Externalizarea gestiunii datelor utilizate in activitatea operatorilor (servicii de cloud, servicii de gestiune a datelor / documentelor)

Executarea in practica a acestor obligatii ce deriva din externalizarea gestiunii datelor cu character personal este lasata la latitudinea operatorilor, motiv pentru care nu poate fi exclusa utilizarea unor metode si proceduri de externalizare a datelor prin servicii de cloud sau de gestiune a datelor/documentelor.
Specificitatile acestor proceduri si mecanisme ce presupun transferul unor date din evidenta operatorilor catre serverele administrate de terte persoane (denumite generic in continuare �prestatorii de servicii de gestiune a datelor�, persoane imputernicite in acceptiunea Regulamentului) impun o atentie sporita pentru respectarea Regulamentului si pentru evitarea oricaror brese de securitate.
De aceea, se impune luarea unor masuri minime de siguranta:
a) Analiza tehnologiei care sta la baza infrastructurii cloud / de gestiune a datelor folosite in scopul determinarii nivelului de securitate a datelor, indeplinirea cerintelor impuse de GDPR etc.
b) Pentru a permite exercitarea drepturilor persoanelor vizate (�dreptul de a fi uitat�, dreptul de acces la informatii, dreptul de a fi informat etc) operatorul trebuie sa se asigure ca prestatorii de servicii de gestiune a datelor cunosc locatia fizica a fiecarui server prin care administreaza bazele de date in discutie. Aceasta se impune intrucat documentele electronice sunt mai greu de gasit decat documentele in format fizic, primele putand fi transferate prin sisteme backup, arhive sau catre terte parti/entitati (ex., Dropbox). In scopurile respectarii Regulamentului, atat operatorul, cat si persoana imputernicita trebuie sa aiba o evidenta clara cu privire la localizarea fiecarei informatii. In acelasi scop (i.e., exercitarea drepturilor de catre persoanele vizate), se impune revizuirea de catre operator a protocoalelor de backup si stocare utilizate de catre prestatorii de servicii de gestiune a datelor.
c) Asumarea expresa de catre prestatorii de servicii de gestiune a datelor a obligatiilor ce le incumba in temeiul Regulamentului si a legislatiei aplicabile in raport atat cu operatorul cat si cu persoanele vizate.
d) Determinarea locatiei exacte a serverelor este utila si pentru a determina legislatia aplicabila diferitelor operatiuni.
e) Pentru a evita compromiterea datelor in integralitatea lor si a breselor de securitate cu impact major, este recomandabila impartirea datelor pe diverse categorii si stocarea lor pe servere diferite.
f) Reiterarea in contractele si acordurile incheiate intre operatori si prestatorii de servicii de gestiune a datelor (in calitate de persoane imputernicite) ca prelucrarea datelor cu caracter personal transmise catre cei din urma se face in numele operatorilor, acestia mentinand controlul constant asupra informatiilor.
g) Crearea unor proceduri de verificare si de analiza de risc carora sa le fie supusi prestatorii de servicii de gestiune a datelor si testarea periodica a respectarii legislatiei aplicabile in domeniul prelucrarii datelor cu caracter personal (spre exemplu, dar fara a se limita la, art. 28 GDPR).

Sursa: GHID DE BUNE PRACTICI privind principalele obligatii ale operatorilor conform Regulamentului General privind Protectia Datelor (GDPR)