Auditul în cazul GDPR – exemplu Politica de protecție a datelor

 

Să presupunem că în organizație s-a ajuns la ultima fază a proiectului numit „implementare GDPR„. Acum ar trebui să se execute procesul cu cea mai mare responsabilitate: în general vorbind, cineva (intern sau extern) își exprimă o opinie cu privire la anumite cerințe ale regulamentului. Această opinie garantează (în mod rezonabil și nu absolut) în fapt managementului care prevederi ale regulamentului sînt respectate.

un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.Art 32 (f) – Securitatea prelucrării

monitorizarea respectării prezentului regulament, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente; – Art. 39 (b) – Sarcinile responsabilului cu protecția datelor

pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol, permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea. – Art. 28 (h) – Persoana împuternicită de operator

Citind și recitind cele de mai sus, consider că se impun cîteva comentarii, fără pretenție de „literă de lege„. Pînă la apariția unor posibile ghiduri/opinii de la WP29, eu înțeleg lucrurile după cum urmează:

  • Art. 32 nu se referă la „auditarea conformității„ ci la „auditarea securității prelucrării„ avînd de a face cu politici, proceduri, tehnicisme. Cel puțin teoretic pot exista situații în care prelucrarea să se realizeze în condiții sigure dar nu și conforme cu regulamentul (de exemplu nu sînt „scrise bine„ anumite documente), dar acest proces nu va identifica astfel de situații.
  • Art. 39 mă duce spre un „audit de conformitate„. Pentru organizațiile care vor avea DPO, acesta poate fi considerat ca fiind un „reprezentat„ al autorității în cadrul organizației. Atît DPO cît și Autoritatea au de a face cu „respectarea regulamentului„. În acepțiunea mea, auditul de „conformitate„ ar trebui să acopere și aspectele de natură juridică.
  • Auditul de la Art. 28 este tot un audit de „conformitate„ și nu doar de „securitate„.

Responsabilitatea finală aparține operatorului în cazul în care persoana împuternicită „calcă pe bec„. Nu intru acum în detalii legate de abordare (dacă GDPR este „risk based„ la fel va și auditul iar aici va fi grozav de importantă maniera în care s-a făcut estimarea și evaluarea internă a riscurilor; contextul și scopul prelucrării etc). Presupunem că am trecut de aceste faze și am ajuns la „testarea controalelor„(măsurilor tehnice și administrative) în cazul unui audit pentru Art. 32 (f), deși granița dintre cele trei situații nu este deloc ușor de trasat.

Prima măsură asupra căreia ne vom îndrepta atenția va fi…„politica de protecție a datelor„ pentru că, indiferent în care din cele două situații ne vom afla, această politică trebuie să existe și să funcționeze.

Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. – Recital 78

Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate de protecție a datelor. – Art. 24 (2) Responsabilitatea operatorului

Politica de protecție a datelor, din perspectiva operatorului/persoanei împuternicite, este o „măsură administrativă„ care trebuie susținută de „măsuri tehnice„. Din perspectiva auditorului, politica de protecție a datelor este o „probă„/„declarație a managementului„ prin care acesta declară lucruri/situații actuale și/sau din viitor.

Auditorul nu se limitează doar la a verifica existența unei astfel de politici (compliance testing/test of control) ci trebuie să verifice și măsura în care politica de protecție „funcționează„ așa după cum se declară (substantive testing)/test of details).

Pentru a nu fi o „hîrtie banală„ (practica autotohtonă ne-a demonstrat că „politicile„ nu au aproape nici o valoare, toată lumea are așa ceva….), și pentru a trece „testarea de fond„, documentul numit „politică de protecție a datelor„ ar trebui să răspundă cel puțin următoarele întrebări/subiecte:

  • specifică obiectivele organizației la cel mai înalt nivel și stabilește într-o manieră clară cerințele privind protecția datelor? (Regulamentul cere demonstrarea principilor de la Art. 5…„responsabilitate„).
  • indică modul în care organizația alocă resursele necesare pentru a se asigura că obiectivele pot fi atinse? (altfel, obiectivele sînt „bla-bla-uri„ politica nu este sprijinită de management)
  • a fost/este distribuită tuturor angajaților (existența unei liste de distribuție nu este suficientă dacă în realitate angajații nu au idee ce conține documentul)?
  • cît de des este revizuită și în ce circumstanțe (#ironie: cîte politici de securitate dezvoltate sub ISO27001 au fost revizuite în 2017 pentru a lua în calcul GDPR)?
  • descrie structura personalului și liniile de raportare cu privire la protecția datelor?
  • descrie/referențiază alte politici/proceduri?
  • descrie sancțiunile disciplinare interne?

……

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.