance, проведение такой проверки поможет вам в принципе понять, как в вашей организации поставлена работа с персональными данными (вне зависимости от того, о ком идет речь — собственные ли это сотрудники, контрагенты, деловые партнеры или вообще третьи лица), выявит все существующие и возможные риски в этой области, а также подтвердит сохранность и защиту персональных данных всего вашего бизнеса.

Зачем вообще нужно требование GDPR аудита для российской компании? Дело в том, что невыполнение требований общеевропейского Регламента теми бизнесменами, которые ведут предпринимательскую деятельность на территории ЕС, очень быстро приведет к многомиллионным штрафам, наложенным соответствующими регуляторами. И это не говоря об ударе по репутации на международном рынке. Конечно, для сегодняшней России репутационные издержки и так зашкаливают — однако не стоит забывать, что многие отечественные предприниматели успешно релоцировали свой бизнес (в том числе и высокотехнологичный цифровой) в другие страны, для которых вопрос их доброго имени на международной торговой арене весьма и весьма значим.

Кто по закону попадает под подобную проверку личных данных?

В первую очередь, разумеется, это компании, непосредственно работающие на территории ЕС, а также их «дочки» и филиалы. А кроме того, речь здесь может идти об организациях, которые продают товары или оказывают услуги потребителям, являющимся гражданами Европейского Союза: гостиницы, сервисы бронирования железнодорожных и авиабилетов, интернет-провайдеры и операторы сотовой связи и т.д.

Что такое DPIA и в чем она заключается?

DPIA – это аббревиатура от словосочетания Data Protection Impact Assessment, то есть оценка воздействия на защиту личных данных. С точки зрения Регламента, это важнейшая часть проверки работы организации в части персданных на соответствие требованиям GDPR.

Такая оценка обязательно должна содержать в себе как минимум следующий набор элементов:

описание операций по обработке данных (не забываем тот факт, что Регламент понимает под «обработкой» всю совокупность работы с ними, начиная от сбора и хранения и заканчивая использованием, удалением и физическим уничтожением) и целей подобной обработки, непосредственно задекларированных компанией;
оценка существующих и возникающих при этом юридических рисков для всех субъектов персональных данных, с которыми работает ваш бизнес;
наконец, меры борьбы с этими рисками, включающие в себя в первую очередь гарантии надлежащего хранения и защиты личных данных, обеспечения конфиденциальности и законности при работе с ними.

Как проводится проверка персональных данных GDPR?

Ее могут проводить как собственные сотрудники и юристы компании, так называемые DPO (Data Protection Officers), так и специально отправленные для этого сотрудники европейских контрольных и ревизионных органов. Проверки могут при этом быть как запланированными заранее согласно графику (в среднем примерно каждые 4-6 месяцев), так и абсолютно внеплановыми.

Но, разумеется, аудит персональных данных на соответствие GDPR может быть проведен и сторонней компанией профессионалов. Обычно этим занимается целая команда специалистов, в которую входят юристы, менеджеры, компьютерщики и HR-специалисты.

Основные этапы проверки данных на соответствие GDPR

Прежде всего необходимо создать соответствующий план-график проверки и проанализировать все нужные документы. Следующим шагом должны быть изучение и последующая оценка работы с персональными данными внутри организации. По их результатам проверяющие могут создать проекты будущих внутренних документов организации на эту тему.

Если аудит проводится в отношении контрагента или третьего лица, то им, как правило, направляются соответствующие опросники, по результатам которых можно будет сделать выводы на тему того, как именно необходимо провести проверку личных данных.

Результатом проверки, вне зависимости от того, кто ее проводит, должен стать соответствующий отчет, в котором будут содержаться четкие и юридически грамотные ответы о том, что должен сделать бизнесмен, чтобы не нарушать нормы GDPR. Разработка и внедрение этих рекомендаций, а равно способы ликвидации имеющихся нарушений — это и есть конечная и главная цель проверки персональных данных на соответствие Регламенту GDPR.

Преимущества компании Digital Rights Center в проведении GDPR-аудита

Проведение проверки данных по GDPR является весьма удобным инструментом по реализации компанией соответствующих положений Регламента и имплементации последних в локальные нормативные документы. Но для того, чтобы этот инструмент работал эффективно и безотказно, лучше всего поручить его разработку, настройку и применение грамотным юристам.

Юридическая фирма DRC всегда рада предложить своим клиентам полный комплекс проведения аудиторской проверки персональных данных на соответствие их требованиям Регламента GDPR. Наши юристы проведут полномасштабное консультирование на тему того, как в компании должна быть организована работа с личными данными, чтобы не нарваться на штрафные санкции со стороны компетентных европейских органов, а также помогут подготовить соответствующие документы, и при необходимости представят ваши интересы в суде.

Кроме того, мы даем всем нашим клиентам соответствующие юридические рекомендации, позволяющие быстро внедрить в организации все необходимые изменения, не нарушая никаких бизнес-процессов.