GDPR: testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice

După cum am scris în ultimul timp, asigurarea conformității cu cerințele GDPR nu va fi nici ieftină nici simplu de pus în practică.

Articolul 32 Securitatea prelucrării, alin (1) pct d) impune ca la nivelul operatorilor și persoanelor împuternicite, să existe, printre altele

un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Voi interpreta această cerință ca fiind un audit atît timp cît „măsurile„ la care face referire GDPR nu sînt altceva decît controale. De această dată, ca auditor, nu se vor avea în vedere ambele tipuri de teste: de conformitate (compliance), respectiv de fond (substantive).

Reamintesc că testarea conformității presupune testarea controalelor cu scopul de a obține probe de audit atît asupra modului în care acestea sînt proiectate cît și operarea acestora. Testele de fond vizează completitudinea, acuratețea sau existența activităților sau tranzacțiilor.

Dacă citim cu atenție GDPR vom constata că unele controale sînt precis menționate, în timp ce altele trebuie „înțelese„. De exemplu, controale vor fi și Principiile precizate în Capitolul II, atît timp cît nerespectarea acestora  conduce la impunerea amenzilor administrative cu sume deloc de neglijat.

audit-gdpr

În concluzie, testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice presupune să se răspundă, cu probe, la trei întrebări:

  1. Măsurile tehnice și organizatorice EXISTĂ și sînt ADECVATE?
  2. Măsurile tehnice și organizatorice sînt UTILIZATE?
  3. Măsurile tehnice și organizatorice FUNCȚIONEAZĂ așa după cum au fost proiectate?

În această poveste, responsabilul cu securitatea datelor este principalul actor pentru că:

  • monitorizează respectarea GDPR;
  • trebuie să fie implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal;
  • nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale;
  • răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator;
  • în evaluarea impactului asupra protecției datelor, operatorul solicită avizul său.

 

Anunțuri

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s