GDPR – Articolul 32 Securitatea prelucrării

/ 21 septembrie 2017

 

În sfîrșit a început efervescența „GDPR„ și pe meleagurile noastre. Cam tîrziu, din punctul meu de vedere, dar cum se zice: „mai bine mai tîrziu decît niciodată„. Este plin internetul de evenimente, oferte de cursuri, consultanță…din toate direcțiile: și juridic dar și tehnic. Nu cred că este producător de soluții de securitate care să nu folosească sintagma „GDPR compliant„. Asta nu înseamnă că ar fi ceva greșit/rău.

Dar după cum am mai scris/spus, eu nu văd „greutăți„ în zona juridică ci în zona tehnică: pentru a transpune în practică cerințele GDPR este nevoie de destul de multă tehnologie și puține companii au investit dincolo de protecția datelor proprii.

De CE și CÎTĂ tehnologie are nevoie o organizație, depinde de la caz la caz. Pe măsură ce „vălul juridic„ se va ridica vor descoperi că, pe lîngă criptare, mai au nevoie și de DLP, MDM, database protection, SIEM….

Despre subiectul din titlu am mai scris pe scurt aici. Spuneam atunci că este vorba despre un „audit„ în fapt pentru că se referă la testarea unor controale. Sau ca să fiu cît mai exact de testarea „măsurilor tehnice și administrative„. Nu trebuie însă să uităm că există Articolul 5 – Principii legate de prelucrarea datelor cu caracter personal , iar operatorul trebuie să dovedească respectarea acestor principii. De aici rezultă că de fapt avem de a face cu o formă de „guvernare„: întreaga responsabilitate cu privire la asigurarea conformității cu GDPR revine managementului.

Exemplu (incomplet): perioada de păstrare a datelor.

Presupunem că din punct de vedere juridic (informarea persoanei vizate) lucrurile sînt corecte. Trebuie însă testat controlul/măsura tehnică prin care ceea ce scrie în notificare se și întîmplă. Acest lucru înseamnă că:

  • există instrucțiuni/proceduri cu privire la subiectul în discuție
  • există un mecansm prin care, atunci cînd datele nu mai trebuie stocate, se activează ștergerea sau anonimizarea lor. Și cum în realitate „ștergerea„ nu este posibilă în multe situații, de fapt va trebui verificat dacă acele date devin inaccesibile, imposibil de modificat
  • că datele sînt criptate, chiar și backup – urile.
  • că există un mecanism prin care terții cărora le-au fost transmise datele sînt informați să le șteargă la rîndul lor
  • ….

La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

 

 

 

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.