Asigurarea continuității afacerii este un proces care ar trebui să: minimizeze orice risc de perturbare a serviciilor, prin proiectarea/dezvoltarea unor structuri interne și procese „rezistente„; ne asigure că ne putem menține serviciile esențiale în timpul întreruperilor cu diferite niveluri de gravitate; ajute personalul în caz de incident și pentru a se asigura că personalul este…
Am fost martor la următoarea întîmplare pe o pagină personală a unui utilizator Facebook, în următoarea ordine cronologică Gabriel publică pe pagina personală o imagine reprezentînd un „Act sanitar veterinar de declarare a focarului de boală„ prin care se declara un focar de pestă porcină africană într-o anumită localitate/sat. Actul/imaginea conține ștampila și semnătura emitentului…
În cursul CIPM, care este un curs de „privacy program management„, se face referire la „key performance indicators (KPIs)„ În versiunea pentru consultare publică a Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default, se face referire la KPI: To do so, the controller may determine appropriate key performance indicators to…
Am mai scris despre subiectul acesta, dar acum prezint perspectiva auditorului. Am „construit„ un instrument de lucru (să îi spunem „working program„) (acum în Excel, în curînd în SharePoint) care să mă ajute atunci cînd, în cadrul unei misiuni de audit, ajung și la subiectul „protecția datelor personale„. Abordarea folosită este din teorie (COBIT+BMIS+ISO27701+Ghiduri WP29):…
Fără a contesta importanța laturii juridice a GDPR am spus începînd cu 2017, ori de cîte ori am avut ocazia: după ce ne vom lămuri cu „litera și spiritul regulamentului„, aspectele tehnice sînt cele care vor da și mai multe bătăi de cap. Îmi susțin afirmația cu o realitate autohtonă: foarte puține din sistemele/aplicațiile/procesele existente…
Recitind comunicatele ANSPDCP cu privire la sancțiunile contravenționale (amenzi) de pînă acum, am constatat că doar într-un singur caz (Unicredit) se menționează încălcarea Art. 25. În restul situațiilor sancțiunile fac referire la încălcarea Art. 32. Eu privesc însă Art. 32 (măsurile tehnice și administrative) în legătură directă și indisolubilă cu Art. 25 (și bineînțeles cu…
Ceea ce trăim de la apariția GDPR pînă în prezent este firesc în opinia mea: ani de zile nu s-a făcut mare lucru și dintr-o dată vrem să fie rezolvate toate. Pe lîngă „butoanele„ pentru cookies, un subiect des discutat este și cel legat de consimțămînt (sau lipsa lui) în cazul marketingului direct. Care sînt…
Preambul Pînă astăzi, ANSPDCP a amendat (nu cred că amenzile sînt definitive) 4 organizații, după cum urmează: 130.000 euro pentru dezvăluirea în cazul a 337.042 de persoane a CNP și adresa personală (în site); 15.000 euro pentru divulgarea în mediul online a unei liste cu 46 persoane care serveau micul dejun la un hotel (…
De cînd au început „adaptările„ la GDPR am tot citit „informări„/„politici„. Cele mai multe mi se par „stufoase„ și lipsite de claritate pentru utilizatorul simplu. Am îndrăznit să „compilez„ o „informare„ așa cum mi se pare mie că ar trebui să fie. Este doar un exemplu în care am încercat să suprind cît mai multe…
„Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter…
