Výkon auditu GDPR: kto, kedy a ako?

Všeobecné nariadenie o ochrane údajov stanovuje organizáciám povinnosti smerujúce k auditu

Zabezpečiť výkon auditu GDPR by mala organizácia spolu so zodpovednou osobou. Tá má okrem iného povinnosť monitorovať dodržiavanie všeobecného nariadenia o ochrane údajov, a tiež pomáhať pri monitorovaní jeho interného dodržiavania. A čo znamená výkon monitorovania v praxi? Kontrolu alebo audit aktuálneho stavu voči požiadavkám GDPR alebo voči vnútorným požiadavkám na dodržiavanie GDPR.

Článok 39 ods. 1 písm. b) nariadenia GDPR popisuje úlohu zodpovednej osoby monitorovať súlad s nariadením takto:

“Článok 39 Úlohy zodpovednej osoby

1. Zodpovedná osoba má aspoň tieto úlohy:

b) monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;”

Recitál 97 tiež požaduje, aby zodpovedná osoba pomáhala prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania GDPR. Doslovné znenie:

“Ak spracúvanie vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo ak v súkromnom sektore vykonáva spracúvanie prevádzkovateľ, ktorého hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavnými činnosťami prevádzkovateľa alebo spracovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu a údajov týkajúcich sa uznania viny za trestné činy a priestupky, mala by prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany údajov.“

Praktické preukázanie dodržiavania GDPR

Prevádzkovateľ môže dokázať súlad s nariadením preukázaním prijatých a zdokumentovaných bezpečnostných opatrení o poučení zamestnancov o nakladaní s osobnými údajmi. Ďalším spôsobom sú záznamy o spracovateľských činnostiach a deklarácia o tom, na základe akých analýz rizík boli prijaté bezpečnostné opatrenia (spolu s predložením týchto analýz). V prípade bezpečnostného incidentu (porušenia ochrany osobných údajov) je potrebné preukázať dokumentáciu a prijaté následné opatrenia, aby sa podobný incident neopakoval. Súlad s GDPR je možné v praxi preukázať aj plnením si informačnej povinnosti alebo dôkazmi o poskytnutých súhlasoch dotknutých osôb (spolu s ich žiadosťami a prevádzkovateľovými odpoveďami na ne).

Audit vykonaný nezávislým konzultantom

Prevádzkovateľ je zodpovedný za súlad so zásadami GDPR a musí byť schopný ho preukázať. Efektívnym preukázaním je práve výstupná správa z auditu. Ten pritom nemusí byť vykonaný iba internými pracovníkmi – dôležité je, aby prevádzkovateľovi alebo sprostredkovateľovi pomáhala osoba s príslušnými odbornými znalosťami. Externý konzultant môže mať vďaka znalostiam a skúsenostiam širší pohľad na audit a byť menej ovplyvnený jednostrannými postupmi. Organizácia navyše nemá povinnosť školiť svojich interných zamestnancov na výkon auditu.