Стадия 1. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ
Данная стадия включает в себя следующие этапы, выполняемые последовательно:
1.1. обследование информационных систем и процессов обработки персональных данных;
1.2. оценка соответствия требованиям GDPR.
Этап 1.1. Обследование информационных систем и процессов обработки персональных данных
Для выполнения работ с учетом особенностей̆ Заказчика изучается его организационная структура с целью выявления подразделений, функциональное назначение которых предполагает осуществление обработки персональных данных, а также разработки анкет и плана интервьюирования сотрудников с учетом специфики Заказчика.
В качестве методов проведения работ используется:
- анализ предоставленной̆ Заказчиком документации;
- анкетирование и интервьюирование сотрудников Заказчика;
- анализ веб-сайтов и веб-сервисов, принадлежащих Заказчику.
В ходе выполнения обследования осуществляются следующие действия:
- выявление потоков обработки персональных данных (Personal data Flow);
- определение места основного учреждения в Европе;
- определение перечня работников, обработчиков и третьих лиц, участвующих в обработке персональных данных;
- определение перечня и объема обрабатываемых персональных данных;
- анализ договоров, соглашений, согласий, публичных оферт и иных документов, заключаемых с третьими лицами, в рамках отношений, с которыми осуществляется передача им или получение от них персональных данных;
- анализ договоров, соглашений, согласий, публичных оферт и иных документов, заключаемых с физическими лицами и являющихся законными основаниями для обработки персональных данных;
- определение мест хранения персональных данных;
- выделение информационных систем, в которых обрабатываются персональные данные;
- определение наличия организационно-распорядительной̆ документации, определяющей̆ порядок обработки и защиты персональных данных;
- описание имеющихся мер обеспечения безопасности персональных данных;
- выявление фактов трансграничной̆ передачи персональных данных и составление перечня стран, куда осуществляется трансграничная передача персональных данных.
Отчетные документы
- Протокол сбора информации.
Этап 1.2. Оценка соответствия требованиям GDPR
На основании проведенного обследования информационных систем и процессов обработки определяется степень соответствия требованиям GDPR.
По итогам определения степени соответствия подготавливаются рекомендации по приведению обработки персональных данных в соответствие требованиям GDPR.
При определении степени соответствия требованиям GDPR также применяются документы, изданные рабочей группой по ст.29 GDPR, состоящей из представителей регуляторов в области защиты персональных данных стран-членов ЕС (Article 29 working group).
Отчетные документы
- Отчет о статусе соответствия требованиям GDPR c рекомендациями по приведению обработки персональных данных в организации в соответствие требованиям GDPR;
- План мероприятий по приведению в соответствие требованиям GDPR.
СТАДИЯ 2. РАЗРАБОТКА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ
При разработке проектов организационно-распорядительной документации проводится синтез требований различных нормативно-правовых актов ЕС в области персональных данных с целью структурирования содержания комплекта организационно-распорядительной документации для наиболее эффективного его применения, дальнейшей актуализации и обновления.
Отчетные документы
- Перечень процессов обработки персональных данных;
- Уведомление об обработке персональных данных (Privacy Notice);
- Политика защиты персональных данных;
- Согласия на обработку персональных данных (consent), в случае необходимости;
- Соглашения между оператором персональных данных (controller) и обработчикам персональных данных (processor), в случае необходимости (Data Processing Addendum);
- Регламент реагирования на запросы физических лиц;
- Регламент по уничтожению персональных данных;
- Регламент по переносимости персональных данных в машиночитаемом виде;
- Регламент по реагированию на инциденты информационной безопасности в рамках обработки персональных данных;
- Регламент по уведомлению об утечках персональных данных;
- Инструкция для работников по обработке и обеспечению безопасности персональных данных
СТАДИЯ 3. ПРОВЕДЕНИЕ ОЦЕНКИ ВОЗДЕЙСТВИЯ НА КОНФИДЕНЦИАЛЬНОСТЬ (DPIAs)
По итогам реализованных организационных и технических мер и процессов обработки персональных данных производится оценка воздействия на конфиденциальность (DPIAs). Оценка проводится для обеспечения минимального уровня риска для субъектов персональных данных.
Оценка воздействия на конфиденциальность может проводится несколько раз, с коррекцией мер по обеспечению безопасности, если не удается достичь оптимального уровня риска первоначально выработанными мерами по обеспечению безопасности.
Отчетные документы
- Отчет о проведении оценки воздействия на конфиденциальность (DPIAs).