La începutul anului am scris despre acest subiect. Între timp am citit o mulțime de frămîntări autohtone pe acest subiect dar am avut și ocazia să finalizez o revizie a unui proiect de „implementare GDPR„ (misiunea asumată a vizat doar partea de management program și aspecte tehnice, fără să îmi bag nasul în zona de…
Iureșul GDPR se pare că a trecut, dar nu și „durerile facerii„. Adunînd concluziile de pe mai multe grupuri Facebook, în urma cursurilor CIPM sau de la cei pentru care ofer consultanță, constat că, în multe cazuri, abordarea a fost ca în povestea cu drobul de sare: „știm, nu prea este nevoie de X sau…
A fost promulgată Legea 190/2018: Legea privind măsuri de punere în aplicare a regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/EC (Regulamentul general privind…
Chiar dacă am spus public și am mai scris, simt nevoia să repet: subiectul GDPR este plin de ipocrizie în piața autohtonă. Memoria Internetului ne oferă o radiografie cu privire la subiectul „viață privată/protecția datelor„. În intervalul 2001-2016 s-a scris extrem de puțin pe acest subiect. Sancțiunile fiind minimale, cam toată lumea prelucra date cu…
Scriu aceste rînduri după un schimb de idei pe un grup din online (autorul era avocat): „GDPR nu este doar despre securitate. Securitatea prelucrării este doar 30% din Regulament Realitatea e că, în prezent, doar juriștii au putut înțelege această legislație destul de complexă„ Disputa a avut ca scînteie promovarea unui „kit de implementare GDPR„…
La începutul anului scriam că Art. 25 este un fel de „cuiul lui Pepelea„ din punct de vedere al implementării și asigurării conformității. Am făcut vorbire despre acest subiect și în mai 2017. La finalul lunii mai 2018 EDPS a publicat Opinion 5/2018 – Preliminary Opinion on privacy by design. Constat (fără lipsă de modestie:…
Unde scrie în GDPR că trebuie audit? Nicăieri. Art. 32. (1)(d): un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării. Am dat cîteva detalii aici și aici . Reiau afirmații anterioare: chiar dacă nu scrie „audit„ despre așa ceva este vorba. În lipsa unui…
Uneori, în timpul prezentărior sau cursului CIPM ajung, în urma discuțiilor, să dau următorul exemplu personal (deși subiectul este mai mult de natură juridică și, nefiind de profesie jurist, ar trebui să evit să emit astfel de opinii): dealerul auto de la care am cumpărat mașina poate să îmi trimită prin email, mesaje de informare…
Scurtă aducere aminte: spuneam că GDPR este pentru noi, persoanele vizate, nu pentru companii. Reformulînd: scopul GDPR este apărarea drepturilor și libertăților noastre în relație cu prelucrarea datelor noastre personale de către operatori. Am fost în situația de a răspunde la două întrebări pe subiectul relației dintre organizații: în situația X, sînt operator sau personă…
În practică sînt o multitudine de situații în care operatorii lucrează cu persoane împuternicite. Art. 28 (3) stabilește că această relație este guvernată prin intermediul unui contract iar Art. 82 (2) indică situațiile în care persoana împuternicită devine răspunzătoare pentru prejudiciul cauzat de prelucrare. Pentru a fi exonerați de răspundere ambii actori trebuie să…
