Velika GDPR škola lekcija 7: Interni audit GDPR-a

Velika GDPR škola lekcija 7: Interni audit GDPR-a

Foto: Fotolia

Pokrenuli ste cijeli niz aktivnosti kako bi se uskladili sa GDPR zahtjevima. Imenovali ste DPO-a, uspostavili strukturu ovlasti i odgovornosti za upravljanje osobnim podacima. Analizirali ste spremnost organizacije i IT sustava na ispunjavanje prava vlasnika osobnih podataka. Shvatili ste da niste baš sigurni što je, a što nije osobni podatak.

Shvatili ste da niste baš ni sigurni koji su to podaci koje bi vlasniku trebali ustupiti u slučaju da ih temeljem prava na portabilnost zatraži. Ako ne znate to, onda ne znate niti koje ćete podatke trebati obrisati u slučaju da njihov vlasnik to zatraži temeljem svog prava na zaborav.

Čak i kad bi sve to sa sigurnošću znali, vaš IT sustav to jednostavno tehnički nije u stanju ispuniti, a prilagodba bi mogla biti izuzetno kompleksna.

Pored svega, postalo je jasno da sigurnost osobnih podataka u IT sustavima ni iz daleka nije na očekivanoj razini. Shvatili ste i da pisanje dobrog teksta privole za prikupljanje i obradu osobnih podataka nije tako jednostavno kako se na prvi pogled čini.

Što kad shvatite da GDPR projekt kasni?

Zaključak koji se nameće je da će usklađivanje potrajati znatno duže nego ste to u početku mogli pretpostaviti. Na dan početka primjene GDPR-a, nećete biti 100% usklađeni i to nije nikakav problem jer takvo što nitko neće ni očekivati. Kada shvatite da vaša implementacija GDPR-a unatoč svom trudu nikad neće završiti, prepoznali ste siguran znak da ste GDPR-u pristupili na ispravan način. Usklađivanje s GDPR-om je prije svega postupak uspostave procesa odgovornog i etičkog upravljanja osobnim podacima.

Interni audit - zašto, tko i kako?

Učinkovitost procesa potrebno je mjeriti za što je potrebno definirati mjere i ciljeve. Potpuno smo uvjereni da će odgovorne uprave u travnju 2018. željeti na stolu vidjeti neovisnu ocjenu uspješnosti svojih GDPR inicijativa. Ako ništa drugo, a ono da znaju s čim se AZOP-u (ili kako god će regulatorno tijelo zvati) mogu pohvaliti, a što moraju popraviti.

Audit GDPR-a može se provoditi na više načina i iz više razloga, koji uključuju:

  • Interni GDPR audit
  • GDPR audit treće strane
  • Certifikacijski GDPR audit
  • GDPR audit regulatornog/inspekcijskog tijela

Mi ćemo se fokusirati na interni audit. Ovakav je audit najopsežniji, najdulje traje i cilj mu je pružati objektivnu sliku usklađenosti s GDPR-om, te primjerenosti i učinkovitosti implementiranih kontrola.

Provodi se prema audit planu koji se obično definira za nekoliko godina unaprijed. Ukoliko raspolažete vlastitim resursima, možete ga provesti sami. Možete ga i eksternalizirati ili djelomično eksternalizirati.

Već ste ustanovili da najveći dio kompleksnosti GDPR zahtjeva leži u tehničkim kontrolama. Pored poznavanja audit tehnika, razumijevanje tehnologije i organizacije su neophodna znanja GDPR auditora. Osoba koju trebate je IT auditor, poželjno nositelj CISA certifikata sa 5 ili više godina iskustva.

Raspolažete li takvim resursima, pošaljite ih na dodatnu edukaciju iz područja GDPR-a. Ako nemate vlastite IT auditore, razmotrite mogućnost eksternalizacije ovog procesa. Čak i ako imate vlastiti IT audit tim, eksternalizacija poslova poput izrade metodologije GDPR audita, te prvog audit plana je pametan potez.

Risk based compliance audit (revizija usklađenosti temeljena na procjeni rizika) je idealan pristup auditu GDPR-a. Dobar IT audit tim trebao bi s ovakvim pristupom već biti upoznat.  Obzirom da GDPR formalno ne dolazi sa listom zahtjeva, predlažemo da krenete od postera  objavljenog u trećoj lekciji.

Metodologija procjene rizika koju ćete koristiti za izradu plana audita neka se oslanja na metodologiju procjene utjecaja na zaštitu podataka (DPIA – Data Protection Impact Assessment) koja će i tako biti obavezan dio vašeg procesa upravljanja osobnim podacima, a njoj govori slijedeća lekcija.

Još iz kategorije

INOVACIJA … koja uvijek evoluira

INOVACIJA … koja uvijek evoluira

10.06.2019. komentiraj

U jednoj davnoj kolumni  prikazali smo kako izgleda životni ciklus inovacije, mnemotehnika je 8E's: Zaokružili smo životnu fazu „razvoj inovacije“ – EVOLVE – koja nas ovdje zanima, a i zato jer je u sebi vrlo proturječna! Ilustracija ove tvrdnje je u tome da kad netko smisli ideju za koju vjeruje da je inovativna odmah dolaze oponenti. Oni imaju j još bolje ideje ili unapređuju izvornu. Ideator je time obično frustriran, jer se njegova brilijantna ideja ne prihvaća bez pogovora.  Pri tome zaboravlja da je i ta njegova ideja vjerojatno samo „evolucija“ nekog ranijeg rješenja. Zato treba u svakoj situaciji biti otvoren prema novim rješenjima, ali ih ne treba prihvaćati nekritički.

Samsung jedini profitira na nedaćama Huaweija

Samsung jedini profitira na nedaćama Huaweija

04.06.2019. komentiraj

Googleova odluka o oduzimanju licence za Android Huaweiju, koju je vrlo brzo ublažio, ukazala je na cijeli niz problema u tehnološkom sektoru i već nakon desetak dana potpuno je jasno da se naredbe kao ona američkog predsjednika Donalda Trumpa ne mogu donositi ishitreno, prvenstveno jer zabrana trgovanja na najvišim razinama štete apsolutno svima. Osim Samsungu...

KOMENTAR: Očekivana prodaja Tele2 Hrvatska, sljedeća meta Optima Telekom

KOMENTAR: Očekivana prodaja Tele2 Hrvatska, sljedeća meta Optima Telekom

01.06.2019. komentiraj

Kada je i službeno potvrđeno da je Tele2 Hrvatska prodan United Grupi postalo je jasno da se dugo najavljivana prodaja napokon dogodila. Iako su neki isticali kako je Tele2 AB, kao vlasnik Tele2 Hrvatska, objavom u poslovnom izvješću o tome kako su zadovoljni poslovanje i kako nastavljaju s ulaganjima zapravo otklonio mogućnost prodaje to je zapravo bio dokaz da su na nju spremni. Pogotovo prikazani svi parametri poslovanja koji su rasli čime se vrijednost prodaje povećavala.