Audit shody osobních údajů s GDPR

Jste správcem nebo zpracovatelem osobních údajů? Chcete sladit zpracování osobních údajů se závaznými předpisy? Chcete vědět, kde děláte chybu? Potřebujete audit!

Audit nakládání s osobními údaji

Účelem auditu je prověření souladu s předem určenými požadavky. Ty mohou být např. stanoveny interně organizací, resp. jejími vlastními předpisy, nebo zvoleným standardem (např. ISO normou), nebo legislativou, tj. zákonnými předpisy, které jsou pro organizaci závazné.

Ze zaměření auditu vychází také volba způsobu, případně použitých nástrojů, jakými bude subjekt ověřován. Jedná-li se např. o bezpečnostní audit, bude zkoumáno zabezpečení. Jde-li o procesní audit, budou zkoumány interní postupy. Pokud se jedná o technický audit, budou zkoumána technická zařízení, příp. používané technologie. V případě ochrany osobních údajů jde často o kombinaci uvedených typů, protože nařízení EU klade požadavky nejen na organizační opatření, ale požaduje i vhodná technická řešení. A právě objektivní posouzení vhodnosti zavedených (a dokumentovaných) opatření nelze dost dobře zajistit jinak, než auditem.

Jak probíhá audit?

Audit sám o sobě je procesem, do kterého nějaké informace vstupují, a jiné zase vystupují. Vstupem je vše, co souvisí s výskytem osobních údajů a způsobem jejich zpracování. Přičemž pod pojmem zpracování si můžeme představit všechny činnosti s osobními údaji, jako např. pořizování, shromažďování, ukládání, sdílení, řazení, filtrování, předávání, zpřístupňování, vytváření kopií či záloh, mazání nebo likvidace. Výstupem je výsledek ověření existujícího stavu oproti stanoveným požadavkům. Výsledek může nabývat zpravidla dvou stavů „shoda“ nebo „neshoda“. Dále se ve výsledku může objevit doporučení auditora, a to i v případě, že žádná neshoda nebyla identifikována. Jedná se např. o doporučení možností ke zlepšení stávajících opatření nebo efektivnější způsob řešení.

Jaké požadavky definuje GDPR?

Audit shody nakládání s OÚ ve shodě s nařízením EU už v sobě obsahuje samotné zadání auditu. Etalonem pro posouzení shody je nařízení EU známé pod zkratkou GDPR, které nově upravuje požadavky na ochranu fyzických osob v souvislosti se zpracováním jejich osobních údajů, a které de facto nahrazuje dosavadní národní úpravu - zákon č. 101/2000 Sb., o ochraně osobních údajů. Tyto požadavky jsou definovány:

  • v procesní rovině − jako požadavky na zavedení a dokumentaci vhodných interních postupů správce a zpracovatele při získávání a dalším nakládání s OÚ, do kterých musí být promítnuto zajištění všech práv subjektů zpracovávaných OÚ,
  • v organizačně administrativní rovině − jako požadavky na zajištění organizačních opatření spojených s bezpečným používáním OÚ oprávněnými, poučenými a školenými osobami,
  • v technické rovině − jako požadavky na zavedení technických a technologických opatření, která zajistí bezpečnost zpracovávaných OÚ ve všech fázích jejich životního cyklu.

Zvolená metodika auditu OÚ

K realizaci auditu shody OÚ s nařízením používáme vlastní metodiku a vlastní dotazník zpracovaný na základě „paragrafového“ znění nařízení. V tomto dotazníku jsou zahrnuty veškeré kapitoly a články s požadavky nařízení pro správce a zpracovatele OÚ přeformulované do otázek pro usnadnění odpovědí. Vyplněním dotazníku získá auditor i organizace (ať se jedná o správce nebo zpracovatele) okamžitý přehled o všech identifikovaných neshodách skutečného stavu ve srovnání s požadovaným stavem, a navíc grafické vyjádření výsledků vhodné pro manažerské shrnutí auditu.

Zájem ?