Соответствие требованиям Общего регламента по защите персональных данных (General Data Protection Regulation, GDPR) – одна из наиболее востребованных услуг в сфере кибербезопасности и защиты данных как в странах Европейского Союза, так и за его пределами. Причиной этому послужили, в первую очередь, существенные санкции за нарушение требований Регламента, а также необходимость учитывать его требования даже за пределами ЕС.
Приведение компании в соответствие с Регламентом – нетривиальная задача, независимо от размера компании и индустрии. Такой проект – это комплекс из задач юридического и технического плана. Причем задачи эти равнозначны по значимости, если вы серьезно относитесь к вопросу GDPR в вашей компании. Регламент предполагает в дальнейшем официальную сертификацию соответствия, но на данный момент сертификационные органы еще не определены. Поэтому компании, которые предлагают сегодня сертификацию (любого характера) на соответствие требованиям стандарта, по сути, не имеют на это права. Скорее всего, лицензию на проведение сертификационных проверок со временем будут выдавать регуляторные органы в каждой стране ЕС.
Сегодня наиболее правильным определением услуг в сфере GDPR является «оценка готовности» и «внедрение процессов соответствия GDPR». Первая услуга – это полноценный аудит наличия всех мер и контролей, описанных в Регламенте, а также уровня их зрелости в компании. Именно оценка зрелости, а не наличия, является правильным подходом, поскольку Регламент – это не стандарт соответствия (каким в большей степени является, к примеру, PCI DSS). Это документ, который регламентирует необходимость наличия определенных контролей, практик и принципов в компании по работе с персональными данными. А вот уровень зрелости, то есть насколько компании привиты определенные принципы и работают определенные процессы, зависит от компании к компании. Правильный подход к оценке необходимого и достаточного охвата применимости GDPR в компании – это главная задача грамотного консультанта и эксперта. Результатом предоставления данной услуги является карта соответствия основным требованиям Регламента, рекомендации по сужению охвата проекта, а также перечень проектов, необходимых для приведения компании в соответствие требованиям Регламента и управления этим соответствием.
Внедрение процессов соответствия GDPR – это следующий шаг после проведения оценки соответствия и готовности к выполнению требований Регламента. Соответствие таким регуляторным документам как GDRP – это не просто реализация определенных проектов и написания ряда организационно-нормативных документов в компании, но и ежедневное соблюдение всех норм и правил по работе с персональными данными. Первоначальной задачей является инвентаризация данных в компании, их категоризация и внедрение этих процессов. На основании этих данных строится карта потоков данных (dataflow map) и определяется охват применения требования различных регуляторных документов и стандартов, в том числе и GDPR. Отдельной задачей в построении процессов соответствия является проведение анализа влияние на приватность/конфиденциальность персональных данных (data privacy impact assessment, DPIA). Проведение этих работ прописано в регламенте с точки зрения применимости в организациях разного типа, а также с точки зрения специфики проведения самого анализа.
Также подготовка компании к соответствию требованиям Регламента предполагает внесение изменений в ряд юридических норм и документов компании. В основном, это касается соглашений с пользователями или держателями персональных данных (data controller), а также политик/правил хранения, обработки и удаления данных в компании. Не менее важным является и вопрос обеспечения безопасности данных с технической, а не только организационной точки зрения. Регламент не предписывает конкретных решений или технологий для выполнения этого требования, но обязует компании поддерживать должный уровень технической безопасности данных. Поэтому крайне важно, чтобы консультант, который выполняет работы по оценке и внедрению процессов соответствия GDPR обладал как юридической, так и технической квалификацией, и мог обеспечить комплексный подход к выполнению данного проекта.
Если ваша компания задумалась о применимости требований Регламента в своей деятельности – то не спешите бежать к юристам или к системным интеграторам. То, что вам нужно – это хороший консультант, который вам расскажет:
- нужно ли вам соответствовать Регламенту
- в какой части бизнеса и деятельности нужно соответствие
- как минимизировать охват применимости Регламента
А уже на основании этих выводов – вы можете провести аудит готовности к выполнению требованиям и спланировать реализацию проектов по постепенному приведению своего бизнеса в соответствие с требованиями GDPR. Важна – не скорость, важно – правильно выбрать дорогу.
