Este un titlul (cu mici variații) citit cel mai adesea în online în ultimii doi ani pentru că este ”click-bait”. Discuții, prezentări, conferințe etc….cele mai multe dintre ele cu concentrare pe aspectele formale ale GDPR. Nu spun că sînt lipsite de importanță informările, politicile etc. Spun că nu sînt de ajuns.

Despre partea practică/tehnică a protecției datelor personale mai puține discuții. Ori în fapt subiectul GDPR este protecția datelor și nu amenzile pe care le pot lua companiile. Amenzile sînt rezultatul.

Dar dacă tot se caută soluții la problema amenzilor, probabil s-a uitat că există GL 253 – Orientări privind aplicarea și stabilirea unor amenzi administrative în sensul Regulamentului nr. 2016/679:

Gradul de responsabilitate (n.m – este și un principiu) al operatorului sau al persoanei împuternicite de operator evaluat în contextul aplicării unei măsuri corective corespunzătoare poate include:

– A pus operatorul în aplicare măsuri tehnice care respectă principiile de asigurare a protecției datelor începând cu momentul conceperii și în mod implicit (articolul 25)?

– A pus operatorul în aplicare măsuri organizatorice care îndeplinesc principiile de asigurare a protecției datelor începând cu momentul conceperii și în mod implicit (articolul 25) la toate nivelurile organizației?

– A pus operatorul/persoana împuternicită de operator în aplicare un nivel adecvat de securitate (articolul 32)?

– Sunt procedurile/politicile relevante în materie de protecție a datelor cunoscute și aplicate la nivelul de conducere corespunzător în cadrul organizației? (articolul 24).

Despre Art. 25 am mai scris în ultimii doi ani, după înțelegerea mea, că este cel mai important. În 20 octombrie EDPB a publicat Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 . S-a mai clarificat oficial un subiect și, în celași timp, cred că departamentele IT/DPO vor avea acum și alte argumente atunci cînd vor discuta bugete….

The assets to protect are always the same (the individuals, via the protection of their personal data), against the same risks (to individuals’ rights), taking into account the same conditions (nature, scope, context and purposes of processing).

(…) controllers (…) must always carry out a data protection risk assessment on a case by case basis for the processing activity at hand and verify the effectiveness of the appropriate measures and safeguards proposed.

În concluzie, dacă nu se doresc amenzi atunci:

evaluare riscuri (inclusiv la adresa persoanei) pentru fiecare activitate de prelucrare (proces)

+

politici/proceduri

+

tehnologie

+

instruire