Persoană împuternicită de operator

Cred că de acum este clar că, în practică, vor exista multe situații în care o organizație va fi și „operator„ (măcar pentru datele angajaților) dar și „persoană împuternicită„ (pentru datele prelucrate pentru clienții săi, pesoane juridice). Să presupunem că tot ce ține de datele personale ale angajaților a fost rezolvat. Cu „experți„ sau fără,…

Riscuri și scenarii de risc

În GDPR nu vom găsi nici o definiție a riscurilor iar despre cum se face în practică nu am găsit prea multe informații (cu excepția unor articole academice). Înțelegerea mea este că acolo, la riscuri, este „miezul„ GDPR. Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile…

Persoana vizată și riscurile

Avertisment: această postare reprezintă înțelegerea mea și nu este o opinie calificată cu valoare juridică. Să luăm ca exemplu o „persoană vizată„ medie cu mențiunea: fiecare organizație are propriile sale provocări fiecare persoană vizată are propriile sale interese Persoana are un serviciu de unde primește un salariu. Angajatorul are dosarul de personal: CV, diplome studii,…

GDPR – o situație practică

Să presupunem că aplicația folosită într-o organizație are cele 3 componente clasice: front end (unde interacționează direct utilizatorul) – serverul de aplicație – serverul de baze de date (back end). La aplicație au acces diverși angajați, inclusiv din zona IT (administratori). Aplicația face schimb de informații cu alte aplicații: de exemplu oferă posibilitatea transmiterii unui…

Riscul asociat operațiunilor de prelucrare în GDPR

Ieri am susținut o prezentare la evenimentul organizat de CCIR și Romsym (și primul cu implicarea IAPP Romania KnowledgeNet Chapter): de unde ar trebui să înceapă „evaluarea, testarea și aprecierea„ măsurilor de securitate în cazul GDPR Am fost întrebat (sper că îmi aduc bine aminte) ceva legat de „cine stabilește„ adecvarea…și am răspuns că responsabilitatea…