GDPR reminder| Despre stocarea datelor cu caracter personal (II)
Prin intermediul seriei de articole GDPR Reminder venim în sprijinul operatorilor de date și reamintim cateva aspecte de interes care fac parte din activitatea de zi cu zi a acestora, dar care încă ridică semne de întrebare în practică și subliniem modalitățile prin care acestea pot fi clarificate prin raportare la reglementările interne deja existente.
Împlinirea a 2 ani de la aplicarea Regulamentului general privind protecția datelor (UE) 2016/679 („GDPR„) poate fi văzută ca un bun moment de verificare și reanalizare a mijloacelor pe care operatorii de date au ales să le utilizeze pentru a îndeplini cerințele privind asigurarea securității adecvate a datelor cu caracter personal prevăzute de GDPR.
O astfel de verificare și reanalizare se impune cu atât mai mult cu cât evenimentele de ordin internațional privind asigurarea sănătății comunității au condus la desfășurarea activității din alte locuri decât locul de muncă într-un mod neașteptat care nu a oferit suficient timp operatorilor pentru a se organiza, caz în care riscurile și provocările privind asigurarea securității datelor au crescut.
Astfel, dacă în urmă cu doi ani, operatorii de date implementau politici și proceduri interne prin care își instruiau angajații referitor la modalități de lucru cu datele cu caracter personal și la cerințele pe care trebuie să le respecte în acest sens, astăzi, operatorii de date se află din nou într-o situație în care work from home impune implementarea unor noi proceduri.
Spre exemplu, dincolo de regulile interne stabilite de operatorii de date în calitate de angajatori, cu privire la utilizarea de către angajat a laptop-ului sau PC-ul pentru a își îndeplini îndatoririle de serviciu, trebuie avut in vedere că si alte persoane (de exemplu, membri de familie) pot avea acces la datele și informațiile stocate pe dispozitivul respectiv, context care poate fi tradus ca încălcare a cerințelor GDPR din perspectiva protecției datelor cu caracter personal.
Cerința privind asigurarea securității adecvate are la bază principiul integrității și confidențialității, potrivit căruia prelucrarea trebuie realizată într-un mod care să asigure securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatori corespunzătoare.
Însă operatorii de date trebuie să își aducă aminte că GDPR nu definește un nivel de securitate anume sau măsurile de securitate efective pe care ar trebui să le implementeze. Așadar, se consideră că îndeplinește cerințele prevăzute de GDPR acel nivel de securitate „adecvat” riscurilor prezentate de fiecare prelucrare în parte, precum și natura, sfera de aplicare, contextul și scopul prelucrării respective, dar și stadiul tehnicii și costurile de implementare ale mijloacelor menite a asigura securitatea.
În acest context, primul pas spre asigurarea îndeplinirii principiului anterior menționat este acela de a analiza riscul prin realizarea unei revizuiri a datelor și informațiilor deținute la acest moment și a modului în care acestea sunt utilizate pentru a evalua cât de valoroase, sensibile sau confidențiale sunt acestea, precum și daunele care pot fi cauzate dacă datele sunt compromise.
În mod practic întocmirea unei analize de tip check-list ar fi una dintre modalitățile cele mai facil de gestionat și urmărit, motiv pentru care prezentăm câteva aspecte cu titlu de exemplu, astfel:
- Efectuarea unei analize a riscurilor pentru fiecare prelucrare în parte și utilizarea acesteia pentru a evalua nivelul adecvat de securitate existent sau care trebuie implementat, după caz;
- Revizuirea politicii privind securitate a informațiilor (sau a unui document intern echivalent) și luarea unor măsuri menite a asigura că aspectele prevăzute în politică sunt în acord cu situația de fapt și că pot fi implementate cu succes;
- Revizuirea din punct de vedere tehnic a drepturilor de acces și a posibilității de accesare a spațiilor de stocare a datelor;
- Implementarea și utilizarea criptării și/sau pseudonimizării, acolo unde este cazul;
- Efectuarea de testări periodice și recenzii ale măsurilor existente pentru a se asigura că acestea rămân eficiente și luarea unor măsuri pe baza rezultatelor acestor teste pentru situația în care acestea evidențiază aspectele de îmbunătățire;
- Instruirea și construirea unei culturi de conștientizare a securității în cadrul organizației operatorului, inclusiv prin transmiterea de e-mailuri de tip kind-reminder;
- Desemnarea unei persoane responsabile pentru securitatea informațiilor în cadrul organizației și asigurarea că această persoană are resursele și autoritatea corespunzătoare pentru a îndeplini această sarcina în mod eficient.
Având în vedere cele de mai sus, pentru a gestiona o posibilă neconformitate cu cerințele GDPR și pentru a atenua posibile riscuri generate de acesta, operatorul trebuie în primul rând să cunoască ce date și informații prelucrează și trebuie întotdeauna să se raporteze la acestea atunci când caută un punct de pornire pentru a îndeplini cerințele GDPR.
Așadar, acesta poate fi momentul oportun pentru a realiza o evaluări și testări interne urmate de actualizarea prevederilor politicilor și procedurilor interne menite a gestiona lucrul cu datele cu caracter personal astfel încât să fie asigurată securitatea adecvată a acestora sau, de ce nu, chiar momentul de a redacta și implementa documente noi de conformare, poate chiar și orientarea către noi mijloace tehnice mai performate în acest sens.
Articol semnat de Raluca Pușcaș, Partner Filip & Company și Alexandra Dunăreanu, Associate Filip & Company