Riscul asociat operațiunilor de prelucrare în GDPR

Ieri am susținut o prezentare la evenimentul organizat de CCIR și Romsym (și primul cu implicarea IAPP Romania KnowledgeNet Chapter): de unde ar trebui să înceapă „evaluarea, testarea și aprecierea„ măsurilor de securitate în cazul GDPR

Am fost întrebat (sper că îmi aduc bine aminte) ceva legat de „cine stabilește„ adecvarea…și am răspuns că responsabilitatea finală revine managementului operatorului.

Încerc să detaliez aici răspunsul.

Articolul 39 prezintă sarcinile responsabilului cu protecția datelor. Scot în evidență cerința: „are cel puțin următoarele sarcini„. Managementul poate să îi atribuie mai multe sarcini decît prevede articolul cu condiția ca acestea să nu fie incompatibile.

Al doilea paragraf al Art. 39 precizează:

(2)   În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura, domeniul de aplicare, contextul și scopurile prelucrării.

Rezultă deci că, abordarea RPD (Responsabil cu Protecția Datelor), trebuie să fie una bazată pe riscuri. Facem un salt înapoi la Art. 35 – Evaluarea impactului asupra protecției datelor

(2)   La realizarea unei evaluări a impactului asupra protecției datelor, operatorul solicită avizul responsabilului cu protecția datelor, dacă acesta a fost desemnat.

Mergînd și mai înapoi, ajungem la articolul 24 pe care l-am menționat în timpul prezentării și  de la care a pornit întrebarea:

(1)   Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

Concluzii:

  • opreatorul pune în practică măsurile
  • operatorul/managementul răspunde
  • măsurile au la bază riscuri
  • riscurile/impactul sînt evaluate de DPO

gdpr_23022017_munteanu

Anunțuri

3 gânduri despre “Riscul asociat operațiunilor de prelucrare în GDPR

  1. Pingback: Evaluarea impactului asupra protecției datelor | ADRIAN B. MUNTEANU

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s