Evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în
special în următoarele cazuri:
a)prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice şi cuprinzătoare a
aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de
profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în
mod similar într-o măsură semnificativă;
b)prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice,
confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate, a datelor genetice, a datelor
biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viaţa sexuală sau
orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale şi
infracţiuni;
c)prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone
accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, pieţe, parcuri sau alte
asemenea spaţii;
d)prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor şi
ale angajaţilor, prin mijloace automate de monitorizare şi/sau înregistrare sistematică a comportamentului,
inclusiv în vederea desfăşurării activităţilor de reclamă, marketing şi publicitate;
e)prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor
tehnologii noi, în special în cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şi
exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaştere facială în vederea facilitării accesului în diferite
spaţii;
f)prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin
alte mijloace (aplicaţii "Internetul lucrurilor", cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării
inteligente, oraşe inteligente sau alte asemenea aplicaţii);
g)prelucrarea pe scară largă şi/sau sistematică a datelor de trafic şi/sau de localizare a persoanelor fizice (cum ar
fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte
asemenea situaţii) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana
vizată.
Evaluarea impactului asupra protecţiei datelor nu este obligatorie atunci când
prelucrarea efectuată în temeiul art. 6 alin. (1) lit. (c) sau (e) din Regulamentul general privind protecţia datelor
are un temei juridic în dreptul Uniunii sau în dreptul intern şi deja s-a efectuat o evaluare a impactului asupra
protecţiei datelor ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative
respective.
luni, 5 noiembrie 2018
luni, 29 octombrie 2018
Notificare bresa de securitate
În
cazul în care are loc o încălcare a securitătii datelor cu
caracter personal, operatorul notifică acest lucru autoritătii de
supraveghere competente , fără întârzieri nejustificate si, dacă
este posibil, în termen de cel mult 72 de ore de la data la care a
luat cunostintă de aceasta, cu exceptia cazului în care este
susceptibilă să genereze un risc pentru drepturile si libertătile
persoanelor fizice. În cazul în care notificarea nu are loc în
termen de 72 de ore, aceasta este însotită de o explicatie
motivată, autoritătii de supraveghere.
Sunt
considerate brese de securitate atacurile informatice tip ransomware
, pierderea cheii de criptare a datelor, nefunctionarea sistemelor
informatice, pierderea unor documente, transmiterea unei
corespondente la adresa gresită etc.Persoana
împuternicită de operator înstiintează operatorul fără
întârzieri nejustificate după ce ia cunostintă de o încălcare
a securitătii datelor cu caracter personal.
Notificarea mentionată contine
:
-descrie
caracterul încălcării securitătii datelor cu caracter personal,
inclusiv, acolo unde este posibil, categoriile si numărul
aproximativ al persoanelor vizate în cauză, precum si categoriile si numărul aproximativ al înregistrărilor de date cu caracter
personal în cauză;
-comunică
numele si datele de contact ale responsabilului cu protectia
datelor sau un alt punct de contact de unde se pot obtine mai multe
informatii
-descrie
consecintele probabile ale încălcării securitătii datelor cu
caracter personal;
-descrie
măsurile luate sau propuse spre a fi luate de operator pentru a
remedia problema încălcării securitătii datelor cu caracter
personal, inclusiv, după caz, măsurile pentru atenuarea
eventualelor sale efecte negative.
luni, 23 iulie 2018
Despre securitatea prelucrarii datelor cu caracter personal
Identificarea şi
autentificarea utilizatorului
Utilizatorii, pentru a căpăta acces la o bază de date cu caracter
personal, se identifica .
Identificarea se poate face prin mai
multe metode, cum ar fi:
-introducerea codului de identificare de
la tastatură (un şir de caractere),
-folosirea unei cartele cu cod de bare,
folosirea unei cartele inteligente (smart card) sau a unei cartele magnetice.
Fiecare utilizator are propriul său cod de identificare. Niciodată mai
mulţi utilizatori nu au acelaşi cod de identificare.Codurile de identificare
(sau conturi de utilizator) nefolosite o perioadă mai îndelungată sunt
dezactivate şi distruse după un control prealabil intern al operatorului.
Perioada după care codurile sunt dezactivate şi distruse se stabileşte de
operator.Orice cont de utilizator este însoţit de o modalitate de
autentificare.
Autentificarea poate fi făcută prin introducerea unei parole sau prin
mijloace biometrice: amprenta dactiloscopică, amprenta vocală, angiografia
retiniană etc.
Operatorul solicita
realizarea unui sistem informaţional care să refuze automat accesul unui
utilizator după 5 introduceri greşite ale parolei.Orice utilizator care primeşte
un cod de identificare şi un mijloc de autentificare pastreaza
confidenţialitatea acestora şi răspunde în acest sens în faţa operatorului.
Operatorul stabileste o procedură proprie de
administrare şi gestionare a conturilor de utilizator.Operatorii autorizează
anumiţi utilizatori pentru a revoca sau a suspenda un cod de identificare şi
autentificare, dacă utilizatorul acestora isi da demisia ori este concediat,
isi incheie contractul, este transferat la alt serviciu şi noile sarcini nu îi
solicită accesul la date cu caracter personal,
abuzeaza de codurile primite sau absenteaza o perioadă îndelungată
stabilită de entitate.
Accesul utilizatorilor la bazele de date
cu caracter personal efectuate manual se
face pe baza unei liste aprobate de conducerea entităţii.
Responsabil cu protectia datelor cu caracter personal (DPO), ofer consultanta .
Telefon mobil: 0755 294 593
Telefon mobil: 0755 294 593
marți, 10 iulie 2018
Informaţiile privind datele cu caracter personal colectate de la persoana vizată
Informaţii privind datele cu
caracter personal colectate de la persoana vizată:
●Identitatea şi datele de contact ale operatorului
●Datele de contact ale responsabilului cu protecţia datelor
●Scopurile în care sunt prelucrate datele cu caracter
personal, precum
şi temeiul juridic al prelucrării
●Interesele legitime urmărite de operator sau de o parte
terţă
●Destinatarii sau categoriile de destinatari ai datelor cu
caracter personal
●Perioada pentru care vor fi stocate datele cu caracter
personal
●Criteriile utilizate pentru a stabili această perioadă
●Dreptul de acces al persoanei vizate
●Dreptul la
rectificare
●Dreptul la
ştergerea datelor ("dreptul de a fi uitat")
●Dreptul la
restricţionarea prelucrării
●Obligaţia de
notificare privind rectificarea sau ştergerea datelor cu caracter personal sau
restricţionarea prelucrării
●Dreptul la
portabilitatea datelor
●Dreptul la opozitie
●Dreptul de a depune o plângere la autoritatea de
supraveghere a prelucrării datelor
●Dacă furnizarea de date cu caracter personal reprezintă o
obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea
unui contract
●Informaţii privind scopul secundar de prelucrare a datelor
respectiv şi orice informaţii suplimentare relevante in cazul în care
operatorul intenţionează să prelucreze ulterior datele cu caracter personal
într-un alt scop decât cel pentru care acestea au fost colectate, operatorul
furnizează persoanei vizate, înainte de această prelucrare ulterioară,
sâmbătă, 26 mai 2018
Despre riscuri
Riscurile
sunt identificate la orice nivel unde se sesizează că există
consecinţe asupra atingerii obiectivelor şi pot fi luate măsuri
specifice de soluţionare a problemelor, ridicate de respectivele
riscuri.
Riscurile
nu pot fi identificate şi definite decât în raport cu obiectivele
a căror realizare este afectata de materializarea lor. Din această
cauză existenţa unui sistem de obiective clar definite în
organizaţie constituie premisa esenţiala pentru identificarea şi
definirea riscurilor.
Riscul
este o incertitudine, şi nu ceva sigur.
Prin
urmare, atunci când se identifică un "risc” se analizeaza
dacă nu este vorba despre o situaţie existentă, care are un impact
asupra obiectivului. De cele mai multe ori, situaţia existentă
reprezintă un risc materializat, adica unul care s-a produs.
Nu
constituie riscuri probleme (situaţii, evenimente) care nu pot
aparea.
Riscurile
sunt probleme care pot aparea , şi nu probleme (situaţii,
evenimente) a căror apariţie este imposibilă.
Nu
constituie risc o problema care va aparea cu siguranţă.
Acestea
nu sunt riscuri, ci certitudini.
Riscurile
nu sunt definite prin impactul lor asupra obiectivelor.
Impactul
nu este risc, ci consecinţa materializării riscurilor asupra
realizării .obiectivelor. Impactul este un efect ce îşi are
orginea în risc şi nu riscul însusi;
Riscurile
sunt situaţii, evenimente probabile, care dacă s-ar materializa ar
avea consecinţe asupra obiectivelor
Nu
se identifica riscuri care nu afectează obiectivele.
Nu
există riscuri în mod absolut, ci numai riscuri corelate cu
obiectivele
Identificarea
riscurilor nu este un scop în sine.
Scopul identificării riscurilor este tocmai inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, dacă s-ar materializa (ar deveni situaţii de fapt).
Scopul identificării riscurilor este tocmai inventarierea acelor probleme care ar putea conduce la nerealizarea obiectivelor, dacă s-ar materializa (ar deveni situaţii de fapt).
Evaluarea
riscurilor
presupune evaluarea probabilităţii de materializare a riscurilor şi
a impactului (consecinţelor) asupra obiectivelor în cazul în care
acestea se materializează. Combinaţia dintre nivelul estimat al
probabilităţii şi nivelul estimat al impactului constituie
expunerea la risc, în baza căreia se realizează profilul
riscurilor.
Scopul
evaluării riscurilor este de a stabili o ierarhie a acestora la
nivelul organizatiei care, în funcţie de tolerabilitatea
la risc acceptată, permite stabilirea celor mai adecvate modalităţi
de tratare a riscurilor şi de delegare a responsabilităţii de
gestionare a acestora.
Evaluarea
riscurilor presupune parcurgerea următoarelor etape:
● evaluarea
probabilităţii de materializare a riscului identificat;
● evaluarea
impactului asupra obiectivelor în cazul în care riscul s-ar
materializa;
● evaluarea
expunerii la risc, ca o combinaţie între probabilitate şi impact;
● stabilirea
toleranţei la risc.
vineri, 25 mai 2018
Identificarea proprietatii clientului
.Identificarea
proprietatii clientului consta nu doar
in identificarea detinatorului unui bun ci si in prevenirea utilizarii
neautorizate sau chiar a aruncarii accidentale.
.Identificarea
trebuie sa se faca in conformitate cu specificul organizatiei, incluzand
identificarea produsului, a procesului care urmeaza a se desfasura precum si a
oricaror cerinte legate de utilizare, in conformitate cu cerintele clientului.
Metodele de identificare pot include etichete, elemente de ambalare, insemnari fizice sau
orice alte metode considerate a fi corespunzatoare.
Bunuri
care pot fi detinute de catre furnizor
sau pot fi in proprietatea oricarei alte parti interesate:
• componente
furnizate pentru a fi integrate intr-un produs finit
• produsele trimise de catre clienti pentru reparatii, intretinere sau modernizare
• materiale de ambalare furnizate direct de catre clienti
• materiale ale clientilor furnizate de catre organizatii cu activitati de intretinere si reparatie
• servicii prestate in numele unui client, cum ar fi transportul unui produs al clientului catre un tert
• proprietatea intelectuala a clientului, cum ar fi schite, informatii documentate etc.
• produsele trimise de catre clienti pentru reparatii, intretinere sau modernizare
• materiale de ambalare furnizate direct de catre clienti
• materiale ale clientilor furnizate de catre organizatii cu activitati de intretinere si reparatie
• servicii prestate in numele unui client, cum ar fi transportul unui produs al clientului catre un tert
• proprietatea intelectuala a clientului, cum ar fi schite, informatii documentate etc.
Proprietatea clientului include
orice tip de materiale, componente, subansamble care sunt furnizate de catre
clientul unei organizatii pentru a fi incorporate de catre aceasta intr-un
produs finit.
Tot
aici putem include si alte elemente furnizate de catre clienti, cum ar fi
diverse echipamente, unelte, hardware si software.
Formele comune de proprietate
intelectuală includ :
·marcile inregistrate
miercuri, 23 mai 2018
Noutatile aduse de OSGG 600/2018 care abroga OSGG 400/2015 privind aprobarea Codului controlului intern managerial al entităţilor publice
Comisia de monitorizare cuprinde conducătorii compartimentelor incluse în primul nivel de conducere din structura organizatorică a entităţii publice, cu excepţia compartimentului de audit public intern; în cazul entităţilor publice locale care nu au o structură organizatorică dezvoltată, Comisia de monitorizare poate cuprinde reprezentanţi ai compartimentelor, desemnaţi de către conducătorul entităţii publice.
Comisia de monitorizare este coordonată de către un preşedinte, care poate fi conducătorul entităţii sau o altă persoană de conducere cu autoritate, delegată de acesta şi asistată de un secretariat tehnic.
Modul de organizare şi de lucru al Comisiei de monitorizare se află în responsabilitatea preşedintelui acesteia şi se stabileşte în funcţie de volumul şi de complexitatea proceselor şi activităţilor , pe baza Regulamentului de organizare şi funcţionare al Comisiei, care se actualizează ori de câte ori este cazul.
Preşedintele Comisiei de monitorizare asigură conducerea şedinţelor , conform ordinii de zi, şi aprobă minutele şedinţelor şi, după caz, hotărârile acestora. În funcţie de tematica ordinii de zi a şedinţelor , la solicitarea preşedintelui Comisiei de monitorizare pot participa şi alte persoane în calitate de invitaţi.
Comisia de monitorizare coordonează procesul de actualizare a obiectivelor generale şi specifice, a activităţilor procedurale, a procesului de gestionare a riscurilor , a sistemului de monitorizare a performanţelor , a situaţiei procedurilor şi a sistemului de monitorizare şi de raportare, respectiv informare către conducătorul entităţii publice.
În vederea consolidării unui sistem de control intern managerial, Comisia de monitorizare elaborează Programul de dezvoltare a sistemului de control intern managerial, denumit Program de dezvoltare, care se actualizează anual la nivelul fiecărei entităţi publice.
Programul de dezvoltare cuprinde obiectivele entităţii publice în domeniul controlului intern managerial, în funcţie de stadiul implementării şi dezvoltării acestuia, iar pentru fiecare standard de control intern managerial se stabilesc activităţi, responsabili şi termene, precum şi alte elemente relevante în implementarea şi dezvoltarea sistemului de control intern managerial.
În Programul de dezvoltare se evidenţiază inclusiv acţiunile de perfecţionare profesională în domeniul sistemului de control intern managerial, atât pentru persoanele cu funcţii de conducere, cât şi pentru cele cu funcţii de execuţie, prin cursuri organizate în conformitate cu reglementările legislative în domeniu.
Procesul de management al riscurilor se află în responsabilitatea preşedintelui Comisiei de monitorizare şi se organizează în funcţie de dimensiunea, complexitatea şi mediul specific al entităţii publice.
Pentru asigurarea unui management eficient al riscurilor la toate nivelurile entităţii publice, conducătorii compartimentelor de la primul nivel de conducere din structura organizatorică desemnează la nivelul acestora un responsabil cu riscurile.
Responsabilii cu riscurile consiliază personalul din cadrul compartimentelor şi asistă conducătorii acestora în procesul de gestionare a riscurilor.
Riscurile aferente obiectivelor şi/sau activităţilor se identifică şi se evaluează la nivelul fiecărui compartiment, în conformitate cu elementele minimale din Registrul de riscuri; riscurile semnificative se centralizează la nivelul Comisiei de monitorizare în Registrul de riscuri al entităţii publice.
Comisia de monitorizare analizează şi prioritizează riscurile semnificative, care pot afecta atingerea obiectivelor entităţii publice, prin stabilirea profilului de risc şi a limitei de toleranţă la risc, anual, aprobate de către conducerea entităţii.
Secretariatul tehnic al Comisiei de monitorizare pe baza Registrului de riscuri de la nivelul entităţii propune profilul de risc şi limita de toleranţă la risc care sunt analizate şi avizate în şedinţa comisiei şi aprobate de către conducătorul entităţii publice
Conducătorul compartimentului transmite măsurile de control pentru riscurile semnificative secretariatului tehnic al Comisiei de monitorizare, care elaborează anual Planul de implementare a măsurilor de control pentru riscurile semnificative la nivelul entităţii publice; planul este analizat de Comisia de monitorizare şi aprobat de către conducătorul entităţii publice.
Secretariatul tehnic al Comisiei de monitorizare transmite Planul de măsuri aprobat compartimentelor responsabile cu gestionarea riscurilor semnificative, în vederea implementării. Secretariatul tehnic al Comisiei de monitorizare elaborează, pe baza raportărilor anuale, ale conducătorilor compartimentelor de la primul nivel de conducere, privind desfăşurarea procesului de gestionare a riscurilor şi monitorizarea performanţelor o informare către conducătorul entităţii publice, aprobată de preşedintele Comisiei de monitorizare, privind desfăşurarea procesului de gestionare a riscurilor şi monitorizarea performanţelor la nivelul entităţii.
Informarea cuprinde o analiză a riscurilor identificate şi gestionate la nivelul compartimentelor , respectiv monitorizarea obiectivelor şi activităţilor prin intermediul indicatorilor de performanţă la nivelul entităţii publice.
Conducerea entităţii asigură procesul de elaborare a procedurilor documentate, respectiv a procedurilor de sistem şi a procedurilor operaţionale, pentru procesele şi activităţile derulate în cadrul entităţii şi aducerea la cunoştinţă personalului acesteia.
În vederea îndeplinirii în condiţii de regularitate, eficacitate economicitate şi eficienţă a obiectivelor entităţilor publice, compartimentele elaborează proceduri documentate, în coordonarea Comisiei de monitorizare.
Secretariatul tehnic al Comisiei de monitorizare analizează procedura din punctul de vedere al respectării conformităţii cu structura minimală prevăzută în Procedura documentată.
Procedurile documentate se semnează la întocmire de către responsabili de activităţile procedurale, la verificare de către conducătorul compartimentului, la avizare de către preşedintele Comisiei de monitorizare şi se aprobă de către conducătorul entităţii publice sau, după caz, conform procedurii proprii stabilite la nivelul entităţii publice.
În funcţie de specificul şi complexitatea activităţilor entităţii publice, inclusiv a reglementărilor interne, entităţile publice îşi particularizează procedurile în conformitate cu o procedură de sistem proprie, având la bază obligatoriu structura minimală prevăzută în Procedura documentată.
Comisia de monitorizare este coordonată de către un preşedinte, care poate fi conducătorul entităţii sau o altă persoană de conducere cu autoritate, delegată de acesta şi asistată de un secretariat tehnic.
Modul de organizare şi de lucru al Comisiei de monitorizare se află în responsabilitatea preşedintelui acesteia şi se stabileşte în funcţie de volumul şi de complexitatea proceselor şi activităţilor , pe baza Regulamentului de organizare şi funcţionare al Comisiei, care se actualizează ori de câte ori este cazul.
Preşedintele Comisiei de monitorizare asigură conducerea şedinţelor , conform ordinii de zi, şi aprobă minutele şedinţelor şi, după caz, hotărârile acestora. În funcţie de tematica ordinii de zi a şedinţelor , la solicitarea preşedintelui Comisiei de monitorizare pot participa şi alte persoane în calitate de invitaţi.
Comisia de monitorizare coordonează procesul de actualizare a obiectivelor generale şi specifice, a activităţilor procedurale, a procesului de gestionare a riscurilor , a sistemului de monitorizare a performanţelor , a situaţiei procedurilor şi a sistemului de monitorizare şi de raportare, respectiv informare către conducătorul entităţii publice.
În vederea consolidării unui sistem de control intern managerial, Comisia de monitorizare elaborează Programul de dezvoltare a sistemului de control intern managerial, denumit Program de dezvoltare, care se actualizează anual la nivelul fiecărei entităţi publice.
Programul de dezvoltare cuprinde obiectivele entităţii publice în domeniul controlului intern managerial, în funcţie de stadiul implementării şi dezvoltării acestuia, iar pentru fiecare standard de control intern managerial se stabilesc activităţi, responsabili şi termene, precum şi alte elemente relevante în implementarea şi dezvoltarea sistemului de control intern managerial.
În Programul de dezvoltare se evidenţiază inclusiv acţiunile de perfecţionare profesională în domeniul sistemului de control intern managerial, atât pentru persoanele cu funcţii de conducere, cât şi pentru cele cu funcţii de execuţie, prin cursuri organizate în conformitate cu reglementările legislative în domeniu.
Procesul de management al riscurilor se află în responsabilitatea preşedintelui Comisiei de monitorizare şi se organizează în funcţie de dimensiunea, complexitatea şi mediul specific al entităţii publice.
Pentru asigurarea unui management eficient al riscurilor la toate nivelurile entităţii publice, conducătorii compartimentelor de la primul nivel de conducere din structura organizatorică desemnează la nivelul acestora un responsabil cu riscurile.
Responsabilii cu riscurile consiliază personalul din cadrul compartimentelor şi asistă conducătorii acestora în procesul de gestionare a riscurilor.
Riscurile aferente obiectivelor şi/sau activităţilor se identifică şi se evaluează la nivelul fiecărui compartiment, în conformitate cu elementele minimale din Registrul de riscuri; riscurile semnificative se centralizează la nivelul Comisiei de monitorizare în Registrul de riscuri al entităţii publice.
Comisia de monitorizare analizează şi prioritizează riscurile semnificative, care pot afecta atingerea obiectivelor entităţii publice, prin stabilirea profilului de risc şi a limitei de toleranţă la risc, anual, aprobate de către conducerea entităţii.
Secretariatul tehnic al Comisiei de monitorizare pe baza Registrului de riscuri de la nivelul entităţii propune profilul de risc şi limita de toleranţă la risc care sunt analizate şi avizate în şedinţa comisiei şi aprobate de către conducătorul entităţii publice
Conducătorul compartimentului transmite măsurile de control pentru riscurile semnificative secretariatului tehnic al Comisiei de monitorizare, care elaborează anual Planul de implementare a măsurilor de control pentru riscurile semnificative la nivelul entităţii publice; planul este analizat de Comisia de monitorizare şi aprobat de către conducătorul entităţii publice.
Secretariatul tehnic al Comisiei de monitorizare transmite Planul de măsuri aprobat compartimentelor responsabile cu gestionarea riscurilor semnificative, în vederea implementării. Secretariatul tehnic al Comisiei de monitorizare elaborează, pe baza raportărilor anuale, ale conducătorilor compartimentelor de la primul nivel de conducere, privind desfăşurarea procesului de gestionare a riscurilor şi monitorizarea performanţelor o informare către conducătorul entităţii publice, aprobată de preşedintele Comisiei de monitorizare, privind desfăşurarea procesului de gestionare a riscurilor şi monitorizarea performanţelor la nivelul entităţii.
Informarea cuprinde o analiză a riscurilor identificate şi gestionate la nivelul compartimentelor , respectiv monitorizarea obiectivelor şi activităţilor prin intermediul indicatorilor de performanţă la nivelul entităţii publice.
Conducerea entităţii asigură procesul de elaborare a procedurilor documentate, respectiv a procedurilor de sistem şi a procedurilor operaţionale, pentru procesele şi activităţile derulate în cadrul entităţii şi aducerea la cunoştinţă personalului acesteia.
În vederea îndeplinirii în condiţii de regularitate, eficacitate economicitate şi eficienţă a obiectivelor entităţilor publice, compartimentele elaborează proceduri documentate, în coordonarea Comisiei de monitorizare.
Secretariatul tehnic al Comisiei de monitorizare analizează procedura din punctul de vedere al respectării conformităţii cu structura minimală prevăzută în Procedura documentată.
Procedurile documentate se semnează la întocmire de către responsabili de activităţile procedurale, la verificare de către conducătorul compartimentului, la avizare de către preşedintele Comisiei de monitorizare şi se aprobă de către conducătorul entităţii publice sau, după caz, conform procedurii proprii stabilite la nivelul entităţii publice.
În funcţie de specificul şi complexitatea activităţilor entităţii publice, inclusiv a reglementărilor interne, entităţile publice îşi particularizează procedurile în conformitate cu o procedură de sistem proprie, având la bază obligatoriu structura minimală prevăzută în Procedura documentată.
marți, 22 mai 2018
Dreptul de opoziţie
Persoana
vizată are dreptul de a se opune în orice moment, printr-o cerere
întocmită în formă scrisă, datată şi semnată, din motive
întemeiate şi legitime legate de situaţia sa particulară, ca
datele care o vizează să facă obiectul unei prelucrări, cu
excepţia cazurilor în care există dispoziţii legale contrare.
În
caz de opoziţie justificată, prelucrarea nu mai poate viza datele
în cauză. Persoana vizată are dreptul de a se opune în orice
moment, în mod gratuit şi fără nici o justificare, ca datele care
o vizează să fie prelucrate în scop de marketing direct, în
numele operatorului sau al unui terţ, sau să fie dezvăluite unor
terţi într-un asemenea scop.
Operatorul
este obligat să comunice persoanei vizate măsurile luate, precum
şi, dacă este cazul, numele terţului căruia i-au fost dezvăluite
datele cu caracter personal referitoare la persoana vizată, în
termen de 15 zile de la data primirii cererii.
duminică, 20 mai 2018
Publicarea și comunicarea datelor de contact ale DPO
Art. 37(7) din RGPD impune operatorului sau persoanei împuternicite de operator:
-să publice datele de contact ale DPO
-să comunice datele de contact ale DPO autorităților de supraveghere relevante.
Obiectivul acestor cerințe este acela de a garanta că persoanele vizate (atât în interiorul cât și în exteriorul organizației) și autoritățile de supraveghere pot contacta DPO cu ușurință și în mod direct, fără a fi nevoie să contacteze o altă parte din organizație.
Confidențialitatea este la fel de importantă: de exemplu, angajații pot fi reticenți în a se plânge la DPO în cazul în care confidențialitatea comunicațiilor lor nu este garantată. DPO este obligat să păstreze secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern (art. 38(5)).
Datele de contact ale DPO trebuie să includă informații ce permit persoanelor vizate și autoritățile de supraveghere să contacteze DPO printr-o modalitate ușoară (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special). Atunci când este cazul, în scopul comunicării cu publicul ar putea fi, de asemenea, furnizate alte mijloace de comunicare, de exemplu o linie telefonică special alocată sau un formular de contact adresat DPO de pe pagina web a organizației. Art. 37(7) nu impune ca datele de contact publicate să includă numele DPO. Deși acest lucru ar putea fi o bună practică, operatorul sau persoana împuternicită de operator decide dacă acest lucru este necesar sau util în anumite situații.
Cu toate acestea, comunicarea numelui DPO către autoritatea de supraveghere este esențială pentru că DPO reprezintă punctul de contact între organizație și autoritatea de supraveghere (art. 39(1)e)). Ca o chestiune de bună practică, WP29 recomandă, de asemenea, ca o organizație să informeze angajații săi în legătură cu numele și datele de contact ale DPO. De exemplu, numele și datele de contact ale DPO ar putea fi publicate intern pe Intranet-ul organizației, în directorul de telefon intern, și în organigrame
Responsabil cu protectia datelor cu caracter personal (DPO), ofer consultanta .
mobil: 0755 294 593
Responsabil cu protectia datelor cu caracter personal (DPO), ofer consultanta .
mobil: 0755 294 593
sâmbătă, 19 mai 2018
Raportul asupra sistemului de control intern/managerial
Conducătorul organizatiei include în Raportul
asupra sistemului de control intern/managerial la data de 31 decembrie al fiecarui
an şi alte informaţii referitoare la anumite elemente ale sistemului cum ar fi:
a) informaţii
şi constatări care să permită formularea unor aprecieri în legătură cu
eficacitatea sistemului în exerciţiul financiar următor;
b) prezentarea
unor elemente considerate relevante din programul şi activitatea
compartimentului de audit intern;
c) stadiul
implementării măsurilor/acţiunilor/etapelor prevăzute în programul de
dezvoltare a sistemului de control intern/managerial;
d) formularea
unor rezerve privind eficacitatea sistemului de control intern/managerial, prin
menţionarea uneia sau mai multor slăbiciuni semnificative ale sistemului,
existente la data închiderii exerciţiului financiar, caz în care este
obligatorie prezentarea măsurilor destinate înlăturării acestora, precum şi
termenele de realizare aferente;
e) analiza
raportului cost/beneficiu la stabilirea şi aplicarea măsurilor de control
intern/managerial.
Raportul
se aprobă prin semnarea acestuia de către titularul de drept al competenţei sau
de către titularul unei competenţe delegate în condiţiile legii, în
conformitate cu principiul responsabilităţii manageriale. si se
transmite odată cu situaţia financiară anuală şi se prezintă organului ierarhic
superior la termenele stabilite de acesta, în cadrul termenului prevăzut de
lege.
vineri, 18 mai 2018
Diferente majore de terminologie intre ISO 9001:2008 si ISO 9001:2015
ISO 9001:2008 ISO 9001:2015
Produse Produse si servicii
Excluderi Nu se utilizeaza
Reprezentantul Managementului Nu se utilizeaza
Documente,manualul calitatii,proceduri documentate, Informatii documentate
inregistrari
Mediul de lucru Mediul pentru operarea proceselor
Echipamente de monitorizare si masurare Resurse de monitorizare si masurare
Produs aprovizionat Produse si servicii furnizate din exterior
Furnizor Furnizor extern
miercuri, 16 mai 2018
Prelucrarea unor categorii speciale de date
Prelucrarea datelor cu caracter personal legate de originea rasială sau
etnică, de convingerile politice, religioase, filozofice sau de natură
similară, de apartenenţa sindicală, precum şi a datelor cu caracter
personal privind starea de sănătate sau viaţa sexuală este interzisă cu execptia cazurilor :
a)când persoana vizată şi-a dat în mod expres consimţământul pentru o astfel de prelucrare;
b)când prelucrarea este necesară în scopul respectării obligaţiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garanţiilor prevăzute de lege; o eventuală dezvăluire către un terţ a datelor prelucrate poate fi efectuată numai dacă există o obligaţie legală a operatorului în acest sens sau dacă persoana vizată a consimţit expres la această dezvăluire;
c)când prelucrarea este necesară pentru protecţia vieţii, integrităţii fizice sau a sănătăţii persoanei vizate ori a altei persoane, în cazul în care persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
d)când prelucrarea este efectuată în cadrul activităţilor sale legitime de către o fundaţie, asociaţie sau de către orice altă organizaţie cu scop nelucrativ şi cu specific politic, filozofic, religios ori sindical, cu condiţia ca persoana vizată să fie membră a acestei organizaţii sau să întreţină cu aceasta, în mod regulat, relaţii care privesc specificul activităţii organizaţiei şi ca datele să nu fie dezvăluite unor terţi fără consimţământul persoanei vizate;
e)când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată;
f)când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiţie;
g)când prelucrarea este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată ori de gestionare a serviciilor de sănătate care acţionează în interesul persoanei vizate, cu condiţia ca prelucrarea datelor respective să fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional sau de către ori sub supravegherea unei alte persoane supuse unei obligaţii echivalente în ceea ce priveşte secretul;
h)când legea prevede în mod expres aceasta în scopul protejării unui interes public important, cu condiţia ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate şi a celorlalte garanţii prevăzute de prezenta lege.
a)când persoana vizată şi-a dat în mod expres consimţământul pentru o astfel de prelucrare;
b)când prelucrarea este necesară în scopul respectării obligaţiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii, cu respectarea garanţiilor prevăzute de lege; o eventuală dezvăluire către un terţ a datelor prelucrate poate fi efectuată numai dacă există o obligaţie legală a operatorului în acest sens sau dacă persoana vizată a consimţit expres la această dezvăluire;
c)când prelucrarea este necesară pentru protecţia vieţii, integrităţii fizice sau a sănătăţii persoanei vizate ori a altei persoane, în cazul în care persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
d)când prelucrarea este efectuată în cadrul activităţilor sale legitime de către o fundaţie, asociaţie sau de către orice altă organizaţie cu scop nelucrativ şi cu specific politic, filozofic, religios ori sindical, cu condiţia ca persoana vizată să fie membră a acestei organizaţii sau să întreţină cu aceasta, în mod regulat, relaţii care privesc specificul activităţii organizaţiei şi ca datele să nu fie dezvăluite unor terţi fără consimţământul persoanei vizate;
e)când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată;
f)când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiţie;
g)când prelucrarea este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată ori de gestionare a serviciilor de sănătate care acţionează în interesul persoanei vizate, cu condiţia ca prelucrarea datelor respective să fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional sau de către ori sub supravegherea unei alte persoane supuse unei obligaţii echivalente în ceea ce priveşte secretul;
h)când legea prevede în mod expres aceasta în scopul protejării unui interes public important, cu condiţia ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate şi a celorlalte garanţii prevăzute de prezenta lege.
luni, 14 mai 2018
Despre aspecte de mediu conform SR EN ISO 14001
Organizatia trebuie sa îşi propuna ca efectele activităţilor sale asupra mediului să
fie în limitele legale şi/sau de reglementare în vigoare şi să
acţioneze pentru diminuarea continuă a acestora, să identifice
toate aspectele de mediu prezente, anterioare, reale şi potenţiale,
pozitive sau negative. Procesul de identificare a aspectelor de mediu
se realizează prin analizarea proceselor, serviciilor, pe faze,
operaţii, zone de activitate, luând în consideraţie condiţiile
de funcţionare normale si anormale . Este un proces continuu şi
sunt actualizate la fiecare modificare apărută în activităţile
sau serviciile desfăşurate. Pentru identificarea aspectelor de
mediu se iau în consideraţie următorii factori:
-
emisii în aer;
-
deversări la canalizare;
- gestionarea deşeurilor;
-
contaminarea solului;
-
utilizarea materialelor şi a energiei;
-
probleme referitoare la comunitate şi la mediul local. În procesul
de identificare se vor stabili şi care sunt aspectele de mediu
semnificative pe care organizatia le poate ţine sub control şi
asupra cărora poate avea influenţă. Identificarea aspectelor de
mediu va fi făcută şi în baza actelor legislative şi de
reglementare valabile.
Ce organizatii trebuie să numească un DPO?
Numirea unui DPO este o obligatorie:
- dacă prelucrarea este efectuată de o autoritatea publică sau un organism public (indiferent de datele prelucrate)
- dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă
- dacă activități principale ale operatorulu sau persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.
Responsabil cu protectia datelor cu caracter personal (DPO), ofer consultanta .
mobil: 0755 294 593
- dacă prelucrarea este efectuată de o autoritatea publică sau un organism public (indiferent de datele prelucrate)
- dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă
- dacă activități principale ale operatorulu sau persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date personale privind condamnările penale și infracțiuni.
Responsabil cu protectia datelor cu caracter personal (DPO), ofer consultanta .
mobil: 0755 294 593
miercuri, 9 mai 2018
Registrul operatiunilor de prelucrare
Operatorii cu peste 250 angajaţi sunt obligati să întocmească Registrul
operatiunilor de prelucrare, în care să tină evidenta acestor
activităti. Operatorii cu mai puţin de 250 de angajati nu sunt obligati
să întocmească acest registru, cu exceptia cazului în care:
- prelucrarea datelor este succeptibilă să creeze un risc pentru drepturile si libertătile persoanei respective;
- prelucrarea datelor nu este ocazională;
- operatorul prelucrează categorii speciale de date personale.
- prelucrarea datelor este succeptibilă să creeze un risc pentru drepturile si libertătile persoanei respective;
- prelucrarea datelor nu este ocazională;
- operatorul prelucrează categorii speciale de date personale.
duminică, 6 mai 2018
Avantaje implementare sistem de management al calitatii conform ISO 9001
Satisfacţia
clientilor
Creşterea productivităţii si eficienţei
muncii
Eliminarea pierderilor;
Reducerea costurilor;
Creşterea
competitivităţiii;
Câştigarea de noi clienţi .
Avantaje implementare OHSAS 18001
Avantaje economice:
-cresterea productivitatii si a calitatii muncii
-minimalizarea taxelor și a sancțiunilor în domeniul sănătății ocupaționale și a performanțelor de iguranță
Relațiile cu angajații:
-imbunătățirea condițiilor de muncă pentru angajati
-creșterea de satisfacție și loialitate a angajatilor
Avantaje pentru managementul organizației:
-un instrument pentru obținerea de informații necesare pentru planificarea și stabilirea obiectivelor
-minimalizare a riscurilor de accidente și boli profesionale
Consultanta implementari sisteme de management al calitatii ,mediului si sanatatii si securitatii operationale.
mobil:0755294593
-un instrument pentru obținerea de informații necesare pentru planificarea și stabilirea obiectivelor
-minimalizare a riscurilor de accidente și boli profesionale
Consultanta implementari sisteme de management al calitatii ,mediului si sanatatii si securitatii operationale.
mobil:0755294593
joi, 3 mai 2018
Cand nu este necesara notificarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal
Nu
este necesară notificarea Autorităţii Naţionale de Supraveghere a
Prelucrării Datelor cu Caracter Personal cu excepţia următoarelor
prelucrări de date cu caracter personal:
a) prelucrarea datelor cu caracter personal legate de originea
rasială sau etnică, de convingerile politice, religioase, filozofice
ori de natură similară, de apartenenţa sindicală sau starea de sănătate
şi viaţa sexuală; (ex: sondaje şi cercetare de piaţă, colectare donaţii pentru persoane cu dizabilităţi);
b) prelucrarea datelor genetice şi biometrice; (ex: cercetare ştiinţifică);
c) prelucrarea datelor care permit, direct sau indirect, localizarea geografică a persoanelor fizice prin mijloace de comunicaţii electronice; (ex: monitorizarea/securitatea persoanelor şi/sau bunurilor publice/private prin utilizarea GPS-ului);
d) prelucrarea datelor cu caracter personal referitoare la săvârşirea
de infracţiuni de către persoana vizată ori la condamnări penale,
măsuri de siguranţă sau sancţiuni administrative ori contravenţionale
aplicate persoanei vizate; (ex: sisteme de evidenţă de tipul birourilor de credit);
e) prelucrarea datelor cu caracter personal prin mijloace electronice, având ca scop monitorizarea
şi/sau evaluarea unor aspecte de personalitate, precum competenţa
profesională, credibilitatea, comportamentul sau alte asemenea (ex:
crearea şi utilizarea de profiluri ale persoanelor vizate în vederea
transmiterii unor newsletteruri, monitorizarea activităţii angajaţilor
pe internet, semnalarea încălcării codurilor de conduită în mediul
privat - whistleblowing);
f) prelucrarea datelor cu caracter personal prin mijloace electronice în cadrul unor sisteme
de evidenţă având ca scop adoptarea unor decizii automate individuale
în legătură cu analizarea solvabilităţii, a situaţiei
economico-financiare, a faptelor susceptibile de a atrage răspunderea
disciplinară, contravenţională sau penală a persoanelor fizice; (ex: rapoarte de credit);
g) prelucrarea datelor cu caracter personal ale minorilor efectuată în cadrul activităţilor de marketing direct;
h) prelucrarea datelor cu caracter personal ale minorilor efectuată prin intermediul internetului sau al mesageriei electronice; (ex: publicarea rezultatelor la diferite concursuri şcolare şi extraşcolare, utilizarea catalogului on-line );
i) prelucrarea datelor cu caracter personal prevăzute la lit. a) referitoare la propriii membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei vizate.
i) prelucrarea datelor cu caracter personal prevăzute la lit. a) referitoare la propriii membri, efectuată de asociaţii, fundaţii sau orice alte organizaţii fără scop patrimonial exclusiv în vederea realizării specificului activităţii organizaţiei, în măsura în care datele sunt dezvăluite unor terţi fără consimţământul persoanei vizate.
În conformitate cu prevederile Regulamentului UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, începând din data de 25 mai 2018 (data aplicării acestui act normativ european), operatorii nu vor mai avea obligația notificării prelucrărilor de date.
În acest context, începând cu această dată, formularul de notificare existent pe site-ul autorității nu va mai putea fi completat de operatori în vederea înscrierii în registrul de evidenţă a prelucrărilor de date cu caracter personal prelucrările efectuate de operatori.
Totodată, formularele de notificare transmise de operatori anterior acestei date și nesoluționate de Autoritatea de supraveghere, nu vor mai fi înscrise în registrul de evidenţă a prelucrărilor de date cu caracter personal ulterior acestei date.
Cu toate acestea, eliminarea obligaţiei de a notifica autoritatea de supraveghere nu exonerează operatorii, de îndeplinirea obligaţiilor care le revin potrivit dispoziţiilor Regulamentului UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
miercuri, 25 aprilie 2018
Dreptul la informare
În cazul în
care datele cu caracter personal sunt obtinute direct de la persoana
vizată, operatorul este obligat să furnizeze acesteia cel puţin
următoarele informaţii:
-identitatea
operatorului şi a reprezentantului acestuia, dacă este cazul;
scopul în care se face prelucrarea datelor;
-informaţii
suplimentare, precum: destinatarii sau categoriile de destinatari ai
datelor; dacă furnizarea tuturor datelor cerute este obligatorie şi
consecinţele refuzului de a le furniza;
-existenţa
drepturilor prevăzute de prezenta lege pentru persoana vizată, în
special a dreptului de acces, de intervenţie asupra datelor şi de
opoziţie, precum şi condiţiile în care pot fi exercitate;
-orice
alte informaţii a căror furnizare este impusă prin dispoziţie a
autorităţii de supraveghere, ţinând seama de specificul
prelucrării.
În cazul în
care datele nu sunt obtinute direct de la persoana vizată,
operatorul este obligat ca, în momentul colectării datelor sau,
dacă se intenţionează dezvăluirea acestora către terţi, cel mai
târziu până în momentul primei dezvăluiri, să furnizeze
persoanei vizate cel puţin următoarele informaţii, cu excepţia
cazului în care persoana vizată posedă deja informaţiile
respective:
-identitatea
operatorului şi a reprezentantului acestuia, dacă este cazul;
-scopul
în care se face prelucrarea datelor;
-informaţii
suplimentare, precum: categoriile de date vizate, destinatarii sau
categoriile de destinatari ai datelor, existenţa drepturilor
prevăzute de lege pentru persoana vizată, în special a dreptului
de acces, de intervenţie asupra datelor şi de opoziţie, precum şi
condiţiile în care pot fi exercitate;
-orice
alte informaţii a căror furnizare este impusă prin dispoziţie a
autorităţii de supraveghere, ţinând seama de specificul
prelucrării
Responsabil cu protectia datelor cu caracter personal (DPO), ofer consultanta .
mobil: 0755 294 593
mobil: 0755 294 593
marți, 24 aprilie 2018
Dreptul de acces la date
Orice persoană
vizată are dreptul de a obţine de la operator, la cerere (în mod
gratuit, pentru o solicitare pe an), confirmarea faptului că datele
sale personale sunt sau nu sunt prelucrate de acesta, precum şi
următoarele informaţii:
-informaţii
referitoare la scopurile prelucrării, categoriile de date avute în
vedere şi destinatarii sau categoriile de destinatari cărora le
sunt dezvăluite datele;
-comunicarea
într-o formă inteligibilă a datelor care fac obiectul prelucrării,
precum şi a oricărei informaţii disponibile cu privire la originea
datelor;
-informaţii
asupra principiilor de funcţionare a mecanismului prin care se
efectuează orice prelucrare automată a datelor care vizează
persoana respectivă;
-informaţii
privind existenţa dreptului de intervenţie asupra datelor şi a
dreptului de opoziţie, precum şi condiţiile în care pot fi
exercitate;
-informaţii
asupra posibilităţii de a consulta registrul de evidenţă a
prelucrărilor de date cu caracter personal, de a înainta plângere
către autoritatea de supraveghere, precum şi de a se adresa
instanţei pentru atacarea deciziilor operatorului, în conformitate
cu dispoziţiile legale.
Operatorul este
obligat să comunice informaţiile solicitate, în termen de 15
zile de la data primirii cererii.
vineri, 20 aprilie 2018
Implementari sisteme de control intern / managerial conform OSGG 400/2015.
Primii pasi in implementarea Sistemului de control intern/managerial :
- În vederea monitorizării, coordonării şi îndrumării metodologice a implementării şi dezvoltării sistemului de control intern managerial, conducătorul organizatiei constituie, prin act de decizie internă, o structură cu atribuţii în acest sens, denumită Comisia de monitorizare.
- În vederea gestionării riscurilor la nivelul organizatiei, conducătorul acesteia constituie, prin act de decizie internă, o structură cu atribuţii în acest sens, denumită Echipa de gestionare a riscurilor.
-Pentru o bună administrare a riscurilor de la toate nivelurile manageriale conducătorii compartimentelor desemnează un responsabil cu riscurile, care îi asistă în procesul de administrare a riscurilor.
- elaborarea procedurilor de sistem ;
- identificarea activitatilor ;
- identificarea activitatilor procedurabile;
- elaborarea procedurilor operationale ;
- În vederea monitorizării, coordonării şi îndrumării metodologice a implementării şi dezvoltării sistemului de control intern managerial, conducătorul organizatiei constituie, prin act de decizie internă, o structură cu atribuţii în acest sens, denumită Comisia de monitorizare.
- În vederea gestionării riscurilor la nivelul organizatiei, conducătorul acesteia constituie, prin act de decizie internă, o structură cu atribuţii în acest sens, denumită Echipa de gestionare a riscurilor.
-Pentru o bună administrare a riscurilor de la toate nivelurile manageriale conducătorii compartimentelor desemnează un responsabil cu riscurile, care îi asistă în procesul de administrare a riscurilor.
- elaborarea procedurilor de sistem ;
- identificarea activitatilor ;
- identificarea activitatilor procedurabile;
- elaborarea procedurilor operationale ;
- stabilirea obiectivelor S.M.A.R.T.
- stabilirea limitelor de toleranta ;
- identificarea riscurilor;
- completarea formularelor de alerta la risc ;
- completarea formularului baza de calcul pentru evaluarea riscurilor;
- completarea registrului riscului ;
- completarea formularului urmarire risc;
- completarea planului de actiuni ;
- stabilirea limitelor de toleranta ;
- identificarea riscurilor;
- completarea formularelor de alerta la risc ;
- completarea formularului baza de calcul pentru evaluarea riscurilor;
- completarea registrului riscului ;
- completarea formularului urmarire risc;
- completarea planului de actiuni ;
Despre politica privind protectia datelor
Politica de protectie a datelor
ar trebui să răspundă cel putin la următoarele întrebări:
Specifică
obiectivele organizatiei ?
Stabileste cerintele privind protectia datelor?
Cum alocă organizatia resursele , necesare , pentru
a atinge obiectivele stabilite?
Este distribuită tuturor angajatilor si este inteleasa ?
Cat de des este revizuită ?
Descrie structura personalului cu privire la protectia datelor?
Descrie alte proceduri?Descrie sanctiunile disciplinare interne?
Responsabil cu protectia datelor cu caracter personal (DPO) , ofer consultanta .
mobil: 0755 294 593
mobil: 0755 294 593
joi, 19 aprilie 2018
Ce sunt datele personale ?
Datele cu caracter personal înseamnă orice informație privind o persoană fizică
identificată sau
identificabilă („persoana vizată”); o persoană fizică identificabilă este o
persoană care poate
fi identificată, direct sau indirect, în special prin referire la un element de
identificare , cum
ar fi un nume, un număr de identificare, date de localizare, un identificator
online, sau la unul
sau mai multe elemente specifice, proprii identității sale fizice, fiziologice,
genetice,psihice,
economice, culturale sau sociale;
Explicat într-un
mod mai structurat, datele personale pot fi orice date:
•
ale tale (nume, prenume, CNP,
amprentă, )
•
despre tine (vârstă, sex, etnie,
rasă, orientare sexuală, politică, religioasă, starea
de sănătate)
•
în legătură cu tine (adresa de
domiciliu, reședința, adresa de e-mail, ocupația, venitul)
care,
singure sau cumulate, te-ar putea identifica ca persoană – adică
orice alt tip de date care se pot corela pentru a duce la
identificarea ta.
Categoriile speciale de date
personale sunt strict delimitate de lege: rasa,etnia, orientarea
politică, religia,convingerile filozofice sau de natură similară,
apartenența sindicală,
date privind starea de sănătate,
date despre viața sexuală, date cu caracter personal având o
funcţie de identificare de aplicabilitate generală, cum este codul
numeric personal (CNP), date
personale referitoare la fapte penale sau contravenții.
Responsabil cu protectia datelor cu caracter personal (DPO) , ofer consultanta .
mobil: 0755 294 593
mobil: 0755 294 593
Regulamentul 2016/679 al Uniunii Europene privind datele cu caracter personal
Regulamentul 2016/679 al Uniunii
Europene privind datele cu caracter personal va produce efecte asupra
activitatii companiilor din Romania si din toate statele (nu doar
cele europene) care prelucreza date cu caracter personal ale
cetatenilor UE, începând cu data de 25 mai 2018. Regulamentul
acesta se aplică tuturor „operatorilor”, adică persoana fizică
sau juridică, autoritatea publică, agenție sau alt organism care,
singur sau împreună cu altele, stabilește scopurile și mijloacele
de prelucrare a datelor cu caracter personal. Datele cu caracter
personal, reprezintă orice informație privind o persoană fizică
identificată sau identificabilă.
Responsabil cu protectia datelor cu caracter personal (DPO), ofer consultanta .
mobil: 0755 294 593
Abonați-vă la:
Postări (Atom)