Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Коментари
бр. 7, 2017

Ролята на вътрешния одит при внедряването на GDPR

Новият регламент на ЕС задава редица принципно нови насоки, които засягат всички организации администриращи или контролиращи обработката на лични данни

от , 26 юли 2017 0 396 прочитания,

Рамона Червенкова, CGEIT, CRISC

През май 2018г. в страните от ЕС предстои да влезе в сила новият Регламент 2016/679, отнасящ се до защитата на физическите лица във връзка с обработването на лични данни и свободното движение на такива данни, който заменя сега действащата Директива 95/46/EО - GDPR (General Data Protection Regulation). Основните промени, които се очаква да настъпят с въвеждането на регламента най-кратко се определят като:

  • Подобряване управлението на данните

  • Подобряване на оперирането с данните

  • Подобряване на практиките за управление на доставчиците на данни

  • Въвеждане на технически и организационни мерки за достъп до личните данни и цялостното им управление от индивида

  • Въвеждане на технически и организационни мерки за сигурност и защита на данните до нивата на риск, подходящи за индивида.

  • Въвеждане на защити на човешките права в механизмите за съответствие в технологиите за обработка на данни

  • Определяне на независими Длъжностни лица по защита на данните (DPO) в организациите контролиращи и обработващи данни

Въпреки, че много от постановленията на сега действащата Директива са вече отразени в Закона за защита на личните данни (ЗЗЛД) и се запазват занапред, този регламент задава и редица принципно нови насоки, които засягат всички организации администриращи или контролиращи обработката на лични данни, изисквайки въвеждане на нови процеси или промяна на съществуващите в съответствие с новите повишени изисквания. Всяка организация може да избере да реализира тази мащабна инициатива самостоятелно или с външна помощ, като в двата случая служителите от функцията по “Вътрешен одит” (ВО) могат да изпълнят различни групи от задачи.

С какво могат да бъдат полезни вътрешните одитори

Предвид основната роля на вътрешния одит, която му определя отговорности по отношение на анализа и оценката на резултатите от разработването, развитието и изпълнението на бизнес процесите в организацията, той би трябвало да участва активно и в процеса на внедряване и поддържане на съответствието с правилата определени от GDPR. Освен с традиционните си действия по проверка и оценка на бизнес процесите в организацията, служителите на ВО могат да бъдат много полезни и в самия процес по внедряване на промените в организацията като изготвят предписания за отстраняване и дават предложения за начина за отстраняване на несъответствията.

Дейностите, в които служителите от ВО могат да съдействат са на всяка стъпка от процеса по внедряване на GDPR, а именно:

  • Анализ и оценка на текущото ниво на съответствие,

  • Изпълнение на програма за привеждане в пълно съответствие с изискванията

  • Внедряване на процес за управление на лични данни.

Етапът на анализ

По време на етапа за анализ и изготвяне на оценка на текущото състояние на съответствие на процесите в организацията към изискванията на GDPR, служителите от ВО могат да участват като извършват оценки както на действащите бизнес процеси, свързани с обработка и администриране на лични данни на физически лица, така и на извършваните обработки на такива данни с помощта на ИТ средства. При изпълнението на тези дейности, те следва освен обичайните проверки, които се извършват по програмата за провеждане на вътрешен одит, да проверяват и дали с помощта на възприетите практики и използваните ИТ средства за собствениците на личните данни може да се осигурява правото да:

  • Получават навременна информация относно използването на данните

  • Преглеждат и коригират личните си данни

  • Изтриват личните си данни от регистър/система/архив и т.н. („забравяне“)

  • Ограничават обработката на личните им данни

  • Бъдат уведомявани при компрометиране (нерегламентиран достъп, използване, променяне или изтриване) на лични данни или ограничаване на тяхното обработване

  • Изискват пренасяне на данните си към друг администратор на лични данни

  • Възразяват при несъгласие с начина на обработка/използване на техните данни

  • Могат да спрат вземането на решения, основаващи се единствено на автоматизирано обработване, включващо профилиране.

Конкретните анализи и оценки, които е подходящо да бъдат извършени от ВО, са преди всичко в областите на:

  • Организацията и отчетността при обработката и използването на лични данни

  • Степента на централизация на защитата на данни

  • Нивата на защита на данните

  • Нивото на съгласуваност на данните

  • Правата при управление на данните

  • Механизмите за известяване при компрометиране на данните

  • Действията при международни трансфери на данни

  • Ролите и отговорностите по защита на данни

  • Общото ниво на съответствие с GDPR

Изготвените от ВО оценки и предложения за промени следва да бъдат интегрирани в общия резултат от оценката на организацията, извършена в началото на внедряването на GDPR.

Изпълнението на програмата

По време на следващия етап от процеса - изпълнението на програмата за привеждане в съответствие с изискванията на GDPR, ВО може да окаже съдействие като изготвя препоръки по отстраняването на несъответствия при:

  • Дефинирането на необходимите промени в бизнес процесите по обработка на данни

  • Подготовката за извършване на промени в ИТ средата за обработка на данни

  • Определянето на подходящи контролни механизми при работа с данните

  • Разработването на усъвършенствани механизми за отчетност и известяване

Като ръководство в помощ при изпълнението на всички дейности по разработка на процеси, механизми и контроли служителите на ВО могат да използват дефинициите на COBIT®5 в секциите третиращи „Процеси“, „Информация“, „Култура, Етика и Поведение“ и „Принципи, Политики и Рамки“.

Внедряване

На етапа на внедряване на актуализираните процеси за управление на личните данни служителите от ВО могат да бъдат полезни при:

  • Дефиниране – създаване и/или актуализации на вътрешни правила

  • Разработване – проверка на извършените промени в ИТ средата и масивите от данни, бизнес процесите, вътрешните контроли, организацията на работа и отчетността

  • Внедряване - тестване на създадените правила и направените разработки

  • Провеждане на вътрешен одит – обща проверка на съответствието с изискванията на GDPR

На този етап участието на ВО може да намали чувствително вложените усилия, да повиши качеството на работа и да съкрати времето за изпълнение, както и да даде оценка на резултатите от завършения процес по внедряване на GDPR.

Проверката на съответствието

Дори ако ръководството на организацията реши да не включи пряко служителите от ВО в процеса на подготовка и внедряване на промените, свързани с изисквания на GDPR, отговорностите на функцията следва задължително да бъдат разширени в посока на присъщите задължения по изпълнението на проверката на съответствието. В рамките на годишния одит план трябва да се добавят дейности по анализ и оценка на дизайна и изпълнението на всички дейности, извършени при внедряването на GDPR за постигането на съответствие с изискванията, както и адекватността и ефективността на въведените контролни механизми за непрекъснато поддържане на такова съответствие. Това означава, че в обхвата на одита следва да се включи както самия проект по внедряване на GDPR, така и промените в организацията, които са резултат от неговото изпълнение.

В зависимост от дейността и структурата на организацията при планиране на одита е необходимо да бъдат обхванати в една или друга степен следните области:

  • Лични данни – идентификация, поверителност, собственици, покритие

  • Характер и обхват на дейността – администратор/DPO, териториални единици

  • Законово основание за администриране на лични данни – обем, характер

  • Прозрачност на процеса по обработка и администриране

  • Ниво на защита на данните и отчетност

  • Спазване на правата на собственика на лични данни

  • Ниво на сигурност на данните

  • Мониторинг и реакция при пробив (изтичане, промяна, изтриване) на данни

  • Практики при международен трансфер на данни извън ЕС

  • Работа на DPO, доставчици на данни, подизпълнители при администрирането

Ръководителят на функцията по Вътрешен одит трябва да предложи подходяща работна програма на одита, актуализиран списък на контролните области и новите вътрешни контроли, които следва да бъдат обект на проверка и се отнасят конкретно до съответствието с изискванията на GDPR. В обхвата задължително трябва да се включат организацията на изпълнение на дейността, управлението на бизнес процесите, архитектурата за сигурност, управлението на непрекъсваемостта на бизнеса, управлението на идентификациите, управлението на риска и управлението на жизнения цикъл на записите в регистъра на физическите лица.

Въвеждането на новата регулаторна рамка GDPR в страните от ЕС при всички случаи ще предизвика значително увеличаване в натоварването на функциите по ВО през настоящата година. От друга страна, се очаква в дългосрочен план внедряването на съответствие с изискванията на Регламента да подобри и облекчи както обработката, така и контрола върху защитата на личните данни чрез въвеждане на дългосрочни решения за нея, ефективни и ефикасни защитни средства, намаляване на бюрокрацията и документооборота и опростяване и облекчаване на международни обмен на данни в и извън ЕС.

КОМЕНТАРИ ОТ  

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Ролята на вътрешния одит при внедряването на GDPR"



    

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов