Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

Recitind comunicatele ANSPDCP cu privire la sancțiunile contravenționale (amenzi) de pînă acum, am constatat că doar într-un singur caz (Unicredit) se menționează încălcarea Art. 25. În restul situațiilor sancțiunile fac referire la încălcarea Art. 32. Eu privesc însă Art. 32 (măsurile tehnice și administrative) în legătură directă și indisolubilă cu Art. 25 (și bineînțeles cu…

Articolul 25 – cîteva completări

La începutul anului scriam că Art. 25 este un fel de „cuiul lui Pepelea„ din punct de vedere al implementării și asigurării conformității. Am făcut vorbire despre acest subiect și în mai 2017. La finalul lunii mai 2018 EDPS a publicat Opinion 5/2018 – Preliminary Opinion on privacy by design. Constat (fără lipsă de modestie:…

Marketingul direct prin email și consimțămîntul – un caz

Uneori, în timpul prezentărior sau cursului CIPM ajung, în urma discuțiilor, să dau următorul exemplu personal (deși subiectul este mai mult de natură juridică și, nefiind de profesie jurist, ar trebui să evit să emit astfel de opinii): dealerul auto de la care am cumpărat mașina poate să îmi trimită prin email, mesaje de informare…

PIA, DPIA sau evaluarea riscurilor?

Am mai scris: GDPR suferă la capitolul consistența termenilor. Mai vin apoi și opiniile și ghidurile WP29 care, pe alocuri, mai mult aduc ceață în loc să o elimine. Cel puțin pentru mine…Îi invidiez pe toți cei care au citit Regulamentul și nu au dileme, nici măcar teoretice :). În practică văd că cei mai…

GDPR trebui(a)e abordat ca un program

Cam asta este reacția managementului cînd conștientizează costurile de conformare (sau cînd va primi o amendă sau o citare în instanța): Conformarea cu GDPR nu este o activitate care se poate desfășura o singură dată și gata, ai terminat. Chiar dacă nu este menționat explicit în Regulament, din modul în care sînt scrise cerințele rezultă…