Aici descoperim
dreptul tehnologiei


Pe scurt

  • Datele personale nu pot fi păstrate mai mult decât este necesar pentru îndeplinirea scopurilor;
  • Datele anonimizate pot fi păstrate pe termen nelimitat;
  • Se vor stabili perioade de stocare pentru fiecare categorie de date;
  • Se vor implementa măsuri pentru ștergerea, distrugerea datelor și, dacă este cazul, anonimizarea lor.

Regulamentul prevede că datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele

Cu toate acestea, datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. [1]

Cu alte cuvinte, datele nu trebuie prelucrate mai mult decât este necesar. După împlinirea acestei perioade, datele vor fi distruse sau șterse complet din sisteme sau transformate în date anonime.

În practică, acest lucru se realizează prin implementarea unei Politici de retenție a datelor, unde vor fi precizate termenele – limită pentru prelucrarea diferitelor categorii de date și prin implementarea unor soluții pentru ștergerea definitivă a datelor.

Totuși, există situații în care legea ne obligă să stocăm datele pe o anumită perioadă, cum este cazul contractelor de muncă, care se păstreazp 75 de ani sau a ștatelor de plată, care se păstrează 50 de ani. În aceste situații, datele vor fi stocate pe perioada prevăzută de lege.

Cu privire la datele prelucrate în scopuri de marketing și considerând faptul că subiectul și-a dat un consimțământ valabil, datele pot fi prelucrate până când subiectul își va retrage consimțământul.

Exemplu:      O afacere online prelucrează următoarele date despre clienți: numele și prenume, e-mail, telefon, adresa. Facturile care conțin date personale se vor păstra 10 ani, potrivit legii. Celelalte date ar trebui păstrate nu mai mult decât este necesar. Termenul prescripției generale de 3 ani poate fi folosit în acest caz. Cu alte cuvinte, datele personale pot fi păstrate 3 ani de la ultima comandă.  

Ca să îți venim în ajutor, în parteneriat cu Avocatoo, am elaborat mai multe modele de  Politici tehnice și organizatorice care pot fi ușor adaptate la firma ta astfel încât tu să te conformezi la GDPR rapid și eficient. 

De asemenea, în KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre ce conține kitul  aici 

 

 

[1] Art. (5) alin. (1) lit.e din Regulamentul (EU) 679/2016

 



Cine este persoana împuternicită de operator (furnizorul de servicii)?

Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator. Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

Contractul dintre operator și persoana împuternicită (furnizorul de servicii)

GDPR cere ca între operator și persoana împuternicită să existe un contract care: [1]

  • stabilește obiectul și durata prelucrării;
  • stabilește natura și scopul prelucrării;
  • prevede tipul de date cu caracter personal;
  • stabilește categoriile de persoane vizate;
  • stabilește obligațiile și drepturile operatorului.

Respectivul contract prevede în principiu că persoana împuternicită:

  • prelucrează datele personale numai pe baza instrucțiunilor operatorului, neputând să se abată de la ele;
  • se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea;
  • adoptă toate măsurile necesare în conformitate cu articolul 32 din Regulament (pseudonimizarea și criptarea datelor cu caracter personal, confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor, restabilirea disponibilității datelor în cazul unui incident de securitate, testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării);
  • nu recrutează o altă persoană să prelucreze datele fără acordul scris și prealabil al operatorului;
  • răspunde pentru persoana pe care o recrutează;
  • oferă asistență operatorului pentru a răspunde cererile persoanelor vizate;
  • oferă asistență operatorului cu privire incidentele de securitate și evaluările de impact;
  • șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare;
  • permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.

În practică, poate fi un contract, o anexă la contract, un act adițional sau clauze incluse în contractele de prestări servicii. GDPR nu spune cine trebuie să inițieze acest contract, însă opinia majoritară este în sensul în care, ambii actori, și operatorul și persoana împuternicită au sarcina inițierii.

Un model de contract (acord de prelucrare), împreună cu instrucțiuni și ghiduri de utilizare este inclus în KIT-ul nostru complet de documente pentru implementarea GDPR, care poate fi achiziționat de aici. 

KIT-ul conține, pe lângă contracte, și alte documente absolut necesare pentru implementarea cerințelor GDPR, precum registre, politici tehnice, acorduri de prelucrare, politici de confidențialitate, note de informare etc.

 

[1] Art. 26 alin. (3) din Regulamentul (EU) 679/2016.

 

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.



Responsabilul cu protecția datelor personale este acea persoană desemnată de operator sau de către persoana împuternicită de acesta cu scopul de a implementa proceduri care validează respectarea  prezentului Regulament și de a superviza persoanele care prelucrează date cu caracter personal.

Articolul 37 alin. 1 din Regulament expune cazurile în care operatorul are obligația de a desemna un responsabil.

Responsabilul este desemnat:

  1. Când prelucrarea este efectuată de o autoritate sau organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
  2. Când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare, care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  3. Când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Responsabilul cu prelucrarea datelor personale este desemnat pe baza calităților profesionale și a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini obligațiile prevăzute la articolul 39.

 

Sarcinile responsabilului cu protecția datelor prevăzute de articolul 39

Persoana desemnată cu protecția datelor are următoarele obligații:

  1. Să informeze și să consilieze operatorul, persoana desemnată de operator să prelucreze date, precum și angajații care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul respectării regulamentului și al altor dispoziții de drept al Uniunii sau dreptului intern cu privire la protecția datelor;
  2. Să monitorizeze respectarea prezentului regulament, a altor dispoziții de drept al Uniunii sau de drept intern cu referire la protecția datelor inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului desemnat cu operațiunile de prelucrare, precum și auditurile aferente;
  3. Să furnizeze consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
  4. Să coopereze cu autoritatea de supraveghere;
  5. Să-și asume rolul de persoană de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare inclusiv consultarea prealabilă în ceea ce privește evaluarea impactului asupra protecției datelor, precum și cu privire la orice alte chestiuni;

Responsabilul cu protecția datelor ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în calcul natura, domeniul de aplicare, contextul și scopurile pentru care se prelucrează date personale.

 



 

Odată cu GDPR-ul se urmărește o definire nouă a sintagmei „date cu caracter personal” și anume acele informații pe care site-urile le solicită utilizatorilor în momentul în care vor să se aboneze la newsletter , să creeze unu cont sau chiar în timpul unei banale sesiuni de cumpărături etc.

 

Dacă de exemplu , în momentul de față identificatorii online și acele informațiile privind locația nu sunt considerate a fi date cu caracter personal , începând cu 25 mai 2018 acestea vor întră sub incidența GDPR-ului.

 

Prin GDPR-ul se pune accentul atât pe transparența față de utilizatorii de internet , cât și pe responsabilizarea operatorilor de date cu privire la modul în care prelucrează informațiile colectate de la aceștia.

 

De aceea , este important că site-urile să implementeze o serie de măsuri care să înlocuiască consimțământul de tip „acord implicit” cu nouă „acțiune afirmativă” .

 

Această „acțiune afirmativă” presupune o modificare a secțiunii de Termeni și Condiții, a Politicii de Confidențialitate, a acelor formulări de abonare etc.

 

Astfel , odată cu intrarea în vigoare , pentru acordarea consimțământului va fii necesar bifarea unei căsuțe atunci când o persoană vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă acțiunea sau declarație care să indice în mod clar acceptarea prelucrării datelor sale cu caracter personal.

 

Formulele de tipul „Acest site foloseşte cookies! Continuarea navigării implică acceptarea lor” nu vor mai fi legale, ci vor trebui înlocuite *cel mai probabil* cu pop-upuri care vor solicită acțiunea fizică a utilizatorului pentru exprimarea acordului, fără a mai există căsuțele pre-bifate în aceste mesaje.

 

Apare un nou drept – dreptul de a fi uitat . Site-urile vor avea obligația să-și informeze vizitatorii încă de la început cu privire la faptul că au dreptul de a-și retrage oricând acest acord.

 

Art. 7 alin. (3) din regulament ne spune că Ș „Persoană vizată are dreptul să își retragă în orice moment consimțământul. (…) Înainte de acordarea consimțământului, persoană vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu că acordarea acestuia”.

 

Finalul propoziție indică într-un mod clar necesitatea poziționării la îndemâna vizitatorului a unui mesaj referitor la posibilitatea de a renunța la acordul dat pentru prelucrarea datelor personale.

Însuși regulamentul este prevăzut dreptul vizitatorului „de a fi uitat” , mai precis la art.17 , care prevede că „persoană vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate”.

 

Slave Cristina Violeta

Universitatea Creștină “Dimitrie Cantemir” București



Cum s-a născut GDPR?

Am observat cu toții cât de mult a început GDPR să apară tot mai des și mai des într-o perioadă atât de scurtă de timp în viețile noastre. Practic, aproape orice site care este pus în temă în ceea ce privește reglementarea ce va intra în vigoare în data de 25 mai, afișează, în momentul deschiderii paginii, o căsuță/notificare care cuprinde succint ceea ce ar trebui să înțeleagă utilizatorul referitor la datele sale personale.

Din ce în ce mai multă lume cunoaște  ce este și ce privește acest Regulament General de Protecție a Datelor, însă nu este la fel de important când, unde și din ce motiv s-a născut “strămoșul” acestuia?

Germenul la nivel unional al regulamentelor care privesc protecția datelor personale a apărut la data de 28 ianuarie 1981, sub numele de “Convenția nr. 108” și a fost semnată de membrii Consiliului Europei la Strasbourg. Acesta reprezintă unul dintre primele instrumente juridice adoptate la nivel internațional în domeniul protecției datelor personale.

România a ratificat Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal prin Legea nr. 682/2001. Prin Legea nr. 55/2005 țara noastrã a ratificat și Protocolul adițional la Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal, cu privire la autoritãțile de control și fluxul transfrontalier al datelor.

Observăm astfel cum încă din anul 1981, oamenii au început să se preocupe de riscul traficului de date necorespunzător. Deși probabil sună a ficțiune la nivel mental, vorbind despre vremurile de acum 37 de ani raportat la ceea ce dispunem astăzi, este adevărat că încă de atunci (sau poate și mai devreme, în accepțiunea unora) era necesară o astfel de garantare a respectării vieții private în acest sens, așa cum clarifică și preambulul Convenției:

“Scopul prezentei convenţii este de a garanta pe teritoriul fiecărui stat parte, fiecărei persoane fizice, oricare ar fi cetăţenia sa sau reşedinţa sa, respectarea drepturilor şi libertăţilor sale fundamentale şi, în special, dreptul la viaţa privată, faţă de prelucrarea automatizată a datelor cu caracter personal care îl privesc (protecţia datelor).”

 

     Comitetul Consultativ

         Prin această Convenție a fost creat și Comitetul Consultativ, în baza Capitolului V al prezentului document, fiind format din reprezentanții tuturor statelor membre ale Consiliului Europei, semnatare ale Convenției. În componența sa se regăsesc și un președinte, alături de doi vice-președinți.

Atribuțiile sale sunt în principiu de a elabora proiecte de instrumente juridice în vederea adoptãrii acestora de cãtre Comitetul de Miniștri și, totodatã,  de a emite avize și rapoarte.

La lucrãrile Comitetului pot participa și reprezentanți ai statelor membre ale Consiliului Europei, dar care nu au semnat Conventia nr. 108, iar reuniunile acestuia au loc, de regulă, la sediul Consiliului la Strasbourg.

Ce părere are România?

România a ratificat Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal prin Legea nr. 682/2001.

Prin Legea nr. 55/2005 țara noastrã a ratificat și Protocolul adițional la Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal, cu privire la autoritãțile de control și fluxul transfrontalier al datelor.

Țara noastră se califică a fi membru activ, participând prin reprezentanții Autoritãții Naționale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal la reuniunile Comitetului, având drept de vot.

Convenția adusă la actualitate?

Convenția  trece în prezent printr-un proces de modernizare și adaptare la provocãrile privind protecția datelor reprezentate de noile tehnologii în domeniul comunicațiilor. Proiectul de modernizare a Convenției a fost inițiat de cãtre Comitetul Consultativ.

Procesul de revizuire va urmãri cele douã mari obiective, respectiv sã rãspundã provocãrilor la adresa vieții private ca rezultat al utilizãrii noilor tehnologii în domeniul comunicațiilor și sã sublinieze importanța mecanismului de follow-up cu privire la implementarea principiilor stabilite prin aceasta.

Astfel, în octombrie 2011 au început discuțiile privind modernizarea Convenției 108, Comitetul Consulativ  ajungând la adoptarea, la nivelul tehnic în 2012 a unui text de protocol de revizuire. Comitetul miniștrilor a decis înființarea unui comitet ad-hoc privind protecția datelor format din reprezentanți ai statelor membre ale Consiliului Europei cu misiunea de a finaliza modernizarea Convenției 108 prin negocierea formalã a textului protocolului de amendare.

Întrucât majoritatea statelor pãrți la Convenția 108 sunt membre atât ale UE, cât și ale Consiliului Europei, se dorește realizarea unor modificãri compatibile între instrumentele juridice de la nivelul acestor douã organizații internaționale.

 

 

 

 

 

Surse:

http://www.dataprotection.ro/?page=europa_council&lang=ro

http://www.cdep.ro/pls/legis/legis_pck.htp_act_text?idt=31103

https://www.coe.int/en/web/data-protection/home

http://fra.europa.eu/sites/default/files/fra-2014-handbook-data-protection-ro.pdf

https://www.shutterstock.com/image-photo/padlock-over-eu-map-symbolizing-general-774890887?src=-J08ujIe4pUpbgW8dxkkWw-1-30

 



Pe scurt

 Consimțământul, pentru a fi valabil, trebuie să îndeplinească anumite condiții;
 Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil;
 Consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării;
 Consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune;
 Este nevoie de consimțământul părinților pentru prelucrarea datelor copiilor sub 16 ani.

Consimțământul este definit de Regulament drept „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;”

Operatorul trebuie să poată face dovada că a obținut un consimțământ valabil.

Pentru a fi valabil, consimțământul trebuie să îndeplinească cumulativ următoarele condiții:

• să fie dat în mod liber;
• să fie specific;
• să fie informat;
• să fie lipsit de ambiguitate;

Consimțământul trebuie să fie dat în mod liber

Potrivit Grupului de Lucru Art. 29 , consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.

 Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber.

! În situația unui dezechilibru de putere, ca de exemplu, în relația angajator – angajat, consimțământul nu este valabil decât în cazuri excepționale. Prin urmare, recomandarea ar fi ca temeiul prelucrării datelor angajaților să nu fie consimțământul.

Pentru a fi liber, consimțământul trebuie acordat separat pentru fiecare scop specific al prelucrării.

Vrei formulare de consimțământ?

Consimțământul trebuie să fie specific

Operatorul trebuie să obțină consimțământul persoanei separat pentru fiecare activitate de prelucrare. Pentru fiecare scop, trebuie furnizate informațiile specifice cu privire la datele prelucrate. Dacă se dorește utilizarea datelor colectate în scopuri noi, trebuie obținut un nou consimțământ înainte de a prelucra datele în noile scopuri.

 Exemplu: „O rețea de televiziune prin cablu colectează datele personale ale abonaților, pe baza consimțământului acestora, pentru a le prezenta sugestii personalizate pentru filme. După un timp, rețeaua TV decide că ar dori să permită terților să trimită (sau să afișeze) publicitate vizată pe baza obiceiurilor de vizionare ale abonatului. Având în vedere acest nou scop, este necesar un nou consimțământ.”

Consimțământul trebuie să fie informat

Există elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.

Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.

Consimțământul trebuie să fie lipsit de ambiguitate

Recomandarea este să se facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.
Alte aspecte privind consimțământul

GDPR obligă operatorii să se asigure că consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune. Retragerea consimțământului nu trebuie să aducă prejudicii. Neîndeplinirea unui mecanism de retragere duce la eșecul validității acordului. În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, însă prelucrarea ulterioară trebuie să înceteze. Un nou consimțământ valabil este necesar.

Nu este permisă migrarea tacită din consimțământ către altă bază legală pentru procesare.

În privința copiilor, dacă aceștia au vârsta sub 16 ani, consimțământul trebuie dat sau autorizat de reprezentantul legal (de obicei, părintele). Statele membre pot reduce această vârsta la 13 ani. În funcție de riscul prelucrării, consimțământul părinților se va obține diferit: pentru activități cu risc scăzut se poate realiza o verificare pe e-mail, însă pentru cele cu risc mare, este nevoie de măsuri suplimentare. Odată ce copilul a ajuns la vârsta consimțământului digital (16 ani), un nou consimțământ este necesar direct de la subiect.

În situația în care consimțământul a fost obținut în conformitate cu Legea nr. 677/2001 este valabil dacă respectă condițiile stabilite de GDPR. Totuși, Grupul de Lucru Art. 29 avertizează că GDPR introduce standarde mult mai stricte care necesită revizuirea tuturor mecanismelor privind consimțământul și nu simpla actualizare a notelor de informare. Grupul avertizează în special operatorii care se bazează pe un consimțământ inactiv, cum este cazul colectării consimțământului prin utilizarea unor căsuțe pre-bifate.

Exemplu: Un blog transmite o dată pe săptămână newsletter abonaților. Consimțământul abonaților a fost luat în mod implicit, printr-o căsuță deja bifată. În acest caz, consimțământul nu este valabil, iar blogul ar trebui să colecteze un nou consimțământul care să îndeplinească standardele GDPR. Dacă persoanele nu își vor da consimțământul, prelucrarea va înceta.

 

 

Vrei formulare de consimțământ?



Odată cu intrarea in vigoare a GDPR, orice persoană vizată, în situația în care face o solicitare în acest sens, va trebui să fie informată cu privire la datele personale pe care organizația sau compania respectivă le deține despre ea și, mai exact, de ce și în ce mod o face.

În temeiul legislaţiei CoE (Consiliul Europei), dreptul de acces la datele proprii este recunoscut în mod explicit la articolul 8 din Convenţia 108. În temeiul dreptului UE, dreptul de acces la datele proprii este recunoscut la articolul 12 din Directiva privind protecţia datelor şi, ca drept fundamental, la articolul 8 alineatul (2) din Cartă.

În conformitate cu articolul 9 din Convenţia 108 şi articolul 13 din Directiva privind protecţia datelor, obligaţia operatorilor de a răspunde la o cerere de acces din partea persoanei vizate poate fi restricţionată ca urmare a intereselor legale prioritare ale altor entităţi.

Interesele legale prioritare pot implica interese publice, precum securitatea naţională, siguranţa publică şi urmărirea penală a infracţiunilor, precum şi interese private, care sunt imperative faţă de interesele privind protecţia datelor.

Excepţiile sau restricţiile trebuie să fie necesare într-o societate democratică şi proporţionale cu scopul urmărit. În cazuri excepţionale, de exemplu, în baza unor recomandări medicale, protecţia persoanelor vizate poate necesita în sine o restricţionare a transparenţei.

Regulamentul prevede faptul că, persoana vizată are dreptul de a obține de la operator confirmarea dacă datele personale care o privesc sunt sau nu procesate. În acest caz, pe lângă furnizarea accesului la datele cu caracter personal, persoana vizată are dreptul să primească și următoarele informații:

  • Scopul procesării;
  • Categoriile de date care sunt procesate și datele care fac obiectul prelucrării;
  • Destinatarii sau categoriile de destinatari cărora le-au fost dezvăluite sau vor fi dezvăluite datele cu caracter personal și în special destinatarii din țări terțe sau organizații internaționale;
  • Atunci când este posibil, perioada prevăzută pentru care vor fi stocate datele cu caracter personal sau, dacă nu este posibil, criteriile utilizate pentru stabilirea acestei perioade;
  • Existența dreptului de a solicita rectificarea sau ștergerea datelor cu caracter personal sau limitarea prelucrării acestora sau chiar să se opună acestei prelucrări;
  • Dreptul de a depune o plângere la Autoritate de supraveghere;
  • În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile cu privire la sursa acestora;
  • Existența unui proces decizional automat, inclusiv profilarea.

În practică, aceste tipuri de cereri sunt susceptibile de a constitui o sarcină administrativă substanțială pentru companii, astfel încât acestea ar trebui să ia în considerare în avans demersurile care trebuie făcute, astfel încât să fie ținute sub control astfel de solicitări.

Surse:

  • European Data Protection Law and Practice- IAPP Publicaton;
  • Manual de legislaţie europeană privind protecţia datelor- Agenţia pentru Drepturi Fundamentale a Uniunii Europene, 2014.

Mirela Niculae- Consilier juridic- Coordonator Dep. Juridic

 

VREI SĂ TE ALINIEZI LA GDPR? CONSULTĂ OFERTA NOASTRĂ AICI



Persoana vizată are dreptul să solicite operatorului să șteargă fără întârziere datele cu caracter personal  care o privesc în următoarele cazuri:

  • datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
  • persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrare;
  • persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea;
  • datele cu caracter personal au fost prelucrate ilegal;
  • datele cu caracter personal trebuie șterse pentru respectarea legii;
  • datele cu caracter personal au fost colectate în legătură cu oferirea de servicii online copiilor.

Operatorul va trebui să ia o decizie cu privire la o astfel de solicitare. Ștergerea datelor nu se va realiza dacă:

  • datele sunt necesare pentru exercitarea dreptului la liberă exprimare și informare;
  • datele sunt necesare pentru îndeplinirea unei obligații legale;
  • din motive de interes public în domeniul sănătății publice;
  • în scopuri de arhivare în interes public;
  • pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Exemplu: O persoana decide să părăsească un site de rețele sociale. Are dreptul de a-i cere operatorului să șteargă datele cu caracter personal care îi aparțin, iar operatorul va trebui să se conformeze. 

 Exemplu: O persoană decide să părăsească un site de rețele sociale. Pe acest site, persoana a cumpărat servicii de publicitate. Persoana înaintează o cerere de ștergere a datelor. Compania realizează că poate șterge datele, însă legea o obligă să păstreze timp de 10 ani facturile emise către persoană. Prin urmare, va șterge doar o parte din date, păstrându-le pe cele care trebuie păstrate potrivit legii.

Exemplu: O publicație online a publicat, la cererea unor elevi nemulțumiți, un articol defăimător despre o profesoară. Acesta înaintează o cerere de ștergere a datelor, iar publicația este obligată să o șteargă, deoarece informația nu este de interes public.

 

VREI SĂ TE ALINIEZI LA GDPR? Consultă oferta noastră aici



Datele anonimizate și datele pseudonimizate

Pe scurt

  • Datele nu trebuie stocate mai mult decât este necesar. Odată ce s-a împlinit perioada stocării, datele pot fi stocate doar dacă au fost anonimizate complet.
  • GDPR încurajează pseudonimizarea datelor, fiind unul dintre cele mai importante mijloace de protecție.
  • Pseudonimizarea se poate obţine, spre exemplu, prin înlocuirea unui element de identificare un un cod.

Datele anonimizate

Datele sunt anonimizate, atunci când orice element de identificare dispare. Dacă un element rămas poate servi, singur sau împreună cu altele, la reidentificarea persoanei, atunci anonimizarea nu a fost făcută, iar datele nu ar trebui păstrate.

Odată ce datele au fost anonimizate complet, acestea ies din sfera de protecție a Regulamentului.

Datele pseudonimizate

GDPR încurajează pseudonimizarea datelor cu caracter personal, fiind una dintre cele mai eficiente măsuri de protecție a datelor. Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de aceștia să își îndeplinească obligațiile de protecție a datelor.[1]

 

Potrivit GDPR, „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare.

Pseudonimizarea se poate obține, spre exemplu, prin înlocuirea unui element de identificare un cod.

Acest lucru nu înseamnă că datele vor fi separate definitive și irevocabil de numele persoanei, ci că asocierea între date şi elementele de identificare nu ar trebui să fie posibilă în mod direct. Pentru persoanele care nu au cheia de decodificare, reidentificarea este dificil de realizat. În schimb, pentru persoanele care au cheia de decodificare, reidentificarea se poate face cu ușurință.

F Exemplu: Propoziția „Alice Popescu, născută la 27 ianuarie 1995 are trei căței albi și iubește marea ”, poate fi pseudonimizată astfel:

„A.P. 1995 are trei căței albi și iubește marea” sau

„123 are trei căței albi și iubește marea” sau

„T67x&*j2372A are trei căței albi și iubește marea”

Persoanele care au acces la aceste date pseudonimizate nu au posibilitatea să o identifice pe „Alice Popescu, născută la 27 ianuarie 1995” din „123” sau „T67x&*j2372A”. Astfel, pseudonimizarea poate fi mai sigură împotriva utilizării incorecte.

Pseudonimizarea poate fi foarte utilă atunci când operatorii de date trebuie să lucreze cu aceleași persoane vizate, însă nu toți oamenii (cum ar fi angajații) trebuie  să cunoască identitatea reală a persoanelor vizate. Această tehnică de pseudonimizare ar trebui inclusă în sistemele avansate de prelucrare a datelor sau a noilor tehnologii, încă din stadiul dezvoltării acestora.

[1] Par. (28) din Preambulul Regulamentului (EU) 679/2016

Vrei să îți faci singur implementarea GDPR?

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

Ai întrebări despre KIT sau vrei implementare? Scrie-ne mai jos 

[contact-form-7 404 "Not Found"]



Ce este Google Analytics?                                                                      

                                                                                         
Google Analytics este un serviciu freemium Google care monitorizează în timp real activitatea de pe un site sau de pe o aplicație Android sau iOS precum și un instrument de procesare a datelor colectate astfel.
Informațiile colectate prin intermediul Google Analytics sunt folosite pentru ajustarea campaniilor SEO, pentru măsurarea vânzărilor și a conversiilor , pentru îmbunătătirea ROI și pentru înțelegerea modului în care utilizatorii interacționează cu anumite pagini web sau aplicații.
Cum funcționează Google Analytics?
Google Analytics colectează informațiile prin intermediul unui fragment de cod Javascript.
De asemenea alocă fiecărui utilizator un cid sau cookie id cu ajutorul căruia Analytics recunoaște browserul.
Ce fel de informații colectează?
Analytics colectează date cum ar fi : identificatori cookie, identificatori online, adrese IP , identificatori de device, identificatori de client și date precise privind locația, informații pe care le organizează ulterior în rapoarte care prezintă detalii precum: vârsta vizitatorilor, tipul browserului web și al sistemului de operare, sursele de trafic, bounce rate, numărul de vizitatori unici și locația acestora.
Care este legătura între GDPR și Google Analytics?
Potrivit prevederilor GDPR „ Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor ” .

Este Google Analytics aliniat la GDPR?

Google a implementat o serie de măsuri de protecție pentru a respecta standardele impuse de Regulament în calitatea sa de Procesator de date dar aceste măsuri care vor intra în vigoare de pe data de 25 mai 2018 nu îl scutește pe Operator de obligațiile legale ce îi incumbă.

Se recomandă Operatorului să:

1. Activeze funcția de anonimizare a adreselor IP.
Odată activată, aceasta funcție “ … setează ultimul octet al unei adrese IP de tipul Ipv4 precum și ultimii 80 de biți ale unei adrese Ipv6 la zero la scurt timp după ce au fost trimise către Analytics Collection Network. „

2. Ceară consimțământul utilizatorului pentru utilizarea de cookies.
În acest scop se vor aplica toate prevederile GDPR privind validitatea consimțământului.

3. Creeze un mecanism de Opt-in/ Opt-out pentru colectarea de informații prin Google Analytics
!!! Utilizatorul poate descărca de aici un add on prin intermediul căruia poate bloca automat  colectarea de informații de către Google Analytics:
https://chrome.google.com/webstore/detail/google-analytics-opt-out/fllaojicojecljbmefodhfapmkghcbnh?hl=en

4. Utilizeze setarea Data Retention pentru a controla perioada de timp în care informațiile colectate vor fi păstrate.

5. Utilizeze User deletion tool pentru a șterge date precum: User ID, Client ID, App Instance ID

Bibliografie
1. https://developers.google.com/analytics/solutions/mobile accesat la 30 aprilie 2018
2. https://www.google.com/intl/ro/analytics/features/index.html accesat la 30 aprilie 2018
3. https://privacy.google.com/businesses/adsservices/ accesat la 3 aprilie 2018
4. http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN accesat la 30 aprilie 2018
5. https://privacy.google.com/businesses/compliance/#?modal_active=none accesat la 2 mai 2018
6. https://support.google.com/analytics/answer/2763052?hl=en accesat la 2 mai
7. https://support.google.com/analytics/answer/7667196?hl=en accesat la 2 mai
8. https://www.jeffalytics.com/google-analytics-gdpr/ accesat la 2 mai 2018

 

Vrei să te aliniezi la GDPR? Consultă oferta noastră aici