Обследование и оценка выполнения требований GDPR

General Data Protection Regulation (GDPR) – Общий регламент защиты персональных данных – постановление Европейского Союза, вступившее в силу в 2018 году и устанавливающее требования, предъявляемые при обработке и защите персональных данных субъектов в Европейском Союзе (ЕС). Независимо от того, где зарегистрирована компания (в Европе или за ее пределами), требования GDPR распространяются на нее, если она осуществляет обработку персональных данных (ПДн) лиц, находящихся на территории ЕС.

Услуги по обследованию и оценке выполнения требований GDPR проводятся с целью оценки применимости GDPR к деятельности Компании, оценке выполнения требований GDPR и формирования рекомендаций по устранению выявляемых несоответствий.

Обследование процессов обработки ПДн проводится как с использованием документационных методов (анализ документации Компании), так и с помощью анкетирования и интервьюирования ответственных работников Компании, участвующих в обработке и защите ПДн.

Разрабатываемый по результатам работ Отчет включает оценку (обоснование) применимости GDPR к деятельности Компании. Специфика GDPR такова, что не все требования Регламента могут быть применимы в каждом конкретном случае. Для каждого применимого требования Отчет содержит результаты анализа его выполнения. К числу таких требований относятся в том числе:

  • обеспечение выполнения предусмотренных GDPR принципов обработки ПДн;
  • обеспечение наличия согласий субъектов ПДн или иных правовых оснований обработки ПДн в соответствии с требованиями GDPR;
  • ведение письменного учета (реестра) действий по обработке ПДн;
  • обеспечение законности передачи ПДн, в том числе трансграничной передачи ПДн;
  • назначение представителя в ЕС;
  • назначение должностного лица по защите ПДн;
  • наличие задокументированной оценки потенциальных рисков при обработке ПДн;
  • реализация принципов защиты данных для определенных целей/случаев, по проекту (by design) и по умолчанию (by defaut);
  • ведение учета инцидентов в сфере ПДн, уведомление об инцидентах субъектов ПДн и регуляторов;
  • реализация надлежащих технических и организационных мер по обработке и защите ПДн (псевдонимизация, обеспечение конфиденциальности, целостности, доступности, проведение тестирования, оценки эффективности и др.);
  • обеспечение выполнения прав субъектов ПДн (на получение информации о ПДн, на исправление ПДн, на удаление ПДн, на перенос ПДн и др.);
  • обеспечение выполнения требований регулятора.
Для каждого из выявляемых несоответствий в рамках Отчета формируются рекомендации по их устранению.
;