С чего начать аудит защиты личных данных (DSGVO)

В ЕС вступила в действие единая законодательная база защиты личных данных (DSGVO), о целях и принципах которой уже писалось.

Выполнение новых положений законодательства ЕС о защите личных информации у бизнеса происходит по-разному. У крупных предприятий — преобладает комплексный и дотошный подход, ведь им есть что терять. О предпринимателях поменьше такого не скажешь. Они не спешат, а если и внедряют требования, то без энтузиазма.

На европейских сайтах после 25 мая появились странички Политики конфиденциальности, а контактные формы обзавелись Согласием пользователей на обработку личных данных. Это внешняя визуализация защиты персональных данных.

DSGVO — это не новая Политика конфиденциальности, а комплексный подход к охране персональных данных.

Выполняют ли предприятия надлежащую защиту личных данных? Скорее «Нет», чем «Да». Яркий свидетель тому статистика.

Чтобы не возникло хлопот с жалобами конкурентов и контролирующими органами следует привести бизнес в порядок.

3 Шага для создания охранного комплекса защиты личных данных

1. Регулярно выделять время и ресурсы на внедрение требований DSGVO.

2. Провести аудит.
Цель — понять внутренние процессы охраны информации и определить, что выполнено, совместимо ли это с DSGVO и где требуются улучшения.

3. Не останавливаться на публикации обновленной Политики конфиденциальности, а заняться реализацией остальных требований.

Кроме требований DSGVO также должны выполнятся элементарные требования по бизнес-безопасности. Комплекс защитных мер подразумевает, как минимум: IT-защиту и техническую (физическую) защиту носителей информации.

И все же, Политика конфиденциальности компании это не ограждение от конкурентов и контролирующих органов. Напротив, это важный документ, который обязан быть основой и руководством для реализации всего комплекса защитных мер по защите данных на предприятии.

Начальный аудит защиты личных данных

Вопросы для аудита:

1. Когда и где обрабатываются личные данные. Цели обработки. Какие данные о физических лицах собираются.

2. Какое количество сотрудников имеют доступ к сохраненным личным данным. Ознакомлен ли персонал с новыми положениями DSGVO.

3. Как и где хранятся данные. Сроки хранения. Порядок уничтожения. Сколько существует копий баз данных. Реализовано ли право на информирование, изменение или удаление данных.

4. Соответствуют ли процессы сбора и обработки новой правовой базе. Сделать каталоги обработки.

5. Документирование. Кто ответственный за оформление документов.

6. Оформлены ли договорные отношения с третьими лицами (в разрезе DSGVO).

7. Меры для физической и технической защиты информации.

8. Есть ли риски кражи или потери данных.

Это начальные вопросы. Адаптировать бизнес-процессы и организационные процедуры единолично в сжатые сроки затруднительно. Формируйте рабочую группу из нескольких специалистов, особенно если закон требует наличие на предприятии сотрудника по защите данных. Привлекайте юристов, бухгалтеров и IT-сотрудников.