La începutul anului scriam că Art. 25 este un fel de „cuiul lui Pepelea„ din punct de vedere al implementării și asigurării conformității. Am făcut vorbire despre acest subiect și în mai 2017. La finalul lunii mai 2018 EDPS a publicat Opinion 5/2018 – Preliminary Opinion on privacy by design. Constat (fără lipsă de modestie: folosesc blogul și ca un instrument de autocontrol) că nu am greșit:

It is useful to remind that, whereas the measures identified in Article 32 are just those targeting one of the data protection principles in Article 5, namely the one called “integrity and confidentiality”, Article 24 refers to the implementation of all data protection principles and the compliance with the whole of the GDPR.

In the context of the controller’s responsibility to ensure and to be able to demonstrate compliance with the law, Article 25 aims at technical and organisational measures as required by Article 24, stressing some dimensions of their implementation process already implicitly present in Article 24 and adding others, making them all mandatory.

În continuare voi exemplifica cum am „tradus„ eu cerințele Art. 25 în practică, corelat cu restul cerințelor GDPR (cea mai mare eroare este să citești articolele Regulamentului fără să vezi legătura dintre acestea).

Punctul de start este bineînțeles Art. 5 – Principii legate de prelucrarea datelor cu caracter personal, care impune managementului să demonstreze respectarea principiilor. Ca să poată demonstra acest lucru, organizațiile (excludem companiile mici) trebuie să aibă o structură de guvernare Folosesc „guvernare„ respectiv „management„ în înțelesul COBIT5:

Guvernarea asigură că sunt evaluate nevoile beneficiarilor, condițiile și opțiunile, cu scopul de a identifica
obiective echilibrate, asumate și care pot fi atinse; stabilirea priorităților și luarea deciziilor; monitorizarea
performanței și conformitatea cu direcțiile și obiectivele asumate.

Managementul planifică, creează, administrează și monitorizează activitățile în conformitate cu direcțiile
stabilite de organismul de guvernare, cu scopul de a atinge obiectivele organizației.

De unde rezultă că ar fi nevoie de o structură de guvernare (În articolul anterior am spus că în lipsa DPO tot trebuie să existe un rol care răspunde de protecția datelor)? Din următoarele cerințe:

• Art. 24 spune că operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu regulamentul („cineva„ trebuie să își asume adecavarea )
• Art. 25 impune existența unui reprezentant al operatorului sau al persoanei împuternicită de operator care nu își are sediul în Uniune
• Art. 37-39 fac trimitere la situațiile în care se impune rolul de responsabil cu protecția datelor.
• DPO monitorizează respectarea GDPR, inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în operațiunile de prelucrare, precum și auditurile aferente.
• Art. 28 spune că operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate („cineva„ trebuie să își asume verficarea garanțiilor)
• Art. 29 spune cum se desfășoară activitatea de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de operator („cineva„ își asumă ce este scris prin fița postului)

• Art. 30 impune existența evidențelor activităților de prelucrare („cineva„ își asumă că aceste sînt realizate)

• Art. 33 stabilește condițiile în care se notifică autoritatea de supraveghere în cazul încălcării securității datelor cu caracter personal („cineva„ identifică situațiile apărute și obligativitatea notificării).

• Art. 35 stabilește situațiile în care este obligatorie evaluarea impactului asupra protecției datelor („cineva„ stabilește o procedură, „cineva„ execută, „cineva„ aprobă rezultatul etc.)

Cred că este suficient.

Toate cele de mai sus se încadrează la „asigurarea protecției datelor începând cu momentul conceperii „. Trecînd acum la „privacy by design„ (am susținut că „privacy by design„ este mai mult decît „protecția datelor„) ceea ce am scris corespunde Principiului 1 dezvoltat de Ann Cavoukian: Proactive not reactive; preventive not remedial! („privacy by design„ înseamnă că nu aștept ca lucrurile să se întîmple și să le găsesc ulterior o rezolvare)