Одит за съответствие с GDPR - как да го проведем?

Обслужване

Съгласно GDPR всички лични данни трябва да се обработват по начин, предписан от закона, надеждно и по прозрачен начин за субекта на данните. Администраторът на данни има право да събира и обработва данни само за законни цели, до степен, адекватна на техните нужди и за минималния период, необходим за постигане на целта на обработването. Във всеки случай, независимо от извършваната дейност и вида на обработваните данни, администраторът на лични данни е длъжен да осигури подходящо ниво на сигурност за данните – защита срещу неразрешена или неправомерна обработка, случайна загуба на данни, тяхното унищожаване или повреждане. Администраторът на данни носи отговорност за спазването на разпоредбите на GDPR и в съответствие с принципа на отчетност трябва да може да докаже, че използва подходящи процедури и методи в своята дейност. Как да извършим одит на съответствието с GDPR?

Администраторът на данни избира сам метода за провеждане на одита

Първата стъпка към правилното изпълнение на задълженията, наложени от разпоредбите на GDPR на администратора на лични данни, е извършването на одит за съответствие с GDPR.

Терминът „одит за съответствие с GDPR“ обхваща проверката на използваните от предприемача методи за защита на личните данни с принципите, предвидени в разпоредбите на Регламент на Европейския парламент и на Съвета (ЕС) 2016/679 от 27 април 2016 г. относно защитата на физическите лица по отношение на обработването на лични данни и за свободното движение на такива данни (накратко GDPR).

Одит на съответствието с GDPR трябва да се извърши както преди прилагането на процедурите по GDPR, така и по време на валидност на регламентите. Еднократно изпълнение не е достатъчно – всеки субект, обработващ лични данни, трябва да контролира непрекъснато дали използваните от него методи за защита на данните съответстват на обхвата на обработваната информация и дали са достатъчни, за да гарантират пълната им сигурност.

Важно!
Няма единен правилен метод за одит на съответствието с GDPR. Всеки предприемач, обработващ лични данни, трябва самостоятелно да разработи методи, адаптирани към естеството на неговата дейност, обхвата на обработваните данни и позволяващи най-ефективен одит.

Въпреки че разпоредбите на GDPR налагат редица задължения на администраторите на лични данни, те не посочват един правилен метод за тяхното прилагане – както по отношение на конкретни методи за защита на личните данни, така и по отношение на начина на провеждане на одит за съответствие. От администратора на лични данни зависи да избере подходящи мерки, които ще отговарят на спецификата на бизнеса (напр. количеството обработвани и съхранявани лични данни, броя на служителите, броя на клиентите и т.н.), както и вида на обработваните данни и прилаганите методи за тяхната защита.

Предприемачът-администратор на лични данни може да извърши одита самостоятелно или да го възложи на специализирана фирма. Независимо от избрания метод, одитът трябва да завърши с изготвяне на доклад, както е описано по-долу.

Одит за съответствие с GDPR – необходими елементи

При две фирми, извършващи еднакъв вид дейност, методологията на провеждане на одита може да бъде напълно различна, както и резултатите от одита и предложените мерки за защита на личните данни. Както бе споменато по-горе, всеки администратор на лични данни има пълна свобода да избира методите, средствата и процедурите, свързани с разпоредбите на GDPR, при условие че общите принципи на тяхното прилагане ще бъдат в съответствие с разпоредбите на регламента.

Основната цел на одита е да се оцени възможният риск по отношение на нарушаване на правилата за защита на личните данни. Тестването за съответствие е предназначено основно за определяне на:

  • дейности, при които предприемачът обработва лични данни (например наемане на служители, обслужване на клиенти, сключване на специфични видове договори и др.);

  • спецификата на дейностите по обработка на данни;

  • видове лични данни, с които разполага предприемачът (включително, по-специално, проверка дали предприемачът обработва и особено чувствителни данни, като биометрични данни);

  • методите за защита на личните данни, прилагани преди това от предприемача;

  • недостатъци в прилаганите процедури;

  • възможни рискове, свързани с процедурите за обработка на данни;

  • препоръки и препоръки за изпълнение за осигуряване на пълна защита на обработваните лични данни.

Като част от одита могат да се разграничат три основни фази:

  1. Събиране на информация за лични данни, обработвани от предприемача, дейности по обработване и прилагани мерки за защита;

  2. Анализ на събраната информация;

  3. Разработване на препоръки и препоръки за изпълнение.

Когато извършва одит за съответствие с GDPR, администраторът на лични данни трябва да обърне особено внимание на следните обстоятелства:

  • дали обхватът на личните данни, обработвани от администратора, е минимален (т.е. дали предприемачът не получава лични данни в по-голяма степен от необходимата му за изпълнение на задълженията си – например получаване на PESEL номер за извършване на услугата за доставка на стоки);

  • как предприемачът изпълнява задълженията за информация към лицата, чиито данни обработва;

  • какви лични данни притежава предприемачът и има ли данни, които изискват специална защита;

  • дали съдържанието на клаузите и съгласията, използвани от предприемача, отговаря на разпоредбите на GDPR;

  • длъжен ли е предприемачът да назначи длъжностно лице по защита на личните данни;

  • дали предприемачът е длъжен да води регистър на дейностите по обработка на данни;

  • коректност и надеждност на документите, използвани от предприемача (например разпоредби, предоставени на клиентите или документи за политика за сигурност);

  • правилата за достъп на служителите на предприемача до обработваните и съхранявани от предприемача лични данни;

  • мерки за защита, прилагани от предприемача (например анонимизиране или псевдонимизиране на данни);

  • оценка на нивото на приложена сигурност.

Обхватът на одита ще бъде различен за различните предприемачи и в зависимост от извършваната дейност всеки предприемач ще трябва да обърне внимание на дейностите по обработка, специфични за неговата компания.

Доклад за съответствие с GDPR

Одитът следва да завърши с издаване на доклад, в който резултатите от одита ще се съпоставят с критериите, въведени с разпоредбите на наредбата. Предприемачът ще получи писмен доклад, ако реши да възложи одит на външен субект – компания, занимаваща се с прилагането на процедурите по GDPR. Ако предприемачът реши да проведе одита самостоятелно, подготовката му ще зависи изцяло от него. GDPR не налага задължение на администраторите на лични данни да имат отчетен документ, поради възможността за проверки от инспектори на Службата за защита на личните данни и необходимостта да се демонстрира съответствие с разпоредбите на Регламента, като има доказателства за извършване на силно се препоръчва одит.

Важно!
GDPR не налага задължение на администратора на данни да изготви одитен доклад и следователно не посочва правилната форма на издаването му. Поради принципа на отчетност и задължението на администратора на лични данни да демонстрира съответствие с принципите на GDPR, администраторът трябва да има доклад под формата на документ, потвърждаващ факта на извършване на одита, използваната методология и издадени препоръки . Наличието на писмен доклад ще позволи на администратора на лични данни да докаже спазването на наложените му задължения в случай на възможен контрол за спазване на разпоредбите на GDPR.

Струва си да се отбележи, че администраторът на данни на предприемача не е длъжен да извършва одит за съответствие. Разпоредбите на GDPR налагат редица задължения на субектите, обработващи лични данни, чието изпълнение не е лесна задача. Организирането на информация за обработваните данни и мерките за защита ще позволи откриване на пропуски в системите, използвани от предприемача, и правилното приспособяване на дейността на предприемача към приложимите разпоредби. Одитът за съответствие е инструмент, който ще помогне на предприемачите да изпълнят законовите изисквания за защита на личните данни и да избегнат възможни негативни последици, свързани с нарушаването на тези разпоредби.