Коментари И Интервюта

Ролята на вътрешния одит при внедряването на GDPR

CIO Media

Рамона Червенкова, CGEIT, CRISC

През май 2018г. в страните от ЕС предстои да влезе в сила новият Регламент 2016/679, отнасящ се до защитата на физическите лица във връзка с обработването на лични данни и свободното движение на такива данни, който заменя сега действащата Директива 95/46/EО - GDPR (General Data Protection Regulation). Основните промени, които се очаква да настъпят с въвеждането на регламента най-кратко се определят като:

  • Подобряване управлението на данните

  • Подобряване на оперирането с данните

  • Подобряване на практиките за управление на доставчиците на данни

  • Въвеждане на технически и организационни мерки за достъп до личните данни и цялостното им управление от индивида

  • Въвеждане на технически и организационни мерки за сигурност и защита на данните до нивата на риск, подходящи за индивида.

  • Въвеждане на защити на човешките права в механизмите за съответствие в технологиите за обработка на данни

  • Определяне на независими Длъжностни лица по защита на данните (DPO) в организациите контролиращи и обработващи данни

Въпреки, че много от постановленията на сега действащата Директива са вече отразени в Закона за защита на личните данни (ЗЗЛД) и се запазват занапред, този регламент задава и редица принципно нови насоки, които засягат всички организации администриращи или контролиращи обработката на лични данни, изисквайки въвеждане на нови процеси или промяна на съществуващите в съответствие с новите повишени изисквания. Всяка организация може да избере да реализира тази мащабна инициатива самостоятелно или с външна помощ, като в двата случая служителите от функцията по “Вътрешен одит” (ВО) могат да изпълнят различни групи от задачи.

С какво могат да бъдат полезни вътрешните одитори

Предвид основната роля на вътрешния одит, която му определя отговорности по отношение на анализа и оценката на резултатите от разработването, развитието и изпълнението на бизнес процесите в организацията, той би трябвало да участва активно и в процеса на внедряване и поддържане на съответствието с правилата определени от GDPR. Освен с традиционните си действия по проверка и оценка на бизнес процесите в организацията, служителите на ВО могат да бъдат много полезни и в самия процес по внедряване на промените в организацията като изготвят предписания за отстраняване и дават предложения за начина за отстраняване на несъответствията.

Дейностите, в които служителите от ВО могат да съдействат са на всяка стъпка от процеса по внедряване на GDPR, а именно:

  • Анализ и оценка на текущото ниво на съответствие,

  • Изпълнение на програма за привеждане в пълно съответствие с изискванията

  • Внедряване на процес за управление на лични данни.

Етапът на анализ

По време на етапа за анализ и изготвяне на оценка на текущото състояние на съответствие на процесите в организацията към изискванията на GDPR, служителите от ВО могат да участват като извършват оценки както на действащите бизнес процеси, свързани с обработка и администриране на лични данни на физически лица, така и на извършваните обработки на такива данни с помощта на ИТ средства. При изпълнението на тези дейности, те следва освен обичайните проверки, които се извършват по програмата за провеждане на вътрешен одит, да проверяват и дали с помощта на възприетите практики и използваните ИТ средства за собствениците на личните данни може да се осигурява правото да:

  • Получават навременна информация относно използването на данните

  • Преглеждат и коригират личните си данни

  • Изтриват личните си данни от регистър/система/архив и т.н. („забравяне“)

  • Ограничават обработката на личните им данни

  • Бъдат уведомявани при компрометиране (нерегламентиран достъп, използване, променяне или изтриване) на лични данни или ограничаване на тяхното обработване

  • Изискват пренасяне на данните си към друг администратор на лични данни

  • Възразяват при несъгласие с начина на обработка/използване на техните данни

  • Могат да спрат вземането на решения, основаващи се единствено на автоматизирано обработване, включващо профилиране.

Конкретните анализи и оценки, които е подходящо да бъдат извършени от ВО, са преди всичко в областите на:

  • Организацията и отчетността при обработката и използването на лични данни

  • Степента на централизация на защитата на данни

  • Нивата на защита на данните

  • Нивото на съгласуваност на данните

  • Правата при управление на данните

  • Механизмите за известяване при компрометиране на данните

  • Действията при международни трансфери на данни

  • Ролите и отговорностите по защита на данни

  • Общото ниво на съответствие с GDPR

Изготвените от ВО оценки и предложения за промени следва да бъдат интегрирани в общия резултат от оценката на организацията, извършена в началото на внедряването на GDPR.

Изпълнението на програмата

По време на следващия етап от процеса - изпълнението на програмата за привеждане в съответствие с изискванията на GDPR, ВО може да окаже съдействие като изготвя препоръки по отстраняването на несъответствия при:

  • Дефинирането на необходимите промени в бизнес процесите по обработка на данни

  • Подготовката за извършване на промени в ИТ средата за обработка на данни

  • Определянето на подходящи контролни механизми при работа с данните

  • Разработването на усъвършенствани механизми за отчетност и известяване

Като ръководство в помощ при изпълнението на всички дейности по разработка на процеси, механизми и контроли служителите на ВО могат да използват дефинициите на COBIT®5 в секциите третиращи „Процеси“, „Информация“, „Култура, Етика и Поведение“ и „Принципи, Политики и Рамки“.

Внедряване

На етапа на внедряване на актуализираните процеси за управление на личните данни служителите от ВО могат да бъдат полезни при:

  • Дефиниране – създаване и/или актуализации на вътрешни правила

  • Разработване – проверка на извършените промени в ИТ средата и масивите от данни, бизнес процесите, вътрешните контроли, организацията на работа и отчетността

  • Внедряване - тестване на създадените правила и направените разработки

  • Провеждане на вътрешен одит – обща проверка на съответствието с изискванията на GDPR

На този етап участието на ВО може да намали чувствително вложените усилия, да повиши качеството на работа и да съкрати времето за изпълнение, както и да даде оценка на резултатите от завършения процес по внедряване на GDPR.

Проверката на съответствието

Дори ако ръководството на организацията реши да не включи пряко служителите от ВО в процеса на подготовка и внедряване на промените, свързани с изисквания на GDPR, отговорностите на функцията следва задължително да бъдат разширени в посока на присъщите задължения по изпълнението на проверката на съответствието. В рамките на годишния одит план трябва да се добавят дейности по анализ и оценка на дизайна и изпълнението на всички дейности, извършени при внедряването на GDPR за постигането на съответствие с изискванията, както и адекватността и ефективността на въведените контролни механизми за непрекъснато поддържане на такова съответствие. Това означава, че в обхвата на одита следва да се включи както самия проект по внедряване на GDPR, така и промените в организацията, които са резултат от неговото изпълнение.

В зависимост от дейността и структурата на организацията при планиране на одита е необходимо да бъдат обхванати в една или друга степен следните области:

  • Лични данни – идентификация, поверителност, собственици, покритие

  • Характер и обхват на дейността – администратор/DPO, териториални единици

  • Законово основание за администриране на лични данни – обем, характер

  • Прозрачност на процеса по обработка и администриране

  • Ниво на защита на данните и отчетност

  • Спазване на правата на собственика на лични данни

  • Ниво на сигурност на данните

  • Мониторинг и реакция при пробив (изтичане, промяна, изтриване) на данни

  • Практики при международен трансфер на данни извън ЕС

  • Работа на DPO, доставчици на данни, подизпълнители при администрирането

Ръководителят на функцията по Вътрешен одит трябва да предложи подходяща работна програма на одита, актуализиран списък на контролните области и новите вътрешни контроли, които следва да бъдат обект на проверка и се отнасят конкретно до съответствието с изискванията на GDPR. В обхвата задължително трябва да се включат организацията на изпълнение на дейността, управлението на бизнес процесите, архитектурата за сигурност, управлението на непрекъсваемостта на бизнеса, управлението на идентификациите, управлението на риска и управлението на жизнения цикъл на записите в регистъра на физическите лица.

Въвеждането на новата регулаторна рамка GDPR в страните от ЕС при всички случаи ще предизвика значително увеличаване в натоварването на функциите по ВО през настоящата година. От друга страна, се очаква в дългосрочен план внедряването на съответствие с изискванията на Регламента да подобри и облекчи както обработката, така и контрола върху защитата на личните данни чрез въвеждане на дългосрочни решения за нея, ефективни и ефикасни защитни средства, намаляване на бюрокрацията и документооборота и опростяване и облекчаване на международни обмен на данни в и извън ЕС.


X