Despre noi         Contact

Audit sau nu pentru conformare cu GDPR?

Începând cu 25 mai 2018, a intrat in vigoare noile reglementări cu privire la protecția datelor cu caracter personal, la nivel UE (GDPR). Și a început nebunia, adică o mulțime de specialiști, care mai de care super specializați, peste noapte, pe protecția datelor, vor să vă ofere serviciilor lor de “specialitate”.

Cum puteți analiza dacă sunteți sau nu conform cu GDPR. Cum puteți afla care este situația organizației?

Ei bine, chiar Regulamentul ne oferă câteva indicii: La articolul 32, ni se indică că trebuie să implementăm măsuri tehnice și organizatorice, cu scopul asigurării unui nivel de securitate corespunzător riscurilor cu diferite grade de probabilitate (riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod). Adică trebuie să realizăm o evaluare de risc.

Dar se pare ca nu este suficient, pentru că, tot la articolul 32, (1)d, ni se transmite că trebuie să avem un “… un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării”.

Iar conform ISO19011 (ghid pentru auditarea sistemelor de management), un audit este un proces sistematic, independent şi documentat în scopul obținerii de dovezi de audit și evaluarea lor cu obiectivitate pentru a determina măsura în care sunt îndeplinite criteriile de audit.

În concluzie, este necesar un audit, pentru a respecta articolul 24 – Responsabilitatea operatorului (și nu numai), adică punerea în aplicare a măsurilor tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulamentul.

Până la acest punct, sunt destule organizații care au înțeles că au nevoi de a demonstra conformarea cu GDPR. Iar în stilul clasic, românesc, s-a tras imediat concluzia că avem nevoie de hârtii ( doar sunt suficiente niște politici și proceduri copiate sau livrate de undeva din neant, pe 2 lei).

Doar că există un mic inconvenient: certificările ISO sunt opționale (daca vrea sau nu să fie certificată ISO) nu obligatorii. Regulamentul (GDPR) este obligatoriu. Iar acest lucru duce la demonstrarea implementării măsurilor tehnice și organizatorice care protejează prelucrarea datelor. În cazul companiilor care vor doar să aibă niște hârtii, practic, vor demonstra că sunt de acord să trișeze.

La fel, pentru companiile care vor dori să implementeze acele măsuri tehnice („că doar au ei o firmă specializată în IT”) care să dovedească respectarea regulamentului; fără o identificare clară a proceselor, fără o punere în aplicare a măsurilor organizatorice (politici, proceduri, formulare, instruire, etc) vor arunca banii pe fereastră (plus că există riscul să investească în echipamente sau soluții care sunt supradimensionate).

Iar pe lângă toate acestea, ar trebui făcută și o analiză a aspectelor juridice, analiză care nu va putea fi făcută de orice persoană cu ceva cunoștințe juridice.

Ideal, specialistul care ar putea să auditeze conformitatea cu GDPR, ar trebui să aibă competențe de:

  •  auditor - implementator în securitate informație,
  •  specialist în măsuri tehnice de securitate fizică și logică (inclusiv proiectarea și administrarea lor, nu doar utilizare),
  •  evaluator de risc la securitate (securitate fizică, logică și a documentelor),
  •  auditor – implementator cu competențe care să îl ajute la identificarea proceselor dintr-o organizație,
  •  jurist care să realizeze o analiză a aspectelor juridice care influențează protecția datelor,
  •  managementul proiectelor (pentru că implementarea măsurilor tehnice și organizatorice va trebuie să fie coordonată și verificată, periodic).

 

Adică un specialist multidisciplinar, sau o echipă de audit.

În concluzie, managementul organizației va decide ce dorește să facă. Dar de data asta, va trebui să dovedească și să garanteze implementarea măsurilor tehnice și organizatorice care asigură securitate prelucrării datelor.

NEWSLETTER

Înscrieți-vă la newsletter-ul nostru pentru a fi la curent cu cele mai recente știri și evenimente.

Abonare

Contact

    SC INTERCLOUD SRL

Timisoara, Jud. Timis, România

Str. Martir Ioan Stanciu nr. 9b

Tel. 0723 189 063
Tel. 0722 206 855
e-mail: contact@protectia-datelor.ro