Două situații practice în care GDPR ne complică viața

GDPR nu este nici pe departe un „bau-bau„ dar nici Ileana Cosînzeana nu se poate spune că este.

Să presupunem că organizația a rezolvat tot ce ține de informare/notificare/consimțămînt, politici, proceduri, clauze contractuale, analiză de riscuri/impact, responsabil cu securitatea datelor etc. Din punctul meu de vedere sînt activitățile cele mai simple dar cele mai „mîncătoare„ de timp: nu sînt treburi tehnice/IT ci mai mult procese și business. Și cum puține organizații se pot lăuda că au procese definite…..

Am ajuns în etapa în care trebuie să identificăm/inventariem datele personale: unde se culeg/introduc; unde se procesează; unde se stochează. Bineînțeles „CINE„ face, „CE„ face, pentru că există cerința privind evidența activităților de prelucrare (Art. 30). Trebuie să facem „curățenie„ și să ne asigurăm cu nu există date pentru care nu am documentat baza legală a prelucrării. De asemenea, trebuie să stabilim „durata de viață„ astfel încît să putem satisface cerințele legale de arhivare/stocare sau „dreptul de a fi uitat„ al persoanei vizate.

Și avem X GB/TB de date, împrăștiate prin sute/mii de fișiere/tabele și care sînt prelucrate pe zeci/sute de sisteme. Fără o „sculă„ automatizată nu vom izbîndi prea curînd. DLP-uri care să caute prin storage-uri/back-up nu sînt prea multe (cunosc doar două).

A doua situație este cea în care se dezvoltă aplicații. Și se ajunge în faza de testare unde, de cele mai multe ori, se folosesc date din producție. De obicei, în mediul de test nu securitatea este principalul obiectiv. Aici rezolvarea vine de la „data masking„. Întrebarea este însă: în mediul de test trebuie „mascate„ toate datele personale din producție? În opinia mea, NU. Ar trebuie mascate doar acele date care conduc la identificarea certă a unei persoane (De exemplu dacă o tabelă conține nume și prenume dar nu și adresă/CNP, numele și prenumele nu sînt „sensibile„). Mă opresc aici pentru că subiectul ține de „prăvălia„ testerilor….

În încheiere: deși am impresia că se promovează intens consultanța pentru măsuri administrative, în opinia mea partea tehnică este cea mai spinoasă și mai costisitoare financiar.

 

Anunțuri

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s