Иван Савов, председател
на Европейския институт
за риск политика
След като системата за защита на данните функционира добре за определен период от време, следва да предприемем следващата стъпка: планиране на вътрешен одит на GDPR системата. Целта на този одит е да се провери ефективността на системата и евентуално да бъдат открити зони, които имат нужда от подобрение.
За професионалното провеждане на вътрешен одит е необходимо да бъде организирано специализирано обучение на вътрешни одитори, при което да се гарантира компетентност и липса на конфликт на интереси. Едно такова обучение трябва да покрива принципите на защита на личните данни, структурата на регламента и приложимите стандарти и методики на системата за защита на данните, принципите и стандартите за информационна сигурност и контроли, както и стандартите и методиката за провеждане на вътрешен одит.
Одитът протича в следната последователност:
– Планиране. Този етап от одита включва избор на екип и водещ одитор; създаване на програма на одита с разписани процеси за одитиране, време за провеждане и елементи на GDPR за одитиране. Програмата се съгласува по отношение на необходимото време и нейното съдържание с одитираните собственици на процеси. Разписва се и списък за провеждане на одита, който е препоръчително да е ориентиран към отделните процеси, които ще се одитират, а не към регламента.
– Извършване. Тази част започва с откриваща среща, по време на която се разясняват целите и методиката на одита. Изпълняват се планираните одит пътеки, като одиторите генерират записки за събраната информация – от кого, в какъв процес и с какви документални доказателства. Посочват се несъответствията и зоните за подобрение, ако имат такива. Накрая всички одитори предават записките си на водещия одитор за окомплектоване на доклада от одита и категоризиране на откритите несъответствия.
– Закриване. Одитът се закрива с провеждането на среща за представяне на доклада и резултатите от него. Съгласуват се предложените коригиращи и подобряващи действия, както и сроковете за тяхното изпълнение. Проверява се и тяхната ефективност. Докладва се на ръководството за изпълнението на целите на одита и за постигнатия краен резултат.
Когато се планира одит по GDPR, можем да следваме няколко одит пътеки:
– По бизнес процеси и принадлежащи лични данни;
– По групи лични данни, протичащи през процесите;
– По жизнения цикъл на личните данни;
– Обратно проследяване на жизнения цикъл на личните данни;
– Системни процеси – управление на системата, сигурността, несъответствията, вътрешните одити, лидерството, документите и записите;
– По ИТ сигурността и защитата на личните данни.
След като вътрешният одит приключи и бъдат извършени коригиращите и подобряващи действия, ръководството на компанията издава заповед за редовно внедряване на системата за защита на личните данни. Едновременно с това се назначава и длъжностно лице по защита на данните (ДЛЗД), ако е взето решение да има такова. След като встъпи в длъжност, то трябва да предприеме серия от действия, които да осигурят запознаване на членовете на компанията или организацията със системата за защита на личните данни и готовността ѝ ефективно да спазва изискванията на Общия регламент. Тези действия включват не само проверка дали има разписани документи, удовлетворяващи изискванията, но и доколко те са приложени като процеси, доколко са координирани в рамките на управлението и водят до конкретни действия и резултати. Това изисква длъжностното лице да е компетентно по въпроси като системите за управление, информационната сигурност, да има одиторски умения. Само при наличието на всички тези умения, включително в областта на лидерството, ДЛЗД ще може ефективно да съветва компанията по отношение на спазването на общия европейски регламент за защита на личните данни. Познаването единствено на текстовете на европейския регламент не е достатъчно, за да може да се поддържа и усъвършенства защитата на данните и да се гарантират правата на субектите.
Текстът е публикуван в брой 26 /2018 г. на списание "Икономист" от 29 юни, който може да закупите в разпространителската мрежа в страната.
Вижте какво още може да прочетете в броя.