Aici descoperim
dreptul tehnologiei


Conceptul de date cu caracter personal include orice fel de informații, indiferent că sunt informații despre viața privată a persoanei sau informații publice. Pentru a înțelege, din acest punct de vedere, aplicabilitatea noțiunii de date cu caracter personal vom lua următorul exemplu:

Maria și-a achiziționat recent o geantă de la un magazin online. Ulterior achiziției, postează în mod public pe rețeaua de socializare Facebook o fotografie cu ea purtând respectiva geantă. Compania îi urmărește profilul și vede o oportunitate bună de marketing în a posta fotografiei Mariei și în „tag-uirea” numelui acesteia. Lucru pe care îl și realizează.

Deși informațiile urcate de Maria pe profilul de Facebook au devenit publice, acest lucru nu înseamnă că ele au ieșit din zona de „date cu caracter personal”.  O dată cu caracter personal devenită publică nu dă automat undă verde la prelucrare. Avea dreptul compania să se folosească de datele publice personale ale Mariei pentru a-și face reclamă?

Răspunsul este da, în situația în care compania și-a justificat prelucrarea recurgând la un temei legal, precum consimțământul Mariei sau interesul legitim al companiei și atâta timp cât Maria a fost informată în prealabil asupra intenției de a prelucra astfel datele sale (de a posta imaginea și de a tag numelui).

 

În situația în compania nu a avut consimțământul Mariei și nici nu s-a bazat pe alt temei legal, prelucrarea datelor personale este ilegală. În situația în care Maria nu a fost informată corespunzător în prealabil, prelucrarea este, de asemenea, ilegală. În ambele cazuri, compania poate fi sancționată de Autoritatea de Supraveghere. Finalitatea unei astfel de acțiuni depinde, în majoritatea situațiilor, de Maria. Dacă s-a supărat, Maria știe că poate depune o plângere la Autoritatea de Supraveghere și că aceasta va porni o investigație, iar compania poate fi sancționată. Și aici revenim la conceptul initial: în centrul GDPR se află respectful față de persoana fizică: clientul, vizitatorul pe site, angajatul, pacientul. Ține minte asta și te va ajuta să înțelegi și să te conformezi mai rapid.



O instanță belgiană a interzis Facebook să mai colecteze date despre utilizatori, în caz contrar urmând să  plătească amenzi zilnice de 250.000 de euro.

Instanța a decis vineri că Facebook a încălcat legile privitoare la confidențialitatea datelor prin urmărirea persoanelor pe site-uri terțe.

„Facebook ne informează insuficient despre colectarea de informații despre noi, tipul de date pe care le colectează, ce face cu aceste date și cât timp le stochează”, a afirmat instanța. „De asemenea, nu ne obține consimțământul pentru colectarea și stocarea acestor informații.”

De asemenea, Facebook a fost obligată să ștergă toate datele pe care le-a strâns ilegal cu privire la  cetățenii belgieni, inclusiv pe cei care nu erau utilizatori ai rețelei sociale.

Facebook utilizează metode diferite pentru a urmări comportamentul online al persoanelor pe alte site-uri, plasarea de cookie-uri și pixeli invizibili pe site-uri web ale unor terțe părți, a afirmat instanța. Ca de exemplu, plugin-urile de like și share.

Belgia vs Facebook

Lupta dintre Belgia și Facebook a început în 2015, când Autoritatea din Belgia (CPP) a solicitat o expertiză a cercetătorilor de la Universitatea din Leuven, care a constatat că urmărirea tuturor vizitatorilor de către Facebook fără consimțământul explicit prin utilizarea cookie-urilor a încălcat legislația UE.

CPP a trimis  Facebook în instanță, mai târziu în 2015, pentru încălcarea legilor cu privire la viața privată și protecția datelor din Belgia, dar și legislația europeană.

Instanța belgiană a ordonat Facebook să înceteze să urmărească non-utilizatorii la sfârșitul anului 2015, amenințând cu amenda. Facebook a făcut apel împotriva hotărârii instanței la începutul anului 2016, contestând competența instanțelor belgiene, deoarece datele au fost prelucrate la Dublin. Facebook a contestat, inclusiv folosirea limbii engleze în hotărârea instanței prin recurgerea la termeni ca “browser” și “cookie”, spunând că este împotriva legii belgiene care prevede că pot fi folosite numai limbile olandeză, franceză sau germană.

Facebook a câștigat apelul, anulând decizia care i-a împiedicat să folosească așa-numitele cookie-uri pentru a urmări activitatea de internet a utilizatorilor din Belgia.  Hotărârea instanței de apel a fost desființată într-o cale de atac superioară, instanța susținând concluziile CPP.

MAI DEPARTE?

Aceasta este doar unul dintre războaiele pe care facebook le duce cu gardienii drepturilor omului din Europa. UE și statele europene continuă să critice Facebook pentru că nu a reușit să stopeze fenomenul „fake-news” și să stopeze pentru a trata conținutul extremist.

Whatsapp se confruntă, de asemenea, cu grupul de lucru “Articolul 29”, în legătură cu eșecul său de a aborda în mod adecvat obținerea consimțământului utilizatorului de a partaja date de la Whatsapp către Facebook. Setările implicite privind confidențialitatea rețelei sociale și utilizarea datelor cu caracter personal au fost recent declarate ilegale de către un tribunal din Berlin.

De asemenea, Franța a ordonat companiei să nu mai partajeze datele utilizatorilor Whatsapp către Facebook. Facebook a fost amendat în vara lui 2017 cu 106 milioane de euro de UE pentru furnizarea de informații „înșelătoare” în preluarea companiei WhatsApp.

Totul se întâmplă în ajunul introducerii unor noi reguli europene de confidențialitate, numite Regulamentul general privind protecția datelor, care se aplică de la 25 mai.

Allan a declarat: „Ne pregătim pentru noul regulament privind protecția datelor conform instrucțunilor Autorității nostre de supraveghere din Irlanda. Vom respecta această nouă lege, așa cum am respectat legislația existentă privind protecția datelor în Europa “

 

SURSA aici



Adresa de protocol internet dinamică a unui vizitator constituie, pentru administratorul site-ului, o dată cu caracter personal, în cazul în care acest administrator dispune de mijloace legale care îi permit să identifice vizitatorul respectiv cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al vizitatorului

Domnul Patrick Breyer se opune în fața instanțelor germane la înregistrarea și stocarea adreselor sale de protocol internet („adrese IP”)1 de către site-urile internet ale organismelor federale germane. Aceste organisme înregistrează și stochează, pe lângă data și ora consultării, adresele IP ale vizitatorilor pentru a preveni atacurile cibernetice și a face posibilă urmărirea penală.

 Bundesgerichtshof (Curtea Federală de Justiție, Germania) a sesizat Curtea de Justiție pentru a stabili dacă în acest context adresele IP dinamice constituie de asemenea, în privința administratorului site-ului internet, o dată cu caracter personal și beneficiază, astfel, de protecția prevăzută pentru astfel de date. O adresă IP dinamică este o adresă IP care se schimbă cu ocazia fiecărei noi conectări la internet. Spre deosebire de adresele IP statice, adresele IP dinamice nu permit să se facă legătura, prin intermediul unor fișiere accesibile publicului, între un anumit calculator și conexiunea fizică la rețea utilizată de furnizorul de acces la internet. Astfel, numai furnizorul de acces la internet al domnului Breyer dispune de informațiile suplimentare necesare pentru a-l identifica.

Pe de altă parte, Bundesgerichtshof solicită să se stabilească dacă administratorul unui site internet trebuie, cel puțin în principiu, să aibă posibilitatea de a colecta și de a utiliza ulterior datele cu caracter personal ale vizitatorilor pentru a asigura funcționalitatea generală a site-ului său. Instanța menționată precizează în această privință că majoritatea doctrinei germane interpretează reglementarea germană în materie în sensul că aceste date trebuie șterse după terminarea sesiunii de consultare dacă nu sunt necesare în vederea facturării.

Prin hotărârea pronunțată astăzi, Curtea răspunde mai întâi că o adresă IP dinamică înregistrată de „un furnizor de servicii de comunicații electronice” (cu alte cuvinte, administratorului unui site internet, în speță organismele federale germane) cu ocazia consultării site-ului său internet pe care îl pune la dispoziția publicului constituie, pentru administrator, o dată cu caracter personal2 , în cazul în care acesta dispune de mijloace legale care îi permit să identifice vizitatorul cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestuia din urmă.

Curtea arată în această privință că se pare că există în Germania căi legale care permit furnizorului de servicii de comunicații electronice să se adreseze, în special în cazul unor atacuri cibernetice, autorității competente pentru ca aceasta să întreprindă demersurile necesare pentru a obține aceste informații de la furnizorul de acces la internet și pentru a declanșa ulterior urmărirea penală.

În al doilea rând, Curtea răspunde că dreptul Uniunii se opune unei reglementări a unui stat membru în temeiul căreia, în lipsa consimțământului vizitatorului, un furnizor de servicii de comunicații electronice poate colecta și utiliza datele cu caracter personal ale vizitatorului numai în măsura în care această colectare și această utilizare sunt necesare pentru a permite și a factura utilizarea concretă a serviciilor respective de către acest vizitator, fără ca obiectivul care vizează asigurarea funcționalității generale a acestor servicii să poată justifica utilizarea datelor după o sesiune de consultare a acestora.

Curtea amintește că, potrivit dreptului Uniunii, prelucrarea datelor cu caracter personal este legală printre altele dacă este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate.

Reglementarea germană, astfel cum este interpretată în doctrina majoritară, reduce domeniul de aplicare al acestui principiu, excluzând ca obiectivul privind asigurarea funcționalității generale a comunicațiilor electronice respective să poată face obiectul unei ponderări cu interesul sau cu drepturile și libertățile fundamentale ale vizitatorilor.

În acest context, Curtea subliniază că organismele federale germane care furnizează servicii de comunicații electronice ar putea avea un interes legitim în a asigura, dincolo de fiecare utilizare concretă a site-urilor lor internet accesibile publicului, continuitatea funcționării propriilor site-uri.



Majoritatea firmelor prelucrează date cu caracter personal referitoare la angajații lor zi de zi. Datele personale prelucrate de firmă pot fi oricare, de la datele de identificare până la informațiile medicale prezentate de angajați pentru a justifica absența. În consecință, majoritatea întreprinderilor vor fi afectate de Regulamentul UE privind protecția generală a datelor (“GDPR”), care va reglementa prelucrarea datelor cu caracter personal atunci când devine direct aplicabil începând cu 25 mai 2018.

Acest articol cuprinde măsuri practice pe care ar trebui să le luați în considerare în ceea ce privește prelucrarea datelor angajaților.

1. Ce este GDPR?

Multe organizații se străduiesc să evalueze unde ar trebui să înceapă în ceea ce privește pregătirea pentru GDPR. Este util să ne amintim că am avut legislație privind protecția datelor în România încă din 2001 și, prin urmare, firmele care au respectat în mod serios respectarea protecției datelor sunt deja în bună formă pentru a îndeplini standardele de respectare a standardelor GDPR. GDPR se bazează și consolidează multe dintre cerințele și principiile existente privind protecția datelor în conformitate cu legislația actuală privind protecția datelor. GDPR ar trebui văzută ca o oportunitate de a revizita nivelul de protecție a datelor de către firma.

Începând cu 25 mai 2018, GDPR va înlocui Directiva din 1995 privind protecția datelor, care este legislația UE, pe care se bazează principala legislație română privind protecția datelor, Legea 677/2001. GDPR, fiind un Regulament, se va aplica direct în România, indiferent că se adoptă sau nu o lege națională.

2. „Consimțământul” în contractele de muncă

Ca și în cazul actualei legislații, pentru a prelucra datele personale ale unui angajat, firma are nevoie de o bază legală pentru a face acest lucru. Multe dintre bazele juridice pe care angajatorii le utilizează în prezent pentru a procesa datele cu caracter personal ale angajaților vor continua să existe în cadrul GDPR. Cele mai relevante baze juridice pentru angajatori, atât în ​​cadrul DPA, cât și în GDPR, sunt următoarele:

  • angajatul și-a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru executarea unui contract la care angajatul este parte;
  • prelucrarea este necesară pentru a lua măsuri la cererea angajatului înainte de a încheia un contract;
  • respectarea unei obligații legale;
  • prelucrarea este necesară pentru a proteja ale angajatului; și
  • în scopul intereselor legitime ale firmei.

În practică, constatăm că mulți angajatori tind să se bazeze pe prima bază juridică menționată mai sus pentru prelucrarea datelor, adică consimțământul, care este de obicei luat în contractul de muncă. Pentru ca consimțământul să fie valabil, acesta trebuie, printre altele, să fie „acordat în mod liber”, ceea ce ridică preocupări în contextul ocupării forței de muncă, deoarece este discutabil dacă consimțământul unui angajat este acordat în mod liber pe baza dezechilibrului puterii dintre un angajator și un angajat . Grupul de lucru „Articolul 29″, care este grupul reprezentativ al autorităților UE pentru protecția datelor, a comentat recent că un angajat este rareori în măsură să dea un consimțământ liber.

Un alt punct de reținut atunci când se bazează pe consimțământ este acela că anumite drepturi ale persoanelor vizate pot fi exercitate numai atunci când consimțământul este temeiul juridic, de exemplu dreptul la portabilitatea datelor și așa-numitul „drept de fi uitat”.

Având în vedere dificultățile legate de consimțământ, acum este momentul să te gândești dacă nu cumva firma ta poate invoca baze juridice alternative pentru o anumită prelucrare a datelor cu caracter personal. De exemplu, prelucrarea detaliilor unui angajat în cadrul salarizării ar putea fi întemeiată pe baza legală a executării unui contract cu angajatul. Cu toate acestea, pot exista situații în care consimțământul este singurul temei juridic adecvat pentru a se baza. O astfel de situație poate apărea, de exemplu, în contextul procesării informațiilor medicale ale unui angajat, în cazul în care o asemenea prelucrare nu este cerută de legislația muncii. În cazul în care este necesar să se bazeze pe consimțământul ca temei juridic, consimțământul ar trebui să fie obținut printr-o declarație sau alt document separat de contractul de muncă, care nu este în mod inerent legat de acceptarea de către salariat a locului de muncă în cadrul firmei.

3. Drepturile angajatului

GDPR introduce noi drepturi pentru persoanele vizate și modifică, de asemenea, unele dintre drepturile existente în cadrul legislației actuale. Un drept modificat pe care multe firme îl pot cunoaște este dreptul de acces al persoanelor vizate, care oferă în mod esențial unei persoane dreptul de a primi o copie a datelor sale personale.

Răspunsul la cerere trebuie să se facă „fără întârzieri nejustificate” și, în orice caz, în termen de o lună de la primirea solicitării.

Acest termen scurt înseamnă că firmele vor trebui să se asigure că au politicile și procedurile în vigoare pentru a se conforma unei cereri de acces primite și că dispune de personal și resurse suficiente pentru a se conforma. Cu toate acestea, în cazul în care o cerere este complexă sau dacă sunt formulate mai multe cereri, atunci termenul poate fi prelungit cu încă două luni, dacă este necesar, cu condiția ca persoana vizată să fie informată cu privire la prelungire și motivele acesteia în termen de o lună de la data la care angajatorul a primit cererea.

 

4. Responsabilitatea

Responsabilitatea este un principiul fundamental al GDPR. Aceasta impune ca firmele nu numai să respecte GDPR prin implementarea unor măsuri tehnice și organizatorice adecvate și a unor politici adecvate de protecție a datelor, dar trebuie, de asemenea, să poată demonstra conformitatea acestora. Ca atare, acest lucru va implica mai mult decât crearea unor politici de protecție a datelor și a unor registre de prelucrare care să respecte GDPR, ci si punerea în practică a acestor politici.

 

5. Informații care trebuie furnizate angajaților

Trebuie furnizate anumite informații angajaților înainte ca datele lor personale să fie colectate și prelucrate de către firmă. Informațiile vor fi în mod obișnuit furnizate sub forma unei notificări adresate candidaților, iar o politică de confidențialitate viitoare va fi furnizată angajaților, de regulă, cu ocazia încheierii contractului de muncă. În cadrul GDPR, vor fi furnizate următoarele informații:

  • numele firmei și datele de contact și numele și datele de contact responsabilului cu protectia datelor, dacă există;
  • scopul (scopurile) prelucrării, precum și temeiurile juridice pentru prelucrare;
  • în cazul în care temeiul juridic al prelucrării se bazează pe interesele legitime ale întreprinderii, aceste interese legitime trebuie identificate;
  • destinatarii sau categoriile de destinatari de date cu caracter personal;
  • dacă firma intenționează să transfere date cu caracter personal unei țări terțe și temeiul juridic al transferului;
  • perioada de păstrare a datelor cu caracter personal și criteriile utilizate pentru determinarea acesteia; modul în care angajații (sau candidații pentru locuri de muncă) își pot exercita drepturile;
  • modul în care angajații (sau candidații pentru locuri de muncă) își pot retrage consimțământul pentru prelucrare, în cazul în care prelucrarea de către firmă se bazează pe consimțământ;
  • dreptul de a depune o plângere autorității de supraveghere a protecției datelor;
  • dacă angajatul (sau candidatul la postul de loc de muncă) este obligat să furnizeze datele cu caracter personal în temeiul unei legi sau al unui contract și consecințele neconformării; și
  • existența procesului de luare a deciziilor automate, inclusiv profilarea, precum și logica și consecințele prelucrării pentru angajat (sau candidatul la un loc de muncă).

Este important să revizuiești informările oferite angajaților și candidaților pentru locuri de muncă, pentru a verifica dacă acestea includ informațiile de mai sus.

 

6. Responsabilul cu protecția datelor („DPO”)

O modificare importantă introdusă de GDPR este cerința ca anumiți operatori de date și împuterniciți să numească un DPO. DPO este responsabil de supravegherea conformității unei organizații cu protecția datelor.

Un DPO este obligatoriu atunci când:

  • operatorul este o autoritate publică sau un organism public (cu excepția instanțelor de judecată);
  • operatorii de date și împuterniciții au ca activitate principală o prelucrare “care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă”; și
  • operatorii de date și împuterniciții implicați în prelucrarea la scară largă a datelor cu caracter personal sensibile sau a datelor cu caracter personal referitoare la condamnările și infracțiunile penale.

Grupul de lucru “Articolul 29” recomandă ca operatorii și împuterniciții să se informeze dacă este necesar un DPO.

DPO poate să fie intern (angajat) sau externalizat (de exemplu, un avocat) și trebuie să aibă cunoștințe de specialitate privind protecția datelor cu caracter personal. Dacă este angajat, nu poate fi sancționat sau demis pentru îndeplinirea activităților sale. Responsabilul va fi independent în îndeplinirea sarcinilor. Acest lucru trebuie luat în calcul înainte de a numi pe cineva.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

 



 

În data de 8 ianuarie 2017, Autoritatea de Supraveghere din UK (ICO) a amendat cu 400 000 de lire sterline compania de telecomunicații The Car Phone Warehouse Limited pentru un incident de securitate (atac cibernetic) din anul 2015. ICO a constatat că societatea nu a reușit să ia măsurile adecvate pentru a proteja datele personale pe care le deținea în sistemul său.

Între iulie și august 2015, sistemul de găzduire al companiei, care includea datele personale a peste 3.348.000 de clienți și 1000 angajați (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.

ICO a constatat că atacul a fost posibil datorită deficiențelor de securitate ale companiei, care includeau:

  • software-ul sistemului nu a fost actualizat de câțiva ani;
  • nu au fost luate măsuri pentru a verifica dacă actualizările software au fost implementate în conformitate cu politica companiei;
  • compania nu a dispus de măsuri pentru a controla credentialele de acces;
  • nu au fost luate măsuri adecvate de scanare a vulnerabilității și de testare a penetrării;
  • compania nu avea nici o aplicație firewall pentru monitorizarea traficului către și din aplicațiile sale web, contrar standardelor de securitate acceptate;
  • serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei și standardelor de securitate acceptate;
  • sistemul de operare de pe servere avea aceeași parolă partajată de mai mult de 30 de angajați;
  • datele cu caracter personal au fost colectate fără motive întemeiate și au fost luate măsuri inadecvate pentru securizarea acestora; și
  • parolele de criptare nu au fost stocate în siguranță.

ICO a concluzionat că aceste fapte au reprezentat o încălcare multilaterală a principiului 7 privind protecția datelor, inclus în Legea privind protecția datelor din 1998, care prevede că trebuie luate măsuri tehnice și organizatorice adecvate împotriva prelucrării neautorizate sau ilegale a datelor cu caracter personal și împotriva pierderii accidentale, distrugerii sau deteriorării datelor personale.

ICO, în anunțul public al deciziei, a subliniat importanța principiului „Privacy by design” inclus în GDPR, care impune companiilor să se asigure că există măsuri puternice de guvernanță IT și de securitate a informațiilor pentru a se conforma prevederilor din Regulament

Sursa

UK ICO Issues Unprecedented Fine Against Mobile Phone Retailer for Lax Security



Sute de reclamații despre marketingul nelegal a 4 companii britanice au determinat investigații ale ICO, care s-au finalizat cu aplicarea următoarelor amenzi:

  • Barrington Claims Limited a fost amendată cu 250 000 de lire sterline pentru arproximativ 15 milioane de apeluri automate;
  • Londra Newday Limited a fost amendată cu 230.000 de lire sterline pentru aproximativ 44 de milioane de spam-uri pe e-mail;
  • Goody Market UK Limited a fost amendată cu 40.000 de lire sterline pentru peste 111.367 de spam-uri
  •   CTFLI Limited a fost amendată cu 80 000 de lire sterline pentru aproximativ 1,19 milioane de mesaje spam.

Toate cele patru firme au încălcat legea prin faptul că nu au avut consimțământul oamenilor pentru marketing direct.

Andy Curry, directorul ICO Enforcement Group, a declarat:

 “Firmele nu pot ignora legile menite să protejeze oamenii de marketing-ul iritant” 

 “Aș îndemna pe oricine deranjat de marketingul neplăcut să ne sesizeze. Sesizările voastre ne ajută să luăm măsuri împotriva unor companii ca cele pe care le-am amendat astăzi și să prevenim astfel de abuzuri pe viitor.”

 



Cu ocazia întâlnirii din luna noiembrie 2017, Grupul de lucru Articolul 29 a adoptat două ghiduri (cu privire la „Transparență” și „Consimțământ”) în vederea asigurării unei aplicări armonizate a Regulamentului General privind Protecția Datelor începând cu data de 25 mai 2018. Acestea au fost lansate în vederea consultării publice până la data de 23 ianuarie 2018.

În prezentul articol, vom rezuma aspectele relevante cuprinse în Ghidul Grupului de Lucru Articolul 29 cu privire la transparență.

Noțiunea de transparență

Deși transparența nu este definită în GDPR, totuși Considerentul 39 din Preambul este informativ cu privire la principiul transparenței: Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate.

 

Art. 12 din RGPD prevede că operatorul trebuie să realizeze informarea persoanei vizate astfel:

  • într-o formă concisă, transparentă, inteligibilă și usor accesibilă;
  • utilizând un simplar clar și simplu;
  • în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic;
  • la solicitarea personei vizate, informațiile pot fi prezentate oral;
  • informarea trebuie să fie gratuită.

 

I. Forma concisă, transparentă, inteligibilă și usor accesibilă

Grupul de Lucru recomandă ca informațiile să fie prezentate succinct și să se diferențieze în mod clar de alte informații, ca de exemplu, dispozițiile contractuale. Cerința ca informația să fie „inteligibilă” înseamnă că ar trebui înțeleasă de un membru mediu al publicului vizat. Cerința „ușor accesibilă” înseamnă că persoana vizată nu ar trebui să caute ea însăși informațiile, ci să îi fie gata oferite de către operator. Grupul de lucru recomandă ca pentru accesarea notei de informare să nu se folosească mai mult de două clickuri și că funcția de meniu utilizată în aplicații ar trebui să includă întotdeauna o secțiune pentru protecția datelor.

 

II. Limbaj simplu și clar

Informațiile prezentate trebuie incluse într-un limbaj simplu, clar și definitiv. Potrivit Grupului de Lucru, exemplele de limbaj neclar includ: „putem folosi datele tale cu caracter personal pentru a dezvolta noi servicii(deoarece nu este clar care este serviciul), „putem folosi datele tale cu caracter personal în scopuri de cercetare” (întrucât nu este clar despre ce fel de  cercetare este vorba).

 

III. în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic

Grupul de Lucru constată că „alte mijloace” pot include declarații/notificări de confidențialitate stratificate, ferestre pop-up, notificări 3D etc.

  • la solicitarea personei vizate, informațiile pot fi prezentate oral

Grupul constată că acest lucru nu înseamnă neapărat informații orale furnizate personal sau prin telefon. Informațiile orale automate pot fi furnizate în plus față de mijloacele scrise, cum ar fi în contextul persoanelor cu deficiențe de vedere atunci când interacționează cu furnizorii de servicii ale societății informaționale. În cazul în care informațiile sunt furnizate oral, operatorul ar trebui să permită persoanei vizate să asculte din nou mesajele preînregistrate.

  • informarea trebuie să fie gratuită

Un operator nu poate solicita o taxă pentru informarea persoanei vizate.

 

Notificările existente ar putea avea nevoie de actualizare

Operatorul trebuie să se asigure că notele de informare include toate informațiile prevăzute în Articolele 13 și 14 din GDPR, în caz contrar, este nevoie ca acestea să fie actualizate pentru a corespunde noilor standarde.

 

Informarea copiilor

Limbajul trebuie adaptat publicului. Dacă se prelucrează date cu caracter personal ale copiilor, limbajul trebuie să fie adecvat vârstei. Grupul oferă ca exemplu pentru un limbaj adresat copilului „Convenția ONU privind drepturile copilului” în limbaj pentru copii.

 

Dacă se dorește modificarea notei de informare, aceasta modificare ar trebui să fie într-o modalitate adecvată (de exemplu, prin e-mail) și să fie dedicată aceastui subiect. Nu se recomandă informarea despre modificare împreună cu conținutul despre marketing. Ar trebui ca informarea să se realizeze cu o marjă de timp adecvată înainte de aplcarea modificării dacă implică o modificare fundamental a naturii prelucrării  sau este vorba despre o modificare care poate avea un impact semnificativ asupra persoanei.

Excepțiile de la informarea persoanei vizate

Art. 14 alin. (5) conține excepțiile de la obligația de informare. Grupul afirmă că aceste excepții ar trebui interpretate limitativ:

 

a)persoana vizată deţine deja informaţiile;

b)furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligaţia menţionată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective In astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;

c)obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

d)în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.

 

Ghidul

Ai nevoie de modele de informare? Le găsești aici

 



Curtea Europeană a Drepturilor Omului (CEDO)

Cauza López Ribalda și alții v. Spania – 1874/13 și 8567/13

Hotărârea din 09.01.2018

 Situația de fapt

Reclamanții au lucrat în calitate de casieri la un supermarket. Observând pierderi economice substanțiale, în cursul anului 2009 angajatorul a instalat camere de supraveghere vizibile, cu privire la care reclamanții fuseseră notificați și camere ascunse, cu privire la care nu fuseseră anunțați.

Camerele de supraveghere au surprins angajații sustrăgând anumite articole. Maniera de operare era, de obicei, următoarea: angajatul scana articolele cumpărătorilor, urmând ca apoi să anuleze operațiunea. Reclamanții au fost concediați.

Angajații s-au adresat instanțelor naționale din Spania, invocând concedierea nelegală, întrucât, din punctul lor de vedere, probele incriminatorii au fost colectate prin încălcarea dreptului la viață privată.

Bazându-se pe legislația națională și pe jurisprudența Curții Constituționale spaniole, instanțele spaniole au respins acțiunea reclamanților, hotărând în favoarea angajatorului.

Considerând că a fost încălcat articolul 8 din Covenția Europeană a Drepturilor Omului (dreptul la respectarea vieții private și de familie), reclamanții au depus plângere la CEDO.

 Ce a decis Curtea?

Curtea a hotărât că a avut loc o încălcarea a art. 8 din CEDO, respectiv dreptul la respectarea vieții private și de familie. Printre argumentele Curții, se regăsesc următoarele:

  • Înregistrarea video ascunsă a angajaților la locul de muncă este o intruziune în viața lor privată

Deși scopul articolului 8 este, în mod esential, unul de a proteja persoana împotriva ingerințelor arbitrare din partea statului, acesta este aplicabil și relațiilor dintre persoane particulare, inclusiv în situația relațiilor de muncă.

Supravegherea video ascunsă a presupus documentarea înregistrată și care putea fi reprodusă a conduitei angajaților de la locul de muncă. Fiind obligați în baza contractului de muncă și neavând cunoștință despre existența supravegherii, angajații nu au putut evita ingerința în viața lor privată. Prin urmare, prin implementarea acestor măsuri de supreveghere video ascunsă a fost vizată „viața privată” a reclamanților.

Totuși, CEDO nu a declarat că supravegherea secretă a angajaților este interzisă în mod absolut. În situații excepționale, aceasta ar putea fi justificată. Trebuie, însă, luate în calcul două principii: transparența și proporționalitatea.

  • Angajatorul nu a respectat obligația de informare a salariaților (transparență)

Legea spaniolă în domeniul protecției datelor cu caracter personal obligă operatorul (în speță, angajatorul) să informeze în prealabil persoanele vizate (angajații) cu privire la existența unui mijloc de colectare și prelucrare a datelor lor personale, de exemplu, un CCTV ascuns.

(Acestă obligație de informare a operatorului există si în legislația română, mai exact, în Legea 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal, obligația urmând să fie menținută și de Regulamentul General privind Protecția Datelor – GDPR).

În cauza de față, angajatorul nu a informat persoanele vizate cu privire la existența unor camere de supraveghere.

  • Curtea a considerat că nu a existat un echilibru între interesele angajatorului și dreptul la viață privată (proporționalitate)

Instanțele naționale au considerat că măsura adoptată a fost proporțională prin raportare la scopul legitim al garantării intereselor anjatorului.

Curtea nu a putut îmbrățișa această opinie, întrucât:

  • Supravegherea video a avut loc pe o perioadă de timp prelungită și pe parcursul tuturor orelor de muncă;
  • Nu au fost respectate cerințele prevăzute de legislație și, în particular, obligația de informare explicită, precisă și lipsită de ambiguitate a celor vizați despre existența și caracteristicile particulare ale unui sistem care colectează date cu caracter personal;
  • Puteau fi alese metode mai puțin intruzive în viața privată pentru protejarea intereselor angajatorului.

Având în vedere aceste aspecte, Curtea a considerat că instanțele naționale au eșuat să asigure un echilibru corect între dreptul reclamanților la respectarea vieții lor private în baza Articolului 8 din Convenție și interesul angajatorului lor la protecția dreptului său de proprietate.

Interesant de menționat este și faptul că, în motivarea hotărârii, Curtea a făcut o paralelă cu o altă cauză, Köpke v. Germania, unde, deși situația era, în linii mari, aceeași, soluția a fost diferită, constatându-se că nu a avut loc o încălcarea a dreptului la viața privată a unor angajați monitorizați prin camere video ascunse.

Totuși, soluția a fost diferită, întrucât, spre deosebire de cauza de față, în Köpke v. Germania:

  • amplasarea de camere video ascunse a fost urmarea unei suspiciuni anterioare dovedite împotriva angajaților;
  • camerele video se refereau la persoane determinate, doi angajați bănuiți de fraudă, iar nu la întregul personal ca în prezenta cauză;
  • măsura supravegherii fusese una limitată în timp – ea a durat două săptămâni – și prin aceasta fuseseră vizați doar doi angajați.

SFATURI PRACTICE PENTRU ANGAJATORI

 Odată cu conștientizarea importanței protecției datelor cu caracter personal, litigiile de acest fel au devenit un „trend”. Ca angajator, pentru a preîntâmpina astfel de situații, ar trebui să:

  • Înainte de amplasarea unui mijloc de supraveghere, iei în calcul dacă îți poți îndeplini scopul prin recurgerea la mijloace mai puțin intruzive;
  • Te informezi asupra problematicii datelor cu caracter personal. Parcurgerea legislației, participarea la traininguri și cursuri și consultanța oferită de specialiștii în domeniu sunt instrumente utile de care ar trebui să te folosești.
  • Prelucrezi doar datele strict necesare prin raportare la scop;
  • Asiguri securitatea adecvată a datelor;
  • Prelucrezi datele în mod legal, echitabil și transparent față de angajat și să îți îndeplinești obligația de informare;
  • Înțelegi drepturile persoanei vizate și să dai curs solicitărilor întemeiate.

Hotărârea Curții aici

 



În continuarea articolului precedent, azi discutăm despre consimțământul explicit, retragerea acestuia, consimțământul copiilor și în ce măsură consimțământul obținut pe Legea 677/2001 este valabil începând cu mai 2015.

 

COSIMȚĂMÂNTUL EXPLICIT

Consimțământul explicit este necesar numai dacă se prelucrează categorii de date sensibile (de exemplu, datele medicale, genetice, biometrice, datele care dezvăluie originea rasială, etnică, convingerile religioase, filozofice), în situația transferurilor către state terțe UE fără garanții adecvate și în situația deciziilor automate cu efect semnificativ.

O declarație scrisă semnată este cel mai bun exemplu pentru un consimțământ explicit. Alte recomandări ale Grupului de lucru sunt un proces de verificare în doi factori a consimțământului (verificare ulterioară prin e-mail, sms, telefon pentru a se asigura că acordul este explicit), utilizarea unei semnături electronice, urcarea unui document scanat semnat, înregistrarea unei declarații verbale.  Pe lângă condițiile detaliate mai sus, operatorii au obligația de a păstra evidențele pentru a demonstra că s-a luat un consimțământ valabil și că subiectul a fost informat.

 

ALTE ASPECTE PRIVIND CONSIMȚĂMÂNTUL 

De asemenea, GDPR obligă controlorii să se asigure că consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune. Retragerea consimțământului nu trebuie să aducă prejudicii. Neîndeplinirea unui mecanism de retragere duce la eșecul validității acordului. În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, însă prelucrarea ulterioară trebuie să înceteze. Un nou consimțământ valabil este necesar. Nu este permisă migrarea tacită din consimțământ către altă bază legală pentru procesare.

În privința copiilor, dacă aceștia au vârsta sub 16 ani, consimțământul trebuie dat sau autorizat de reprezentantul legal (de obicei, părintele). Statele membre pot reduce această vârsta la 13 ani. În funcție de riscul prelucrării, consimțământul părinților se va obține diferit: pentru activități cu risc scăzut se poate realiza o verificare pe e-mail, însă pentru cele cu risc mare, este nevoie de cereri suplimentare. Odată ce copilul a ajuns la vârsta consimțământului digital (16 ani), un nou consimțământ este necesar direct de la subiect.

În situația în care consimțământul a fost obținut în conformitate cu legea 677/2001 este valabil dacă respectă condițiile stabilite de GDPR. Totuși, Grupul de Lucru avertizează că GDPR introduce standarde mult mai stricte care necesită revizuirea tutoror mecanismelor privind consimțământul și nu simpla actualizare a notelor de informare. Grupul avertizează în special operatorii care se bazează pe un consimțământ inactiv, cum este cazul colectării consimțământului prin utilizarea unor căsute pre-bifate.

SURSE

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611232

https://iapp.org/news/a/the-working-party-guidance-on-consent-is-finally-here/