Unde scrie în GDPR că trebuie audit?

Nicăieri. Art. 32. (1)(d):

un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Am dat cîteva detalii aici și aici .

Reiau afirmații anterioare: chiar dacă nu scrie „audit„ despre așa ceva este vorba. În lipsa unui astfel de proces există riscul ca datele personale să nu fie prelucrate în conformitate cu cerințele GDPR. Rezultatul va fi o plîngere la autoritate și/sau instanță plus afectarea imaginii organizației.

De unde ar trebui să înceapă acest proces?

De la măsurile organizatorice puse în practică de organizație.

De ce cu măsuri organizatorice?

Pentru că:

• Art. 5 – Principii legate de prelucrarea datelor cu caracter personal, spune că operatorul este responsabil de respectarea principiilor și poate demonstra această respectare („responsabilitate”).
• Art. 25 – Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit spune că operatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, și că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării.
• Art. 32 – Securitatea prelucrării spune că operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor identificate.

• Articolul 39 – Sarcinile responsabilului cu protecția datelor (în cazul în care organizația trebuie să aibă acest rol) zice că DPO monitorizează respectarea reghulamentului.
  

Care ar fi măsurile organizatorice?

Chiar dacă este dificil de prezentat subiectul în amănunt pentru  fiecare tip de organizație/industrie, cîteva aspecte sînt general valabile:

• politica(icile) privind protecția datelor (cine are autoritatea să le dezvolte, documenteze, implementeze, monitorizeze, actualizeze?)
• Structurile de raportare în organizație (nu există DPO în orice organizație, dar cineva trebuie să răspundă de protecția datelor)
• Instruirea angajaților
• revizia sistemului (da, undeva trebuie definit chiar procesul despre care fac vorbire acum)
• proceduri (o politica care nu are în spate proceduri nu își atinge obiectivul…Cum se determină de exemplu perioada de stocare? Dar raportarea incidentelor? Dar măsurile tehnice cum au fost stabilite dacă nu există o evaluare a riscurilor?)
• fișe de post (roluri și responsabilități bine definite)
• registrul activităților de prelucrare
• planificarea și implementarea sistemelor/aplicațiilor
• …..

Constat, fără suprindere, că piața deja este plină de „politici și proceduri„. Fix ca în cazul ISO…Doar că ISO era facultativ, pe cînd acum există șanse destul de mari ca banii plătiți pe acele „hîrtii„ să fie bani aruncați în vînt.

În loc de concluzie: dacă managementul decide să trișeze, de data asta va trebuie și să confirme că a trișat pentru că trebuie să respecte cerințele acestui articol: a testat și a apreciat că măsurile tehnice și organizatorice implementate garantează securitatea prelucrării!