Titlul este o traducere din Opinion 3/2010 on the principle of accountability:

Data protection must move from ‘theory to practice’. Legal requirements must be translated into real data protection measures.

Datele personale sînt ale noastre nu ale organizației care le folosește!

Datele personale nu „plutesc„ și prin urmare protecția lor înseamnă protecția activelor implicate în prelucrare: document, memory stick, laptop, aplicație, email, server, SGBD etc. Pentru că nu poți pierde „numele„ sau modifica „adresa„.

Lipsa mecanismelor de protecție conduce la riscuri. Dar acestea au efecte diferite.

Majoritatea organizațiilor prelucrează datele personale ale angajaților. Prelucrează și date care țin de afacere în sine: achiziții, vînzări, producție etc. Riscurile sînt diferite în cele două cazuri și prin urmare și măsurile de protecție vor fi diferite.

Un magazin on line poate prelucra numele și prenumele, adresa de domiciliu, adresa de email, numărul de telefon pentru două scopuri distincte: pe de o parte pentru a îndeplini un contract (livrarea produselor și facturarea lor în baza comenzii clientului), pe de altă parte să transmită noutățile pe email. Scopuri diferite – obligații diferite- măsuri diferite. Dar și aplicația poate fi administrată intern sau poate fi as-a-service.

Impactul publicării acelor date (cele de contact) nu este același ca cel al publicării cumpărăturilor făcute pe site. Sau a rețetelor (în cazul unei farmacii) sau a buletinului de analiză. Sau modificarea datelor de sănătate

(am descoperit în SIUI că am făcut o endoscopie…pe care nu am făcut-o niciodată! Am plătit în schimb cu totul alte „scanări„…. .La un moment dat figuram „rău platnic„ pentru că acumulasem comisioane de administrare neplătite la un card care a fost reînnoit fără ca banca să mă întrebe dacă mai doresc și care card nu ajunsese la mine……Este un exercițiu foarte bun să vezi ce și cum cu datele tale)

Sau ești firmă de dezvoltare software și în testare folosești datele clientului. Nu întotdeauna ele vor putea fi anonimizate.

În timp ce publicarea numelui (care poate fi deja publicat/public) sau primirea unui mail nesolicitat provoacă  cel mult iritare (dar lipsa consimțămîntului intră sub incidența amenzilor!), publicarea veniturilor sau restanțelor la plata impozitelor (că tot a făcut asta ANAF) are cu totul alt impact.

Se colectează atît DATE (ca în exemplul cu magazinul online) dar și documente (CI, actul de proprietate al bunului, adeverință de salariu/venituri etc). Atunci cînd se colectează doar date, în urma prelucrării, acestea se vor regăsi în documente. Și realitatea românească ne arată că după aceste documente se fac nenumărate copii care sînt stocate mai ales pe unde nu trebuie (de multe ori pe stația celui care lucrează)

Colectarea datelor/documentelor poate fi realizată într-un singur punct (de exemplu Registratura) dar prelucrarea este specifică procesului/proceselor și de cele mai multe ori implică partajare.

Dacă sîntem organizație trebuie să știm exact fluxul datelor? Răspunsul este Da și este impus de bunul simț sau de ghidul DPIA:

a systematic description of the processing is provided (Article 35(7)(a)):

• nature, scope, context and purposes of the processing are taken into account (recital 90)
• personal data, recipients and period for which the personal data will be stored are recorded;
• a functional description of the processing operation is provided;
• the assets on which personal data rely (hardware, software, networks, people, paper or paper transmission channels) are identified;

Și dacă tot am terminat treaba legată de „măsuri administrative„ (politici, proceduri, consimțămînt, informare, fișe de post, DPIA etc) ajungem la partea tehnica: protecția „assets on wich personal data rely„!