Ce presupune auditul GDPR?
Incepand cu 25 mai 2018 a devenit obligatoriu GDPR (Regulamentul nr. 679 din 27 aprilie 2016 privind protectia persoanelor fizice în ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE) astfel încat se vor implementa un set mai complex de obligatii raportat la reglementarile în vigoare.
GDPR se aplica tuturor entitatilor juridice care colecteaza si proceseaza date cu caracter personal (date ale unor persoane fizice) astfel încat, pentru a se conforma cerintelor GDPR, o societate trebuie sa faca mai multi pasi, primul dintre acestia fiind auditarea modalitatilor de colectare, prelucrare, stocare si stergere a datelor cu caracter personal.
În vederea efectuarii unui audit complet, prima întrebare la care trebuie sa se răspunda este ,,ce date colecteaza respectiva societate?”.
“Date cu caracter personal” înseamna orice informatii privind o persoana fizica identificata sau identificabila (“persoană vizata”)”. Adică, ”o persoană fizică identificabila este o persoana care poate fi identificata, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
Exemple de date cu caracter personal: adresele de email din bazele de date pentru newslettere, numele si adresa din formularele de feedback completate de clienți, fotografii de la diferite evenimente organizate de catre societate, materiale CCTV, înregistrari de programe de loialitate, în baza de date a angajaților (REVISAL), etc.
O cartografiere completa a acestor date este absolut necesara, fiind foarte important a se stabili pentru fiecare categorie riscul de a întampina o bresa de securitate.
A doua întrebare la care trebuie sa se raspunda în urma auditului este de a determina daca organizatia a implementat politici si proceduri adecvate pentru a reglementa prelucrarea datelor cu caracter personal. In plus, prin efectuarea unui audit, managerul unei societati se va asigura ca monitorizarea procesarii datelor personale este efectuata în mod corect, identificandu-se de asemenea riscurile pentru a preveni scurgerea sau pierderea datelor (informatiei).
A treia întrebare la care trebuie sa se raspunda în urma auditului este legata de persoanele angajate în cadrul societatii – în ce masura acestea cunosc obligatiile societatii reglementate de GDPR si de asemenea drepturile persoanelor, sunt informate asupra procedurilor si sunt pregatite sa ia masuri în cazul descoperirii unor breae de securitate.
Astfel, auditul GDPR evalueaza procesele, sistemele, documentele (registrele) si activitatile organizatiei pentru:
- inventarierea categoriilor de date prelucrate si operatiunilor de prelucrare si realizarea evidentei activitatilor de prelucrare;
- a se asigura daca exista si daca sunt folosite politicile si procedurile corecte si adecvate;
- a verifica daca modalitatea de solicitare a consimtamantului privind prelucrarea datelor cu caracter personal este completa;
- a revizui acordurile, contractele, actele aditionale din perspectiva GDPR-ului;
- a descoperi scurgerea de informatii sau potentialele atacuri cibernetice în aplicarea procedurilor;
- a evalua si transforma controale interne;
- a autoriza si valida daca principiile, politicile si procedurile sunt monitorizate si respectate;
- a recomanda schimbari în controale, politici, proceduri si platformele IT;
- a recomanda trainingul necesar a fi tinut angajatilor care intra în contact direct cu datele cu caracter personal.
Este recomandabil ca acest audit sa se faca în urma discutiilor cu toate departamentele implicate în prelucrarea datelor (angajatii de la resurse umane raspund de datele peroanelor angajate si de datele fostilor angajati, angajatii de la contabilitate detin datele de facturare, angajatii de la marketing se ocupa de baza de date pentru newsletterele trimise on line si de baza de date cu clienti, si nu numai).
Cu cât societatea este mai mare cu atat persoanele implicate sunt mai multe si de datele colectate cu caracter personal se ocupa mai multe persoane, acest lucru însemnand o grija sporita în privinta securitatii. Dar acest lucru nu înseamna ca societatile mici (gradinitele, scolile particulare, salile de sport, companiile de training, societatile de PR, magazinele on line, clinici mediclale, societati profesionale de avocatura sau lichidfatori) nu trebuie sa se ocupe de auditarea si implementarea regulilor GDPR.
Asigurarea legalitatii prelucrarii datelor cu caracter personal presupune:
- Elaborarea documentatiei privind cerintele de legalitate a protectiei si securitatii impuse de GDPR, conform obiectului de activitate al companiei dvs;
- Actualizarea tuturor actelor si contractelor incheiate de companie, din punct de vedere al protectiei si securitatii datelor cu caracter personal;
- Managementul riscurilor specific prelucrarii datelor cu caracter personal prin elaborarea raportului de analiza a riscurilor si a masurilor de reducere a impactului sau de eliminare a acestora;
- Elaborarea documentatiei privind adaptarea procedurilor de lucru si a modului de utilizare a sistemelor informatice, în conformitate cu prevederile GDPR, privind exercitarea drepturilor persoanelor vizate prin prelucrare, respectarea principiilor prelucrarii, asigurarea legalitatii prelucrării si a securității datelor prelucrate electronic;
- Elaborarea planului de protectie a datelor personale si de mentinere a accesului la acestea în situatii de urgenta;
- Coordonarea si consilierea activitatilor prin care sunt implementate masurile tehnice si procedurale destinate protectiei datelor personale prelucrate;
- Elaborarea planurilor de evaluare periodica a eficacitatii masurilor tehnice, procedurale si organizatorice, destinate protectiei datelor personale prelucrate;
- Instruirea utilizatorilor privind exploatarea sistemelor de calcul în conformitate cu masurile tehnice, organizatorice si procedurale implementate pentru protecția datelor personale;
- Consultanta oferita gratuit în perioada derularii contractului de servicii atât componentei manageriale si utilizatorilor, cat si departamentelor implicate in prelucrarea datelor;
Pentru mai multe detalii va rugam sa ne contactati.