Tu știi ce fac datele tale?
În primul articol am făcut inventarierea datelor pe care le are compania. Trecem acum la al doilea pas, ce facem cu aceste date? Prelucrarea datelor în companii se referă la colectarea, stocarea, utilizarea, transferul și ștergerea informațiilor, respectând reglementări stricte precum GDPR (Regulamentul General privind Protecția Datelor), pentru a asigura legalitatea, securitatea, confidențialitatea și transparența proceselor, implicând măsuri tehnice și organizaționale pentru protecția datelor angajaților, clienților și partenerilor.
Legalitatea utilizării datelor
Orice companie colectează date prin nenumărate mijloace. Prin intermediul site-ului propriu. De la clienți sau parteneri. De la angajații proprii sau de la angajații partenerilor, din surse publice sau private. Nu toate intră sub incidența datelor cu caracter personal, dar există și alte reglementări care pot influența legalitatea acestor date, cum ar fi de exemplu legea dreptului de autor sau legi speciale privind secretele de stat, sau pur și simplu obligații contractuale care impun termene și condiții specifice de păstrare sau ștergere. Anumite date pur și simplu nu trebuie colectate deloc (de exemplu copii după actele de identitate - cu excepția angajaților sau în cazul unor activități pentru care este cerință legală).
De aceea, în momentul în care sunt colectate datele trebuie să se verifice legalitatea procesului, la fel și în cadrul prelucrărilor - și aici companiile nu trebuie doar să se limiteze la datele cu caracter personal, ci și să ia în considerare informații transmise de parteri, clienți sau furnizori și să notifice imediat ce constată o problemă (de exemplu un contract trimis din greșeală sau alte tipuri de documente).
Legalitatea prelucrării trebuie să ia în calcul toate posibilitățile. De exemplu, acum în epoca generalizării agenților de Inteligență Artificială, trebuie instruiți foarte bine angajații cu privire la documentele pe care le încarcă pe diverse platforme, nu doar a unor date cu caracter personal, dar și a acelor date care pot intra sub sfera proprietății intelectuale.
În acest sens, este important ca în cadrul companiei să existe claritate cu privire la rolurile și responsabilitățile fiecăruia în cadrul proceselor și angajații să fie conștientizați cu privire la procesarea și protecția datelor, cu privire la confidențialitatea acestora, să existe proceduri sau măcar un set de reguli cu privire la utilizarea platformelor - nu doar IA, ci și, de exemplu platforme publice de transfer fișiere. De aceea, este recomandat să se utilizeze resurse aflate sub controlul organizației în ceea ce privește transferul de fișiere.
Legalitatea stocării
Stocarea datelor trebuie să respecte principiul CIA de care aminteam în articolul anterior. În afară de cerințele legate de GDPR, pot exista alte constrângeri legate de păstrarea anumitor date. În acest sens, este bine să existe la nivelul organizației un registru de legislație în care să se adauge o coloană, acolo unde este cazul, cu privire la cerințele legate de durata păstrării (Legea Arhivelor Naționale, Codul Fiscal și cel de proceduri fiscale, Codul Muncii, inclusiv contracte care au prevederi specifice legate de confidențialitate sau durata de păstrării - exemplu, un partener comercial poate impune la final ștergerea datelor).
Este foarte important ca în cazul unor activități reglementate care impun păstrarea unor documente și înregistrări o anumită perioadă să se stabilească contractual răspunderea și timpul de păstrare a datelor. De exemplu, o firmă de contabilitate este bine să stabilească prin contract ce se întâmplă cu datele și informațiile deținute pe perioada contractului și cum/ce/când se predau la terminarea acestuia și ce răspundere există pentru activitățile desfășurate în cazul unui control aferent perioadei în care a existat contract dar efectuat după încetarea acestuia.
În cazul în care stocarea se face pe dispozitive amovibile - hdd extern, stick USB - trebuie proceduri de securizare și utilizare a acestora astfel încât să fie asigurat CIA.
Ștergerea datelor
Mai ales atunci când există o cerință legală (încă o dată, nu ne referim numai la GDPR) trebuie să ne asigurăm că datele sunt șterse de peste tot, de aici și importanța inventarierii locului unde se află acestea. De aceea utilizarea unor servicii publice de transfer fișiere este problematică. În teorie, acestea spun că sunt șterse după o perioadă minimă, însă organizația nu deține nici un control asupra acestora.
Cu datele în format electronic, lucrurile sunt relativ simple. Ce facem însă cu datele și informațiile pe hârtie? Una dintre cele bune investiții este într-un tocător de documente. Evitați produsele ieftine care pe lângă volumul mic - 2-3 pagini -, nici nu distrug, ci doar taie în fâșii, ci căutați unul care le toacă bucățele și permite și tocarea unor medii de stocare precum CD/DVD.
În cazul în care informațiile au fost partajate cu terți, trebuie să existe mijloace prin care să vă asigurați că și aceștia respectă responsabilitatea ștergerii datelor.