Momentul Auditului
Investigatorul Autoritatii pentru Protectia Datelor sta in fata ofiterului de conformitate. APD revizuieste raspunsul organizatiei la o plangere a persoanei vizate — un fost client care crede ca datele sale personale nu au fost gestionate corespunzator.
Intrebare: 'Va rugam sa descrieti controalele tehnice pe care organizatia dumneavoastra le foloseste pentru a asigura ca datele personale sunt anonimizate corespunzator cand sunt procesate de angajati.'
Ofiterul de conformitate incepe: 'Avocatii nostri folosesc add-in-ul Word. Echipa noastra de suport foloseste extensia Chrome pentru instrumentele AI. Echipa noastra de date are un script Python. Si pentru cereri punctuale, oricine poate folosi aplicatia web.'
Urmatoarea intrebare a investigatorului: 'Sunt toate acelea acelasi instrument? Acelasi motor de detectie? Aceeasi acoperire a entitatilor?'
Ofiterul de conformitate: 'Nu, sunt instrumente diferite. Functioneaza diferit.'
Acesta este momentul in care auditul devine complicat.
De Ce Fragmentarea Instrumentelor Esueaza Standardul Articolului 32
GDPR Articolul 32 solicita 'masuri tehnice si organizatorice adecvate' care implementeaza principiile de protectie a datelor in mod eficient. Standardul Articolului 32 are doua componente:
Adecvarea: Masurile trebuie sa fie adecvate riscului.
Demonstrabilitatea: Masurile trebuie sa poata fi demonstrate unui auditor. 'Avem masuri' nu este suficient — 'iata dovada ca masurile noastre functioneaza consistent in toate contextele de procesare' este standardul.
Surse: Ghidul GDPR Articolul 32 BfDI 2024; Orientarile ICO privind Masurile Tehnice in Conformitatea GDPR 2024