Блог

Аудит онлайн-бизнеса на соответствие требованиям GDPR

Аудит онлайн-ресурса на предмет соответствия требованиям GDPR охватывает следующие сферы:
1. Регулирование
Согласно Регламенту, персональные данные должны обрабатываться в соответствии с шестью принципами:
• Законность, справедливость и прозрачность
• Ограничение цели
• минимизация данных
• Точность
• Ограничение хранения
• Честность и конфиденциальность
Они подкреплены принципом ответственности. Если вы являетесь контроллером данных, вы должны быть готовы продемонстрировать свое соответствие.
Аудит должен учитывать область, в которой подотчетность, ответственность, политики и процедуры защиты данных, механизмы контроля эффективности и механизмы отчетности существуют и действуют в вашем бизнесе.
2. Управление рисками
GDPR обязывает организации применять подход, основанный на оценке риска, для реализации «надлежащих технических и организационных мер». Это включает в себя проведение DPIA (оценки воздействия на защиту данных) - тип оценки риска, который определяет риски и возможные последствия обработки для безопасности личных данных при определенных обстоятельствах.
Аудит должен проверить, включен ли риск конфиденциальности в ваш корпоративный реестр рисков, какие существуют корпоративные механизмы управления рисками конфиденциальности, в какой степени режим корпоративных рисков включает в себя риски, связанные с информацией, и какие риски для прав и свобод физических лиц существуют.
3. Проект GDPR
Обеспечение соответствия требованиям GDPR создается усилиями всей организации и  должно осуществляться по вертикали с самого верха.
Аудит должен исследовать степень, в которой должным образом укомплектованный, финансируемый и поддерживаемый проект GDPR является одновременно и способным к достижению реалистичных целей.
4. DPO (сотрудник по защите данных)
GDPR требует назначения DPO в следующих случаях:
• если обработка осуществляется государственным органом;
• в тех случаях, когда основная деятельность организации требует регулярного и систематического мониторинга субъектов данных в широком масштабе;
• В тех случаях, когда основная деятельность связана с крупномасштабной обработкой конфиденциальных персональных данных или данных, касающихся уголовных приговоров или преступлений.
Во многих случаях желательно назначать DPO независимо от требований закона, хотя DPO имеет одинаковый правовой статус независимо от того, является ли назначение добровольным или обязательным.
Аудит должен определить, является ли DPO обязательным и назначен ли он. Если есть DPO, ревизия должна также проверить, правильно ли определена роль и способен ли человек выполнять требования GDPR.
 5. Роли и обязанности
Аудит должен исследовать степень, в которой роли и обязанности определены и установлены во всей организации, и рассмотреть имеющиеся меры обучения и повышения осведомленности.
6. Область соответствия
Важно, чтобы ваша сфера соответствия была четко определена.
Аудит должен учитывать всю обработку данных, в которой играет роль ваша организация. Чтобы определить степень соответствия, вы должны указать все базы данных, в которых хранятся персональные данные, все операции по обработке и всю экстерриториальную / трансграничную обработку.
7. Анализ процесса
Статья 30 GDPR требует, чтобы контролеры вели учет всех операций по обработке под свою ответственность.
Аудит должен изучить эти записи, чтобы определить, в какой степени каждый из принципов обработки данных установлен для каждого процесса, который включает в себя личные данные, с учетом законных оснований для обработки.
8. Система управления персональной информацией
Существует широкий спектр документации, необходимой для демонстрации соответствия GDPR, такой как политика защиты данных, процедура уведомления о нарушении данных, формы и процедуры запросов на предметный доступ, формы согласия. Масштаб документации должен соответствовать размеру и сложности вашей организации.
9. Система управления информационной безопасностью
Аудит проверяет, существуют ли соответствующие технические и организационные меры для обеспечения надлежащей безопасности личных данных, которые хранятся в печатном или электронном виде или обрабатываются в ваших системах. Это должно включать обзор методологий тестирования безопасности, а также установленных сертификатов кибербезопасности.
10. Права субъектов данных

В рамках GDPR субъекты данных имеют следующие права:
• право быть информированным
• право на доступ
• право на исправление
• право на удаление
• право ограничивать обработку
• право на переносимость данных
• право на возражение
• права в отношении автоматического принятия решений и профилирования

Если вы хотите, чтобы аудит вашего бизнеса на предмет соответствия требованиям GDPR был проведен профессионально, обращайтесь к нам.
Свяжитесь с нами любым удобным способом:
+380 (50) 356 74 94
info@avitar.group

Читайте по теме:
Документы для сайта. Воспользоваться генератором или обратиться к специалистам?
Как избежать рисков от использования некорректных документов на сайте?
Нужны ли документы для сайта, если я продаю свой товар на рынке Европы?
Made on
Tilda