Velika GDPR škola lekcija 7: Interni audit GDPR-a

Velika GDPR škola lekcija 7: Interni audit GDPR-a

Foto: Fotolia

Pokrenuli ste cijeli niz aktivnosti kako bi se uskladili sa GDPR zahtjevima. Imenovali ste DPO-a, uspostavili strukturu ovlasti i odgovornosti za upravljanje osobnim podacima. Analizirali ste spremnost organizacije i IT sustava na ispunjavanje prava vlasnika osobnih podataka. Shvatili ste da niste baš sigurni što je, a što nije osobni podatak.

Shvatili ste da niste baš ni sigurni koji su to podaci koje bi vlasniku trebali ustupiti u slučaju da ih temeljem prava na portabilnost zatraži. Ako ne znate to, onda ne znate niti koje ćete podatke trebati obrisati u slučaju da njihov vlasnik to zatraži temeljem svog prava na zaborav.

Čak i kad bi sve to sa sigurnošću znali, vaš IT sustav to jednostavno tehnički nije u stanju ispuniti, a prilagodba bi mogla biti izuzetno kompleksna.

Pored svega, postalo je jasno da sigurnost osobnih podataka u IT sustavima ni iz daleka nije na očekivanoj razini. Shvatili ste i da pisanje dobrog teksta privole za prikupljanje i obradu osobnih podataka nije tako jednostavno kako se na prvi pogled čini.

Što kad shvatite da GDPR projekt kasni?

Zaključak koji se nameće je da će usklađivanje potrajati znatno duže nego ste to u početku mogli pretpostaviti. Na dan početka primjene GDPR-a, nećete biti 100% usklađeni i to nije nikakav problem jer takvo što nitko neće ni očekivati. Kada shvatite da vaša implementacija GDPR-a unatoč svom trudu nikad neće završiti, prepoznali ste siguran znak da ste GDPR-u pristupili na ispravan način. Usklađivanje s GDPR-om je prije svega postupak uspostave procesa odgovornog i etičkog upravljanja osobnim podacima.

Interni audit - zašto, tko i kako?

Učinkovitost procesa potrebno je mjeriti za što je potrebno definirati mjere i ciljeve. Potpuno smo uvjereni da će odgovorne uprave u travnju 2018. željeti na stolu vidjeti neovisnu ocjenu uspješnosti svojih GDPR inicijativa. Ako ništa drugo, a ono da znaju s čim se AZOP-u (ili kako god će regulatorno tijelo zvati) mogu pohvaliti, a što moraju popraviti.

Audit GDPR-a može se provoditi na više načina i iz više razloga, koji uključuju:

  • Interni GDPR audit
  • GDPR audit treće strane
  • Certifikacijski GDPR audit
  • GDPR audit regulatornog/inspekcijskog tijela

Mi ćemo se fokusirati na interni audit. Ovakav je audit najopsežniji, najdulje traje i cilj mu je pružati objektivnu sliku usklađenosti s GDPR-om, te primjerenosti i učinkovitosti implementiranih kontrola.

Provodi se prema audit planu koji se obično definira za nekoliko godina unaprijed. Ukoliko raspolažete vlastitim resursima, možete ga provesti sami. Možete ga i eksternalizirati ili djelomično eksternalizirati.

Već ste ustanovili da najveći dio kompleksnosti GDPR zahtjeva leži u tehničkim kontrolama. Pored poznavanja audit tehnika, razumijevanje tehnologije i organizacije su neophodna znanja GDPR auditora. Osoba koju trebate je IT auditor, poželjno nositelj CISA certifikata sa 5 ili više godina iskustva.

Raspolažete li takvim resursima, pošaljite ih na dodatnu edukaciju iz područja GDPR-a. Ako nemate vlastite IT auditore, razmotrite mogućnost eksternalizacije ovog procesa. Čak i ako imate vlastiti IT audit tim, eksternalizacija poslova poput izrade metodologije GDPR audita, te prvog audit plana je pametan potez.

Risk based compliance audit (revizija usklađenosti temeljena na procjeni rizika) je idealan pristup auditu GDPR-a. Dobar IT audit tim trebao bi s ovakvim pristupom već biti upoznat.  Obzirom da GDPR formalno ne dolazi sa listom zahtjeva, predlažemo da krenete od postera  objavljenog u trećoj lekciji.

Metodologija procjene rizika koju ćete koristiti za izradu plana audita neka se oslanja na metodologiju procjene utjecaja na zaštitu podataka (DPIA – Data Protection Impact Assessment) koja će i tako biti obavezan dio vašeg procesa upravljanja osobnim podacima, a njoj govori slijedeća lekcija.

Još iz kategorije

KOMENTAR: HT nastavlja s pozitivnim trendovima

KOMENTAR: HT nastavlja s pozitivnim trendovima

15.02.2019. komentiraj

Kompletirani su rezultati svih domaćih telekoma i prema posljednjim koji su izašli najjačeg domaćeg telekoma Hrvatskog Telekoma može se lako konstatirati kako je tržište telekom rješenja i usluga u Hrvatskoj stabilno i da nastavlja rast. I HT kao najjači domaći telekom bilježi rast prihoda u Hrvatskoj za 0,6 posto, dok je taj prihod nešto manji ako se pribroje i rezultati Crnogorskog Telekoma.

INOVACIJA … i pravosuđe u Australiji

INOVACIJA … i pravosuđe u Australiji

14.02.2019. komentiraj

Kad se kod nas spominju „dobre prakse“ u nekim stranim zemljama, po mojem iskustvu, rezultira automatskim okidanjem tzv. „innovation killer statement“: „To kod nas tako ne može funkcionirati“!

KOMENTAR: Iznenađujuće dobri rezultati Tele2 u Hrvatskoj

KOMENTAR: Iznenađujuće dobri rezultati Tele2 u Hrvatskoj

13.02.2019. komentiraj

Redaju se rezultati, pa evo i Tele2 koji je sasvim iznenadio u 2018. godini s odličnim rezultatima jer mu je dobit prije kamata oporezivanja, amortizacije i deprecijacije (EBITDA) skočila visokih 3,57 puta što će mnoge iznenaditi. Međutim, ako se pogledaju i druge brojke od rasta broja korisnika pa sve do posljedično rasta prihoda jasno je da su takve brojke očekivane. Ono što je za Tele2 u Hrvatskoj možda i najvažnije je da su EBITDA marže napokon dostigle one na telekom tržište koje su uvijek bile vrlo visoke.