Aici descoperim
dreptul tehnologiei


Răspunsul la  întrebarea * Pe ce perioada putem să deținem datele cu caracter personal ? * este unul simplu : pe o perioadă cât mai scurtă posibil.

Această perioada ar trebui să țină seama de motivele pentru care organizația / societatea dumneavoastră trebuie să prelucreze datele, precum și de eventuale obligații juridice de a păstra datele o perioadă fixă de timp .

Astfel,organizația/societatea dumneavoastră ar trebui să stabilească termene pentru ștergerea sau revizuirea datelor stocate.

O mică excepție în acest sens intervine în momentul în care datele cu caracter personal pot fi păstrate o perioadă mai îndelungată în scopuri de arhivare în interes public ori în scopuri de cercetare științifică sau istorică, cu condiția să fie puse în aplicare măsuri de ordin tehnic și organizatoric adecvate , că de exemplu criptarea,pseudonimizarea sau anonimizarea.

Organizația/societatea dumneavostră trebuie să se asigure că datele pe care le deține sunt exacte și să le actualizeze periodic.

Slave Cristina Violeta

Universitatea Creștină “Dimitrie Cantemir” București



Având în vedere că a mai rămas foarte puțin timp pentru ca toți operatorii de date să se alinieze cu Regulamentul nr. 679 / 2016, iată ce lucruri trebuie adoptate pentru conformarea cu GDPR.

Principala responsabilitate a operatorului este de a prelucra date cu caracter personal în conformitate cu prevederile Regulamentului General privind prelucrarea datelor personale.

În primul rând, pentru ca prelucrarea să fie legală, trebuie să întrunească una dintre următoarele condiții:

  1. Obținem consimțământul scris al persoanei vizate;
  2. Prelucrarea e necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
  3. Prelucrarea e necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
  4. Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  5. Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este investit operatorul;
  6. Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

 

După ce îndeplinim una dintre aceste condiții, avem obligația de a informa persoana de la care prelucrăm date, cu următoarele lucruri:

  1. Identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
  2. Datele de contact ale responsabilului cu protecția datelor, după caz;
  3. Scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
  4. Interesele legitime urmărite de operator sau de o parte terță;
  5. Destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  6. Intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională;
  7. Perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu e posibil, criteriile utilizate pentru a stabili această perioadă;
  8. Existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
  9. Existența drepului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;
  10. Dreptul de a depune o plângere în fața unei autorități de supraveghere;
  11. Daca furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
  12. Existența unui proces decizional automatizat incluzând crearea de profiluri;
  13. Intenția operatorului de a prelucra ulterior datele cu alt scop decât cel pentru care acestea au fost colectate, acesta trebuie să furnizeze persoanei vizate, înainte de a prelucra ulterior, informații privind scopul secundar;

În cazul în care obținem de la o terță persoană datele personale ale altei persoane trebuie să-i mai comunicăm și următoarele:

  1. Categoriile de date cu caracter personal vizate;
  2. Sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public;

În ce moment se face informarea?

În cazul preluării directe a datelor de la persoana vizată, informarea se face în momentul obținerii datelor.

În cazul obținerii datelor cu caracter personal din alte surse, informarea se face:

  1. într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună, ținându-se seama de modurile și căile specifice în care sunt prelucrate datele cu caracter personal;
  2. dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă;

Dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

Pentru asigurarea unui nivel ridicat de protecție a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze protejarea datelor în orice moment:

  • Breșe de securitate;
  • Solicitări cu privire la exercitarea drepturilor persoanelor vizate;
  • Modificarea datelor cu caracter personal colectate;
  • Schimbarea prestatorului;

Un lucru important care demonstrează respectarea obligațiilor de către un operator este aderarea la coduri de conduită aprobate sau la un mecanism de certificare aprobat.

În vederea menținerii securității și a prevenirii prelucrărilor care încalcă regulamentul, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea datelor.

Printre altele, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal recomandă ca toate societățile să desemneze un responsabil cu protecția datelor personale (Data Protection Officer) .

 

Bibliografie:

  1. Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016.
  2. Ghid orientativ de aplicare a RGPD – ANSPDCP – www.dataprotection.ro

 



În ce situații nu se aplică GDPR?

Încălcarea GDPR sau aplicarea incompletă sau defectuoasă a acestui regulament vine cu efecte neplăcute :  sancțiuni semnificative pentru organizații și instituții sub forma unor amenzi administrative care potrivit art. 83 alin (4) rezultă în „ … amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior..” sau poate rezulta în scăderea încrederii pe care o are un individ sau consumator într-un brand și în mod implicit în scăderea veniturilor așa cum s-a întâmplat în cazul platformei Facebook după ce Cambridge Analytica a colectat datele a peste 50 de milioane de conturi Facebook.

Din acest motiv este imperativă cunoașterea limitelor aplicabilității GDPR.

Când nu se aplică deci Regulamentul?

Protecția conferită de către GDPR se extinde numai datelor cu caracter personal aparținând persoanelor fizice cetățeni ai unui stat membru al Uniunii Europene. Pe cale de consecință Regulamentul nu este aplicabil persoanelor juridice sau cetățenilor din state terțe ale Uniunii Europene.

Potrivit art. 23 alineatul (1) al Regulamentului  statele pot deroga de la obligațiile ce le revin pentru motive ce țin de :

  • securitatea națională;
  • apărare;
  • securitate publică;
  • prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale;
  • protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora;
  • alte obiective importante de interes public general ale Uniunii sau ale unui stat membru în special un interes economic sau financiar important al Uniunii sau al unui stat membru;
  • protejarea independenței judiciare și a procedurilor judiciare;
  • prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate;
  • funcția de monitorizare, inspectare sau reglementare legată ocazional, de exercitarea autorității oficiale în cazurile menționate la literele (a)-(e) și (g) ale articolului 83 din Regulament litera (1);
  • protecția persoanei vizate sau a drepturilor și libertăților altora;
  • punerea în aplicare a pretențiilor de drept civil;

Derogările legislative pentru motivele menționate anterior se pot face numai dacă acestea conțin dispoziții[1] care să precizeze acolo unde este relevant:

  • scopurile prelucrării sau ale categoriilor de prelucrare;
  • categoriile de date cu caracter personal;
  • domeniul de aplicare al restricțiilor introduse;
  • garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;
  • menționarea operatorului sau a categoriilor de operatori;
  • perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;
  • riscurile pentru drepturile și libertăților persoanelor vizate;
  • dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru poate aduce atingere scopului restricției;

Alte derogări permise de către Regulament se pot face pentru:

  1. Libertatea de exprimare și informare de exemplu: prelucrare de date in scopuri jurnalistice, pentru lucrări academice, artistice sau literare;
  2. Accesul public la documenele oficiale deținute de autorități sau organisme publice pentru acțiuni ce servesc interesului public;
  3. Prelucrarea unui numar de indentificare național sau a altui identificator cu aplicabilitate generală;
  4. Prelucrarea datelor în vederea ocupării unui loc de muncă;
  5. Prelucrarea în scopuri de arhivare publică, în scopuri de cercetare științifică, istorică sau în scopuri statistice;

Este de precizat că aceste excepții vis-a-vis de obligativitatea prevederilor GDPR presupun o abordare prudentă și orice derogare de la Regulament trebuie să fie fondată pe un motiv legitim.

Bibliografie:

  1. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG accesat la 29.04.2018
  2. https://www.twobirds.com/~/media/pdfs/gdpr-pdfs/81–guide-to-the-gdpr–derogations-and-special-conditions.pdf?la=en accesat la 29.04.2018
  3. https://www.gdpr.associates/gdpr-exemptions/ accesat la 29.04.2018

 



Datele speciale

În viața unui om al secolului XXI, oricine are la cunoștință faptul că mediul informatic invadează întreg mapamondul, începând să devină o mână de ajutor pentru omul de rând, și o sursă de venit pentru specialiști. Cel puțin o dată în viață, oricare dintre noi a oferit internetului date cu privire la nume, vârstă, domiciliu, fie că e vorba despre o înregistrare pe rețelele de socializare, fie o simplă cazare la hotel.  

Acestea poartă denumirea de date personale, așa cum le caracterizează și articolul 3, litera (a) din Legea 677/2001 “date cu caracter personal-orice informații referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este aceea care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau mai mulți factori specifici identității sale fizice , fiziologice, psihice, economice, culturale sau sociale.” Vorbim despre date personale atunci când acestea îndeplinesc condițiile de mai sus (o femeie din Brașov care se numește Constantin Elena Maria). În mod contrar, ele se numesc  date anonime  (o femeie din Brasov de 40 de ani).

Acum, că am clarificat noțiunea de date personale, putem vorbi și despre datele speciale, o categorie aparte de date, delimitate strict prin lege:

  • Rasa
  • Etnia
  • Orientarea politică
  • Religia
  • Convingerile filozofice sau de natură similară
  • Apartenența sindicală
  • Date privind starea de sănătate
  • Date privind viața sexuală

  Pe lângă acestea, există o altă categorie de date, care beneficiază de un regim special:

  • Date cu caracter personal, având o funcție de identificare generală, cum este codul numeric personal (CNP)
  • Date personale referitoare la fapte penale sau contravenții.

Cum putem prelucra datele speciale intr-o manieră legală?

Reglementării privitoare la prelucrarea datelor cu caracter personal îi este consacrat Capitolul III al Legii 677/2011. Articolul 7, alin. (1) interzice în mod expres prelucrarea unor astfel de date, însă ca o excepție a acestei reguli, articolul 7, alin. (2) subliniază că prevederile primului nu se aplică în următoarele cazuri:

  • Când persoana vizată și-a dat în mod expres consimțământul pentru o astfel de prelucrare

Acest consimțământ reprezintă că persoana înțelege cum vor fi prelucrate aceste date, unde vor merge și in ce scop. În general, acordul este bazat pe încrederea conferită de transparența procesului de prelucrare, în condițiile cunoștinței de cauză. De cele mai multe ori, acesta se materializează în bifarea căsuței “Accept termenii și condițiile”, deși frecvent, termenii nu sunt cunoscuți datorită omiterii lecturării textului care le cuprinde.

  • Când prelucrarea este necesară în scopul respectării obligațiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii

Acestă excepție este imperios necesară ca prevederile dreptului muncii să nu contravină Legii 677/2001, deoarece există anumite obligații specifice domeniului, luând ca exemplu înregistrarea angajatului în sistemul Revisal. Cu toate acestea, este interzis ca angajatorul să transmită aceste date unei alte companii, instituții, organizații sau asociații, fără acordul expres al celui care le furnizează.

Pot exista însă cazuri în care există o obligație legală de a transmite datele, în calitate de angajator, așa cum ar fi de exemplu o cerere de la ANAF.

  • Când prelucrarea este necesară pentru protecția vieții, integrității persoanei vizate

În acest sens, există anumite cazuri în care chiar lipsa prelucrării datelor speciale pot pune în pericol viața sau integritatea persoanei vizate sau a alteia. Astfel, această condiție se insitutie ca un mijloc de protecție, de exemplu în cazul unei persoane aflată în incapacitate fizică sau juridică de a-și da consimțământul.

  • Când prelucrarea este efectuată în cadrul activităților legitime de către o fundație, organizație

Atunci când prelucrarea este conformă activităților sale din statut, o organizație cu scop nelucrativ și cu specific politic, filozofic, religios ori sindical și persoana vizată este membră a acelei organizații, se poate dispune acest procedeu.  Ca exemplu, un scop legitim este atunci când un ONG pentru promovarea libertății sexuale reprezintă în instanță o persoana căreia i-au fost încălcate drepturile.

  • Când prelucrarea se referă la date făcute publice în mod manifest de persoana vizată
  • Cand prelucrarea este necesară în scopuri de medicinale :
  • De medicină preventivă
  • De stabilire a diagnosticelor medicale
  • De administrare a unor îngrijiri sau tratamente speciale pentru persoana vizată
  • De gestionare a serviciilor de sănătate care acționează în interesul persoanei  vizate

Condiția esențială de aplicare a cazurilor sus-numite este ca acestea acestea să fie făcute sub supravegherea cadrului medical supus secretului profesional sau unei alte persoane supuse unei obligații echivalente în ceea ce privește secretul.

  • Când legea prevede în mod expres aceasta în scopul protejării unui interes public important

Se impune condiția ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate și a celorlalte garanții prevăzute de prezenta lege (677/2001).

Articolul (3) vine să întăreasca obligația autorităților publice de a respecta și a ocroti viața intimă, familială și privată, reamintind totuși faptul că deși acestea sunt tot mai prezente în rutina cotidiană, nu dețin monopol asupra vieții noastre.

 În final, se impune o mică recomandare pentru păstrarea “sănătății juridice” a unui cetățean, subiect de drept cu drepturi și obligații-precauția este întotdeauna cea mai ușoară cale de a evita conflictele și încălcările arbitrare de drepturi. Pentru asta, se invită încurajator consultarea termenilor și condițiilor următoarea data când decideți furnizarea informațiilor cu caracter personal, deoarece consecințele negative pot fi de multe ori subestimate sau neanticipate.

Pintilie Laura-Adriana

Universitatea Babes-Bloyai Cluj Napoca, Facultatea de Drept



Snapchat își schimbă politica înaintea GDPR pentru a-și păstra userii de bază reprezentați din tineri.

Deși GDPR este teoretic o veste bună pentru confidențialitatea datelor persoanelor fizice din UE, cei care investesc în companii majore de tehnologie pot fi speriați de schimbările de pe piață.

WhatsApp a decis să-i elimine pe cei sub 16 ani din serviciile sale în totalitate, dar se pare că Snapchat – o altă aplicație cu o bază de utilizare pentru tineri – adoptă o abordare diferită pentru a se conforma reglementărilor.

Snapchat va păstra mai puține date despre utilizatorii mai tineri

Compania mamă Snapchat, Snap, va înceta să păstreze anumite date despre utilizatorii săi cu vârsta sub 16 ani în cadrul UE, inclusiv istoricul precis al localizării, observat în caracteristica Snap Map. Aceasta înseamnă că milioane de adolescenți mai tineri nu vor fi eliminați din aplicație.

În conformitate cu GDPR, prelucrarea informațiilor personale ale copiilor sub vârsta de 16 ani va fi interzisă, cu excepția cazului în care părinții sau tutorii acordă consimțământul. Diferite țări ale UE vor putea stabili propria limită de vârstă pentru consimțământul privind gestionarea datelor utilizatorilor cu vârste între 13 și 16 ani.

Un reprezentant Snap a declarat pentru Financial Times că oricine din UE cu vârsta de peste 13 ani va putea să se înscrie și să folosească Snapchat după GDPR. Compania nu va mai procesa date contradictorii pentru a păstra utilizatorii și a realiza conformitatea în același timp.

Harta Snap este o caracteristică deosebit de controversată, motiv pentru care un avertisment a fost emis de un număr de școli în 2017, când a fost lansată. S-au ridicat îngrijorări grave privind siguranța aplicației datorită abilităților sale de urmărire.

Conformitatea cu GDPR înseamnă minimizarea colectării datelor

Într-o declarație, compania a scris: ,,În măsura în care SnapChat se bazează pe consimțământul de a procesa datele personale ale utilizatorilor între 13 și 16 ani, vom face eforturile rezonabile necesare pentru a confirma că acordul a fost dat de cineva care deține responsabilitatea părintească, respectând necesitatea de a reduce la minimum colectarea de date suplimentare. “

Potrivit TechCrunch, SnapChat va permite în continuare persoanelor sub 16 ani să utilizeze hărțile de tip Snap și geofiltre, însă abordarea sa în ceea ce privește conformitatea cu GDPR este mai degrabă centrată în jurul nestocării detaliilor locației persoanelor sub 16 ani și al intensificării consimțământului și controalelor pentru utilizatori individuali.

Traducere din: https://www.siliconrepublic.com/enterprise/snapchat-gdpr-data-policy

 

Andreea-Roxana Șutu

Consilier juridic/Consilier GDPR

 



Google face mai dificil pentru agenții de publicitate să aibă o viziune independentă asupra datelor generate de achizițiile de anunțuri din ecosistemul său.

Într-o notă adresată partenerilor trimisă vineri și obținută de AdExchanger, Google a declarat că nu va mai permite cumpărătorilor să utilizeze ID-ul DoubeClick când utilizează serviciul de transfer de date. Serviciul permite comercianților să tragă date din Managerul de campanii DoubleClick (DCM) pentru raportare și măsurare între platforme.

ID-ul DoubleClick trage împreună datele de pe diferitele produse ale companiei și ale produselor destinate consumatorilor în jurul unui ID utilizator unic asociat cu modulul cookie DoubleClick. Anterior, cumpărătorii ar putea utiliza transferul de date pentru a trage fișierele de jurnalizare a afișărilor difuzate pe DCM și pentru a le măsura împotriva afișărilor difuzate de alte servere de anunțuri de pe web.

Începând cu data de 25 Mai, în aceeași zi, GDPR- va intra în vigoare, ID-ul DoubleClick nu va mai fi disponibil pentru transferurile de date pe afișările YouTube și cele înregistrate de serverul de anunțuri DCM și DSP DoubleClick Bid Manager (DBM). De asemenea, acele coduri de identitate nu vor fi disponibile pentru DBM mai întâi în UE și, eventual, la nivel mondial. De asemenea, Google va elimina ID-urile cookie-urilor, adresele IP și numele listelor de utilizatori criptate din transferul de date pentru toate sumele licitate din Google Ad Exchange.

Google a făcut următorul comentariu: “Facem aceste schimbări ca parte a angajamentului nostru permanent de a proteja confidențialitatea utilizatorilor. Raportarea anunțurilor reprezintă o parte importantă a ecosistemului digital și ne angajăm să colaborăm cu agenții de publicitate și cu partenerii pentru a îmbunătăți strategiile, investind foarte mult în extinderea site-ului Ads Data Hub. “

Pentru cumpărători, eliminarea ID-ului DoubleClick întrerupe vizibilitatea activității utilizatorilor din cadrul ecosistemului DoubleClick.

“ID-ul DoubleClick este atât de puternic, deoarece leagă întregul lor ecosistem”, a declarat o sursă cu cunoștințe despre schimbare ad-hoc. “De aceea au fost capabili să se extindă atât de agresiv pe partea software-ului și de ce sunt instrumentul DSP, serverul de anunțuri și analiza site-ului, care înregistrează majoritatea întreprinderilor. Este un pilon important pe care îl au peste alte soluții punctuale din spațiu. “

Schimbarea va limita capacitatea agenților de publicitate de a măsura acoperirea și frecvența campaniilor Google față de alte platforme, limitând orice măsură de măsurare utilizând ID-ul DoubleClick în propriul Google Data Hub Ads.

În mod evident, Google a inclus faptul că ID-ul DoubleClick, legat de informații delicate, cum ar fi istoricul căutărilor de utilizator, ar putea încălca cerințele stricte de confidențialitate ale datelor GDPR. Dar pentru marketing, schimbările fac analize comune, cum ar fi atribuirea, frecvența, dificile sau imposibil de realizat, a declarat Ari Paparo, CEO al Beeswax.

“Nu puteți să vă construiți propria atribuire de conversie dacă nu aveți coduri de utilizator”, a spus el. “Și nu puteți calcula adâncimea de acces sau adâncimea sesiunii. Poziția Google de a elimina aceste date la nivel global este foarte conservatoare și le va dezavantaja față de DSP-urile mai deschise.

“Încetă interoperabilitatea”, a spus Adam Heimlich, SVP de programe la Horizon Media. “Dacă vă bazați strategia de audiență asupra datelor personale ale partenerului dvs., abilitatea de a traduce în Google și de a reveni este departe.”

Aceasta este o afacere mare pentru clienții întreprinderii, care doresc din ce în ce mai mult  să dețină propriile strategii de audiență. Dar Google ar putea fi stăpân pe faptul că aceasta coadă lungă de agenți de publicitate va cumpăra în întreaga sa stivă și să folosească ID-ul DoubleClick ca înțelegere implicită a publicului lor, a spus Heimlich.

“Asta este bătălia: al cărui ID de utilizator va fi baza pentru direcționarea spre viitor”, a spus el. “Google configurează procesele care, în cele din urmă, vor face mai ușor companiilor să utilizeze un teanc pe baza identităților Google pe care nu le dețin. Clienții mari vor fi reticenți să se angajeze din preocuparea că Google ar putea ridica prețul pentru asta “.

Aceasta nu este prima dată când Google a încercat să obțină marketing pe site-ul Ads Data Hub – și mai adânc în interiorul zidurilor ecosistemului său – în această lună. Cu câteva săptămâni în urmă, Google a suspendat difuzarea anunțurilor terțe parte în UE pe YouTube, invocând îngrijorarea cu privire la respectarea GDPR. Google a declarat, de asemenea, luna aceasta că un plan anunțat în ianuarie de a întrerupe urmărirea pixelilor de la terți pe YouTube va intra în vigoare în cadrul GDPR.

 

Anghel Diana

Universitatea „Transilvania”, Brașov

 



Facebook oferă în mod activ mai multe documente despre GDPR, după ce a strâns sute de angajați cu misiunea de a se conforma legislației europene. Una dintre actualizări este că agenții de publicitate și editorii vor trebui să ceară acordul utilizatorilor înainte de a “depozita” și “a accesa” toate datele de pe “dispozitivul utilizatorului final”.

Într-o secțiune de întrebări frecvente, Facebook spune că, în conformitate cu termenii lor, “companiile care implementează instrumente Facebook trebuie să respecte legile aplicabile atunci când utilizează instrumentele Facebook”. Aceasta înseamnă că “pentru companiile care operează în UE, aceasta include obținerea consimțământului informat în prealabil pentru stocarea și accesul cookie-uri sau alte informații despre dispozitivul utilizatorului final. “

GDPR afectează toate companiile din întreaga lume, când datele provin de la utilizatori din Uniunea Europeană, dar pe secțiunea Întrebări frecvente, Facebook afirmă în mod expres: “companiile care operează în UE”.

 

Anghel Diana

Universitatea „Transilvania”, Brașov



Drepturile oferite de către GDPR persoanei vizate sunt: dreptul la informare, dreptul de acces la date, dreptul la rectificare, dreptul la ștergere (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor, dreptul la opoziție, dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată. Deși operatorul de date poate să prelucreze date cu caracter personal în baza mai multor temeiuri juridice, cum ar fi cerințe legale, încheierea și executarea unui contract, interes legitim sau consimțământ – posibilitatea exercitării drepturilor nu este constrânsă de pilonul de prelucrare și deci trebuie să fie asigurată în mod uniform indiferent de temeiul juridic utilizat.

Posibilitatea exercitării drepturilor persoanei vizate trebuie să fie posibilă indiferent de temeiul juridic pe baza căruia s-a făcut prelucrarea.

În arhitectura sistemului de control al informațiilor din cadrul structurii operatorului, acesta trebuie să implementeze metode clare și sigure de identificare a datelor cu caracter personal ca să poată garanta exercitarea drepturilor persoanelor vizate.

Exercitarea acestor drepturi se bazează pe trei componente principale:

  • informarea persoanei vizate asupra modului/modurilor în care își poate exercita aceste drepturi;
  • măsurile tehnice implementate pentru realizarea acestor obiective; și
  • formularea răspunsului.

Cu alte cuvinte, operatorul urmărește trei pasi simpli: informarea, prelucrarea cererilor de exercitare a drepturilor și soluționarea acestora.

Trebuie să reținem faptul că înaintarea răspunsului către persoana vizată privind cererea depusă de aceasta reprezintă singurul mod de închidere a unei cereri.

Privind prima componentă, operatorul este informat să aducă la cunoștinta persoanei vizate o serie de informații conexe cu prelucrarea care urmează să se efectueze: identitatea operatorului, scopul prelucrării și temeiul juridic, datele de contact ale responsabilului cu protecția datelor, destinatarii sau categoriile de destinatari ai datelor cu caracter personal, perioada pentru care vor fi stocate datele sau metoda de determinare a acestei perioade, drepturile persoanei vizate și modaliatea prin care persoana își poate exercita aceste drepturi, cu mențiunea că dacă prelucrarea se face în baza unui temei legal operatorul trebuie să informeze și asupra consecințelor nerespectării acestei obligații.

În practică, nota de informare trebuie să includă modul prin care orice persoană poate să își exercite drepturile legale: contactarea responsabilului cu protecția datelor și/sau posibilitatea de a depune o cerere în atenția operatorului. Indiferent de metoda aleasă, facilitatea exercitării drepturilor persoanei vizate trebuie să se bazeze pe următorul principiu: procesul trebuie să fie transparent și ușor de realizat. Așadar, operatorul ar trebui să ofere, de exemplu, modalități de introducere a cererilor pe cale electronică, cu precădere în cazul în care informațiile sunt colectate prin mijloace electronice. Ca bună practică, este indicat ca operatorul de date cu caracter personal să realizeze un formular standard în limbaj ușor de înțeles și rapid de parcurs (eventual prin bife) care să se poată completa și trimite online sau să poată fi descărcat în mod gratuit de pe site-ul operatorului sau orice alt punct de acces din mediul online pe care îl are operatorul pentru a fi expediat în forma fizică la adresa indicată de operator.

Măsurile operaționale se referă la totalitatea metodelor (inclusiv tehnice) pe care operatorul le utilizează în identificarea datelor cu caracter personal pe care le are în sistem. Un instrument benefic pentru realizarea acestei mapări a datelor este mecanismul de certificare ISO 27001: Tehnologia informației – Tehnici de securitate – Specificații ale sistemelor de management a securității informației. Operatorul trebuie să se asigure că are proceduri implementate pentru procesele pe care le desfășoară în cadrul sistemului, respectă principiile de prelucrare impuse de către GDPR și poate identifica date cu caracter personal prin cartografierea proceselor și a datelor cu caracter personal din cadrul sistemului.

Operatorul este obligat să răspundă cererilor de exercitare a drepturilor indiferent dacă decide să se conformeze acestora sau nu. Astfel, conform GDPR, operatorul trebuie să răspundă fără întârzieri nejustificate și cel târziu în termen de o lună de la primirea cererii, însă conformarea cu cererea depusă depinde de temeiul juridic în baza căruia s-a făcut prelucrarea. Astfel, dacă operatorul respectă o obligație legală, se află în executarea unui contract sau acționează în baza unui interes legitim temeinic justificat este posibil să nu aibă posibilitatea de conformare cu cererea depusă. De exemplu, după încetarea relațiilor contractuale cu un angajator, persoana vizată nu poate exercita „dreptul de a fi uitat” deoarece Codul Muncii prevede arhivarea fișelor de personal pe o perioadă de 75 de ani de la crearea lor.

Așadar, drepturile persoanei vizate reprezintă nucleul Regulamentului privind Datele cu Caracter Personal iar implementarea metodelor de asigurare al posibilității de exercitare a acestor drepturi trebuie să fie un interes major al operatorului.

Mihaela Horga – Responsabil cu Protecția Datelor, companie privată



“Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (“carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc.”

În conformitate cu articolul extras mai sus, atragem atenția asupra persoanelor fizice că trebuie să se documenteze înainte să-și ofere consimțământul pentru ca aplicațiile din mediul online, companiile, autoritate publică sau un organism public și orice instituție cu care intră în contact să se folosească de datele lor personale. Fiind titularul imaginii și propriilor noastre date personale, prin acordul de voința pentru a folosi spre exemplu aplicația dorită, împuternicim (adică oferim dreptul) companiei ce deține aplicația să se folosească de imaginea și de orice date personale menționăm.

Persoana împuternicită reprezintă entitatea cu care operatorul are relații de cooperare și care, prin prisma acestor relații prelucrează la rândul său date cu caracter personal, în numele operatorului. Între operator și persoana împuternicită se încheie un contract care prevede asumarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate.
Operatorul încheie acest contract cu persoana împuternicită, dar aceasta, la rândul său trebuie să respecte toate prevederile Regulamentului, având uneori obligații mai complexe decât ale operatorului cu care conlucrează datorită obiectului său de activitate, al tipurilor de date prelucrate și al operatorilor cu care desfășoară relații.

Extras din Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE. CAPITOLUL III: Drepturile persoanei vizate. Secţiunea 2: Informare şi acces la date cu caracter personal.

Art. 13: Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată.

(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile următoare:

  1. a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;
  2. b) datele de contact ale responsabilului cu protecţia datelor, după caz;
  3. c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
  4. d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terţă;
  5. e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  6. f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

(2) În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:

  1. a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
  2. b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;
  3. c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;
  4. d) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
  5. e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;
  6. f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este obligat să:

  • publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special).
  • comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Anghel Diana

Universitatea „Transilvania”, Brașov



Iată că timpul s-a scurs cu pași repezi și a mai ramas mai puțin de o lună până la “Ziua Z”, adică 25 Mai 2018, atunci când va intra în vigoare noul Regulament General Privind Protecția Datelor.

Din multitudinea de aspecte care ne-au dat bătăi de cap, consultând, analizând, traducând, conspectând și tocind zeci de highlight-ere pe paginile printate ale Regulamentului, astăzi am hotărât să aducem în discuție necesitatea efectuării unei evaluări de impact.

Evaluarea de impact privind protecția datelor (DPIA- Data Protection Impact Assessment, sub denumirea care se regasește în Regulament), nu are o definiție anume, dar conținutul acesteia este prevăzut de art. 35(7) din GDPR, în sensul că acesta trebuie să conțină cel puțin:

  • o descriere sistematică a operațiunilor de prelucrare și a scopurilor prelucrării;
  • o evaluare a necesității prelucrarii datelor;
  • o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate;
  • măsurile luate pentru a reduce riscul;
  • numărul proiectelor similare care pot fi cuprinse in aceeași evaluare.

DPIA este necesară în cazul în care un tip de prelucrare – si in mod special cele în care se utilizează noile tehnologii- poate genera un risc ridicat pentru drepturile și libertățile persoanelor fizice (art. 35 (1)).

Ca și exemple de prelucrări care pot genera un risc ridicat, putem menționa:

  • Evaluarea sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, (ex: profilarea);
  • Prelucrarea pe scară largă a unor date sensibile;
  • Monitorizarea sistematica pe scară largă a unei zone accesibile publicului;
  • Datele privind persoanele vulnerabile aflate într-o poziție de dezechilibru (ex: copii, anumiți angajați, persoane bolnave psihic, solicitanți de azil sau pacienți vârstnici);
  • Prelucrarea pe scară largă a unor date în legătură cu condamnările sau infracțiunile penale;
  • Utilizarea noilor tehnologii (acces pe bază de amprentă (fingerprint) sau scanare retină, tehnologii smart, etc.);
  • Instrumente de monitorizare a angajaților care sunt folosite in evaluare;
  • Testările psihometrice.

Se recomandă ca DPIA sa fie realizată inaintea începerii prelucrării datelor cu caracter personal, să fie revizuită periodic (Grupul de lucru 29 recomandă revizuirea la 3 ani sau mai puțin), în special dacă apar modificări cu privire la riscuri sau condiții.

Este posibil ca la nivel european să se dezvolte următoarele:

  • o listă comună a Uniunii Europene a operațiunilor de prelucrare pentru care este obligatorie o DPIA si una pentru care nu este necesară o DPIA;
  • criterii comune privind metodologia de punere în aplicare a unei DPIA;
  • criterii comune pentru a preciza cand trebuie onsultată autoritatea de supraveghere;
  • recomandări, acolo unde este posibil, pe baza experienței dobândite în statele membre ale UE.

Responsabilitatea efectuării DPIA aparține operatorului și, de asemenea, este obligatorie consultarea unui DPO (Data Protection Officer), iar acolo unde este cazul, trebuie solicitată opinia persoanelor cu o pregatire specifica (ex.: avocați, IT-iști, personal HR, etc.).

Concluzionând, putem spune că DPIA este o parte esențială a respectării Regulamentului în cazul în care este planificată prelucrarea datelor cu risc ridicat sau aceasta are loc deja.

Astfel, o evaluare a impactului poate reduce anumite costuri în desfășurarea activității unei companii și are ca rol minimizarea riscurilor în ceea ce privește prelucrarea datelor cu caracter personal.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

Mirela Niculae

Consilier juridic-Coordonator Dep. Juridic