Protecției datelor începând cu momentul conceperii și în mod implicit (Articolul 25)

/ 31 martie 2017

O reformulare a Articolului 25 ar fi de forma: cînd se proiectează un sistem nou (dar și în cazul celor existente deja), accesul la datele personale colectate trebuie să fie limitat doar angajaților care au prin fișa postului sarcina de a prelucra astfel de date (fișele posturilor vor trebuie actualizate!). Cu cît sînt mai puțini astfel de angajați cu atît mai mic va fi riscul ca datele personale colectate să fie utilizate în alte scopuri.

Concluzia este că, implicit, trebuie să existe măsuri de securitate care să restricționeze accesul la datele personale.

Paragraful (78) din preambul:

Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparența în ceea ce privește funcțiile și prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranță și să le îmbunătățească. Atunci când elaborează, proiectează, selectează și utilizează aplicații, servicii și produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-și îndeplini rolul, producătorii acestor produse și furnizorii acestor servicii și aplicații ar trebui să fie încurajați să aibă în vedere dreptul la protecția datelor la momentul elaborării și proiectării unor astfel de produse, servicii și aplicații și, ținând cont de stadiul actual al dezvoltării, să se asigure că operatorii și persoanele împuternicite de operatori sunt în măsură să își îndeplinească obligațiile referitoare la protecția datelor. Principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor ar trebui să fie luate în considerare și în contextul licitațiilor publice.

Fără a avea pretenția de completitudine, voi încerca o enumerare (pe cît posibil într-o ordine logică) a tipurilor de tehnologii ce ar trebui folosite în sensul Articolului 25, cu mențiunea că voi folosi o clasificare generalistă deoarece în industrie nu există un limbaj chiar unitar.

  1. Data discovery/data governance/backup/arhivare – cum majoritatea organizațiilor au cantități imense de date, va fi nevoie de o astfel de soluție pentru a identifica cu exactitate unde se află aceste date (stocate, procesate…rețea, sistem etc). Unele sînt prin cloud, altele pe backupuri…..Persoana vizată are drepturi: să îi fie corectate datele; sau să le porteze; sau să îi fie șterse.
  2. Identity Access Management/Privileged Account Management – pentru evidența rolurilor angajaților (implicați direct în activitățile de prelucrare) și accesul în sisteme/la date. Trebuie avuți în vedere și angajații cu privilegii de administrator (IT-ul în special)
  3. Log Management/Audit – pentru a demonstra cine a avut acces, cînd, la ce date/resurse etc. În anumite cirumstanțe, operatorii trebuie să păstreze o evidență a activităților de prelucrare ( „În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidențe ale activităților de prelucrare aflate în responsabilitatea sa.- Paragraful (82) vezi și Articolul 30)
  4. Data Loss Prevention/Device control –La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui să se acorde atenție riscurilor pe care le prezintă prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale.„ – Paragraful (83) din preambul sau Articolul 32
  5. Data(base) protection/monitoring – „Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea și confidențialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare.„ – Paragraful (39) din preambul
  6. Security analytics/Incident management/SIEM – vezi Articolul 33

Autoritate națională de supraveghere are competențe de investigare:

(e) de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la toate datele cu caracter personal și la toate informațiile necesare pentru îndeplinirea sarcinilor sale;

(f) de a obține accesul la oricare dintre incintele operatorului și ale persoanei împuternicite de operator, inclusiv la orice echipamente și mijloace de prelucrare a datelor, în conformitate cu dreptul Uniunii sau cu dreptul procesual intern. – Articolul 58

 

Articole similare

4 gânduri despre “Protecției datelor începând cu momentul conceperii și în mod implicit (Articolul 25)

  1. Un articol care trebuie citit de toti cei certiticați ISACA , dar și de ”operatorii de date personale”. Personal că se bate multă monedă pe datele personale, omitându-se (de multe ori INTENȚIONAT) că e vorba de date personale ale INDIVIZILOR, nu ale ORGANIZAȚIILOR. Ar merita o discuție mult mai amplă, cât de actuală este legea 31/1990 și ce fac/ce nu fac ”organizațiile”+ asocierile lor.
    Părerea mea este că numai LAȘII nu-și dau datele personale (normale gen nume, adresă, functie, date de contact). Nu mă refer la date medicale sau despre cazierul judiciar, deși acestea ar merita o discuție.
    Multumesc Adrian.

    Apreciază

    Răspunde

    • Nu îmi este clar la ce te referi cînd spui că „numai LAȘII nu-și dau datele personale (normale gen nume, adresă, functie, date de contact)„.
      Dacă ai fi medic și ți-ai regăsi pe net numele, CNP-ul, id-ul de pe parafă, specializarea…te-ai simți confortabil?
      În acest moment, faptul că nu avem intergare între sistemele informatice publice este un control de securitate destul de bun 🙂

      Apreciază

      Răspunde

      • Am precizat niste date personale NORMALE și rămân la părerea mea că trăim într-o lume foarte egoistă, orientată nu pe valoare umană, ci pe valoare materială (bani) și pentru asta sacrifică ceea ce la OM are valoare, INCREDEREA .
        Cu fiecare zi, in loc să văd că nu am dreptate, din păcate, mi se confirmă că, asta e.
        Cică există există mai multe nivele de evoluție umană în satisfacerea nevoilor: interesul material, frica, plăcerea și iubirea.

        Apreciază

        Răspunde

        • Referitor la CNP . e adevărat că CNP este UNIC și pe baza lui poate fi identificată (inconfundabil) persoana fizică. Folosirea lui în scop subversiv, intradevăr are consecințe și pentru asta Legiuitorul ar trebui să fie NEIERTATOR. De multe ori. CNP este obligatoriu. Mergeți la fisc la bancă și nu se discută nimic fără CNP. Sistemele lor informatice (că despre asta discutăm) lucrează cu aceste date ca identificatori UNICI. Eu m-aș lega de ”unele organizații” care de fapt, ascund ESCROCI. De ce datele unei companii sunt ”secrete”? Nici o lege nu spune asta, dar se practică (își ascund cât pot Codul fiscal).

          Apreciază

          Răspunde

Mulţumesc.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.