Аудит персональных данных в организации
Исследуем процессы, продукты, системы, документы, описываем нарушения и предоставляем план их устранения
Результат аудита - конкретизированный план по легализации обработки персональных данных
Полный правовой аудит обработки ПДн или исследование - комплекс мероприятий, направленных на выявление нарушений применимого законодательства о персональных данных и формирование плана устранения нарушений.
Документы по персональным данным, составленные без аудита, часто не учитывают часть процессов, содержат признаки административных правонарушений и даже преступлений или повышают операционную нагрузку из-за избыточности и отсутствия конкретики.
Результат аудита ПДн должен соответствовать закону
Для компаний, ведущих обработку персональных данных в российской юрисдикции, результаты аудита будут соответствовать требованиям п. 1 ч. 4 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (выполнение обязанностей по внутреннему контролю) и иным требованиям законодательства.
Отчет об аудите по персональным данным содержит конкретизированный план мероприятий по устранению нарушений: нарушенный нормативный правовой акт, возможная ответственность, варианты устранения нарушения, качественная оценка уровня риска, ответственное направление и другие сведения.
Аудит персональных данных требует проверенной методологии
В мире и России существуют только рекомендованные подходы к аудиту ПДн, которые не всегда работают для конкретной юрисдикции либо избыточно трудозатратны в реализации. Наш опыт и постоянная практика позволили создать эффективный подход к исследованиям в области персональных данных.
Наша методика направлена на учет следующих факторов:
Будет исследованы все бизнес-процессы и продукты компании, связанные с обработкой персональных данных.
Будут учтены все информационные системы, участвующие в организации бизнес-процессов и создании продуктов.
Приоритетно будет учитывается бизнес-составляющая, за которой последует предлагаемый перечень документов по персональным данным.
Будет предложен реализуемый, а не "бумажный" план корректировок в бизнес-процессы и устранения нарушений.
Будет содержать описание рисков для возможности их рассмотрения и принятия управленческих решений.
План аудита процессов обработки персональных данных зависит от предварительного анализа активов, находящихся в компании. Для этого мы предоставляем специальный опросный лист и, при необходимости, организуем встречу для понимания аспектов работы компании с ПДн.
Опросы проводятся на основе наших опросных листов. Наиболее предпочтительным вариантом является проведение интервью, где наши эксперты предзаполняют опросный лист.
По результатам проведенного интервью мы предоставляем:
Предзаполненный опросный лист с указанием необходимой информации для окончательного заполнения
Запрос перечня документов, выявленных в ходе опроса и необходимых для полноты исследования
Бизнес начинается с договора. Обмен персональными данными внутри компании и с внешними контрагентами осуществляется на основании договоров, которые определяют движение, цели, возможности обработки ПДн. Если рекомендации консультантов/юристов даны без анализа договоров, проект считается незавершённым.
Результатом исследования договоров является отдельный отчет, который содержит рекомендации по трем направлениям:
Отношения по передаче персональных данных (без поручения обработки)
Отношения, связанные с поручением обработки персональных данных
Отношения с субъектами персональных данных
Исследование информационных систем производится по нескольким направлениям:
Соответствие действующему законодательству (требования 152-ФЗ к локализации, "приземлению", трансграничной передаче, специальные отраслевые ограничения)
Правомерность бизнес-процессов и продуктов, поддерживаемых информационными системами
Выявление владельцев информационных систем, а также сторонних и внутренних лиц, имеющим к ним доступ
Возможности снижения уровня защищенности и переноса риска информационной безопасности
Результаты становятся частью отчета о комплексном аудите обработки персональных данных. Для организаций с большим количеством информационных систем мы отрисуем связи в виде блок схем.
В ходе аудита ПДн мы исследуем локальные акты (или организационно - распорядительные документы). Это могут быть документы не только по персональным данным, но и положение о КЭДО, о пропускной системе и другие.
Исследуя документы по персональным данным, мы на них не полагаемся, а изучаем историю принятых решений и неучтенные ранее процессы. Состав локальных нормативных актов, рекомендуемых к разработке, вносится в итоговый комплексный отчет. На основе независимого взгляда в дальнейшем решаем, что оставить, а что нет.
Данные информационные системы содержат широко доступный контент. В ходе аудита по персональным данным проводим точечный анализ на правомерность обработки опубликованной информации. Рекомендации оформляются специализированным отчетом.
В ходе проведения аудита производим оценку рисков, требуемую в соответствии с применимым законодательством. Например:
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ "О персональных данных", приказ Роскомнадзора № 178
Предварительная оценка трансграничной передачи персональных данных (полная оценка при целесообразности готовится с документами), ст. 12 152-ФЗ.
Для GDPR или PDPL другой набор оценок (DPIA, PIA, LIA, TIA).
Результаты оценок влияют на итоги аудита.
На этапе аудита мы должны согласовать категории и перечни персональных данных, которые остаются в обработке в различных процессах. Будут рекомендованы к исключению:
Избыточные для каждого бизнес-процесса персональные данные
Неправомерно обрабатываемые персональные данные
Данные, легализация обработки которых понесет несоизмеримые издержки и риски
Также будут даны другие рекомендации на согласование аудируемой компании.
Важный этап, связанный с донесением выявленных правовых рисков и обсуждением возможностей конкретной компании по их минимизации - определение сроков и ресурсов по дальнейшей работе.
После проведения аудита процессов обработки персональных данных потребуются мероприятия:
Подготовка документов по персональным данным.
Проведение обучения работников (опционально).
Сопровождение в ходе изменения бизнес-процессов и корректировки в связи с новыми процессами и продуктами (опционально).
Почему аудит можно доверить нам?
Классический аудит процессов обработки персональных данных подходит не всем компаниям. Например, аудит в большой компании может быть длительным, а в компаниях с часто меняющимися процессами результаты аудита через короткое время могут быть неактуальными. На этапе рассмотрения проекта мы не потратим ваш бюджет на документы "в стол" и заранее расскажем об оптимальных подходах по исследованию процессов обработки персональных данных в крупных компаниях и в компаниях с часто меняющимися бизнес-процессами. При необходимости может быть скорректирован объем мероприятий, входящих в аудит или широта аудита.
В нашей компании, по сути, своя школа privacy-комплаенса, учитывающая в оптимальном балансе охват и глубину исследования, операционные затраты на выполнение рекомендаций, законность пула принимаемых решений и принимаемые правовые риски заказчиком. Наша методология адаптируема в зависимости от рассматриваемых юрисдикций и изменений законодательства.
В ходе проекта мы организуем постоянное информирование о статусе проекта, при необходимости назначаем встречи, эскалируем в случае непредоставления обратной связи по нашим запросам информации. Мы используем систему управления проектами и задачами, поддерживающую прозрачность оказания услуг.
Аудит процессов обработки персональных данных - самостоятельная услуга, имеющая свою ценность. Приходя в проекты, мы часто видим, что результаты аудита понятны только консультантам, которые его проводили, и не позволяют продолжить работу компании самостоятельно или подключить другую команду консультантов, выводы оказываются непроверяемыми.
По нашему отчету Вы сможете продолжить работу самостоятельно, понять природу сделанных выводов. Это актуально, если в компании имеется своя группа DPO, у которой не хватало рук или имеются бюджетные ограничения на внешний консалтинг.
Мы даем бизнес-ориентированные рекомендации, учитываем принимаемый заказчиком уровень рисков. Если это возможно, предлагаем несколько вариантов решения правовой задачи.
Аудит процессов обработки персональных данных трудозатратное мероприятие
Мы обеспечим эффективность его проведения и поддержим на всех этапах
