TFL Vsebine / Revija SIR*IUS

New pronouncements in internal auditing

V Sloveniji od 26. januarja 2023 velja Zakon o varstvu osebnih podatkov (ZVOP-2), to je lokalna zakonodaja s področja varstva osebnih podatkov, usklajena z zahtevami Splošne uredbe o varstvu podatkov (GDPR). Eno od načel GDPR-ja je odgovornost, kar pomeni, da je dokazovanje skladnosti za varstvo osebnih podatkov stvar upravljavca oz. obdelovalca. Iz tega izhaja, da je pomembno, da ima organizacija, ki obdeluje osebne podatke, transparenten pregled nad stanjem skladnosti varstva osebnih podatkov, prav tako pa zaradi spreminjajoče se tehnologije, pravnih zahtev in okolja, v katerem deluje, redno izvaja preglede skladnosti varstva osebnih podatkov, vse zaradi izpolnjevanja zakonodajnih predpisov. Pregledali smo mednarodne standarde in okvire na področju varovanja podatkov in zaščite zasebnosti ter primerjali relevantne standarde ISO, okvir zasebnosti NIST in COBIT 5 z zahtevami GDPR-ja, da bi ugotovili, ali je lahko osnova za tak pregled kateri od obstoječih standardov oz. okvirov. Nadalje smo predstavili revizijski program organizacije ISACA glede skladnosti z določbami GDPR-ja, ga dopolnili z zahtevami ZVOP-2 ter z njim izvedli revizijo skladnosti varstva osebnih podatkov v eni od slovenskih organizacij. Dopolnjen revizijski program se je izkazal kot učinkovito orodje za preverjanje skladnosti z GDPR-jem in ZVOP-2, saj smo odkrili kar nekaj neskladnosti.

National legislation on personal data protection (ZVOP-2) harmonized with the requirements of the General Data Protection Regulation (GDPR) has been in force in Slovenia since 26 January 2023. One of the GDPR principles is accountability, which means that proving compliance for personal data protection is on the data controller/processor. Thus, it is important for the organization that processes personal data to have a transparent overview of the personal data protection compliance, and to regularly conduct personal data protection compliance reviews. We reviewed international standards and frameworks that address the data and privacy protection, and compared the relevant ISO standards, the NIST privacy framework, and COBIT 5 with the requirements of the GDPR in order to determine whether any of the existing standards or frameworks can be the basis for the personal data protection compliance. Furthermore, we presented the ISACA’s audit program regarding its compliance with the GDPR provisions, supplemented it with the requirements of ZVOP-2, and using the newly developed audit program, conducted an audit of the compliance of personal data protection in one of the Slovenian organizations. The updated audit program proved to be an effective tool for checking compliance with GDPR and ZVOP-2, as we discovered quite a few non-compliances.