Cîteva vorbe despre măsurile tehnice corespunzătoare din GDPR

/ 16 martie 2017

Știm din Art.5 (f) că datele personale sînt:

prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).

Știm din Art. 24 (1):

 Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

respectiv Art. 25:

(1) Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.

(2)   Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.

Să presupunem că am rezolvat cerința privind măsurile organizatorice: DPO; modificare fișe de post; politici noi; proceduri corespunzătoare; instrucțiuni de lucru; evaluare riscuri; înregistrări etc. Prespunem că am pus în practică un „data governance framework„ :). Adică tot ce ține de procese și resurse umane.

Am ajuns în etapa măsurilor tehnice. Aici am putea aborda lucrurile pornind de la locul/starea datelor: în mișcare (in motion); utilizate/procesate (in use); stocate (at rest). Cîteva exemple:

  • în mișcare
    • securitatea perimetrului și blocare/monitorizare trafic rețea
    • filtrare trafic/conținut web
    • mesagerie electronică
    • acces de la distanță
    • ….
  • utilizate
    • monitorizare utilizatori care prelucrează date personale
    • restricționare acces
    • control aplicații
    • etichetare
    • control medii de stocare externe, copiere
    • ….
  • stocate
    • criptare
    • dispozitive mobile
    • data masking/database protection
    • control medii de stocare
    • arhivare/ștergere/distrugere
    • …..

Nu am spus nimic despre încălcarea măsurilor de securitate și informarea Autorității. Cu altă ocazie.

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.