Revizija skladnosti varstva osebnih podatkov z GDPR-jem in ZVOP-2

V Sloveniji od 26. januarja 2023 velja Zakon o varstvu osebnih podatkov (ZVOP-2), to je lokalna zakonodaja s področja varstva osebnih podatkov, usklajena z zahtevami Splošne uredbe o varstvu podatkov (GDPR). Eno od načel GDPR-ja je odgovornost, kar pomeni, da je dokazovanje skladnosti za varstvo osebnih podatkov stvar upravljavca oz. obdelovalca. Iz tega izhaja, da je pomembno, da ima organizacija, ki obdeluje osebne podatke, transparenten pregled nad stanjem skladnosti varstva osebnih podatkov, prav tako pa zaradi spreminjajoče se tehnologije, pravnih zahtev in okolja, v katerem deluje, redno izvaja preglede skladnosti varstva osebnih podatkov, vse zaradi izpolnjevanja zakonodajnih predpisov. Pregledali smo mednarodne standarde in okvire na področju varovanja podatkov in zaščite zasebnosti ter primerjali relevantne standarde ISO, okvir zasebnosti NIST in COBIT 5 z zahtevami GDPR-ja, da bi ugotovili, ali je lahko osnova za tak pregled kateri od obstoječih standardov oz. okvirov. Nadalje smo predstavili revizijski program organizacije ISACA glede skladnosti z določbami GDPR-ja, ga dopolnili z zahtevami ZVOP-2 ter z njim izvedli revizijo skladnosti varstva osebnih podatkov v eni od slovenskih organizacij. Dopolnjen revizijski program se je izkazal kot učinkovito orodje za preverjanje skladnosti z GDPR-jem in ZVOP-2, saj smo odkrili kar nekaj neskladnosti.

mag. Lidija Vincekovič, dr. Muhamed Turkanović, dr. Tina Beranič

SIR*IUS 6/2024