Scriu aceste rînduri după un schimb de idei pe un grup din online (autorul era avocat):

• „GDPR nu este doar despre securitate. Securitatea prelucrării este doar 30% din Regulament
• Realitatea e că, în prezent, doar juriștii au putut înțelege această legislație destul de complexă„

Disputa a avut ca scînteie promovarea unui „kit de implementare GDPR„ iar unii dintre participanții la discuție (inclusiv eu) susțineau că „hîrtia„ fără „tehnologie„ în multe cazuri nu este suficientă. Există un mare risc pentru cei care, cumpără un „kit/template„ fără a face o minimă adaptare la realitatea afacerii: crearea impresiei de asigurare a conformității cînd de fapt acest obiectiv nu va fi atins!

Ce înseamnă responsabilitate în GDPR?

Ca să nu plictisesc cu o postare „academică„ voi menționa direct documentul oficial care face referire la acest subiect: WP 173 – Opinion 3/2010 on the principle of accountability

Documentul citat prezintă o listă cu exemple de măsuri prin care se poate demonstra responsabilitatea (respectarea principiilor prelucrării):

• Establishment of internal procedures prior to the creation of new personal
  data processing operations (internal review, assessment, etc);
• Setting up written and binding data protection policies to be considered and
  applied to new data processing operations (e.g., compliance with data quality, notice, security principles, access, etc), which should be available to data subjects.
• Mapping of procedures to ensure proper identification of all data processing
  operations and maintenance of an inventory of data processing operations,
• Appointment of a data protection officer and other individuals with
  responsibility for data protection;
• Offering adequate data protection, training and education to staff members.
  This should include those processing (or responsible for) the personal data
  (such as human resources directors) but also IT managers, developers and directors of business units. Sufficient resources should be allocated for
  privacy management, etc.
• Setting up of procedures to manage access, correction and deletion requests
  which should be transparent to data subjects;
• Establishment of an internal complaints handling mechanism;
• Setting up internal procedures for the effective management and reporting of
  security breaches;
• Performance of privacy impact assessments in specific circumstances;
• Implementation and supervision of verification procedures to ensure that all
  the measures not only exist on paper but that they are implemented and work
  in practice (internal or external audits, etc).

De cîte politici/proceduri, acorduri clauze etc și tehnologie este nevoie pentru a obține o asigurare rezonabilă cu privire la atingerea conformității GDPR?

Unele dintre cerințele „documentare„ se aplică majorității organizațiilor. Altele însă trebuie analizate de la caz la caz. Nu există, în realitate, nici un „kit/template„ care să îți ofere asigurări/garanții: indiferent cît ai plătit, responsabilitatea finală este tot a managementului. Și doar a managementului!

De cîtă tehnologie avem nevoie? Aici răspunsul este simplu: în funcție de riscurile identificate pornind de la natura datelor, contextul și scopul prelucrărilor. Unele organizații (nu chiar multe) au nevoie de investiții reduse, altele în schimb s-ar putea să se sperie….

Și totuși cum demonstrez responsabilitatea?

După ce am estimat și evaluat riscurile (trebuie să demonstrez că măsurile pe care le-am aprobat sînt proporționale cu riscurile), după ce am pus în practică măsuri tehnice și administrative („by design„ și „by default„), Art. 32.(d) zice că trebuie să le testez, evaluez și apreciez periodic  eficacitatea. Eficacitatea, nu doar existența! Adică asigur protecția datelor personale și nu mă limite la „hîrtii„ cu care să mă justific în fața Autorităților.

Legat de acest subiect am spus că este audit (mai corect spus revizie pentru că nu emite nimeni opinie de conformitate)

În orice audit/revizie se realizează două tipuri de teste asupra controalelor (adică măsurile tehnice și administrative):

• compliance testing /testarea controlului (Ai făcut evaluarea riscurilor? Ai Informare? Ai o procedură de arhivare? Ai o procedură de management utilizatori? Ai procedură management incidente?…..)
  
• substantive testing/testarea de fond/detaliu – altfel spus substanţa şi integritatea unui control, eficacitatea sa (Testez ceea ce este declarat prin politică/procedură. Informarea a fost făcută așa cum se cere și se declară? Datele se șterg așa după cum se declară în procedură? Au acces la date doar utilizatorii menționați în proceduri? Funcționează managementul incidentelor?….)