GDPR: Cum trebuie să fie concepută infrastructura de prelucrare a datelor

Ghidul CEPD este disponibil aici și el detaliază cum trebuie proiectate și aplicate procesele și mijloacele de prelucrare a datelor, pentru a fi în acord cu Regulamentul general privind protecția datelor (GDPR). Dacă recent discutam de logica „data protection by design” și „data protection by default”, din perspectiva principiilor GDPR, astăzi discutăm de aceleași concepte, dar din perspectiva infrastructurii de prelucrare a datelor, pe care o folosește un operator.

Data protection by design

Acest concept implică faptul că orice mijloc de prelucrare a datelor (un soft, de exemplu) trebuie să fie conceput, din start, cu garanții privitoare la limitarea prelucrării datelor, respectarea principiilor generale ale GDPR (puteți afla mai multe, aici) și asigurarea unui cadru prin care să se verifice constant necesitatea continuării prelucrării unor date (continuarea stocării, de exemplu). 

Practic, oricine prelucrează date personale trebuie să își analizeze procesele concrete prin care desfășoară o astfel de activitate și să se asigure că:

• a implementat procese tehnice și organizatorice adecvate și efective, care să permită aplicarea principiilor generale ale GDPR;
• că a implementat garanții care să asigure, în special, posibilitatea pentru persoanele vizate de prelucrarea datelor de a-și exercita drepturile (dreptul de acces sau dreptul de a se opune prelucrării, de exemplu).

Când discutăm de procese tehnice și organizatorice, acestea pot fi foarte variate. De la instruirea angajaților, la implementarea de măsuri de securitate adecvate. Totul ține de context, în funcție de care este stabilit scopul operatorului, volumul datelor colectate sau modalitatea concretă în care se face prelucrarea. De asemenea, se va lua în considerare și riscul pentru drepturile și interesele persoanelor vizate de prelucrare, astfel că discutăm de o analiză și din acest punct de vedere, înaintea implementării proceselor și a garanțiilor la care am făcut referire mai sus.

Garanțiile care să asigure posibilitatea de exercitare a drepturilor se referă la chestiuni precum procese automate, de exemplu, care furnizează informație atunci când este exercitat dreptul de acces. Un alt exemplu ar fi pseudonimizarea datelor.

Pentru aplicarea cu succes a proceselor și a garanțiilor care să permită conformarea cu GDPR, este necesară o actualizare constantă a cadrului de securitate. Puteți citi mai multe, aici. 

Data protection by default

Discutăm, aici, de un concept care are, în mod implicit, stabilite niște modele care să reducă prelucrarea de date la minim, să limiteze, în timp, stocarea datelor, atât cât este necesar, și să creeze un cadru de accesibilitate cu privire la date, de către persoanele vizate. Deși se suprapune oarecum peste conceptul anterior, atenția, aici, este concentrată pe setarea unor parameteri predefiniți, care să garanteze protecția datelor.

Un exemplu relevant ar fi setările programelor folosite pentru prelucrarea de date. Alegerea implicită trebuie să vizeze opțiunile ce asigură cel mai înalt grad de protecție cu privire la date.

Cu alte cuvinte, se va urmări setarea unor parametri care să garanteze, pe cât posibil:

• prelucrarea doar a datelor necesare;
• limitarea în timp a datelor prelucrate;
• acordarea accesului persoanelor vizate, când vine vorba de datele lor.

Atenție! Ghidul pe care l-am menționat mai sus este lansat doar în consultare publică. Există, așadar, șanse ca versiunea finală să fie diferită de cea prezentă.