Pokrenuli ste cijeli niz aktivnosti kako bi se uskladili sa GDPR zahtjevima. Imenovali ste DPO-a, uspostavili strukturu ovlasti i odgovornosti za upravljanje osobnim podacima. Analizirali ste spremnost organizacije i IT sustava na ispunjavanje prava vlasnika osobnih podataka. Shvatili ste da niste baš sigurni što je, a što nije osobni podatak.
Shvatili ste da niste baš ni sigurni koji su to podaci koje bi vlasniku trebali ustupiti u slučaju da ih temeljem prava na portabilnost zatraži. Ako ne znate to, onda ne znate niti koje ćete podatke trebati obrisati u slučaju da njihov vlasnik to zatraži temeljem svog prava na zaborav.
Čak i kad bi sve to sa sigurnošću znali, vaš IT sustav to jednostavno tehnički nije u stanju ispuniti, a prilagodba bi mogla biti izuzetno kompleksna.
Pored svega, postalo je jasno da sigurnost osobnih podataka u IT sustavima ni iz daleka nije na očekivanoj razini. Shvatili ste i da pisanje dobrog teksta privole za prikupljanje i obradu osobnih podataka nije tako jednostavno kako se na prvi pogled čini.
Što kad shvatite da GDPR projekt kasni?
Zaključak koji se nameće je da će usklađivanje potrajati znatno duže nego ste to u početku mogli pretpostaviti. Na dan početka primjene GDPR-a, nećete biti 100% usklađeni i to nije nikakav problem jer takvo što nitko neće ni očekivati. Kada shvatite da vaša implementacija GDPR-a unatoč svom trudu nikad neće završiti, prepoznali ste siguran znak da ste GDPR-u pristupili na ispravan način. Usklađivanje s GDPR-om je prije svega postupak uspostave procesa odgovornog i etičkog upravljanja osobnim podacima.
Interni audit - zašto, tko i kako?
Učinkovitost procesa potrebno je mjeriti za što je potrebno definirati mjere i ciljeve. Potpuno smo uvjereni da će odgovorne uprave u travnju 2018. željeti na stolu vidjeti neovisnu ocjenu uspješnosti svojih GDPR inicijativa. Ako ništa drugo, a ono da znaju s čim se AZOP-u (ili kako god će regulatorno tijelo zvati) mogu pohvaliti, a što moraju popraviti.
Audit GDPR-a može se provoditi na više načina i iz više razloga, koji uključuju:
- Interni GDPR audit
- GDPR audit treće strane
- Certifikacijski GDPR audit
- GDPR audit regulatornog/inspekcijskog tijela
Mi ćemo se fokusirati na interni audit. Ovakav je audit najopsežniji, najdulje traje i cilj mu je pružati objektivnu sliku usklađenosti s GDPR-om, te primjerenosti i učinkovitosti implementiranih kontrola.
Provodi se prema audit planu koji se obično definira za nekoliko godina unaprijed. Ukoliko raspolažete vlastitim resursima, možete ga provesti sami. Možete ga i eksternalizirati ili djelomično eksternalizirati.
Već ste ustanovili da najveći dio kompleksnosti GDPR zahtjeva leži u tehničkim kontrolama. Pored poznavanja audit tehnika, razumijevanje tehnologije i organizacije su neophodna znanja GDPR auditora. Osoba koju trebate je IT auditor, poželjno nositelj CISA certifikata sa 5 ili više godina iskustva.
Raspolažete li takvim resursima, pošaljite ih na dodatnu edukaciju iz područja GDPR-a. Ako nemate vlastite IT auditore, razmotrite mogućnost eksternalizacije ovog procesa. Čak i ako imate vlastiti IT audit tim, eksternalizacija poslova poput izrade metodologije GDPR audita, te prvog audit plana je pametan potez.
Risk based compliance audit (revizija usklađenosti temeljena na procjeni rizika) je idealan pristup auditu GDPR-a. Dobar IT audit tim trebao bi s ovakvim pristupom već biti upoznat. Obzirom da GDPR formalno ne dolazi sa listom zahtjeva, predlažemo da krenete od postera objavljenog u trećoj lekciji.
Metodologija procjene rizika koju ćete koristiti za izradu plana audita neka se oslanja na metodologiju procjene utjecaja na zaštitu podataka (DPIA - Data Protection Impact Assessment) koja će i tako biti obavezan dio vašeg procesa upravljanja osobnim podacima, a njoj govori slijedeća lekcija.
