KIT GDPR Complet

fotocredit: http://fragalelawfirm.com

De câte ori văd acest titlu îmi aduc aminte de conceptul PINO din PRINCE2 (PRINCE2 In Name Only ) – care presupune, așa cum îi spune și numele, să folosești formularele fără a folosi metodologia de Project Management. Să pui niște bife în sistem. Abordarea clasică a birocratului.

Alături de acest tip de abordare apare una la fel de găunoasă: cea a abordării punctuale, urmărind doar litera legii.

Abordările de acest tip nu ajută la nimic. În articolele următoare o să încerc să abordez Principiul Responsabilității (Accountability Principle) și de ce ar trebui început un Privacy Program. S-au scris multe cărți despre abordarea sistematică a unui subiect versus abordarea de tip „whack-a-mole” așa că nu o să insist decât pe aspectele relevante GDPR.

Nu mai trăim (și e foarte bine) vremurile în care autoritățile erau atente numai dacă organizația „a bifat” cerințele Regulamentului. Audit-urile nu mai sunt despre verificarea EXISTENȚEI politicilor și formularelor ci despre cum a fost încorporată cultura de Privacy. O să încerc să detaliez

Responsabilitatea Operatorului

Articolul 5 ne dă o listă cu cele principii legate de procesarea datelor cu caracter personal:

  • legală, echitabilă și transparentă
  • colectate în scopuri determinate, explicite și legitime
  • adecvate, relevante și limitate
  • exacte
  • limitarea în ceea ce privește stocarea datelor (perioada de timp)
  • securitatea – confidențialitatea și integritatea

Noutatea apare în articolul 5(2) – Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare („responsabilitate”)

În acest articol se spune negru pe alb ca operatorul trebuie să poată demonstra aceste principii.

În articolul 24(1) spune „operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament.

Dacă ținem cont doar de cele enunțate mai sus și tot trebuie să ne îndreptăm atenția către cele două mari categorii de măsuri impuse: cele organizatorice ( politici, proceduri, training-uri, alocarea responsabilităților) și cele tehnice (DLP, firewall, criptare, etc). Cu alte cuvinte este nevoie de un Program de Information Privacy.

În acest articol voi face o scurtă trecere în revistă a măsurilor organizatorice.

Politica de Data Protection

Nu vorbim aici despre politica de pe site prin care informam vizitatorii site-ului despre tehnologiile prezente în website. E vorba de POLITICA DE DATA PROTECTION internă, cea care pune bazele procesării datelor cu caracter personal în cadrul organizației. Politica internă nu trebuie să fie o reiterare a principiilor listate în GDPR ci trebuie să cuprindă câteva subiecte cheie, printre care.

  • Scopul
  • Principii
  • Responsabilități
  • Raportarea Incidentelor
  • Conformarea și măsurile luate în caz contrar

Cel mai probabil vor exista referințe multiple între Politica de Data Protection și Politica de Securitate.

În organizațiile mari, pot fi politici subsidiare pentru departamentele care lucrează cu foarte multe date cu caracter personal (HR, Marketing, Security).

Proceduri Interne

La nivel de departament trebuie stabilit cum se fac lucrurile când se lucrează cu date personale. Fiecare proces (important) trebuie documentat prin proceduri, în special cele care implică mai multe departamente. Astfel pot fi evitate transmiterea datelor către persoane neautorizate.

Instrucțiuni de Lucru

Fiecare angajat trebuie să știe ce are de făcut. Și mai ales cum trebuie făcute acele lucruri. Trebuie să fie specifice și sa conțină foarte clar care sunt pașii ce trebuie urmați

Fișa postului

Traininguri / sisteme de e-learning

Putem folosi tehnologia modernă fie pentru a îmbogăți bagajul de cunoștințe ale angajaților, fie pentru a face cunoscute lucrurile menționate mai sus.