Cînd scriu aceste rînduri, la final de an 2017, Google afișează 8.770.000 rezultate pentru „GDPR„. Un material în plus nu mai contează…..Cu sau fără ajutorul unui „expert„, un proiect (prin urmare ce scriu nu intră în detalii specifice) de implementare a măsurilor care să asigure conformitatea cu cerințele regulamentului ar arăta, în viziunea mea, ca în rîndurile următoare. GDPR trebuie abordat ca un program.

1. Curs pentru angajați

Nu este vorba despre cursul pentru DPO ci de un curs de „înțelegere„ a Regulamentului. Ar trebui urmat, ideal, de toți cei care vor prelucra date cu caracter personal și care vor fi implicați în proiect: angajații trebuie să înțeleagă „de ce„ și „cum„. Cuprinsul cursului dezvoltat de mine, aici. (cu erorile de paginare…)

2. Analiză inițială

Îi mai spunem și „GAP anaysis„/analiza decalajelor și ne va ajuta să înțelegem/„să vedem„ unde sîntem în momentul inițierii proiectului și unde ar trebui să ajungem. Un exemplu/model aici.

Sau alte exemple de la ICO (autoritatea din UK).

3. Evaluare riscuri

Despre acest  subiect am scris cîteva opinii:

• Despre evaluarea riscurilor în GDPR
• În GDPR, likelihood nu înseamnă probabilitate
• Riscuri și scenarii de risc

4. Inventarierea datelor personale

În realitate, pe lîngă inventarierea datelor cu caracter pesonal inventariem și documentele pe care aceste date se află. Un exemplu/formular aici 

Cîteva explicații aici.

Mai există și alte instrumente software….dar cele care merită interes, deocamdată sînt contracost.

5. Fluxul datelor

Pe baza punctului anterior vom face „fotografia„ prelucrărilor din cadrul fiecărui proces economic (asta dacă avem „desenate„ procesele economice….dacă nu, se face tot acum). Am prezentat un exemplu aici.

Pentru desenarea fluxurilor folosesc un instrument gratuit,

În acest moment putem spune că am realizat ceea ce autoritatea noastră de supraveghere denumește ca fiind „cartografierea datelor„. Este momentul în care se identifică/stabilește „legalitatea prelucrării„ și „minimizarea„. De aici se vor identifica și măsurile de securitate de care va mai fi nevoie.

5. Evaluarea impactului asupra protecției datelor (DPIA)

Subiectul ar necesita mai multe comentarii, dar pentru scopul acestei postări amintesc doar că:

• există ghid de la WP29.
• există ISO 29134
• Există instrument software gratuit de la CNIL (autoritatea din Franța)

6. „Descoperirea datelor„

Este prima etapă „pur tehnică„: să știi exact unde sînt datele/documentele. Este exclus ca acest lucru să poată fi realizat doar manual sau pe bază de interviuri. Piața pune la dispoziției astfel de soluții, avem de unde alege (cu atenție însă…).

7. Informare și notificare

Punctul 5 de mai sus ne indică unde trebuie făcută „informarea persoanei vizate„ și cînd trebuie „notificată„ autoritatea de supraveghere și persoana vizată în cazul încălcării măsurilor de securitatea, (Se au în vedere și scenariile de risc de la punctul 3).

8. Managementul consimțămîntului

Dacă prelucrarea se bazează pe consimțămîntul persoanei vizate trebuie dezvoltat un proces care să asigure atît colectarea cît și retragerea acestuia. Cînd numărul persoanelor vizate este mare, gestiunea manuală a consimțămîntului va fi dificilă. Piața pune la dispoziție soluții diverse, on site sau cloud, pe bani sau gratuit…

9. Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

Este, după evaluarea riscurilor, subiectul cel mai „spinos„ și care va avea nevoie de timp pentru a fi atins.

Ghidul autorității norvegiene este un început bun.

10…

Sînt destul de convins că pînă în mai 2018 majoritatea subiectelor care astăzi încă mai sînt în ceață vor fi clarificate prin ghidurile și opiniile WP29 (EDPB)