Auditul GDPR, cateva aspecte importante ale acestui proces.
Auditul este, in general, o examinare (verificare) realizata de profesionisti a unor informatii cu scopul de a exprima o opinie responsabila si independenta in raport cu un anumit standard.
”Auditul este procesul prin care persoane competente, independente colecteaza si evalueaza probe pentru a-si forma o opinie asupra gradului de corespondenta intre cele observate si anumite criterii prestabilite” Wanda Wallace–Auditing.” PC World Romania „Lucrarea «Procedurile controlului intern și auditul financiar».
Odata cu aplicarea Regulamentului GDPR a inceput sa apara si sa fie tot mai des discutat termenul de Audit GDPR.
Auditul GDPR reprezinta verificarea proceselor interne, care permite specialistului sau echipei de specialisti sa identifice:
- volumul de date prelucrate pe fiecare proces;
- procesele de prelucrare realizate;
- traseul datelor, de la colectare si pana la stergerea sau arhivarea lor;
- persoanele care prelucreaza datele si sarcina fiecarui angajat in ceea ce priveste cerintele din fisa postului;
- masurile de siguranta existente;
- procedurile de lucru aferente fiecarui proces de prelucare;
- ce masuri de protectie sunt necesare pentru alinierea proceselor de prelucrare cu cerintele in materie de protectie si confidentialitatea datelor;
Totodata, Operatorul de date are sarcina de a initia si de a coordona auditurile pentru activitatea Persoanelor Imputernicite de acesta sa realizeze activitati de prelucrare a datelor.
Conform art. 28 alin.1 Regulamentul UE 679/2016 GDPR, Operatorul de date alege sa colaboreze cu Persoane Imputernicite care ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in Regulamentul GDPR si sa asigure protectia drepturilor persoanelor vizate.
Aceste garantii pot constitui parte a unui set de conditii obligatorii impuse de Operator si comunicate partilor care doresc sa intre intr-un parteneriat cu acesta, urmand sa fie selectat acel furnizor care intruneste toate conditiile respective.
Pe de alta parte, art. 28 alin.3 lit. h din Regulamentul GDPR stabileste care sunt obligatiile Persoanei Imputernicite dupa semnarea conventiei de prelucrare si a contractului de colaborare cu Operatorul de date in privinta verificarilor pe care Operatorul le va face, si anume: ”pune la dispozitia operatorului toate informatiile necesare pentru a demonstra respectarea obligatiilor prevazute la prezentul articol, permite desfasurarea auditurilor, inclusiv a inspectiilor, efectuate de operator sau alt auditor mandatat si contribuie la acestea.”
Intern, Operatorul de date va efectua audituri GDPR la solicitarea expresa a DPO-ului sau la recomandarea echipei de audit. Practic, aceste verificari pot fi realizate de DPO, insa pot fi realizate si de o echipa de auditori interni sau externi. Iar in situatia in care o echipa de specialisti a incheiat un proces de audit care a avut alt scop, insa in cadrul caruia au identificat anumite aspecte privind protectia datelor ce trebuie analizate, acestia vor face recomandarile necesare si vor cere demararea unui audit GDPR .
DPO-ul este cel care va face un plan de analiza pe care echipa de auditori sa il aiba in vedere in desfasurarea auditului. Specialistii vor putea, urmand planul comunicat de DPO, sa conduca la un audit mult mai complex, deoarece acestia au libertatea de a extinde aria verificarilor daca acest lucru este necesar.
Va multumim,
Echipa MyBiz GDPR