Din cîteva interacțiuni cu cererea și oferta de servicii de consultanță în baza GDPR, am constatat că se pornește pe un drum ….ocolitor. Spun ocolitor și nu greșit pentru că, după „hîrtii„ (mai mult sau mai puțin complete) va urma inevitabil și partea tehnică. Conformitatea nu poate fi asigurată doar cu „măsuri administrative„ – politici/proceduri. Cine crede că va fi altfel, se înșeală. Cine cumpără doar „hîrtii„ care nu au legătură cu procesele din organizație (data inventory, data flow), greșește. (Aproape în toate ghidurile WP29 vom găsi referințe la „proces„. DPIA este proces, de exemplu.)

1. Confidențialitate

   Articolul 5 – Principii legate de prelucrarea datelor cu caracter personal

   (1) Datele cu caracter personal sunt:

(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”)

Articolul 25 – Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

Articolul 28 – Persoana împuternicită de operator

(3) Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului.

(b) se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;

Articolul 29 – Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operator

Articolul 32 – Securitatea prelucrării

Articolul 39 – Sarcinile responsabilului cu protecția datelor

Articolul 49 – Derogări pentru situații specifice

Articolul 83 – Condiții generale pentru impunerea amenzilor administrative

2. Integritate

Articolul 5 – Principii legate de prelucrarea datelor cu caracter personal

(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”)

Articolul 25 – Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

Articolul 32 – Securitatea prelucrării

Articolul 33 – Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

Articolul 39 – Sarcinile responsabilului cu protecția datelor

Articolul 49 – Derogări pentru situații specifice

Articolul 83 – Condiții generale pentru impunerea amenzilor administrative

3. Disponibilitate

Articolul 5 – Principii legate de prelucrarea datelor cu caracter personal

(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);

Articolul 13 – Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

Articolul 15 – Dreptul de acces al persoanei vizate

Articolul 20 – Dreptul la portabilitatea datelor

Articolul 25 – Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

Articolul 32 – Securitatea prelucrării

Articolul 83 – Condiții generale pentru impunerea amenzilor administrative

Dacă prelucrare înseamnă

„orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

atunci o procedură trebuie să descrie

formalizat, secvența prelucrărilor de mai sus, necesare pentru a realiza un proces economic.

Dar cum prelucrarea datelor personale se face preponderent într-un sistem informatic, procedura trebuie să includă de fapt: datele folosite (intrările), prelucrările (operațiunile din definiție, inclusiv sistemele/aplicațiile), ieșirile și rolurile (matrice sarcini/responsabilități). Documentul care nu va include aceste informații poate fi denumit oricum, dar nu procedură…:

 

Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.

Pe lîngă „drepturile persoanei vizate„ comentate și răscomentate (Art.12-20) organizațiile nu trebuie să uite de:

Articolul 77 – Dreptul de a depune o plângere la o autoritate de supraveghere

Articolul 78 – Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere

Articolul 79 – Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator