Prima etapă de avut în vedere pentru conformarea GDPR
Ce presupune auditul GDPR
Incepând cu 25 mai 2018 va intra în vigoare GDPR (Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE) astfel încât se vor implementa un set mai complex de obligații raportat la reglementările în vigoare.
GDPR se aplică tuturor entităților juridice care colectează și procesează date cu caracter personal (date ale unor persoane fizice) astfel încât, pentru a se conforma cerințelor GDPR, o societate trebuie să facă mai mulți pași, primul dintre aceștia fiind auditarea modalităților de colectare, prelucrare, stocare și ștergere a datelor cu caracter personal.
În vederea efectuării unui audit complet, prima întrebare la care trebuie să se răspundă este ce date colectează respectiva societate.
“Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă (“persoană vizată”)”. Adică, ”o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
Exemple de date cu caracter personal: adresele de email din bazele de date pentru newslettere, numele și adresa din formularele de feedback completate de clienți, fotografii de la diferite evenimente organizate de către societate, materiale CCTV, înregistrări de programe de loialitate, în baza de date a angajaților (REVISAL), etc.
O cartografiere completă a acestor date este absolut necesară, fiind foarte important a se stabili pentru fiecare categorie riscul de a întâmpina o breșă de securitate.
A doua întrebare la care trebuie să se răspundă în urma auditului este de a determina dacă organizația a implementat politici și proceduri adecvate pentru a reglementa prelucrarea datelor cu caracter personal. În plus, prin efectuarea unui audit, managerul unei societăți se va asigura că monitorizarea procesării datelor personale este efectuată în mod corect, identificându-se de asemenea riscurile pentru a preveni scurgerea sau pierderea datelor (informației).
A treia întrebare la care trebuie să se răspundă în urma auditului este legată de persoanele angajate în cadrul societății – în ce măsură acestea cunosc obligațiile societății reglementate de GDPR și de asemenea drepturile persoanelor, sunt informate asupra procedurilor și sunt pregătite să ia măsuri în cazul descoperirii unor breșe de securitate.
Astfel, auditul GDPR evaluează procesele, sistemele, documentele (registrele) și activitățile organizației pentru:
- Inventarierea categoriilor de date prelucrate și operațiunilor de prelucrare, și realizarea evidenței activităților de prelucrare.
- A se asigura dacă există și dacă sunt folosite politicile și procedurile corecte și adecvate.
- A verifica dacă modalitatea de solicitare a consimțământului privind prelucrarea datelor cu caracter personal este completă.
- A descoperi scurgerea de informații sau potențialele violări cibernetice în aplicarea procedurilor.
- A evalua și transforma controale interne.
- A autoriza și valida dacă principiile, politicile și procedurile sunt monitorizate și respectate.
- A recomanda schimbări în controale, politici, proceduri și platformele IT.
- A recomanda trainingul necesar a fi ținut angajaților care intră în contact direct cu datele cu character personal.
Este recomandabil ca acest audit să se facă în urma discuțiilor cu toate departamentele implicate în prelucrarea datelor (angajatii de la resurse umane răspund de datele peroanelor angajate și de datele foștilor angajați, angajatii de la contabilitate dețin datele de facturare, angajatii de la marketing se ocupă de baza de date pentru newsletterele trimise on line și de baza de date cu clienți).
Cu cât societatea este mai mare cu atât peroanele implicate sunt mai multe și de datele colectate cu caracter personal se ocupă mai multe persoane, acest lucru însemnând o grijă sporită în privința securității. Dar acest lucru nu înseamnă că societățile mici (grădinițele și școlile particulare, sălile de sport, companiile de training, societățile de PR, magazinele on line) nu trebuie să se ocupe de auditarea si implementarea regulilor GDPR.
Pentru mai multe detalii vă rugăm să ne contactați.
6 comments
Andrei Narcis
March 19, 2018 at 11:51 am
Buna ziua.As vrea sa stiu la ce tip de audit va referiti , audit intern efectuat de un auditor intern specializat pe protectia datelor (ce cursuri se fac in acest sens?) sau audit extern efectuat de o organizatie cu activitate specifica.Multumesc.
Grecu si Asociații
March 27, 2018 at 11:11 am
Buna ziua!
Anumite societăți (în general cele mari) își angajează un specialist în securitatea datelor. Deocamdată în România nu există un curs certificat însă există mai multe cursuri tinute de diferite companii. În articol ne refeream la auditul pe care îl face în general un avocat specializat în GDPR, societatea noastră de avocatură prestând acest tip de servicviu pentru clienții noștri.
Grecu și Asociații
ioana
April 11, 2018 at 12:57 pm
Buna ziua,
Va rog frumos sa imi spuneti daca GDPR se aplica unui ONG care are 5 salariati, si evidenta salariilor si Revisal se tine la sediul nostru?
Grecu si Asociații
April 16, 2018 at 11:41 am
Buna ziua,
GDPR-ul nu se aplică în funcție de mărimea societății sau a asociației ci se aplică tuturor persoanelor juridice care colectează și prelucrează date cu caracter personal. Dacă asociația dvs. nu prelucrează datele personale ale altor personae fizice (parteneri, voluntari, etc) trebuie să pregătiți o procedură internă (care să garanteze respectarea protecției datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date) și care să includă responsabilitățile angajaților în acest domeniu. Bineînțeles, ar fi utilă și o informare a acestora (un training care să fie ținut doar persoanelor care au acces la baza de date).
O zi frumoasă!
Grecu și Asociații
Angela
April 23, 2018 at 6:20 pm
Buna seara,
Auditul intern il poate redacta persoana DPO, persoana desemnata in companie responsabila cu monitorizarea datelor cu caracter personal?
Sau auditul trebuie factut de catre un consultant extern?
Grecu si Asociații
April 24, 2018 at 10:10 am
Buna ziua!
Auditul intern il poate redacta orice persoana care are cunostinte teoretice si practice in domeniul securitatii datelor cu caracter personal (DPO prin fisa postului sau prin contractul incheiat cu DPO extern sau o firma de consultanta (avocatura) care ofera astfel de servicii). Important este ca in urma auditului sa puteti identifica ce date cu caracter personal colectati si riscurile pe care le aveti astfel incat sa puteti implementa politicile necesare securizarii datelor cu caracter personal.
O zi frumoasa!
Grecu si Asociatii