Аудит персональных данных в организации
Исследуем процессы, продукты, системы, документы, описываем нарушения и предоставляем план их устранения
Результат аудита - конкретизированный план по легализации обработки персональных данных
Правовой аудит обработки персональных данных или исследование - комплекс мероприятий, направленных на выявление нарушений применимого законодательства о персональных данных и формирование плана устранения нарушений.
Документы по персональным данным, составленные без аудита, часто не учитывают часть процессов, содержат признаки административных правонарушений и даже преступлений или повышают операционную нагрузку из-за избыточности и отсутствия конкретики.
Результат должен соответствовать закону
Для компаний, ведущих обработку персональных данных в российской юрисдикции, результаты аудита будут соответствовать требованиям п. 1 ч. 4 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (выполнение обязанностей по внутреннему контролю) и иным требованиям законодательства.
В отчете об аудите отражается конкретизированный план мероприятий по устранению нарушений: нарушенный нормативный правовой акт, возможная ответственность, варианты устранения нарушения, качественная оценка уровня риска, ответственное направление и другие сведения.
Аудит персональных данных требует проверенной методологии
В мире и России существуют только рекомендованные подходы, которые не всегда работают для конкретной юрисдикции либо избыточно трудозатратны в реализации. Наш опыт и постоянная практика позволили создать эффективный подход к исследованиям в области персональных данных.
Наша методика направлена на учет следующих факторов:
Будет исследованы все бизнес-процессы и продукты компании, связанные с обработкой персональных данных.
Будут учтены все информационные системы, участвующие в организации бизнес-процессов и создании продуктов.
Приоритетно будет учитывается бизнес-составляющая, за которой последует предлагаемый перечень документов по персональным данным.
Будет предложен реализуемый, а не "бумажный" план корректировок в бизнес-процессы и устранения нарушений.
Будет содержать описание рисков для возможности их рассмотрения и принятия управленческих решений.
План аудита процессов обработки персональных данных зависит от предварительного анализа активов, находящихся в компании. Для этого мы предоставляем специальный опросный лист и, при необходимости, организуем встречу для понимания аспектов работы компании.
Опросы проводятся на основе наших опросных листов. Наиболее предпочтительным вариантом является проведение интервью, где наши эксперты предзаполняют опросный лист.
По результатам проведенного интервью мы предоставляем:
Предзаполненный опросный лист с указанием необходимой информации для окончательного заполнения
Запрос перечня документов, выявленных в ходе опроса и необходимых для полноты исследования
Бизнес начинается с договора. Обмен персональными данными внутри компании и с внешними контрагентами осуществляется на основании договоров, которые определяют движение, цели, возможности обработки данных. Если рекомендации консультантов/юристов даны без анализа договоров, проект считается незавершённым.
Результатом исследования договоров является отдельный отчет, который содержит рекомендации по трем направлениям:
Отношения по передаче персональных данных (без поручения обработки)
Отношения, связанные с поручением обработки персональных данных
Отношения с субъектами персональных данных
Исследование информационных систем производится по нескольким направлениям:
Соответствие действующему законодательству (требования к локализации, "приземлению", трансграничной передаче, специальным отраслевым ограничениям)
Правомерность бизнес-процессов и продуктов, поддерживаемых информационными системами
Выявление владельцев информационных систем, а также сторонних и внутренних лиц, имеющим к ним доступ
Возможности снижения уровня защищенности и переноса риска информационной безопасности
Результаты становятся частью отчета о комплексном аудите обработки персональных данных. Для компаний с большим количеством информационных систем мы отрисуем связи в виде блок схем.
В ходе аудита мы исследуем локальные акты (или организационно - распорядительные документы). Это могут быть документы не только по персональным данным, но и положение о КЭДО, о пропускной системе и другие.
Исследуя документы по персональным данным, мы на них не полагаемся, а изучаем историю принятых решений и неучтенные ранее процессы. Состав локальных нормативных актов, рекомендуемых к разработке, вносится в итоговый комплексный отчет. На основе независимого взгляда в дальнейшем решаем, что оставить, а что нет.
Данные информационные системы содержат широко доступный контент. В ходе комплексного аудита проводим точечный анализ на правомерность обработки опубликованной информации. Рекомендации оформляются специализированным отчетом.
В ходе проведения аудита производим оценку рисков, требуемую в соответствии с применимым законодательством. Например:
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", приказ Роскомнадзора № 178
Предварительная оценка трансграничной передачи персональных данных (полная оценка при целесообразности готовится с документами), ст. 12 152-ФЗ.
Для GDPR или PDPL другой набор оценок (DPIA, PIA, LIA, TIA).
Результаты оценок влияют на итоги аудита.
На этапе аудита мы должны согласовать категории и перечни персональных данных, которые остаются в обработке в различных процессах. Будут рекомендованы к исключению:
Избыточные для каждого бизнес-процесса персональные данные
Неправомерно обрабатываемые персональные данные
Данные, легализация обработки которых понесет несоизмеримые издержки и риски
Также будут даны другие рекомендации на согласование аудируемой компании.
Важный этап, связанный с донесением выявленных правовых рисков и обсуждением возможностей конкретной компании по их минимизации - определение сроков и ресурсов по дальнейшей работе.
После проведения аудита процессов обработки персональных данных потребуются мероприятия:
Подготовка документов по персональным данным.
Проведение обучения работников (опционально).
Сопровождение в ходе изменения бизнес-процессов и корректировки в связи с новыми процессами и продуктами (опционально).
Почему аудит можно доверить нам?
Классический аудит процессов обработки персональных данных подходит не всем компаниям. Например, аудит в большой компании может быть длительным, а в компаниях с часто меняющимися процессами результаты аудита через короткое время могут быть неактуальными. На этапе рассмотрения проекта мы не потратим ваш бюджет на документы "в стол" и заранее расскажем об оптимальных подходах по исследованию процессов обработки персональных данных в крупных компаниях и в компаниях с часто меняющимися бизнес-процессами. При необходимости может быть скорректирован объем мероприятий, входящих в аудит или широта аудита.
В нашей компании, по сути, своя школа privacy-комплаенса, учитывающая в оптимальном балансе охват и глубину исследования, операционные затраты на выполнение рекомендаций, законность пула принимаемых решений и принимаемые правовые риски заказчиком. Наша методология адаптируема в зависимости от рассматриваемых юрисдикций и изменений законодательства.
В ходе проекта мы организуем постоянное информирование о статусе проекта, при необходимости назначаем встречи, эскалируем в случае непредоставления обратной связи по нашим запросам информации. Мы используем систему управления проектами и задачами, поддерживающую прозрачность оказания услуг.
Аудит процессов обработки персональных данных - самостоятельная услуга, имеющая свою ценность. Приходя в проекты, мы часто видим, что результаты аудита понятны только консультантам, которые его проводили, и не позволяют продолжить работу компании самостоятельно или подключить другую команду консультантов, выводы оказываются непроверяемыми.
По нашему отчету Вы сможете продолжить работу самостоятельно, понять природу сделанных выводов. Это актуально, если в компании имеется своя группа DPO, у которой не хватало рук или имеются бюджетные ограничения на внешний консалтинг.
Мы даем бизнес-ориентированные рекомендации, учитываем принимаемый заказчиком уровень рисков. Если это возможно, предлагаем несколько вариантов решения правовой задачи.
Аудит процессов обработки персональных данных трудозатратное мероприятие
Мы обеспечим эффективность его проведения и поддержим на всех этапах
