Spuneam în articolul anterior că abia aștept data de 25 mai 2018. De ce? Pentru că îmi voi exercita drepturile, pe ici pe colo, pe unde voi considera de cuviință. Iar operatorii vor trebui să răspundă în termen de o lună cererii mele. Pentru că GDPR este despre drepturile indivizilior și obligațiile organizațiilor. Găselnița juridică cu „prelucrăm datele în acord cu Legea 677/2001„ nu va mai fi valabilă…..Și nici Autoritatea de Supraveghere nu cred că va fi chiar indulgentă pentru că acum „cel vizat„ se poate adresa și individual instanțelor.

GDPR nu impune nici o obligație legală cu privire la inventarierea datelor personale!

Și totusi acest lucru trebuie făcut! De unde rezultă acest lucru?

Atît operatorul cît și persoana împuternicită de acesta trebuie să înțeleagă activitățile de prelucrare: unde sînt colectate datele, de către cine, cum sînt transmise, unde sînt stocate, cît timp sînt stocate. Spus altfel, datele personale trebuie asociate unei persoane sau sistem care realizează prelucrarea. În anumite situații, „fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea lor.„

În organizații întîlnim două tipuri de date:

• structurate – le regăsim în „cîmpuri„ distincte în tabelele bazelor de date sau fișiere
• nestructurate – le regăsim…oriunde într-un fișier

Unde le găsim? Oriunde: suporți de stocare, telefoane, mailuri, cloud…..De aici înțelegem că un prim pas în „proiectul„ numit „conformare GDPR„ ar trebui să fie acesta: inventarierea datelor și stabilirea „duratei de viață„. 

Nu cred că mai există vreun producător care să nu se laude că oferă soluții pentru GDPR (DLP nu este suficient!). Dar abia după inventariere putem ști cît de cît riguros care sînt tehnologiile de care avem nevoie.

„Cineva„ din organizație trebuie să ofere asigurări că există „un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.„