Aici descoperim
dreptul tehnologiei

person-s-hand-putting-money-glass-jar-near-decreasing-stacked-coins_23-2147919232.jpg

În luna iulie, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UTTIS INDUSTRIES SRL și a constatat că acesta a încălcat prevederile art. 12 și art. 5 alin. (1) lit. c) coroborate cu art. 6 din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

Operatorul UTTIS INDUSTRIES SRL a fost sancționat contravențional cu amendă în cuantum total de 11.834,25 lei (echivalentul sumei de 2500 euro).

Astfel, a fost aplicată:

  • amendă în cuantum de 4.733,70 lei (echivalentul sumei de 1000 euro) pentru încălcarea dispoziţiilor art. 12 din RGPD şi
  • amendă în cuantum de 7.100,55 lei (echivalentul sumei de 1500 euro) pentru încălcarea dispoziţiilor art. 5 alin. (1) lit. c) coroborate cu art. 6 din RGPD.

Sancțiunile au fost aplicate operatorului deoarece:

  • nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realiza începând din anul 2016;
  • a efectuat dezvăluirea CNP-ul angajaţilor, prin afișarea Referatului pentru instruirea personalului autorizat ISCIR aferent anului 2018 la avizier societăţii și nu a putut face dovada legalității prelucrării CNP-ului, prin dezvăluire, potrivit art. 6 RGPD.

Autoritatea Naţională de Supraveghere a aplicat sancțiunea ca urmare a unor sesizări din data de 21.03.2019 prin care se semnala faptul că UTTIS INDUSTRIES SRL are instalate camere de supraveghere video, fără a efectua informarea legală privind supravegherea video, precum şi faptul că acesta a dezvăluit în mod ilegal numele şi CNP-ul salariaţilor, prin afişarea acestor date personale la avizierul societăţii.

Potrivit art. 12 din RGPD, operatorul avea obligaţia de a lua măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la art. 13 şi 14.

Dacă vrei să afli mai multe despre cum poți utiliza monitorizare CCTV fără să ai probleme cu GDPR, recomandăm articolul nostru de aici .

 

Te-ar putea interesa și:


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Free-as-a-bird.png

În luna iulie 2019, în spațiul public, a circulat o știre potrivit căreia persoanele fizice nu răspund în temeiul Regulamentului General privind Protecția Datelor (GDPR). Știrea falsă a devenit virală și a fost preluată de zeci de publicații online. Specialiștii GDPR de la LegalUp au luat poziție și au explicat că GDPR se aplică și persoanelor fizice, în situația în care prelucrarea datelor se realizează în afara unei activități exclusiv personale sau domestice. În acest sens, redacția LegalUp prin av. Ruxandra Sava, CIPP/E, a tranmis către ANSPDCP o serie de întrebări. Potrivit informațiilor comunicate de ANSPDCP către LegalUp, trei persoane fizice au fost sancționate cu avertisment în temeiul GDPR. Răspunsul ANSPDCP se găsește mai jos în articol. 

Considerentul (18) din Regulament prevede că:„Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul uneiactivități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau  comercială. Activitățile personale sau domestice ar putea include corespondența și repertoriul de adrese sau activitățile din cadrul rețelelor sociale și activitățile online desfășurate în contextul respectivelor activități. Cu toate acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice.” Per a contrario, GDPR se aplică în situația în care datele se prelucrează în afara unei activități domestice.

Exemplu #1. Un turism vizitează Colosseumul din Roma realizează un material video, surprinzând zeci de persoane fizice vizate. În situația în care, ulterior înregistrării, arată materialul doar prietenilor și familiei, GDPR nu se aplică deoarece activitatea este pur domestică. 

Exemplu #2. Un vlogger vizitează Colosseumul din Roma realizează un material video, surprinzând zeci de persoane fizice vizate. În situația în care vloggerul va urca materialul pe site, Youtube sau alte rețele de socializare accesibile publicului larg, GDPR se aplică deoarece se depășește sfera domestică. 

Te-ar putea interesa și:



people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


human-hand-fills-last-missing-elements-surface-from-jigsaw-puzzle_76080-2335.jpg

Termeni și Condiții? Evoluția tehnologică și contextul economic actual au schimbat fundamental modalitatea în care sunt încheiate contractele astăzi. Semnarea fizică a unui contract presupune costuri operaționale ridicate și risipă de energie și timp. În ceea ce privește activitatea de e-commerce, atât consumatorul, cât și profesionistul sunt interesați de încheierea cu celeritate a contractului pentru a-și atinge cât mai rapid scopul: executarea contractului de vânzare (cumpărarea și vânzarea bunurilor). Cu toate acestea, chiar într-un mediu automatizat și de cele mai multe ori, în absența unui contact direct, ci intermediat prin intermediul platformei de e-commerce, consumatorul are o serie de drepturi, printre care acela de a fi informat, într-o manieră adecvată și în conformitate cu legislația înainte de încheierea contractului. Cu alte cuvinte, consumatorul trebuie să știe ce anume acceptă înainte de a accepta.

Documentul „Termeni și Condiții” reprezintă o inovație a practicienilor în dreptul tehnologiei care are, în principal, următoarele scopuri:

(i) stocarea detaliilor unei relații contractuale dintre profesionist și consumator;

(ii) informarea adecvată a consumatorului de încheierea contractelor;

(iii) garanții adecvate pentru profesionist și consumator;

(iv) conformarea cu legislația comerțului electronic;

(v) o funcție probatorie pentru dovedirea existenței și conținutului contractului în situația unui litigiu.

Înainte de a desfășura o activitate de e-commerce trebuie să vă asigurați că aveți un document denumit „Termeni și Condiții” („Termene și Condiții”, „Condiții de utilizare” sau orice altă denumire care își atinge scopul) și care respectă anumite condiții de formă și de conținut prevăzute de legislație care vor fi prezentate pe scurt în cele ce urmează. În articolul de azi, vom detalia condițiile de formă, iar în articolul următor condițiile de fond.

Dacă ai nevoie de un model de Termeni și Condiții pentru activitatea de e-commerce îl găsești aici.

Cadrul legislativ: 

Condiții de formă

a) Condiția „accesibilității”

Conținutul documentului trebuie să fie accesibil consumatorului înainte de a fi acceptat. Pentru a se respecta cerința accesibilității nu se recomandă ascunderea documentului prin intermediul unei fraze și în spatele unui hyperlink, cum se întâmplă pe majoritatea site-urilor în prezent. „Sunt de acord cu Termenii și Condițiile”.

În mod ideal documentul ar trebui să apară în integralitate consumatorului pentru a putea fi citit înainte de a fi acceptat ca în exemplul de mai jos:

Tot în legătură cu respectarea condiției accesibilității, recomandăm ca aceste documente să fie disponibile pe site într-un loc accesibil, de exemplu în footer sau în meniu.

b) Condiția „lizibilității”

Legea nu definește concret ce înțelege prin lizibilitate, de aceea ne vom orienta către definiția din DEX, respectiv calitatea textului de a fi ușor de citit. Prin urmare se recomandă evitarea folosirii exagerate a jargonului juridic și/sau tehnic, a frazelor complicate, a fonturilor mici. Textul trebuie să fie scris pentru a putea fi înțeles de un cititor fără cunoștințe juridice sau tehnice.

c) Condiția „limbajului simplu și inteligibil”

Cu privire la îndeplinirea acestei condiții rămân valabile aspectele discutate anterior la punctul (b) de mai sus.

d) Condiția „suportului durabil”

Informația virtuală conținută de contractele electronice se poate pierde ușor dacă nu s-au luat suficiente măsuri pentru stocarea acesteia. Termenii și condițiile de pe site-uri se pot modifica oricând și se poate ajunge în situația în care consumatorul nu va ști ce anume a acceptat. Consumatorul are dreptul de a avea acces și ulterior la informația conținută de contractul la care a devenit parte. Contractul este cel în vigoare la data la care acordul de voințe dintre consumator și profesionist s-a împlinit, în cele mai multe cazuri, printr-o simplă acceptare a Termenilor de către consumator. Însă, acești Termeni pot fi modificați ulterior, iar consumatorul poate fi ajunge în situația de a nu mai avea acces la ce anume a acceptat. Pentru a preveni această situație, legea a prevăzut ca informația să fie stocată pe un „suport durabil” pentru a putea fi descărcatată sau accesată de consumator înainte, în timpul și după încheierea contractului.

În prezent, foarte puține site-uri din România respectă cerința suportului durabil.

 

Te-ar putea interesa și:

 

Această cerință a suportului durabil se poate respecta prin mai multe modalități. De exemplu, site-ul ar putea da posibilitatea consumatorului ca, prin logarea în contul de utilizator de pe site, să poată accesa versiunea termenilor și condițiilor și data la care au fost acceptați, precum și posibilitatea de a descărca aceste documente.

De asemenea, după încheierea contractului, profesionistul trebuie să trimită confirmarea încheierii contractului împreună cu informațiile conținute de Termeni și Condiții, cu excepția situației în care utilizatorul a primit anterior aceste informații pe un suport durabil. Pentru a înțelege mai bine acest aspect voi oferi un exemplu:

Exemplu #1: Maria dorește să cumpere o bicicletă de la un magazin online, abc.ro. Odată ce a adăugat produsul în coș și a ajuns pe pagina de plasare a comenzii, va trebui să accepte un document juridic, denumit „Termeni și condiții”, a cărei formă de la data acceptării va guverna relația contractuală dintre Maria și abc.ro. Înainte de a accepta, Maria ar trebui să aibă posibilitatea să descarce documentul pentru a avea acces la el și ulterior pentru a preveni situațiile în care acest document se va modifica. 

În funcție de decizia Mariei, respectiv dacă va descărca sau nu documentul, intervin două situații:

(1) Maria a descărcat documentul, iar abc.ro are posibilitatea să dovedească acest lucru.

În această situație, abc.ro va trebui doar să confirme încheierea contractului fără a trebui să trimită o copie a Termenilor pe e-mail Mariei.

(2) Maria nu a descărcat documentul

În această situația, abc.ro va trebui doar să confirme încheierea contractului și să trimită o copie a Termenilor pe e-mail Mariei.

Ca o scurtă paranteză, aspectele tehnice discutate anterior sunt orientative, legislația care prevede cerința suportului „durabil” permite orice alte soluții tehnice care să fie în spiritul legii. Exemplele și soluțiile prezentate în prezentul articol se află în acord cu know-how-ul meu tehnic pe care îl dețin în prezent. Cu toate acestea, oricât de multe eforturi aș depune ca avocat specializat în dreptul tehnologiei pentru a oferi cele mai bune soluții la intersecția dintre drept și tehnologie, mă bazez pe tehnic pentru a folosi informațiile prezentate într-o manieră care să fie în concordonța cu cele mai noi și eficiente soluții pentru tehnologie, pornind de la cele recomandate anterior. Doar printr-o comunicare eficientă între tehnic și juridic se poate ajunge la găsirea de soluții adecvate și eficiente la intersecția dintre drept și tehnologie. 

(Va urma)

Cum te putem ajuta noi?

  • Șablon Termeni și Condiții pentru magazine online în format Word scris de avocați specializați în dreptul tehnologiei care poate fi descărcat de aici;
  • Redactare Termeni și Condiții la cerere pentru magazine online și platforme online. Ne poți cere o ofertă aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



tsunami-2400x1350-wallpaper-1200x675.jpg

Prima amendă GDPR în România a adus, așa cum era de așteptat, un val de opinii și analize ale profesioniștilor în domeniu. Deși ne putem pune semne de întrebare serioase cu privire la validitatea unor opinii care se bazează doar pe un comunicat de presă al ANSPDCP, fără a cunoaște detaliile investigației (care s-a desfășurat pe o perioadă de 7 luni) și fără a vedea procesul-verbal de contravenție, reiese clar că UniCredit Bank a fost amendată cu 130.000 euro pentru încălcarea GDPR. Cred că ar trebui să evităm analizele superficiale care folosesc termeni precum măsuri organizaționale  organizatorice, politici adecvate, privacy by design, minimizare, fără a explica adevăratul sens și implicația practică.

Păreri sunt multe și cred că e prea devreme pentru a trage concluzii. Urmează un val de amenzi? Probabil, dar ar trebui să iei în calcul că eu sunt avocat, nu futurolog. Pot să spun că în trecut ANSPDCP a sancționat pe vechea lege mii de companii din România, fără a discrimina în funcție de cifra de afaceri sau domeniul de activitate. Probabil la fel va fi situația și cu GDPR. Dar eu nu pot să prevăd viitorul și nici nu îmi doresc să fac politică. Situația poate fi rezumată într-o frază: există o lege, respectarea ei nu este opțională și pot exista consecințe.

Probabil ne-am grăbit să emitem predicții cu privire la comportamentul ANSPDCP și am uitat să analizăm esențialul. Și cred că prima întrebare pe care trebuie să ne-o punem este:

Pentru ce a fost amendată UniCredit?

Am fost plăcut surprinsă când am aflat că prima amendă GDPR în România a fost dată pentru nerespectarea principiilor „Privacy by design” și „Privacy by default”. Nerespectarea acestor principii a condus către încălcarea principiului minimizării datelor: au fost procesate mai multe date decât era necesar, în speță, beneficiarii plăților puteau vedea CNP-urile plătitorilor. Nu există nicio justificare pentru care cel care primește o plată să aibă nevoie să cunoască CNP-ul plătitorului. S-a ajuns în această situație pentru că nu au fost implementate măsuri adecvate pentru confidențialitatea datelor, încă din momentul conceperii respectivului sistem informatic (Privacy by design) și nici după ce a fost pus la dispoziția clienților (Privacy by default).

Te-ar putea interesa și:

Ce înseamnă Privacy by Design?

Pe scurt, „Privacy by design” înseamnă că ar trebui să ne gândim la confidențialitatea și protecția datelor cu caracter personal încă din momentul în care proiectul (aplicație/site/platformă/alt sistem informatic) se află în fază de concept. Majoritatea companiilor se orientează în prezent pe optimizarea proceselor de business, dezvoltând sisteme și produse care să le ajute să lucreze mai simplu. Dar au apus vremurile când pasai proiectul către IT și îl utilizai imediat ce era implementat tehnic. Acum, când ai un proiect pe masă, trebuie să îți pui întrebări cu privire la cum vei proteja datele cu caracter personal. Ai putea găsi utile întrebările de mai jos:

Respectă proiectul legislația?

Este puțin probabil ca proiectul să respecte legislația încă din faza de concept fără a fi implementat și recomandările avocaților/consilierilor juridici. Cu cât e mai nou proiectul, cu atât este nevoie de opinia unui specialist. GDPR este doar unul dintre domeniile de drept care își pot spune cuvântul cu privire la legalitatea unui proiect informatic. În funcție de specificul proiectului, va trebui să respecți și alte legi: legislația comerțului electronic, legislația consumatorului, legislația publicității, concurenței, proprietate intelectuală etc.

Ca avocat specializat pe dreptul tehnologiei, am lucrat la o serie de proiecte inovative în România și m-am ocupat de conformitatea cu GDPR și alte dispoziții legale. Toate proiectele online trebuie să respecte GDPR, dar în funcție de activitatea desfășurată, este posibil să fie incidente și alte dispoziții legale. E mai ușor să previi decât să repari, de aceea ar trebui să îți pui întrebările potrivite încă din faza de concept. Un avocat te poate ajuta să identifici probleme și să găsești soluțiile potrivite.

  • magazine online. Deși majoritatea magazinelor online trebuie să acorde o atenție deosebită legislației protecției consumatorului, GDPR, legislației comerțului electronic, legislației publicității, concurenței și proprietății intelectuale, în funcție de specificul activității este posibil să fie incidende și alte acte normative.
  • platforme de e-learning. Exemple de întrebări: Ce garanții ofer? Cui aparține proprietatea intelectuală? Ce se întâmplă dacă serviciul nu este mulțumitor? Este incident dreptul de retragere? Cum mă protejetez suficient de bine, respectând totuși toate drepturile utilizatorilor? 
  • platforme de e-mail marketing/sms marketing. Exemple de întrebări: Răspund dacă utilizatorul face SPAM sau trimite conținut ilegal? Ce măsuri pot întreprinde pentru a determina utilizatorul să respecte legislația și pentru a mă exonera de răspundere?
  • servicii de cloud. Exemplu de întrebare: Cum protejez utilizatorii și cum îmi pot minimiza răspunderea în situația unui incident?
  • aplicații de programări online. Exemple de întrebări: Cine se ocupă de respectarea drepturilor în temeiul GDPR al utilizatorului final? Ce se întâmplă dacă clientul meu nu respectă drepturile utilizatorului, dar aplicația procesează datele acestuia din urmă?
  • Platforme peer-to-peer (pe modelul Uber, Airbnb). Exemple de întrebări: Ce actori sunt implicați și care sunt drepturile și obligațiile fiecăruia? Care sunt riscurile platformei și cum poate minimiza platforma riscurile? 

Proiectele inovative ar trebui să țină cont de anumite întrebări-cheie precum:

  • Cum respect legislația?
  • Care sunt riscurile?
  • Care este cea mai simplă și eficientă modalitate să respect legislația?

Conformarea cu GDPR este deosebit de importantă, dar profită de această ocazie pentru a discuta cu avocatul și despre alte probleme juridice care pot influența evoluția business-ului tău. Ar trebui să fii atent la detalii, dar nu să te pierzi în ele, ci să ai focusul potrivit pe lucrurile esențiale. Compliance-ul este o călătorie, nu o destinație. În compliance, riscul de a te pierde în detalii este foarte mare, de aceea echipa ta trebuie să își păstreze focusul pe rezultate. 

Cum respectăm legislația?

Când e vorba de sisteme informatice, primul pas pe care trebuie să îl faci este să explici și să arăți avocatului, în detaliu, cum funcționează tehnologia. Doar după ce a înțeles tehnologia, îți poate spune ce modificări sunt necesare pentru a respecta legislația. Nu poate funcționa altfel. E ca și cum ai încerca să obții autorizație de construire fără documentație. O parte de modificări vor însemna acte și documente (i.e. Termene și Condiții, Politici de confidențialitate, Contracte, Avize, Autorizații), iar altele vor ține de implementarea tehnică.

După ce se implementează tehnic și înainte de a lansa, este nevoie de o opinie finală a specialiștilor pentru a nu fi fost omis din greșeală vreun aspect esențial. Sunt convinsă că UniCredit s-a ocupat de aspectele legale, însă, din eroare sau din neglijență, CNP-urile ajungeau unde nu ar fi trebuit. Eu recomand ca în procesul de testare unui sistem informatic să fie cerută întotdeauna și opinia avocaților/consilierilor juridici. Tehnicul și juridicul trebuie să facă echipă. Nu există altă soluție.

În decembrie am ținut o prezentare la Camera de Comerț despre cum esența implementării GDPR o reprezintă comunicarea eficientă dintre IT și Juridic. Am propus cu entuziasm soluții pentru depășirea barierelor dintre tehnic și juridic și mă bucur că am anticipat bine la vremea respectivă.

Recomandări practice pentru a evita amenda

  1. Cum sarcina implementării GDPR revine operatorului, recomand companiilor să adopte rezerve în privința propunerilor de genul: „Externalizează! Ne ocupăm noi de tot!”
  2. Responsabilizarea echipa pentru deschidere față de schimbare și înțelegerea normelor GDPR.
  3. Întocmirea procedurilor și politicilor necesare (documentația GDPR). Aș recomanda companiilor să cumpere resurse și kituri de implementare din surse de încredere.
  4. Implementarea tehnică, juridică și organizatorică a procedurilor scrise.
  5. Verificarea conformității cu GDPR a fiecărui proces de business și efectuarea modificărilor necesare.
  6. Verificarea conformității cu GDPR a oricărui nou sistem informatic, încă din faza de proiect.
  7. Dacă compania nu are resurse interne, ajutorul ar trebui cerut unui consultant GDPR cu expertiză.
  8. Verificarea și actualizarea periodică a procedurilor și politicilor GDPR.
  9. Companiile ar trebui să înțeleagă că GDPR nu este un dosar pe care îl inchizi într-un sertar. Procedurile scrise și implementate ieri vor trebuie actualizate la realitatea de azi. Eu aș recomanda cel puțin de două ori pe an.

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.

Poți intra în legătură cu Ruxandra Sava pe LinkedIn.

 

 


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Monitorizarea prin camere de supraveghere cu circuit închis (CCTV) face parte din activitatea majorității companiilor din România, însă pentru a supraveghea legal trebuie să respecți o serie de cerințe instituite de GDPR și de Legea 190/2018 privind măsurile de aplicare a GDPR. În acest articol îți vom explica pe scurt ce ai de făcut pentru a respecta legislația și îți vom furniza gratuit două modele de documente utile pentru conformare.

Potrivit Legii nr. 190/2018, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

Cu alte cuvinte, trebuie puse în balanță interesul companiei de a monitoriza prin CCTV și drepturile angajaților la viața privată. Dacă balanța va înclina în favoarea angajatorului, atunci supravegherea CCTV poate fi realizată. Orientările europene în materie spun că trebuie documentat un test de echilibrare (sau analiză a interesului legitim) pentru ca angajatorul să afle dacă poate monitoriza legal prin CCTV. Un model de analiză a interesului legitim pentru CCTV găsești aici.

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

Poți descărca un model de informare pentru CCTV de aici.

Atenție! Informarea angajaților cu privire la CCTV nu exonerează compania de informarea angajaților cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal. Un model de notă de informare completă a angajaților găsești în KIT-ul nostru de implementare. 

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Te-ar putea interesa și: 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-2.png

Prin hotărârea nr. 747/2019, Judecătoria Sectorului 5 București a obligat Compania Națională „Aeroporturi București” SA să achite reclamantei suma de 10.000 lei daune morale pentru publicarea pe pagina de internet (platforma http://www.bucharestairports.ro) a unei hotărâri societare care conținea datele personale ale reclamantei (CNP, adresă, număr și serie de buletin etc). Instanța a considerat că încălcarea confidențialității acestor date încalcă principiile prelucării datelor: limitarea la ceea ce este necesar (principiul minimizării). 

Ce s-a întâmplat?

Reclamanta a introdus acțiune împotriva pârâtei Compania Națională „Aeroporturi București” SA, solicitând:

  • înlăturarea (ștergerea) datelor personale constând în adresa de domiciliu, cod numeric personal,  data și locul eliberării cărții de identitate publicate și menținute de către societatea pârâtă în cadrul platformei online http://www.bucharestairports.ro;
  • obligarea acesteia la plata unor daune morale în cuantum de 60 000 lei pentru prejudiciul continuu cauzat, constând în lezarea drepturilor garantate privind protecția datelor cu caracter personal prin prelucrarea în cadrul platformei online indicate anterior a datelor cu caracter personal; și
  • obligarea acesteia la plata cheltuielilor de judecată ocazionate de acest proces.

În drept, reclamanta a invocat prevederile Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, prevederile Legii nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului nr. 679/2016, dispozițiile art. 70-77 C.civ., art. 252-253 C.civ., art. 1349 C.civ., art. 1357-1358 C.civ., art. 1382-1382 C.civ., art. 1385-1386 C.civ., art. 194 și următoarele C.proc.civ.

Ce a decis instanța?

Instanța a considerat că fapta ilicită de a publica datele cu caracter personal fără a avea un temei juridic atrage răspunderea civilă delictuală a societății și, în consecință:

  • a obligat pârâta să  inlature (stergerea) datelor personale ale reclamantei constand in adresa de domiciliu, cod numeric personal,  data si locul eliberarii cartii de identitate, publicate si mentinute de parata in cadrul platformei online http//www.bucharestairports.ro;
  • a obligat pârâta la plata către reclamantă a sumei de 10.000 lei – daune morale;
  • a obligat pârâta la plata catre reclamanta a sumei de 625 lei cheltuieli de judecata.

Pentru a decide în sensul celor precizate anterior, instanța a avut în vedere inexistența unui temei legal.

„Cu privire la fondul litigiul, instanța reține că art. 6 din Regulamentul nr. 679/2016 reglementează că prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una din următoarele condiții: persoana vizată și-a dat consimțământul (…), prelucrarea este necesară pentru executarea unui contract , prelucrarea este necesară în vederea îndeplinirii unei obligații legale ce revine operatorului, prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public  sau prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță”

Deși pârâta s-a apărat, invocând că a obținut consimțământul reclamantei, instanța a apreciat că „având în vedere lipsa unui consimțământ expres al reclamantei în sensul publicării datelor sale personale pe site-ul pârâtei și în lipsa unor elemente din care să se întrevadă existența unui consimțământ tacit în același sens, instanța reține inaplicabilitatea art. 6 alin. (1) lit. (a) din Regulamentul nr. 679/2016” .Dacă vrei să afli mai multe despre consimțământul GDPR, poți consulta ghidul nostru de aici, iar formulare de consimțământ la standardele GDPR găsești în pachetul nostru de formulare (click aici)

Recomandări. Concluzii

Decizia instanței întărește concluzia că protecția datelor cu caracter personal este un subiect de maximă importanță în actualul context economic și social. Se spune că datele sunt noua monedă de schimb, prin urmare companiile trebuie să întreprindă acțiuni concrete pentru a respecta drepturile persoanelor fizice cu privire la protecția și confidențialitatea datelor cu caracter personal. Pentru a evita litigiile, vă recomandăm următoarele:

Înțelegeți noile prevederi europene și naționale în materie de protecție a datelor. Externalizarea poate părea o soluție la îndemână, însă personalul companiei trebuie să fie instruit corespunzător pentru a proteja datele și a respecta drepturile persoanelor vizate. Vă recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. 

Înțelegeți că GDPR este despre protecția datelor persoanelor fizice, de aceea, aveți grijă să aveți focusul potrivit – către persoana fizică vizată. Clientul, angajatul, candidatul, colaboratorul, reprezentatul sau persoana de contact din cadrul unei companii sunt persoane vizate, iar datele lor trebuie protejate. Înțelegeți-le drepturile și respectați-le. 

Numiți un responsabil cu protecția datelor, chiar dacă nu este necesar. În mod ideal, ar trebui că responsabilul să fie un angajat care să fie la curent cu activitățile de zi cu zi ale companiei, însă, în măsura în care doriți să apelați la un responsabil extern, asigurați-vă că îl țineți la curent cu toate activitățile companiei care pot afecta viața privată a persoanelor fizice. De aemenea, responsabilul cu protecția datelor ar trebui verificat că își îndeplinește sarcinile, deoarece răspunderea este a companiei, indiferent că a numit sau nu un responsabuil cu protecția datelor. În situația unei amenzi sau a unor despăgubiri, compania se poate îndrepta împotriva responsabilului dacă prin acțiunea sau inacțiunea lui a declanșat premisele unei răspunderi.

Implementați juridic, tehnic și organizatoric prevederile GDPR și aveți grijă să documentați în scris toate procesele. Având în vedere că atât în instanță, cât și în fața ANSPDCP pot fi aduse înscrisuri care să ateste că v-ați respectat obligațiile, documentația nu este opțională, ci obligatorie. Vă recomandăm KIT-ul nostru de implementare, care conține documentația standard și adaptabilă oricărei companii (click aici).

 

Te-ar putea interesa și:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



OThiMzYxNTlkMzA2NGJjYzE3MDcxZDI3NTliYjJhMQ.thumb_.jpg

Tribunalul Uniunii Europene confirmă nulitatea mărcii Uniunii a societății adidas,
care constă în trei benzi paralele aplicate în indiferent ce direcție

adidas nu dovedește că această marcă a dobândit, pe ansamblul teritoriului Uniunii, caracter
distinctiv prin utilizare

 

În anul 2014, Oficiul Uniunii Europene pentru Proprietate Intelectuală (EUIPO) a înregistrat, în favoarea adidas, următoarea marcă a Uniunii pentru articole de îmbrăcăminte, încălțăminte și articole pentru acoperirea capului.

În cererea de înregistrare, marca a fost descrisă de adidas ca fiind alcătuită din trei benzi paralele echidistante cu aceeași lățime, aplicate pe produs în indiferent ce direcție.

În anul 2016, ca urmare a unei cereri de declarare a nulității introduse de întreprinderea belgiană Shoe Branding Europe BVBA, EUIPO a anulat înregistrarea acestei mărci pentru motivul că eralipsită de caracter distinctiv, indiferent dacă intrinsec sau dobândit prin utilizare. Potrivit opiniei EUIPO, marca nu ar fi trebuit să fie înregistrată. În special, adidas nu ar fi dovedit că aceasta a dobândit caracter distinctiv prin utilizare pe ansamblul teritoriului Uniunii Europene.

Prin hotărârea sa de azi, Tribunalul Uniunii Europene confirmă decizia de anulare, respingând acțiunea formulată de adidas împotriva deciziei EUIPO.

Tribunalul precizează, mai întâi, că marca în cauză nu este o marcă dinamică ce ar fi alcătuită dintr-o serie de elemente care s-ar repeta cu regularitate, ci o marcă figurativă obișnuită. Tribunalul reține apoi că formele de utilizare care se îndepărtează de la caracteristicile esențiale ale mărcii, cum ar fi sistemul său de culori (benzi negre pe fond alb), nu pot fi luate în considerare. Prin urmare, urmare, EUIPO a înlăturat în mod întemeiat numeroase elemente de probă prezentate de adidas pentru motivul că priveau alte semne cum ar fi, în special, semne pentru care sistemul de culori era inversat (benzi albe pe fond negru).

În sfârșit, Tribunalul constată că EUIPO nu a săvârșit vreo eroare de apreciere atunci când a considerat că adidas nu a dovedit că marca în cauză a fost utilizată pe ansamblul teritoriului Uniunii și că a dobândit, pe ansamblul acestui teritoriu, caracter distinctiv prin utilizare. Astfel, dintre elementele de probă prezentate de adidas, singurele care prezentau o anumită pertinență erau referitoare la numai cinci state membre și, în speță, nu puteau fi extrapolate la ansamblul teritoriului Uniunii.

Te-ar putea interesa și:

MENȚIUNE: Marca Uniunii Europene este valabilă pe întreg teritoriul Uniunii Europene și coexistă cu mărcile naționale. Cererile de înregistrare a unei mărci a Uniunii Europene se depun la EUIPO. Împotriva deciziilor acestuia se poate introduce acțiune la Tribunal.
MENȚIUNE: Împotriva deciziei Tribunalului se poate declara recurs la Curte, numai pentru motive de drept, în termen de două luni și zece zile de la comunicarea acesteia. Recursul va fi supus unei proceduri de admitere în principiu. În acest scop, va trebui să fie însoțit de o cerere de admitere în principiu care să cuprindă chestiunea sau chestiunile importante pe care le ridică recursul pentru unitatea, coerența sau
dezvoltarea dreptului Uniunii.
MENȚIUNE: Acțiunea în anulare are ca obiect anularea acelor acte ale instituțiilor Uniunii care sunt contrare dreptului Uniunii. Cu respectarea anumitor condiții, statele membre, instituțiile europene și particularii pot sesiza Curtea de Justiție sau Tribunalul cu o acțiune în anulare. Dacă acțiunea este întemeiată, actul este anulat. Instituția autoare a actului trebuie să ia măsuri pentru a elimina eventualul vid juridic creat prin anularea acestuia.

Sursa Curia

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



pensive-asian-woman-working-laptop-computer-lawn_1262-18889.jpg

Consiliul a adoptat pe 13 iunie o nouă Directivă pentru work-life balance pentru părinți și îngrijirori care va crește participarea femeilor în piața muncii, introduce noi concedii și formule flexibile de muncă. Noua directiva va introduce, de asemenea, posibilitatea angajaților de a-și lua concediu pentru îngrijirea rudelor care au nevoie de suport. Noua legislație își propune să ajute angajații să găsească echilibrul dintre muncă și viață personală și să ajute companiile care ar putea beneficia de angajați mult mai motivați.

Elementele-cheie ale Directivei.

  • concediul de parteneritate – tații sau ceilalți părinți vor putea să își ia un concediu de cel puțin 10 zile lucrătoare în jurul datei de nașetere a copilului, concediu plătit la același nivel ca cel pentru maternitate. Dreptul la concediu de paternitate nu va face obiectul unei cerințe de serviciu anterioare. Cu toate acestea, plata concediului de paternitate poate fi supusă unei cerințe de serviciu prealabile de șase luni. Statele membre cu sisteme mai generoase de concedii pentru creșterea copilului vor putea să-și păstreze aranjamentele naționale actuale. In prezent, în România, concediul parental este de 5 zile, deci noua legislația va aduce o situație mai bună taților  angajați.
  • concediul pentru creșterea copilului – revizuirea drepturilor existente în prezent pentru a asigura (i) dreptul de utilizare flexibilă (de  exemplu, munca cu fracțiune denormă, munca fragmentată), (ii) 4 luni de concediu netransferabile între părinți și (iii)plata a 4 luni cel puțin la nivelul indemnizației pentru concediul medical.
  • concediul de îngrijitor – introducerea unui drept individual de 5 de zile pe an, plătite cel puțin la nivelul indemnizației pentru concediul medical.
  • formulele flexibile de lucru: un drept pentru părinții copiilor de până la 12 ani și pentru îngrijitori de a solicita o flexibilitate a timpului de lucru, a programului sau a  locului de muncă pentru o anumită perioadă de timp, fără nicio obligație din partea angajatorului de a acorda modificările solicitate.

 

Te-ar putea interesa și:

 

 


Sursa aici


judge-s-gavel-with-book_23-2148172272.jpg

Înalta Curte de Casație și Justiție a stabilit, prin decizia 4050/2017 că „Orice restrângere a concurenței, pentru a intra sub incidența prevederilor art. 5 alin.(1) din Legea  concurenței nr. 21/1996 şi art. 101 alin. (1) TFUE trebuie  să fie apreciabilă, adică să aibă un caracter  semnificativ, sarcina  probei acestui caracter semnificativ revenind autorității de  concurență care,  în acest  scop,  trebuie  să definească piaţa relevantă şi să stabilească cotele pe această piaţă ale părţilor participante la înţelegere. De asemenea, întreprinderilor  care  invocă beneficiul art. 101 alin.(3) din TFUE, respectiv al prevederilor art. 8 din Legea concurenţei,  le revine sarcina de a dovedi  că sunt îndeplinite condiţiile  aplicării  acestui  beneficiu.

În condiţiile în care dezlegarea chestiunilor litigioase ale unei cauze de concurenţă implică  o analiză complexă economico-juridică, respingerea de către instanţa de fond, ca neconcludentă, a probei cu expertiza de specialitate menită să servească în analiza  motivelor  cererii  introductive, combinată cu înlăturarea  unora dintre aceste motive fără o argumentare pe fond, reprezintă o încălcare a  dreptului la un proces echitabil al părţii reclamante, vătămarea produsă acesteia atrăgând incidenţa motivului de casare prevăzut de art. 488 alin. (1) pct. 5. din Codul de procedură civilă.

Sursa ICCJ

Te-ar putea interesa și:

 

 


ruxandra-sava-autor-la-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord