Scris de Cristian Raiescu

Audit sau nu pentru conformare cu GDPR?

Începând cu 25 mai 2018, a intrat in vigoare noile reglementări cu privire la protecția datelor cu caracter personal, la nivel UE (GDPR). Și a început nebunia, adică o mulțime de specialiști, care mai de care super specializați, peste noapte, pe protecția datelor, vor să vă ofere serviciilor lor de “specialitate”.

Cum puteți analiza dacă sunteți sau nu conform cu GDPR. Cum puteți afla care este situația organizației?

Ei bine, chiar Regulamentul ne oferă câteva indicii: La articolul 32, ni se indică că trebuie să implementăm măsuri tehnice și organizatorice, cu scopul asigurării unui nivel de securitate corespunzător riscurilor cu diferite grade de probabilitate (riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod). Adică trebuie să realizăm o evaluare de risc.

Dar se pare ca nu este suficient, pentru că, tot la articolul 32, (1)d, ni se transmite că trebuie să avem un “… un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării”.

Iar conform ISO19011 (ghid pentru auditarea sistemelor de management), un audit este un proces sistematic, independent şi documentat în scopul obținerii de dovezi de audit și evaluarea lor cu obiectivitate pentru a determina măsura în care sunt îndeplinite criteriile de audit.

În concluzie, este necesar un audit, pentru a respecta articolul 24 – Responsabilitatea operatorului (și nu numai), adică punerea în aplicare a măsurilor tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulamentul.

Până la acest punct, sunt destule organizații care au înțeles că au nevoi de a demonstra conformarea cu GDPR. Iar în stilul clasic, românesc, s-a tras imediat concluzia că avem nevoie de hârtii ( doar sunt suficiente niște politici și proceduri copiate sau livrate de undeva din neant, pe 2 lei).

Doar că există un mic inconvenient: certificările ISO sunt opționale (daca vrea sau nu să fie certificată ISO) nu obligatorii. Regulamentul (GDPR) este obligatoriu. Iar acest lucru duce la demonstrarea implementării măsurilor tehnice și organizatorice care protejează prelucrarea datelor. În cazul companiilor care vor doar să aibă niște hârtii, practic, vor demonstra că sunt de acord să trișeze.

La fel, pentru companiile care vor dori să implementeze acele măsuri tehnice („că doar au ei o firmă specializată în IT”) care să dovedească respectarea regulamentului; fără o identificare clară a proceselor, fără o punere în aplicare a măsurilor organizatorice (politici, proceduri, formulare, instruire, etc) vor arunca banii pe fereastră (plus că există riscul să investească în echipamente sau soluții care sunt supradimensionate).

Iar pe lângă toate acestea, ar trebui făcută și o analiză a aspectelor juridice, analiză care nu va putea fi făcută de orice persoană cu ceva cunoștințe juridice.

Ideal, specialistul care ar putea să auditeze conformitatea cu GDPR, ar trebui să aibă competențe de:

 

Adică un specialist multidisciplinar, sau o echipă de audit.

În concluzie, managementul organizației va decide ce dorește să facă. Dar de data asta, va trebui să dovedească și să garanteze implementarea măsurilor tehnice și organizatorice care asigură securitate prelucrării datelor.