Ce inseamna si cum se face Auditul GDPR – Tipsuri & Exemple

Cum se face Auditul GDPR, ce inseamna?

Ce vei afla din acest material:

  • ca efectuarea auditului se poate face construind de la 0 sau simplifinad procesul cu un KIT GDPR
  • ce inseamna si cat de important este Auditul GDPR in procesul de implementare
  • pasii pe care trebuie sa ii urmezi pentru a face un Audit GDPR la tine in organizatie/societate

Ce resurse imi sunt necesare pentru a face Auditul GDPR

Ai nevoie de disponibilitate, responsabilitate, un plan de audit, chestionare de audit sau un (tips) TOOL de Self Audit inteligent de auditare GDPR pe care il gasesti in unele KIT-uri GDPR.

          Persoana auditorului este recomandat a fi o persoana experienta relevanta in audituri si in GDPR precum un consultant GDPR,  insa poti incerca sa urmezi pasii de mai jos pentru inceput.

Mai vreau sa adaug ca este necesar concursul tuturor, pentru a incepe o implementare GDPR, incepand cu managementul de varf, pana la ultimul angajat al societatii/organizatiei.

Este necesar sa stii ca domeniul este unul vast si destul de tehnic, insa nu imposibil daca esti dispus sa aprofundezi subiectul.

          Ce insemana Audit GDPR?

Auditul GDPR joaca un rol extrem de important in implementarea ulterioara a GDPR.

Nu putem vorbi despre implementare GDPR fara sa avem cartografierea sau maparea datelor cu caracter personal, aceasta fiind o alta denumire sub care este cunoscut procesul de audit.

Auditul GDPR inseamna ca in fiecare departament se colecteaza si se analizeaza date, pentru  a intelege fluxurile si procesele de prelucrare.

Ce va trebui auditat:

  • fiecare departament intern;
  • departamentele externe, respectiv colaboratorii care lucreaza pentru operator (ca de exemplu furnizorul de servicii de contabilitate, in situatia in care acesta nu constituie un departament intern).

Ce trebuie sa aflam in fiecare departament

In fiecare departament in parte, este necesar sa cunoastem procesele de prelucrare si fluxurile de date, precum si:

  • ce date se prelucreaza;
  • cine le prelucreaza;
  • cum sunt prelucrate datele cu caracter personal;
  • care este scopul pentru care acestea sunt prelucrate analizand fiecare categorie de date;
  • care este temeiul prelucrarii pentru fiecare categorie de date prelucrata;
  • care este termenul de retentie, respectiv perioada pentru care se prelucreaza datele;
  • cine sunt tertii destinatari, cu cine partajam date cu caracter personal;
  • in ce fel sunt prelucrate datele;
  • daca avem transferuri de date cu caracter personal in state terte;
  • identificarea riscurilor asociate prelucrarilor;
  • masurile tehnice de securitate intalnite in cadrul societatii/organizatiei operatoare (securitate fizica si cibernetica);
  • masurile organizatorice intalnite in organizatie/societate.

Pasi in audit

  1. PRIMUL PAS este acela al conceperii unui plan pentru colectarea datelor relevante de la toate departamentele interne si externe.
  2. AL DOILEA PAS este cel al redactarii unor cerinte pentru departamente. Acest lucru il puteti face fie urmarind sirul de informatii pe care trebuie sa le aveti de la fiecare departament in parte, fie apeland la un KIT GDPR care sa cuprinda un TOOL inteligent pentru efectuarea auditului mult mai facil.
  3. AL TREILEA PAS consta in coroborarea informatiilor obtinute din departamente si identificarea vulnerabilitatilor, a riscurilor, a deficientelor, a datelor prelucrate, a categoriilor de persoane ale caror date sunt prelucrate, astfel incat sa rezulte o “harta” completa a tuturor datelor prelucrate, a felurilor, scopurilor, temeiurilor si asa mai departe; o viziune detaliata si in ansamblu asupra prelucrarilor.
  4. AL PATRULEA PAS este emiterea Raportul de Audit si Planul de Masuri sau recomandarile pentru ca operatorul sa se ralieze standardelor GDPR, prin diminuarea vulnerabilitatilor si a riscurilor implementand masuri tehnice si organizatorice adecvate. Despre masuri tehnice si organizatorice adecvate am discutat intr-un alt articol, pe care il gasesti chiar AICI.

          Exemple:

          Sa ne imaginam ca auditam departamentul contabilitate (externalizat) a unui furnizor de servicii medicale.

Vom face o analiza partiala a acestui departament, pe un mic segment de date cu titlu exemplificativ.

Dupa auditarea departamenului contabilitate am obtinut urmatoarele date (am facut urmatoarele constatari) care vor constitui Raportul de Audit GDPR:

  • Date cu caracter personal prelucrate: numele, prenumele, adresa postala si date bancare.
  • Scopul acestor prelucrari este emiterea facturii.
  • Temeiul prelucrarii fiind obligatia legala.
  • Felul prelucrarilor pentru acesta categorie de date este identificat ca fiind: colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, stergerea si distrugerea.
  • Terti destinatari: ANAF, alte organe cu atributii de control.

          Foarte important de retinut!

          Observam ca pana la momentul acesta am discutat de o singura categorie de date. Analiza de mai sus se face pentru FIECARE categorie de date.

          Avand in vedere ca societatea operatorare (clientul furnizorului de servicii de contabilitate – care in aceasta relatie se numeste imputernicit – ) este o societate care ofera servicii medicale, pe facturi vor aparea si alte date cu caracter personal in afara de cele de mai sus, precum date medicale (servicii medicale facturate; de exemplu: Examen CT, hemoleucograma,  examen coproparazitologic etc.).

          Se vor analiza asadar dupa modelul de mai sus si aceste categorii de date (identificand datele prelucrate, scopul, temeiul, felul, durata prelucrarii, tertii destinatari) precum si orice alte categorii de date prelucrate in acest departament.           

          Dupa identificarea informatiilor mai sus amintite, auditul se continua in acest departament cu urmatoarele informatii:

  • Transfer de date in state terte: facturile se transmit folosind o adresa de Gmail, astfel este identificat transfer de date catre SUA.
  • Masuri tehnice de securitate: program Saga parolat. Parola insuficient de puternica, accesul la date nu este restrictionat intre angajatii furnizorului de servicii de contabilitate, partajand toate categoriile de date, aceasta generand riscuri in prelucrare.

Spatiul este asigurat pentru securitatea fizica, societatea avand amplasate in curte camere de supraveghere si existand totodata incheiat un contract cu un furnizor de servicii de securitate si paza.

  • Masuri organizatorice: nu sunt implementate proceduri specifice, societatea nu dispune de politici agreate care sa asigure prelucrari de date controlate.
  • Vulnerabilitati identificate: factorul uman implicat in procesarea datelor, parole slabe, lipsa antivirus.
  • Categorii de persoane vizate: exclusiv adulti.
  • Categorii de date prelucrate in departament: date comune si date sensibile.
  • s.a.m.d.

Recomandari in cadrul Auditului GDPR

In functie de datele identificate in intregime in departament, se vor face prin Raportul de Audit si recomandari de implementare, menite sa asigure garantii adecvate ca societatea a implementat masuri tehnice si organizatorice (GDPR) in vederea asigurarii securitatii prelucrarilor.

Astfel se procedeaza in toate departamentele, cu toate categoriile de date, pentru a putea genera intreaga documentatie aferenta implementarii GDPR.

Procesul nu este neaparat greu, ci doar foarte complex si necesita timp si perseverenta.

Vestea buna este ca acum esti cu un pas mai aproape de implementarea GDPR, dupa informatiile obtinute si esti pregatit sa incepi.

Daca totusi nu esti dispus sa investesti timp, desi genereaza unele costuri  (insa nici 5% de mari precum o amenda a ANSPDCP), iti poti simplifica munca apeland la un consultant GDPR (din care vor rezulta documentele gata de implementare) sau achizitionand un KIT GDPR (care iti vor scadea costurile si vei avea o multime de drafturi pe care doar sa le adaptezi cu informatiile tale gasite in Auditul GDPR).

Orice metoda ai alege, noi te felicitam ca ai ales sa protejezi datele persoanelor fizice si sa intri in legalitate, evitand astfel si amenzile ANSPDCP.

Faci un comentariu sau dai un răspuns?

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site apartine Radikal Consult. Aveti dreptul de a fi informat. Va informam ca acest site foloseste Cookies Necesare. Cookies Necesare sunt fisiere de mici dimensiuni, incompatibile cu fisierele executabile. Acestea sunt necesare functionalitatii obisnuite a site-ului pentru a va putea reda continutul.