În anii de practică am citit o mulțime de „politici de securitate„. Nu spun nici o noutate dacă afirm că multe dintre acestea erau forme fără fond, „hîrtii„.

Se va întîimpla același lucru în cazul GDPR? Vom trăi și vom vedea. Dar dacă abordarea va fi „o hîrtie pe care trebuie să o avem…ca la ISO xxxxx„ s-ar putea să…doară.

Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. – Preambul 78

„reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună; – Art. 4(20)

Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate de protecție a datelor.- Art. 24(2)

monitorizarea respectării prezentului regulament, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente – Art. 39 (1)(b)

O politică de protecție a datelor este diferită de politica de securitate dintr-un motiv simplu: cea din urmă a vizat securitatea datelor organizației în timp ce prima se referă la securitatea datelor…„altora„.

O politică de securitate a datelor trebuie să articuleze poziția organizației cu privire la modul în care se ocupă de datele personale pe care le prelucrează în cursul normal al activităților sale. Politica ar trebui să includă informații referitoare la procesele de colectare, analiză,întreținere, diseminare, acces, eliminare și dispunere.
Scopul acestei politici este să arate public cum va respecta organizația cerințele legale (de ex. Art. 5 – Principii legate de prelucrarea datelor cu caracter personal) și va fi o „măsură administrativă„.

Politica va fi susținută ulterior de ….proceduri și măsuri tehnice.

Politica poate fi solicitată de Autoritatea de supraveghere dar și de către….instanța de judecată în situația în care persoana vizată apelează la această soluție: „fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.„ – Art. 79