Aici descoperim
dreptul tehnologiei

template-2-1200x675.png

Cu siguranță, în calitatea ta de pasager aerian, te-ai întrebat cel puțin o dată ce se întâmplă cu multitudinea de date pe care le oferi companiilor aeriene. De ce sunt colectate atât de multe date? Cui sunt transmise? Pe ce perioadă sunt stocate? Sunt ele stocate în condiții de securitate și confidențialitate? Ce drepturi am? Parcurge articolul nostru și vei afla răspunsul la aceste întrebări. 

Azi, 2 decembrie, a intrat în vigoare Legea nr. 284/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian care transpune  Directiva (UE) 2016/681 a Parlamentului European și a Consiliului și a fost abrogată Ordonanța Guvernului nr. 13/2015 privind utilizarea unor date din registrele cu numele pasagerilor.

Cine este UNIP?

UNIP reprezintă abrevierea de la Unitatea națională de informații privind pasagerii și este o structură de specialitate, fără personalitate juridică, în cadrul Inspectoratului General al Poliției de Frontieră. UNIP, are, în principal următoarele atribuții: 

  • colectează datele pasagerilor de la transportatorii aerieni;
  • stochează datele pasagerilor pe o anumită perioadă;
  • transferă datele pasagerilor către autoritățile competente;
  • facilitează schimbul de date ale pasagerilor cu  Unitățile de informații privind pasagerii din alte state membre ale Uniunii Europene și cu EUROPOL;
  • facilitează schimbul de date ale pasagerilor cu țări terțe.

Ce date ale pasagerilor transmit companiile aeriene către UNIP?

Datele pasagerilor transmise de către companiile aeriene către UNIP sunt numite de lege Date PNR. 

a) codul de rezervare;

b) data rezervării sau a emiterii biletului;

c) data/datele programată/programate a/ale călătoriei;

d) numele și prenumele asociate rezervării;

e) adresa și informațiile de contact – număr de telefon, adresă de e-mail – asociate rezervării;

f) toate informațiile privind forma de plată, inclusiv adresa de facturare;

g) itinerarul complet de călătorie;

h) informațiile din profilul “client fidel”;

i) agenția sau agentul de turism prin care a fost făcută rezervarea sau a fost cumpărat biletul;

j) situația de călătorie a pasagerului, inclusiv confirmările, situația înregistrării pentru zbor, informații privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă;

k) informațiile scindate sau divizate din registrul cu numele pasagerilor;

l) mențiunile cu caracter general, inclusiv toate informațiile disponibile despre minorii neînsoțiți cu vârsta sub 18 ani, precum numele și sexul minorului, vârsta, limba/limbile vorbită/vorbite, numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire;

m) informațiile despre bilet, inclusiv numărul biletului, data emiterii biletului și bilete dus simplu și câmpurile aferente furnizării automate a prețului unui bilet de călătorie;

n) numărul locului și alte informații privind locul;

o) informațiile cu privire la codurile partajate;

p) toate informațiile cu privire la bagaje;

q) numărul pasagerilor înregistrați în PNR și alte nume ale acestora;

r) orice date API colectate, inclusiv tipul, numărul, țara de emitere și data expirării oricărui document de identitate, cetățenia, numele de familie, prenumele, sexul, data nașterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării și ora sosirii;

s) un istoric al tuturor modificărilor datelor PNR prevăzute mai sus.

În ce scopuri sunt colectate, prelucrate și transmise aceste date? 

Prelucrarea și transmiterea acestor date de la companiile aeriene către UNIP și ulterior către alte instituții abilitate de lege sunt necesare pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, precum și pentru prevenirea și înlăturarea amenințărilor la adresa securității naționale și exlusiv pentru următoarele scopuri:

a) efectuarea unei evaluări a pasagerilor înainte de sosirea sau de plecarea programată a acestora în/din România, în vederea identificării persoanelor cu privire la care este necesară o examinare suplimentară de către autoritățile competente și, după caz, de către EUROPOL, având în vedere faptul că respectivele persoane pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale;

b) oferirea de răspunsuri, de la caz la caz, unei cereri temeinic justificate bazate pe motive suficiente din partea autorităților competente vizând furnizarea și prelucrarea datelor PNR, în cazuri concrete, și comunicarea rezultatelor acestei prelucrări autorităților competente sau, după caz, EUROPOL;

c) analizarea datelor PNR în vederea actualizării sau a definirii de noi criterii ce urmează a fi utilizate pentru evaluările efectuate în scopul identificării oricăror persoane care pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale.

Când se transmit datele către UNIP?

Transporatorii aerienă transmit datele PNR către UNIP cu 48 până la 24 de ore înainte de ora programată pentru plecarea zborului.

Cui transmite UNIP datele pasagerilor?

  • Autorităților competente

a) Poliția Română;

b) Poliția de Frontieră Română;

c) Direcția Generală de Protecție Internă;

d) Direcția Generală Anticorupție;

e) Serviciul Român de Informații;

f) Serviciul de Informații Externe;

g) Ministerul Apărării Naționale: Direcția generală de informații a apărării;

h) Ministerul Public;

i) Agenția Națională de Administrare Fiscală: Direcția Generală a Vămilor.

  • Unitățile de informații din alte state membre;

UNIP reprezintă punctul național de contact cu unitățile de informații privind pasagerii ale altor state membre ale Uniunii Europene și este responsabilă pentru schimbul de date PNR cu acestea.

  • EUROPOL

EUROPOL poate adresa UNIP, prin intermediul Unității Naționale Europol, o cerere în format electronic, justificată corespunzător, de transmitere a unor anumite date PNR sau a rezultatului prelucrării respectivelor date.

EUROPOL adresează această cerere doar atunci când acest lucru este strict necesar pentru sprijinirea și consolidarea acțiunii statelor membre ale Uniunii Europene în vederea prevenirii, depistării sau investigării unei anumite infracțiuni de terorism sau a unei anumite infracțiuni grave, în măsura în care infracțiunea respectivă intră în sfera de competență a EUROPOL, în temeiul legislației Uniunii Europene care stabilește organizarea și atribuțiile EUROPOL.

Cererea trebuie să conțină motive rezonabile pe baza cărora EUROPOL consideră că transmiterea datelor PNR sau a rezultatului prelucrării datelor PNR va contribui în mod substanțial la prevenirea, depistarea sau investigarea infracțiunii în cauză.

În ce condiții poate UNIP transfera date către țări terțe?

UNIP poate transfera date PNR sau rezultatul prelucrării datelor PNR către autoritățile unei țări terțe doar de la caz la caz și dacă sunt îndeplinit, printre altele, următoarele condiții:

a) sunt respectate dispozițiile art. 15 din Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Afacerilor Interne în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice, republicată;

b) transferul este necesar în scopul prevenirii, depistării sau investigării unei fapte care este considerată de legea țării terțe solicitante drept infracțiune de terorism sau care este sancționată ca infracțiune de legea țării terțe solicitante cu o pedeapsă sau cu o măsură de siguranță privativă de libertate a cărei durată maximă este de cel puțin 3 ani și care este corespunzătoare uneia dintre formele de criminalitate prevăzute în anexa care face parte integrantă din prezenta lege;

c) autoritatea din țara terță comunică în scris că este de acord să transfere datele PNR unei alte țări terțe doar în cazul în care acest lucru este strict necesar în scopul prevăzut la lit. b) și doar cu autorizarea expresă a UNIP;

e) nu este afectată securitatea națională.

Pe ce perioadă sunt păstrate datele pasagerilor?

Datele pasagerilor furnizate de transportatorii aerieni se păstrează în cadrul UNIP pentru o perioadă de 5 ani de la momentul finalizării transferului de date de la companiile aeriene către UNIP. La împlinirea acestui termen, datele se șterg automat, printr-o procedură ireversibilă.

Totuși, la împlinirea a 6 luni de la momentul transferului, datele sunt depersonalizate prin marcarea următoarelor elemente:

a) numele, inclusiv numele altor pasageri, precum și numărul pasagerilor care călătoresc împreună;

b) adresa și informațiile de contact asociate rezervării;

c) toate informațiile privind forma de plată, inclusiv adresa de facturare;

d) informațiile din profilul “client fidel”;

e) mențiunile cu caracter general prevăzute la art. 14 alin. (1) lit. l);

f) orice date API care au fost colectate.

Cu toate acestea, ștergerea datelor în cadrul UNIP nu are efect asupra datelor care există deja la autoritățile competente unde acestea au fost transmise, păstrarea acestor date va respecta regimul aplicabil de păstrarea aplicabil cazului concret de prelucrare.

Cine va fi responsabil de protecția datelor? 

UNIP va avea un responsabil cu protecția datelor, numit de inspectorul general al IGPF.

Responsabil cu protecția datelor în cadrul UNIP va fi un polițist – funcționar public cu statut special cu studii superioare -, cu o experiență de minimum 2 ani în domeniul protecției datelor cu caracter personal și care a urmat cel puțin un curs de specializare în acest domeniu.

În exercitarea sarcinilor de serviciu privind respectarea legislației în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP este independent și nu poate primi instrucțiuni pe cale ierarhică.

Responsabilul cu protecția datelor UNIP va avea următoarele atribuții:

a) informarea și consilierea personalului UNIP care efectuează prelucrări de date PNR, cu privire la obligațiile care le revin în temeiul legislației privind protecția datelor cu caracter personal;

b) monitorizarea respectării de către UNIP a obligațiilor ce îi revin în conformitate cu dispozițiile legislației privind protecția datelor cu caracter personal și a politicilor UNIP în materia protecției datelor cu caracter personal, în special a alocării responsabilităților, a creșterii gradului de conștientizare a acestora în rândul personalului UNIP și a acțiunilor de formare a personalului implicat în operațiunile de prelucrare;

c) realizarea verificărilor necesare în scopul determinării nivelului de respectare a rigorilor impuse de cadrul normativ privind protecția datelor cu caracter personal;

d) furnizarea de consiliere în ceea ce privește evaluarea impactului măsurilor de protecție a datelor cu caracter personal prelucrate în cadrul Sistemului de evidență a datelor PNR și monitorizarea modului în care principiile prelucrării datelor cu caracter personal sunt implementate în cadrul operațiunilor realizate în cadrul UNIP;

e) cooperarea cu Autoritatea națională de supraveghere și îndeplinirea funcției de punct de contact pentru această instituție;

f) îndeplinirea funcției de punct unic de contact în relația cu persoanele vizate, cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal în cadrul Sistemului de evidență a datelor PNR.

Atunci când în exercitarea atribuțiilor prevăzute lconstată efectuarea unei operațiuni de prelucrare a datelor cu caracter personal nu este conformă cu legislația în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP informează conducerea IGPF. În cazul în care pentru remedierea situației nu sunt suficiente măsurile adoptate la nivelul IGPF, responsabilul cu protecția datelor în cadrul UNIP notifică, de îndată, Autoritatea națională de supraveghere.

Responsabilul cu protecția datelor UNIP reprezintă punctul de contact cu persoanele fizice vizate și, în consecință, are următoarele atribuții:

  • primește și întregistrează cererile persoanelor vizate într-un registru special;
  • solicită UNIP să realizeze verificările necesare pentru soluționarea cererilor;
  • întocmește și transmite răspunsurile către persoanele fizice solicitante.

Cum pot să îmi exercit drepturile cu privire la datele mele personale?

Pentru a-și exercita drepturile prevăzute de GDPR (acces, rectificare, restricționare, opoziție, ștergere, portabilitate), pasagerul va formula și va depune o cerere la UNIP. Pentru validitatea cererii, persoana trebuie să facă dovada identității. 

Sunt datele mele prelucrate în condiții de securitate și confidențialitate?

UNIP va asigura securitatea și confidențialitatea datelor potrivit GDPR și a legislației naționale de punere în aplicare a acestuia.

Este interzisă prelucrarea datelor PNR prin intermediul persoanelor împuternicite de către operator, în sensul Regulamentului general privind protecția datelor și a legislației de punere în aplicare a acestuia.

Prelucrează UNIP date sensibile despre mine?

Nu. Potrivit legii, prelucrarea datelor pasagerilor care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența la un sindicat, sănătatea, viața sexuală sau orientarea sexuală este interzisă.  În cazul în care datele PNR transmise de transportatorii aerieni cuprind informații sensibile, personalul UNIP șterge în mod ireversibil respectivele informații imediat după identificarea acestora.

Ce ar trebui să știu despre protecția datelor de către companiile aeriene?

Transportatorii aerieni rămân responsabili, în temeiul dispozițiilor legale din domeniul protecției datelor cu caracter personal aplicabile acestora, în ceea ce privește:

a) adoptarea măsurilor tehnice și organizatorice necesare pentru asigurarea protejării datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum și împotriva oricărei altei forme de prelucrare ilegală;

b) prelucrarea datelor PNR în mod legal, echitabil și transparent față de persoana vizată, inclusiv informarea pasagerilor, prealabilă colectării datelor PNR, cu privire la faptul că acestea sunt transmise către UNIP;

c) colectarea datelor PNR în scopuri determinate, explicite și legitime și abținerea de la prelucrarea ulterioară într-un mod incompatibil cu aceste scopuri;

d) colectarea de date PNR adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

e) prelucrarea de date PNR exacte și actualizate;

f) păstrarea datelor PNR într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate.

 

Te-ar putea interesa și:



characters-of-people-holding-time-management-concept_53876-35232.jpg

Înainte să vă povestesc ce anume m-a ajutat pe mine să îmi gestionez eficient timpul, o să mă prezint. Mă numesc Ruxandra Sava, sunt avocat, consultant GDPR și antreprenor. Cum arată o zi din viața mea? În medie:

  • 10 ore de muncă (două ore – vorbit la telefon, patru ore – muncă efectivă în activitatea de consultanță, două ore – răspuns la mail-uri, două ore – administrare blog, mentenanță site, trimis newslettere, share pe social media etc)
  • 2 ore pentru minte (citit cărți, articole, urmărit documentare);
  • 1-2 ore pentru trup (la sala);
  • 2-3 ore pentru suflet (ieșit în oraș, petrecut timp cu familia prietenii, scris pe blogul personal etc)

Programul de mai sus e valabil și pentru week-end. Mai puțin sala, pentru că în week-end nu sunt clase la World Class. E bine? E rău? Nu știu. Însă, de când sunt pe cont propriu (aproximativ 2 ani) și a trebuit să îmi gestionez efectiv singură timpul, am ales să mă orientez pe carieră. Cel puțin în acest moment al vieții. Am doar 27 de ani, așa că trebuie să trag tare cât am resurse. Eu sunt mulțumită. Oamenii din jurul meu îmi spun că mă mișc rapid. Nu am reușit să implementez mai mult de 20% din ideile pe care le am, restul sunt momentan în faza de proiect cu deadline-uri orientative. În doar doi ani, am reușit să:

  • fondez un Cabinet de Avocatură;
  • să cresc un Blog;
  • să pun pe picioare un start-up;
  • să am un portofoliu de clienți;
  • să lansez primul KIT de implementare GDPR;
  • să creez o echipă;
  • să termin o carte despre GDPR. Am trimis manuscrisul la Editura Universul Juridic săptămâna trecută și probabil cartea va ieși din tipar cât de curând.

Desigur, fiind avocat, majoritatea oamenilor din jurul meu au nevoie de mine. Așa că pierd săptămânal câteva ore ajutându-mi prietenii și familia cu diverse activități juridice, în general consultanță. Însă am învățat și să spun nu. Dar ce m-a ajutat pe mine să economisesc timp?

1.Am renunțat la Scroll pe Facebook/Instagram

Da, exact. Eu nu folosesc Facebook-ul ca majoritatea oamenilor. Nu dau Scroll și nu mă uit la filmulețe cu pisici. Îl folosesc doar pentru a ține legătura cu prietenii și, uneori, clienții. Mi se pare o pierdere de timp scroll-ul. Așa că prefer că folosesc acel timp inteligent.

2. Căștile Bluetooth

În general nu îmi place să vorbesc la telefon, pentru că se pierde foarte mult timp. Însă, când mă plimb prin oraș, conduc sau fac curat, am cu siguranță căștile în urechi pentru a vorbi cu clienții, prietenii, familia.

3. Folosesc inteligent mail-ul

Recunosc că am avut perioade în viață în care răspundeam de 20 de ori pe zi la mail-uri, pe măsură ce intrau. Dar am observat că această abordare mă întrerupea din activitățile mele când îmi era lumea mai dragă. Așa că acum intru pe mail de două ori pe zi: dimineața și seara – atunci răspund la tot ce primesc. Dar chiar și așa, se pierd în medie 2 ore. Dacă e urgent, oamenii mă găsesc la telefon sau pe Whatsapp.

4. Am notificările oprite

Am notificările oprite de la toate aplicațiile, mai puțin Whatsapp. Recunosc că intru constant să verific și celelalte canale de comunicare, însă prefer să nu fiu deranjată pentru lucruri care nu prezintă importanță. Uneori când verific Facebook-ul, am peste 20 de mesaje și atunci aleg să le prioritizez cumva. Dacă aș sta să răspund la toate mesajele, aș face doar asta…

5. Merg la sala

Aici e partea mea preferată. M-am apucat de sala acum un an și m-am dus nu pentru a slăbi, ci pentru a consuma cumva energia negativă. Am crezut că o să pierd timpul, însă efectul a fost invers: m-am încărcat cu energie. Eu mă duc la clase de intensitate medie spre maximă (Cycling, Body Pump, C-Core), iar când mă întorc am energie pentru a finaliza task-urile. Înainte să ajung la sala mi se pare că munca efectivă la PC este grea, însă după două ore cu ritm cardiac de 150, să lucrez la PC pare mult mai ușor. Probabil așa am învățat să am răbdare și să văd că rezultatele vin în timp și nu forțând lucrurile. Așa am învățat să îmi cunosc limitele și le depășesc.

6. Aleg oamenii care pun valoare pe timp

Când vine vorba de colaboratori, angajați, parteneri, pentru mine contează rapiditatea. Acum șase luni am scris niște termeni și condiții pentru un magazin online și zilele trecute mi-a scris clientul să mă întrebe dacă a pus bine documentația pe site. Mi-a zis că firma care a construit site-ul a întârziat șase luni. Când am văzut site-ul, am realizat că eu pot să îl construiesc în maxim 3 ore. A trebuit să învăț pentru a nu aștepta. Eu prefer să urmăresc un tutorial și să îmi implementez singură un modul pe site, decât să aștept săptămâni după profesioniști. Acum am o echipă și lucrurile merg în direcția cea bună. De aceea am scos și KIT-ul de implementare. După ce am muncit la el aproape un an, am zis că nu are rost să piardă și alte companii timpul scriind proceduri și politici de la 0. Un client care mi-a cumpărat KIT-ul mi-a spus că a plătit aproximativ 7.000 euro la un consultant ca să îi scrie procedurile, însă nu a primit mare lucru. Așa că a ales să economisească atât bani, cât și timp și a apelat la soluția mea inteligentă.  Interesant e că majoritatea plătesc de 10 ori mai mult consultanți să le livreze șabloanele mele din KIT. Da, au cumpărat kitul zeci de firme de consultanță și, deși au primit o singură licență de utilizare, am aflat că transmit documentele către clienții lor. 🙂

7. Lucrez de la distanță

Am lucrat doi ani din viață la o societate de avocatură. Pierdem, în medie, 3 ore pe zi. Acum lucrez de la distanță. Mă văd ocazional cu clienții și colaboratori.  Cam o dată pe lună. Însă, am grijă să pun cel puțin 3 întâlniri într-o zi. Nu aș vrea să pierd o zi întreagă pentru o singură întâlnire…

8. Am un to-do bine organizat

Eu folosesc aplicația to-do de la Microsoft. E cea mai utilă și am to-do-urile zilnice, săptămânale și lunare. În fiecare zi, știu ce am de făcut. De la 5 taskuri până la 20. Depinde. Dimineața, atunci când sunt odihnită, încep cu task-ul cel mai complicat și îi rezerv un anumit număr de ore.

9. Semnătura electronică

Îmi amintesc de vremurile în care trebuia să printez, semnez, scanez contracte. Acum e mult mai simplu. Mi-am achiziționat semnătură electronică de la AlfaSign  și semnez orice document în maxim 30 de secunde. Trimit inclusiv acte către instanță semnate digital: delegații, adrese, întâmpinări, răspunsuri la întâmpinări și nu am întâmpinat niciodată probleme.

10. Tehnologia 

Fac uz de tehnologie pentru a economisi timp:

  • Cloud – ca să am acces la fișiere de oriunde și de pe orice dispozitiv;
  • 90% din cumpărături sunt online;
  • Folosesc Uber pentru a mă deplasa rapid prin București atunci când nu merg cu mașina;
  • Folosesc aplicații de team management;
  • Programez e-mailuri.
  • Folosesc Smartbill pentru a emite facturi în timp record.
  • Comand mâncare de pe foodpanda;
  • Nu mă înțeleg cu Waze, dar folosesc Google Maps întotdeauna pentru a găsi cel mai rapid drum.
  • etc.

11. Am învățat să spun nu. 

E greu să spui nu, dar sănătos. Pentru că altfel vei ajunge cu sute de proiecte fără a putea să le finalizezi vreodată. Iar oamenii merită sinceritate. Dacă nu îi poți ajuta, ar trebui să nu îți fie greu să spui nu odată ce vei realiza că timpul tău valorează. Dacă persoanei îi ia 0 oră să caute pe internet pentru a afla răspunsul, iar ție îți ia 5 minute să îi explici, nu înseamnă că ar trebui să faci tu munca. Eu am învățat să prioritizez lucrurile în funcție de criteriile mele și la ce nu se află pe agendă, voi spune nu fără probleme.

Cu siguranță mai sunt și alte lucruri care mă ajută să economisesc timp, dar pe care nu mi le amintesc acum. Propun să facem schimb de experiență. Pe tine ce te ajută să îți organizezi eficient timpul? Scrie-ne în comentarii mai jos 🙂


privacy-10x10-FB-1200x1200.jpg

Spitalul Barreiro din Portugalia a fost amendat cu 400.000 de euro de către Autoritatea portugheză pentru protecția datelor pentru nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR) prin faptul că nu a separat drepturile de acces la datele pacientilor.

Spitalul din sectorul public a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective.  Mai mult, datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital, iar mecanismele de autentificare a accesului au fost considerate insuficiente.

 CNPS a afirmat că au fost încălcate principiile integrității și confidențialității, principiul minimizarii datelor pentru a limita accesul la datele clinice ale pacienților și incapacitatea Spitalului de a asigura confidențialitatea și integritatea datelor din sistemul lor (securitatea datelor). Primele două încălcări au au fost amendate cu 150.000 € fiecare, în timp ce a treia a primit 100.000 €, rezultand o amenda totala de 400.ooo euro.

Spitalul a spus faptul ca va contesta decizia.

Sursa aici

Ai nevoie de o Politica de acces prin care sa te asiguri ca accesul la date se desfasoara in mod legal si ca nicio persoana neautorizata nu are acces? O gasesti in kitul nostru de implementare, impreuna cu celelalte politici tehnice si organizatorice necesare.

 


Copy-of-Câteva-sute-de-companii-din-România-au-ales-să-implementeze-GDPR-inteligent-7-1200x675.png

Investigații GDPR. 10 Lucruri pe care trebuie să le știi despre controalele GDPR.

Nota Ruxandrei Sava, CIPP/E

Dragă cititorule, 

Eu știu că timpul este important pentru tine, așadar, prin acest articol mi-am propus să îți prezint, într-un limbaj simplu și ușor de înțeles, lucrurile care te interesează cu adevărat despre modalitatea în care se vor desfășura investigațiile GDPR.

Îți mulțumesc pentru aprecierile tale,

Ruxandra Sava,

CIPP/E

 

Descarcă procedura desfășurării investigației GDPR de aici

 

1.Investigații GDPR. Cine le desfășoară?

Investigațiile GDPR sunt desfășurate de către ANSPDCP (Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal), prin personalul său de control.

2. Cum pot ajunge să fiu investigat de ANSPDCP?

Există două căi prin care ANSPDCP poate decide să efectueze un control cu privire la conformitatea activităților tale de prelucrare a datelor cu caracter personal, și anume:

  • a fost depusă o plângere;

Cu alte cuvinte, atunci când o persoană fizică, nemulțumită de felul în care i se prelucrează datele, depune o plângere împotriva ta, ANSPDCP, în situația în care constată că respectiva plângere este întemeiată, va decide efectuarea unei investigații. De aceea este foarte important să ne asigurăm că respectăm drepturile tuturor persoanelor vizate.

Mai multe despre drepturile persoanei vizate poți citi aici:

Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

Dreptul la opoziție al persoanei vizate

Dreptul la restricționarea prelucrării

Dreptul la portabilitatea datelor 

Dreptul la rectificare al persoanei vizate

De asemenea, proceduri pentru asigurarea respectării drepturilor persoanelor vizate găsești aici.

  • ANSPDCP s-a sesizat din oficiu

Mai exact, chiar în absența unei plângeri, ANSPDCP poate desfășura o investigație în firma ta atunci când a obținut date și informații (art. 5 din Decizie) din surse cum ar fi:

– corespondenţa primită de ANSPDCP;

– mass-media;

– accesarea reţelei de internet;

De exemplu, ANSPDCP poate intra pe site-ul tău și descoperi faptul că nu ai implementat cerințele obligatorii, precum informarea utilizatorilor privind modulele cookie, acordul pentru marketing sau informarea vizitatorilor privind prelucrarea datelor cu caracter personal. Acest lucru poate da naștere unei investigații GDPR.

De exemplu, în anii trecuți, ANSPDCP a amendat diverse companii care dețineau site-uri și acestea nu aveau implementate procedurile GDPR. Potrivit statisticilor, cele mai multe amenzi s-au luat pentru nerespectarea obligației de informare, aceasta fiind și cel mai ușor de verificat. Află aici  cum trebuie să faci ca informarea să corespundă standardelor GDPR.

-documentele de constatare întocmite în urma efectuării altor investigaţii GDPR sau alte documente de la nivelul ANSPDCP;

De exemplu, dacă ANSPDCP desfășoară un control la un partener comercial este posibil să ajungă, pe acestă cale, și la tine.

-activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate

-alte surse.

Decizia nu menționează celelalte surse, lăsând a se înțelege că ANSPDCP are libertatea de a culegere informațiile de oriunde 🙂

3. Voi înștiințat cu privire la investigație?

Da și nu. Depinde. Potrivit Deciziei, investigaţiile pot fi efectuate cu înştiinţarea ta sau se pot desfăşura inopinat, fără anunţarea în prealabil.

4. Cum se desfășoara investigația? Se deplasează la mine, mă duc la ei la sediu sau în scris?

Potrivit Deciziei, investigațiile se pot desfășura:

-pe teren;

Decizia prevede, printre altele, că inspectorii ANSPDCP:

  • se deplasează la sediul  sediul/domiciliul/punctul de lucru sau alte locaţii;
  • prezintă legitimația de control;
  • prezintă obiectivele investigației;
  • verifică aspectele ce au legătură cu obiectivul investigației;
  • verifică orice document, echipament, mijloc sau suport de stocare a datelor;
  • ridică documentelor, în copie certificată de către entitatea controlată, sau a înregistrărilor relevante care au legătură cu obiectul controlului şi anexarea acestora
    la procesul-verbal de constatare/sancţionare;
  • întocmirea procesului-verbal de constatare/sancţionare;
  • aplicarea sancţiunii amenzii în situaţia în care cuantumul acesteia nu depăşeşte echivalentul în lei al sumei de 300.000 euro. Amenzile mai mari de 300.000 euro se dau de președintele ANSPDCP;
  •  înmânează o copie procesului-verbal de constatare/sancţionare.

Sfat: Asigură-te că ai dosarul cu proceduri GDPR, semnat de conducere și de personal și pus în ordine. Cum ar putea organizație care nu e în stare să își țină în ordine politicile și procedurile GDPR, să protejeze datele cu caracter personal? Dacă nu ai procedurile, le găsești aici.

Ce se întâmplă dacă împiedic accesul personalului de control?

În situaţia în care personalul de control este împiedicat în orice mod în exercitarea atribuţiilor, ANSPDCP poate solicita autorizarea judiciară, dată prin încheiere de către preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta, în condiţiile legii.

Ar mai trebui să știi că, în toate situaţiile investigaţia nu poate începe înainte de ora 8,00 şi nu poate continua după ora 18,00 şi trebuie efectuată în prezenţa persoanei la care se efectuează investigaţia sau a reprezentantului său. Investigaţia poate continua şi după ora 18,00 numai cu acordul persoanei la care se efectuează aceasta sau a reprezentantului său.

De asemenea,  personalul de control poate audia persoanele ale căror declaraţii sunt considerate relevante şi necesare desfăşurării investigaţiei. Audierea se consemnează într-o notă de audiere.

În cadrul efectuării investigaţiilor, personalul de control poate propune printr-o notă, avizată/semnată de şeful ierarhic şi aprobată de preşedintele ANSPDCP/înlocuitorul acestuia, efectuarea de expertize, în condiţiile legii. De exemplu, în situația în care este nevoie de o expertiză informatică.

-la sediul ANSPDCP;

Investigațiile GDPR mai pot fi desfășurate și la sediul ANSPDCP. În acest sens, primești o adresă de convocare cu precizarea datei şi orei de începere a investigaţiei GDPR la sediul ANSPDCP. În adresă se menţionează obligaţia de a te prezenta la sediul ANSPDCP, după caz, cu documente, înregistrări relevante, echipamente informatice (dacă e cazul), actele de identitate ale reprezentantului legal/persoanei împuternicite şi ale entităţii controlate, inclusiv cu ştampila în cazul autorităţilor publice şi registrul de control, dacă este cazul.

-în scris

Întrucât este modalitatea cea mai puțin costisitoare, va fi probabil cea preferată de ANSPDCP. În acest sens, primești o adresă prin care ți se solicită ca într-un anumit termen să comunici informațiile și documentele necesare. În funcție de informațiile și documentele primite, se poate decide continuarea investigației în scris sau pe teren, sau se poate decide finalizarea investigaţiei prin încheierea procesului-verbal de constatare/sancţionare la sediul ANSPDCP.

5. Ce obligații am în eventualitatea unei investigații GDPR?

În cadrul investigaţiei, ai, în principal, următoarele obligaţii:

a)să permiți inespectorilor să înceapă și să deruleze investigația, fără a-i stânjeni în vreun fel;
b)să asiguri accesul personalului de control orice echipament, mijloc sau suport de prelucrare/stocare a datelor;
c)să pui la dispoziţia personalului de control orice informaţii şi documente indiferent de suportul de stocare, necesare desfăşurării investigaţiei, inclusiv copii de pe acestea;
d)să pui la dispoziţia ANSPDCP documentele solicitate, certificate pentru conformitate cu originalul;
e)să furnizezi într-o formă completă documentele, informaţiile, înregistrările şi evidenţele solicitate, precum şi orice lămuriri necesare, fără a putea opune caracterul
confidenţial al acestora, în condiţiile legii;
f)să permiți personalului de control utilizarea echipamentelor de înregistrare şi stocare audiovideo/foto ori de câte ori echipa de control consideră că este necesar în cadrul derulării activităţii de control.

6. Ce sancțiuni pot primi? 

Sancțiunile principale sunt avertismentul sau amenda.

Atunci când se decide dacă se va impune o amendă și dacă da, cuantumul acesteia, se iau în calcul următoarele aspecte:

  • gravitatea încălcării;
  • dacă încălcarea a fost comisă intenționat sau din culpă;
  • acțiunile întreprinse de tine pentru pentru a reduce prejuciul;
  • gradul de responsabilitate, ținându-se seama de măsurile tehnice și organizatorice implementate, precum politici de securitate, proceduri pentru respectarea drepturilor, transferuri de date, managementul incidentelor de securitate etc. Măsurile care ar trebui să existe se găsesc aici.
  • încălcările anterioare;
  • gradul de cooperare cu ANSPDCP;
  • categoriile de date afectate, dacă este vorba de date obișnuite sau date sensibile;
  • orice alt factor agravant sau atenuat.

Sfat: Așa cum orice suspect în cazul unui investigații penale (vinovat sau nevinovat) ar trebui să își ia un avocat ca să îl apere, poate nu ar fi o idee rea să apelezi la un avocat cu experiență care să te apere pe parcursul investigației. Pe noi ne găsești aici 

7. Ce trebuie să conțină procesul-verbal?

Sub sancțiunea nulității absolute, procesul-verbal emis în urma unei investigații GDPR trebuie să conțină:

a) data şi locul încheierii procesului-verbal de constatare/sancţionare;
b) datele de identificare şi funcţiile membrilor echipei de control, inclusiv numărul legitimaţiei de control;
c) numărul şi data deciziei de împuternicire emise de preşedintele ANSPDCP şi, după caz, numărul şi data împuternicirii pentru investigaţiile efectuate pe teren şi neanunţate în prealabil în scris;
d) obiectul controlului;
e) datele de identificare ale entităţii controlate;
f) datele de identificare şi funcţiile reprezentanţilor entităţii controlate;
g) constatările rezultate în urma verificărilor efectuate;
h) descrierea faptei contravenţionale, cu indicarea datei şi locului în care a fost săvârşită fapta, a împrejurărilor ce pot servi la aprecierea gravităţii faptei şi, eventual, a pagubelor, a actului normativ prin care se stabileşte şi se sancţionează contravenţia, precum şi a măsurilor corective şi/sau a sancţiunii aplicate, dacă este cazul;
i) termenul de exercitare a căii de atac şi instanţa la care se depune plângerea, în cazul aplicării unei sancţiuni contravenţionale;
j) dacă s-au ridicat documente sau alte materiale, felul şi natura acestora;
k) dacă reprezentanţii entităţii controlate, care au participat la activitatea de control, au refuzat să consemneze obiecţiunile cu privire la conţinutul procesului-verbal de constatare/sancţionare, după ce le-a fost adus la cunoştinţă acest drept;
l) menţiuni privind înmânarea/comunicarea procesului-verbal de constatare/sancţionare, în copie, reprezentanţilor entităţii controlate;
m) motivele pentru care reprezentanţii entităţii controlate nu au semnat procesul-verbal de constatare/sancţionare, cu indicarea datelor de identificare a martorului care atestă motivele nesemnării procesului-verbal, în cazul în care acesta există, sau a motivelor care au condus la întocmirea procesului-verbal în lipsa unui martor.

8. Cum pot ataca în justiție procesul – verbal?

În termen de 15 zile de la data înmânării sau comunicării procesului-verbal emis în urma unei investigații GDPR, poți introduce contestație la Secția de contencios administrativ a tribunalului competent.

9. Ce se întâmplă dacă nu achit amenda în 15 zile?

Dacă nu faci dovada achitării amenzii în termen de 15 zile de la data înmânării sau comunicării procesului-verbal, vei fi executat silit de către organele de executare silită potrivit legii.

10. Pot fi amendat doar prin proces-verbal?

Nu. Dacă amenda este mai mică de 300.000 EURO, atunci aplicarea amenzii în urma unei investigații GDPR se va face prin procesul verbal încheiat de către inspectori.

Dacă amenda este mai mare de 300.ooo EURO, aplicarea amenzii în urma unei investigații GDPR se va face de către președintele ANSPDPC, prin Decizie, pe baza procesului-vernal încheiat de către inspectori.

De asemenea se poate dispune aplicarea unei amenzi cominatorii de până la 3.000 lei pentru fiecare zi de întârziere, în cazul în care nu te conformezi respectării măsurilor corective aplicate în urma unei investigații GDPR sau refuzi să pui la dispoziție documentele și informațiile solicitate.

 


date-13.png

ICCJ a decis, prin Hotărârea 1784/2017 că „Preluarea în întregime a mărcii protejate în cuprinsul numelui de domeniu de internet, în lipsa unui acord al titularului mărcii, este de natură a crea confuzie în rândul consumatorilor vizaţi de produsele comercializate de către acesta, fiind de aşteptat ca ei să creadă că societatea care deţine numele de domeniu „John Deere” este una şi aceeaşi cu cea care produce şi comercializează produsele sub numele „John Deere”.

 Această manieră de abordare a publicităţii prin internet nu este conformă bunelor practici, întrucât induce credinţa consumatorilor că bunurile sunt direct valorificate de titularul mărcii, de natură a aduce avantaje comerciale în sensul că produsele sunt garantate a fi originale. De altfel, este lipsit de importanţă faptul că bunurile comercializate prin intermediul site-ul sunt originale, căci ceea ce se impută deținătorului domeniului de internet nu este punerea în circulaţie de mărfuri contrafăcute, ci faptul folosirii mărcii ca denumire de domeniu fără acordul titularului mărcii.”

 

 

 

 

Secția I civilă, decizia nr. 1784 din 14 noiembrie 2017

 

Prin cererea înregistrată pe rolul Tribunalului Bucureşti, la data de 10.02.2012, reclamanta A., prin mandatar autorizat B. S.A., a solicitat în contradictoriu cu pârâţii C. Întreprindere Individuală, S.C. D. S.R.L. şi, pentru opozabilitate Institutul National de Cercetare – Dezvoltare în Informatică (I.C.I.), în temeiul prevederilor art. 109 C.proc.civ., ca prin hotărârea ce se va pronunţa să se constate încălcarea dreptului de folosire exclusivă, ce aparţine reclamantei, titulara mărcilor „JOHN DEERE” înregistrate la nivel internaţional şi comunitar; să se constate că numele de domeniu www.tractoarejohndeere.ro, încalcă drepturile exclusive asupra mărcilor reclamantei şi să se dispună interzicerea utilizării acestui domeniu de internet de către pârâtă, sub sancţiunea unor daune cominatorii de 100 euro/zi de întârziere, de la data rămânerii definitive a hotărârii judecătoreşti; să se dispună interzicerea folosirii şi încetarea înregistrării numelui de domeniu www.tractoarejohndeere.ro pe numele pârâtei şi să oblige Institutul de Cercetare Dezvoltare în Informatică să suspende folosirea domeniului de internet menţionat; să se dispună obligarea pârâtului I.C.I. Bucureşti de a efectua transferul numelui de domeniu către reclamant, conform Regulilor pentru înregistrarea numelor de domenii şi subdomenii din zona.ro, după îndeplinirea procedurii legale, reglementată de I.C.I., necesare transferului şi formularea unei cereri în acest sens cu plata taxelor aferente transferului numelui de domeniu; să se dispună publicarea, într-un ziar cu tiraj naţional, pe cheltuiala pârâtei, a dispozitivului hotărârii care se va pronunţa, în cel mult 10 zile de la data rămânerii definitive a acesteia.

Prin sentinţa civilă nr.517 din 12.03.2013 Tribunalul Bucureşti, Secţia a IV-a civilă a respins, ca neîntemeiată, excepţia lipsei calităţii procesuale pasive a pârâtei Institutul Naţional de cercetare Dezvoltare în Informatică; a admis excepţia lipsei calităţii procesuale pasive a pârâtei SC D. SRL; a respins acţiunea formulată de reclamanta A. Illinois Statele Unite ale Americii, prin mandatar autorizat B. S.A., în contradictoriu cu pârâta S.C. D. S.R.L., ca fiind formulată împotriva unei persoane fără calitate procesuală pasivă; a admis cererea formulată de reclamantă, prin mandatar autorizat B. S.A., în contradictoriu cu pârâţii C. Întreprindere Individuală şi Institutul National de Cercetare – Dezvoltare în Informatică (I.C.I.); a constatat că numele de domeniu www.tractoarejohmdeere.ro încalcă drepturile exclusive asupra mărcilor reclamantei; a interzis pârâtei C. Întreprindere Individuală să utilizeze acest domeniu de internet; a obligat pârâtul I.C.I. Bucureşti să efectueze transferul numelui de domeniu către reclamantă; a obligat pârâta C. Întreprindere Individuală să publice dispozitivul hotărârii, pe cheltuiala sa, într-un ziar de/cu tiraj naţional, în termen de 10 zile de la data rămânerii definitive a hotărârii; a obligat pârâta C. Întreprindere Individuală la plata către reclamantă a sumei de 3.000 euro în echivalent în lei la data plăţii, la cursul B.N.R. – reprezentând onorariu de avocat şi 46,30 lei contravaloare taxă judiciară de timbru şi timbru judiciar.

Curtea de Apel Bucureşti, Secţia a IV-a civilă, învestită cu soluţionarea apelului declarat de pârâta C. Întreprindere Individuală, prin decizia nr.246/A din 18.12.2013 a respins calea de atac, ca nefondată pentru considerentele ce se vor arăta.

Apelanta – pârâtă a invocat teoria  epuizării dreptului la marcă potrivit căreia titularul său nu poate să interzică utilizarea acesteia pentru produsele care au fost introduse pe piaţa comunitară sub această marcă de către titular sau cu consimţământul acestuiaadică pentru produsele introduse în regim legal (art. 13 din Regulamentul  CE 207/2009).

În cauză, această teorie nu poate fi valorificată ca apărare, întrucât actul de contrafacere  reclamat este folosirea mărcii prin preluarea acesteia în  întregime în cuprinsul numelui de domeniu înregistrat de pârâtă, în lipsa  unui acord al titularului. Drepturile conferite de marcă titularului se  epuizează doar pentru exemplarele produsului care au făcut obiectul unei prime  introduceri  pe piață de titularul însuși sau cu consimțământul său. În schimb, titularul poate să interzică oricând utilizarea mărcii pentru alte exemplare din același produs, care nu au făcut obiectul unei astfel de prime  introduceri pe piață, așa cum poate interzice și în situația în care starea produselor este modificată/alterată după punerea lor în comerț.

Numele de  domeniu  reprezintă un semn distinctiv, folosit cu intenția de a identifica un site de internet, implicit produsele și serviciile oferite prin site-ul respectiv. În aceste condiții, semnul poate intra în conflict cu drepturi de proprietate intelectuală anterior înregistrate, conflictul cu marca fiind reglat de art.36  alin.(1) din Legea  nr.84/1998.

Consecința epuizării dreptului este că, odată puse în circulație  produsele acoperite de  marcă, dreptul la marcă  nu poate împiedica libera circulație a produselor marcate și nu constituie un obstacol pentru  tranzacțiile ulterioare.

Titularului mărcii i se recunoaște însă un drept de intervenție atunci  când intermediarul săvârșește acte incompatibile cu funcția mărcii. Recunoașterea pentru titularul mărcii a dreptului de a interveni constituie o  limitare a teoriei epuizării dreptului. Această limitare are ca fundament funcția mărcii de a garanta consumatorului autenticitatea, originea și  calitatea produsului acoperit de marcă.

Folosirea numelui de domeniu, ce are ca scop promovarea propriei activități comerciale, având ca punct de plecare marca reclamantei, reprodusă în întregime, denotă intenția de crea o asemănare sau confuzie cu  marca (prin sugerarea unei afilieri sau a altui tip de legătură) în scopul obținerii de câștiguri comerciale.

Deținătorul numelui de domeniu a încercat în mod intenționat să atragă prin folosirea numelui de domeniu utilizatorii de internet către web site-ul său, prin crearea unei asemănări sau confuzii cu marca reclamantului (prin sugerarea unei afilieri sau a altui tip de legătură) în scopul obținerii de câștiguri comerciale.

Numele de domeniu reproduce quasi identic marca reclamantei, similaritatea din semn și marcă fiind dată de elementul distinctiv, dominant ”John Deere”. Percepția mărcilor în mintea consumatorului mediu joacă un rol decisiv în aprecierea globală a probabilității de confuzie, un astfel de  consumator percepe  marca, în mod normal, ca pe un întreg și nu ii analizează  diferitele detalii.

Adăugarea, în cuprinsul numelui de domeniu, a elementului verbal ”tractoare”, desemnând produsul pus în vânzare, nu este aptă de a conferi  caracter distinctiv combinației de cuvinte utilizată de  pârâtă.

În condițiile  identității de produse, și a similarității dintre marcă și semn, dată de  elementul comun ” JOHN DEERE”, foarte distinctiv, riscul de confuzie este demonstrat.

Politica Uniformă de Rezolvare a Disputelor privind Numele de Domenii adoptată de registrul ROTLD se aplică în procedura administrativă, facultativă pentru părți, care nu sunt împiedicate să sesizeze  instanța  judecătorească, în lipsa parcurgerii  acestei  proceduri.

Împotriva deciziei a declarat recurs pârâta C. Întreprindere Individuală, întemeiat pe dispoziţiile art.304 pct.7 şi 9 C.proc.civ., solicitând casarea hotărârii recurate şi trimiterea cauzei pentru rejudecare la aceeaşi instanță de fond în vederea administrării de probe de către ambele părţi pentru cele ce urmează:

Deşi instanţa refuză aplicarea efectelor juridice ale epuizării dreptului intimatei-reclamante la marca “John Deere” pentru tractoarele puse în comerţ de către titulară, instanţa de apel reţine: „consecinţa epuizării dreptului este că, odată puse în circulaţie produsele acoperite de marcă, dreptul la marcă nu poate împiedica libera circulaţie a produselor marcate şi nu constituie un obstacol pentru tranzacţiile ulterioare”.

Contradicţia în raţionamentul instanţei de apel este evidentă, deoarece, dacă, urmare a epuizării dreptului la marcă al titularei intimate-reclamante pentru tractoarele marca “John Deere” puse în comerţ de către aceasta pe piaţa Uniunii Europene, titulara nu are dreptul de a interzice ulterior libera circulaţie a produselor marcate şi de a obstacula tranzacţiile comerciale cu tractoarele marca “John Deere”, atunci intimata-reclamantă nu are nici dreptul de a interzice actele de comercializare a acestor tractoare originale marca “John Deere”, inclusiv actele de comercializare efectuate prin intermediul site-ului www.tractoarejohndeere.ro .

Contrar considerentelor instanţei, epuizarea dreptului la marca “John Deere”, ca efect al punerii în comerţ a tractoarelor pe teritoriul Uniunii Europene, de către titulara mărcii, nu poate fi încălcat pe acelaşi teritoriu, fiind exclusă ipoteza săvârşirii unei fapte de contrafacere prin comercializarea ulterioară a acestor tractoare originale sub marca “John Deere”, inclusiv prin intermediul site-ului www.tractoareiohndeere.ro.

În condiţiile în care un drept la marcă este epuizat, este exclus orice risc de confuzie pentru consumatori cu privire la originea comercială a tractoarelor originale marca “John Deere”, comercializate liber pe teritoriul Uniunii Europene, ulterior punerii în comerţ a acestora de către titulara mărcii.

Raţionamentul juridic contradictoriu al instanţei de apel sub aspectul efectelor juridice ale epuizării dreptului la marcă a avut drept consecinţă efectuarea operaţiunii de comparare a produselor originale tractoare comercializate de intimata-reclamantă sub marca “John Deere”, în privinţa cărora dreptul la marcă s-a epuizat cu produsele originale (tractoare) comercializate de recurenta-pârâtă sub marca “John Deere”, prin intermediul site-ului www.tractoarejohndeere.ro pentru a stabili „identitatea de produse” (în realitate, aceleaşi produse, provenite de la un producător unic – intimata-reclamantă, titulară a dreptului la marcă), care, – în condiţiile similarităţii dintre marcă şi numele de domeniu, ar da naştere unui risc de confuzie pentru consumatori cu privire la originea comercială a unor produse originale.

Este contradictoriu raţionamentul juridic al instanţei de apel, sub aspectul încălcării funcţiei esenţiale a mărcii “John Deere”.

Este esenţial că tractoarele comercializate de recurenta-pârâtă sub marca “John Deere” prin intermediul site-ului www.tractoarejohndeere.ro au aceeaşi origine cu tractoarele puse în comerţ pe piaţa Uniunii Europene de către intimata-reclamantă, titulară a mărcii “John Deere”.

Nu există nicio o dovadă depusă de intimata-reclamantă la dosarul instanţelor de fond, din care să reiasă suspiciuni că tractoarele marca “John Deere” comercializate prin intermediul site-ului www.tractoarejohndeere.ro ar proveni de pe o altă piaţă decât piaţa Uniunii Europene.

Raţionamentul contradictoriu al instanţei de apel a avut drept consecinţă admiterea acţiunii în contrafacere, în condiţiile în care comercializarea unor tractoare originale marca “John Deere” prin intermediul site-ului www.tractoareiohndeere.ro nu era aptă să încalce funcţia mărcii “John Deere” de a garanta consumatorului autenticitatea, originea şi calitatea produsului comercializat sub marca producătoarei, intimată-reclamantă.

În mod contradictoriu, aceasta nu a observat că produsele identificate prin numele de domeniu www.tractoarejohndeere.ro sunt în realitate tractoarele originale marca “John Deere”, care au ca origine comercială producătoarea intimată-reclamantă, tractoare pe care aceasta le-a pus în comerţ anterior pe teritoriul Uniunii Europene, ceea ce semnifică că recurenta-pârâtă nu a săvârşit niciun act de contrafacere a mărcii “John Deere”.

Sub aspectul incidenţei dispoziţiilor art.38 alin.(2) din Legea nr. 84/1998, motivarea hotărârii instanţei de apel care a menţinut cele statuate de Tribunalul Bucureşti, nu corespunde unor dovezi care să fi fost administrate în dosar.

La dosarul cauzei nu s-au administrat probe din care să fi rezultat că prin intermediul site-ului cu nume de domeniu www.tractoarejohndeere.ro ar fi comercializate tractoare care nu provin de pe piaţa Uniunii Europene, nici probe din care să fi rezultat ca starea tractoarelor originale marca “John Deere” ar fi fost modificată sau alterată după punerea lor în comerţ de către titulara mărcii, pe piaţa Uniunii Europene.

În raport de situaţia de fapt care rezultă din dovezile administrate în dosar, statuările instanţei de apel nu sunt motivate.

 Se mai invocă faptul că hotărârea atacată a fost pronunţată cu aplicarea greşită a dispoziţiilor art. 2 şi ale art. 36 din Legea nr. 84/1998.

Astfel, art. 2 din Legea nr. 84/1998 reglementează condiţiile pe care semnele înregistrate ca marcă trebuie să le întrunească pentru a putea îndeplini funcţia în vederea căreia legea le recunoaşte protecţie juridică: „[…] aceste semne să permită a distinge produsele sau serviciile unei întreprinderi de cele ale altor întreprinderi.”

Potrivit jurisprudenţei constante a Curţii de Justiţie a Uniunii Europene, dreptul la marcă înregistrată este protejat legal în vederea îndeplinirii funcţiei mărcii de a garanta consumatorului originea produselor comercializate sub semn, prin aceea că îi permite să distingă, fără confuzie, acel produs de alte produse, care au o altă origine (CJUE, C-102/77, Hoffmann-La Roche v. Centrafarm).

Întinderea sferei drepturilor la marcă este reglementată prin dispoziţiile art. 36 din Legea nr. 84/1998.

Art. 36 din Legea nr. 84/1998 nu reglementează dreptul titularului unei mărci de a înregistra sau dobândi toate categoriile de semne distinctive identice sau similare cu marca sa (cum ar fi numele de domeniu).

Riscul de confuzie pentru consumatori cu privire la originea comercială a produselor comercializate sub semnele aflate în conflict este condiţia sine qua non pentru admiterea acţiunii întemeiate pe dispoziţiile art. 36 alin. (2). lit. b) din Legea nr. 84/1998.

Considerentele referitoare la existenţa riscului de confuzie dintre numele de domeniu www.tractbarejohndeere.ro şi marca “John Deere”, semne distinctive considerate în sine, sunt evident greșite, deoarece riscul de confuzie trebuie să se producă nu între semnele distinctive comparate, ci cu privire la originea comercială a produselor care sunt comercializate sub semnele comparate.

Or, în speţă, din dovezile aflate la dosar reiese că prin intermediul site-ului cu nume de domeniu www.tractoarejohndeere.ro sunt comercializate, sub marca “John Deere”; tractoare originale, care provin de pe piaţa Uniunii Europene, de la una şi aceeaşi întreprindere – intimata-reclamantă, tractoare care au fost anterior puse în comerţ pe piaţa Uniunii Europene de către intimata-reclamantă, titulara mărcii.

Sub aspectul comparării produselor, în vederea aplicării dispoziţiilor art. 36 alin. (2) lit. b), instanţa a greşit, deoarece au fost comparate produsele tractoare originale, comercializate sub marca “John Deere” prin intermediul site-ului www.tractoarejohndeere.ro cu produsele tractoare originale, puse anterior în Comerţ pe piaţa Uniunii Europene de către intimata-reclamantă, sub marca “John Deere” şi nu permit compararea produselor care provin de la unul şi acelaşi producător, pentru a stabili că produsele sunt identice şi pentru a concluziona că, în consecinţă, există un risc de confuzie pentru consumatori cu privire la originea comercială a acestor produse.

În aceste condiţii, este fără dubiu că numele de domeniu www.tractoarejohndeere.ro, care include marca “John Deere”, fără consimţământul titularei mărcii, este folosit pentru a identifica tractoare originale, comercializate după ce titulara mărcii a pus în comerţ pe teritoriul Uniunii Europene aceste tractoare, şi că publicul consumator este informat corect cu privire la originea comercială a tractoarelor, tocmai prin folosirea mărcii “John Deere”.

Un alt motiv de recurs se referă la faptul că hotărârea atacată a fost pronunţată cu încălcarea dispoziţiilor art. 36 alin. (2) lit. b) şi ale art. 38 alin. (1) şi (2) din Legea nr. 84/1998.

Procedeul instanţei de apel de a înlătura efectele juridice ale epuizării dreptului la marca, stabilite prin dispoziţiile de principiu ale art. 38 alin. (1) din Legea nr. 84/1998, şi de a aplica cu prioritate dispoziţiile cu valoare de excepţie de la regulă, reglementate prin alin. (2) al art. 38 din Legea nr. 84/1998, este contrar legii, în condiţiile în care nu există la dosarul instanţelor de fond dovezi din care să reiasă că tractoarele originale, comercializate sub marca John Deere prin intermediul site-ului cu nume de domeniu www.tractoarejohndeere.ro nu ar fi făcut obiectul unei prime introduceri pe piaţa Uniunii Europene cu consimţământul titularei mărcii, nici dovezi din care să reiasă că starea tractoarelor ar fi fost modificată sau alterată după punerea lor pe piaţă.

Au fost încălcate şi dispoziţiile art. 36 alin. (2) lit. b) din Legea nr. 84/1998, care, în lipsa existenţei unui risc de confuzie cu privire la originea comercială a tractoarelor originale comercializate prin intermediul unui site internet, tractoare care provin de pe piaţa Uniunii Europene şi care au fost anterior puse pe piaţa Uniunii Europene de titulara mărcii, nu recunosc titularei mărcii dreptul de a interzice sau de a permite unor terţi includerea mărcii într-un nume de domeniu.

Sub aspectul interpretării şi aplicării dispoziţiilor art. 36 alin. (2) lit. b) şi ale art. 38 alin. (1) din Legea nr. 84/1998, este esenţial că legea nu reglementează dreptul intimatei-reclamante să controleze sau să limiteze sau să interzică unor terţi efectuare unor acte de comercializare â tractoarelor marca “John Deere”, care au fost comercializate-anterior pe piaţa Uniunii Europene cu acordul acesteia, prin acordarea sau neacordarea consimţământului său de a include în numele lor de domeniu marca “John Deere”.

Or, efectul epuizării dreptului la marcă, urmare a punerii pe piaţa Uniunii Europene a produselor originale, cu consimţământul titularului mărcii, este reglementat tocmai pentru a permite libertatea comerţului paralel cu produse originale în interiorul pieţei Uniunii Europene.

În condiţiile în care în dosar nu s-au administrat dovezi din care să rezulte că ar exista motive temeinice care să justifice opoziţia titularului la comercializarea liberă a tractoarelor marca “John Deere” pe piaţa Uniunii Europene, ulterior punerii în comerţ pe piaţa Uniunii Europene de către titulara mărcii, interpretarea dată prin hotărârea atacată, în sensul că, după epuizarea dreptului la marcă pe piaţa Uniunii Europene, titulara mărcii poate exercita prerogativa de a interzice sau permite terţilor includerea mărcii în numele de domenii pentru site-uri de internet prin intermediul cărora sunt comercializate ulterior aceste tractoare originale, în mod condiţionat de calitatea lor de distribuitori oficiali sau agreaţi încalcă în mod vădit dispoziţiile articolului 101 (fostul art. 81 din Tratatul CE) din Tratatul privind funcţionarea Uniunii Europene.

În speţă, prevederile art. 101 din Tratatul privind funcţionarea Uniunii Europene interzic împiedicarea, restrângerea sau denaturarea concurenţei în cadrul pieţei interne prin încheierea de contracte (acorduri) între titularul mărcii “John Deere”, al cărui drept la marcă s-a epuizat ca urmare a punerii în comerţ pe piaţa europeană a tractoarelor, cu anumiţi distribuitori care să fie protejaţi de orice concurenţă din partea oricăror alţi distribuitori care comercializează aceste tractoare originale provenite de pe piaţa Uniunii Europene sub marca “John Deere”.

Art. 101 din Tratat interzice în mod expres ca, prin contracte de distribuţie exclusiva/selectivă, anumiţi distribuitori să beneficieze de protecţie teritorială absolută pentru un anumit teritoriu sau Stat Membru al Uniunii Europene, dacă astfel de contracte de distribuţie au ca obiect sau ca efect în special limitarea sau controlul comercializării tractoarelor “John-Deere” şi împărţirea pieţei Uniunii Europene.

Hotărârea atacată încalcă în mod vădit prevederile art. 26 alin. (2) şi cele ale art. 34, art. 35, art. 36 şi art. 101 din Tratatul privind funcţionarea Uniunii Europene şi contravine jurisprudenței Curţii de Justiţie a Uniunii Europene pronunţată în interpretarea prevederilor Directivei de apropiere a legislaţiilor statelor membre cu privire la mărci în lumina dispoziţiilor din Tratatul UE.

Astfel, prin hotărârea Consten şi Grundig (cauzele conexate C-56/64 şi C-58/64), Curtea de Justiţie a Uniunii Europene a interpretat dispoziţiile de drept european indicate supra în sensul că titularul mărcii nu are dreptul de a interzice terţilor liberul comerţ cu produsele comercializate sub marca sa, după punerea acestora pe piața Uniunii Europene, pentru a-şi proteja proprii distribuitori agreaţi, oficiali său exclusivi, cu consecinţa limitării concurenţei între terţii care comercializează produsele sub marcă pe piaţa europeană.

 Din hotărârea Bristol-Myers Squibb şi alţii împotriva Parănova A/S (cauzele conexate C-427/93, Q429/93 şi C-436/93), Curtea de Justiţie a Uniunii Europene a stabilit, în interpretarea dispoziţiilor art. 5 şi 7 din Directiva de apropiere a legislaţiilor statelor membre cu privire la mărci, în lumina prevederilor art. 36 din Tratatul UE reiese că epuizarea dreptului la marcă, urmare a punerii pe piaţa europeană a produselor sub acea marcă, cu acordul titularului, are drept consecinţă că titularul mărcii nu poate interzice terţilor sa aplice marca pe un produs.

A fortiori, în mediul online, titularul mărcii nu poate, după epuizarea dreptului său, să interzică terţilor includerea mărcii în numele de domeniu al unui site internet prin intermediul căruia sunt comercializate produsele originale anterior puse în comerţ pe piaţa Uniunii Europene de către titulara mărcii.

Titularul mărcii al cărui drept s-a epuizat nu poate condiţiona includerea mărcii în numele de domeniu al unui site internet prin intermediul căruia sunt comercializate produsele originale anterior puse în comerţ pe piaţa Uniunii Europene de către titulara mărcii de calitatea terţului de distribuitor agreat, oficial sau exclusiv, deoarece aceasta ar echivala cu recunoaşterea dreptului titularului unei mărci de a controla, limita sau denatura concurenţa între terţii care/ulterior epuizării dreptului la marcă, comercializează produsele originale, în conformitate cu principiul liberei circulaţii a mărfurilor în interiorul pieţei Uniunii Europene.

Printr-un alt motiv de recurs se arată că hotărârea a fost pronunţată cu încălcarea dispoziţiilor art. 36 alin. (2) lit. b) şi ale art. 39 alin. (1) lit. o) din Legea nr. 84/1998, deoarece s-a statuat în mod greşit că includerea mărcii „John Deere” în numele de domeniu folosit pentru a comercializa tractoare originale marca „John Deere”, anterior puse în comerţ pe piaţa Uniunii Europene cu consimţământul titulare mărcii, constituie un act de contrafacere.

În speţă, art. 39 alin. (1) lit. e) permite utilizarea mărcii de către recurenta– pârâta pentru a desemna în activităţile comerciale tractoarele originale pe care, după ce acestea au fost introduse pe piaţa Uniunii Europene de către titularul mărcii “John Deere”, recurenta-pârâtă le comercializează sub marcă, asigurarea liberei circulaţii a acestor tractoare pe teritoriul Uniunii Europene fiind obligatorie conform dispoziţiilor art. 26, art. 34, art. 35, art. 36 şi art. 101 din Tratatul privind funcţionarea Uniunii Europene.

Folosirea de către recurenta-pârâtă a mărcii “John Deere”, pentru a desemna chiar tractoarele originale marca “John Deere” în activităţile comerciale efectuate după introducerea pe piaţa europeană a tractoarelor de către titulara mărcii, este conformă bunelor practici în domeniul industrial şi comercial, în sensul dispoziţiilor art. 39 alin. (2) din Legea nr. 84/1998, deoarece Tratatul privind funcţionarea Uniunii Europene impune libera circulaţie a acestor tractoare în interiorul pieţei europene, în condiţii de concurenţă efectivă, liberă şi nedistorsionată între distribuitori, inclusiv cu privire la preţul produselor sau alte condiţii de comercializare a acestora.

Se susţine, printr-un ultim motiv de recurs că hotărârea atacată a fost pronunţată cu încălcarea dispoziţiilor art. 274 alin. 3 C.pr.civ., deoarece nici la dosarul primei instanţe, nici la dosarul instanţei de apel, nu s-au depus înscrisuri care să emane de la o formă de exercitare a profesiei de avocat, cu respectarea dispoziţiilor Legii nr. 51/1995 privind organizarea şi exercitarea profesiei de avocat.

La dosarul Tribunalului Bucureşti şi la dosarul Curţii de Apel Bucureşti, sunt depuse două facturi fiscale emisă de către societatea pe acţiuni B. pe numele intimatei-reclamante.

Potrivit Deciziei nr. 9 din 4 aprilie 2016, pronunţată de Înalta Curte de Casaţie şi Justiţie, Completul pentru dezlegarea unor chestiuni de drept, în dosarul nr. 507/1/2016, publicată în Monitorul Oficial nr. 400 din 26 mai 2016, dispoziţiile art. 84 alin. (1) C.pr.civ. au fost interpretate în sensul că „reprezentarea convenţională a persoanei juridice în faţa instanţelor de judecată nu se poate face prin mandatar persoană juridică, nici prin consilierul juridic sau avocatul acesteia din urmă.”

Potrivit prevederilor art. 521 alin. – (3) C.pr.civ., decizia este obligatorie pentru interpretarea prevederilor art. 84 alin. (1) C.pr.civ.

Înalta Curteanalizând decizia prin raportare la criticile formulate reţine caracterul nefondat al recursului pentru argumentele ce succed.

Prioritar, Înalta Curte, învederează că îşi însuşeşte în totalitate situaţia de fapt şi de drept reţinută de instanţa superioară de fond.

De asemenea, înainte de analiza motivelor de recurs, se constată că recurenta nu aduce critici statuărilor instanţei de apel referitoare la similaritatea semnului cu marca, dat de elementul comun „John Deere”, foarte distinctiv, la identitatea de produse precum şi la faptul că riscul de confuzie, prezumție relativă întemeiată pe prevederile art.16 din T.R.I.P.S., conform cărora atunci când se utilizează un semn identic sau similar pentru servicii identice sau similare în activitatea comercială, se naşte un risc de confuzie, este demonstrat, aspecte ce au intrat în autoritatea lucrului judecat.

O primă critică întemeiată pe dispozițiile art.304 pct.7 C.proc.civ., arată că instanţa a dezvoltat considerente contradictorii ce semnifică nemotivarea hotărârii şi, implicit, imposibilitatea exercitării controlului judiciar câtă vreme situaţia de fapt nu a fost pe deplin stabilită.

În esenţă, se arată că instanţa refuză aplicarea efectelor juridice ale epuizării dreptului la marcă şi anume aceea că dreptul la marcă nu poate împiedica libera circulaţie a produselor marcate şi nu constituie un obstacol pentru tranzacţiile ulterioare.

Critica nu poate fi primită întrucât ceea ce apreciază recurenta a fi argumente contradictorii, sunt, în fapt, paşi logici făcuţi de instanţă în rejectarea apărării formulate, epuizarea dreptului la marcă.

Împrejurarea că instanţa a pronunţat o soluţie în defavoarea pârâtei nu semnifică, în nicio împrejurare, motivare contradictorie.

Astfel, cum rezultă din expunerea rezumativă a considerentelor deciziei, instanţa, după expunerea efectelor juridice ale epuizării dreptului la marcă, arată motivele pentru care această teorie nu este aplicabilă cauzei: actul de contrafacere reclamat este folosirea mărcii prin preluarea acesteia în întregime în cuprinsul numelui de domeniu înregistrat de pârâtă, în lipsa unui acord al titularului, drepturile conferite de marcă titularului se epuizează doar pentru exemplele produsului care au făcut obiectul unei prime introduceri pe piaţă. Se mai arată că deţinătoarea numelui de domeniu, pârâta, a încercat în mod intenţionat să atragă prin folosirea numelui de domeniu utilizatorii de Internet către website-ul său, prin crearea unei asemănări sau confuzii cu marca reclamantului (prin sugerarea unei afilieri sau altui tip de legătură, în scopul obţinerii de câştiguri comerciale.

În alţi termeni, instanţa de apel cu respectarea dispoziţiilor art.261 alin.(1) pct.5 C.proc.civ., cu aplicarea dispoziţiilor art.298 C.proc.civ., a arătat logic şi juridic de ce a înlăturat apărarea pârâtei.

Şi cea de-a doua critică, întemeiată pe dispoziţiile art.304 pct.9 C.proc.civ. este nefondată în considerarea celor ce urmează.

Prin nume de domeniu, în sens larg, se înţeleg adresele ce permit localizarea serverelor, a site-ului web şi/sau  utilizării lor şi chiar a sectorului de activitate a acestora. Semnul înregistrat ca nume de domeniu poate intra în conflict cu drepturi de proprietate industrială anterior protejat, cum este dreptul la marcă.

Recurenta invocă aplicarea greşită a dispoziţiilor art.2, art.36 alin.(2) lit.b), art.38 alin.(1) şi (2) din Legea nr.84/1998 privind mărcile şi indicaţiile geografice, art.101 din Tratatul privind funcţionarea Uniunii Europene, precum şi jurisprudenţa Curţii de Justiţie Europeană în cauzele Hoffmann-La Roche v Centrafarm, Consten şi Grundig, Bristol-Myers Squibb şi alţii împotriva Paranova A/S prin care s-au dezvoltat adevărate reguli de drept, obligatoriu pentru toate statele Uniunii Europene.

De necontestat, realitatea teoretică şi jurisprudenţială invocată de recurentă, însă, aşa cum a arătat şi Curtea de Apel, este inaplicabilă cauzei.

Astfel, terţii sunt obligaţi să se abţină de la orice act care ar putea produce atingere unui drept de proprietate industrială legal ocrotit, or, în speţă, includerea mărcii reclamantei în numele de domeniu de internet este de natură a crea confuzie în rândul consumatorilor vizaţi de produsele comercializate de reclamantă, fiind de aşteptat ca ei să creadă că societatea care deţine numele de domeniu „John Deere” este una şi aceeaşi cu cea care produce şi comercializează produsele sub numele „John Deere”. Includerea mărcii în numele de domeniu este de natură să înfrângă concurenţa liberă pe piaţă a tractoarelor, câtă vreme această manieră de abordare a publicităţii prin internet determină consumatorul ţintă să creadă că este vorba de o vânzare direct de la titularul mărcii.

Jurisprudenţa dezvoltată nu are legătură în cauză căci nu este vorba de faptul că titularul mărcii şi-ar proteja distribuitorii sau că ar fi vorba de interzicerea aplicării mărcii pe produs şi, cu atât mai mult, despre intenţia reclamantei de a împiedica pârâta să comercializeze tractoarele marca „John Deere”.

Ceea ce afirmă reclamanta, confirmat de ambele instanţe de fond, este că pârâta denaturează libera concurenţă între terţi care, ulterior epuizării dreptului la marcă, comercializează produsele originale, în conformitate cu principiul liberei circulaţii a mărfurilor în interiorul pieţii Uniunii Europene.

Contrar opiniei recurentei, folosirea de către pârâtă a denumirii mărcii pentru site-ul său, nu este conformă bunelor practici, întrucât induce credinţa consumatorilor că bunurile sunt direct valorificate de producător, de natură a aduce avantaje comerciale în sensul că produsele sunt garantate a fi originale.

Este lipsit de importanţă faptul că bunurile comercializate de pârâtă sunt originale, căci nu se impută pârâtei punerea în circulaţie de mărfuri contrafăcute, ci faptul folosirii mărcii ca denumire de domeniu fără acordul titularului mărcii.

Susţinerea recurentei că instanţa de apel a încălcat dispoziţiile art. 274 C.pr.civ. cu referire la decizia nr. 9/2016, pronunţată de Înalta Curte  de Casaţie şi Justiţie – Completul pentru dezlegarea unor chestiuni de drept, prin care dispoziţiile art. 84 alin.(1) C.pr.civ. au fost interpretate în sensul că reprezentarea convenţională a persoanei juridice în faţa instanţelor de judecată nu se poate face prin mandatar persoană juridică, nici prin consilier juridic sau avocatul acesteia din urmă, deoarece la dosar s-au depus două facturi fiscale emise de către societatea pe acţiuni B. pe numele intimatei-reclamante.

Critica nu poate fi primită faţă de cele reţinute de Înalta Curte de Casaţie şi Justiţie în Decizia nr.2/2017 prin care au fost interpretate dispoziţiile art.28 alin.(2) coroborate cu cele ale art.20 alin.(1) din O.G. nr.66/2000 privind organizarea şi exercitarea profesiei de consilier în proprietate industrială, reprezentarea convenţională a persoanelor juridice în faţa instanţelor de judecată poate fi asigurată şi prin consilierul juridic angajat al uneia dintre formele de exercitare a profesiei de consilier în proprietate industrială, în măsura în care consilierul juridic are şi calitatea de consilier în proprietate industrială, situație de fapt incidentă cauzei.

Rezultă astfel că instanţa de apel la evaluarea cheltuielilor de judecată în anul 2013 a interpretat dispoziţiile legii speciale în raport de dispozițiile art.84 C.proc.civ., în același mod ca în Decizia nr.2/2017.

Înalta Curte, reţinând că motivele de recurs nu sunt incidente în cauză, în temeiul dispoziţiilor art. 312 alin. (1) şi (2) C.pr.civ., a respins recursul ca nefondat.


Saas-AI_Lead-1200x675.jpg

În luna decembrie 2015, reprezentanţii  Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal au efectuat o investigaţie din oficiu la Primăria municipiului Timişoara.

În urma controlului, s-a constatat săvârşirea următoarelor fapte:

1. Omisiunea de a notifica și notificarea cu rea-credință, prevăzută de art. 31 din Legea nr. 677/2001, sub forma omisiunii de a notifica, întrucât Primăria Municipiului Timişoara deşi a început, încă din anul 2009, să utilizeze sistemul de pontare electronică a angajaţilor pe baza datelor biometrice, nu a notificat anterior începerii prelucrării datelor biometrice ale angajaților, conform obligaţiilor prevăzute de art. 22 alin. (1) din Legea nr. 677/2001 şi art. 1 alin. (1) lit. a) şi art. 2  din Decizia preşedintelui ANSPDCP nr. 11/2009;

2. Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara nu a realizat informarea persoanelor vizate, potrivit prevederilor art. 12 alin. (1) din Legea nr. 677/2001, pentru prelucrările efectuate în scopul pontării electronice a angajaţilor pe bază de amprente digitale;

3. Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara a prelucrat date biometrice în mod excesiv faţă de scopul prelucrării (pontarea timpului de lucru al angajaţilor), în condiţiile în care puteau fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive, încălcându-se astfel art. 4 alin. 1 lit c) din Legea nr. 677/2001;

4. Neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate, prevăzută de art. 33 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara nu a adoptat suficiente măsuri de confidențialitate și securitate a datelor prelucrate (date biometrice), conform art. 19 și 20 din Legea nr. 677/2001.

Pentru faptele constatate, s-au aplicat următoarele sancţiuni:

Amendă în cuantum de 2000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 31 din Legea nr. 677/2001, în temeiul art. 35 din Legea nr. 677/2001,

Amendă în cuantum de 3000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 32 din Legea nr. 677/2001, raportat la art. 12 alin. din Legea nr. 677/2001,

Amendă în cuantum de 6000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 32 din Legea nr. 677/2001, raportat la art. 4 alin. 1 lit c) din Legea nr. 677/2001, Amendă în cuantum de 7000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 33 din Legea nr. 677/2001.

În consecinţă, Autoritatea naţională de supraveghere a sancţionat Primăria municipiului Timişoara cu amendă contravenţională în cuantum total de 18.000 RON.

 

În acest context, subliniem că instanțele judecătoreşti au confirmat constant abordarea Autorității de Supraveghere în sensul că prelucrarea datelor personale (amprente) angajaților nu se poate realiza decât pe baza unei analize temeinice privind necesitatea şi proporţionalitatea unor astfel de măsuri, iar angajatorul trebuie să identifice soluţii alternative care să aibă un impact mai redus asupra vieţii private a salariaţilor.

Raportat la acest aspect, în jurisprudenţa Curţii Europene a Drepturilor Omului referitoare la art. 8 din Convenţia pentru apărarea drepturilor omului şi libertăţilor fundamentale (dreptul la respectarea vieții private și de familie) instanța europeană a statuat faptul că protecţia oferită de acest articol ar fi diminuată în mod inacceptabil dacă folosirea de tehnici ştiinţifice moderne ar fi permisă cu orice preţ şi fără realizarea unui echilibru între beneficiile folosirii extensive a acestor tehnici şi interesele importante legate de viaţa privată (Cauza S. şi M. Marper contra Regatului Unit).

 


date-12.png

Autor Ruxandra Sava

Avocat și consultant GDPR

CIPP/E

 

Ce este GDPR?

Regulamentul general privind protecția datelor (denumit în continuare „GDPR” sau „Regulament GDPR”) a devenit lege în România începând cu 25 mai 2018. Pentru nerespectarea cerințelor de protecție, sancțiunile pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro. Investigația unei organizații române se face de Autoritatea de supraveghere din România, dar, în unele cazuri și de autoritățile de supraveghere din alte state membre UE, cum ar fi, de exemplu, situația în care o organizație prelucrează date ale unei persoane fizice străine, iar aceasta are dreptul de a se adresa cu o plângere la ea acasă sau chiar de a se adresa instanțelor de judecată din țara de proveniență. Provocarea este mare, având în vedere că majoritatea site-urile pot fi accesate de oriunde, iar unele companii din România vând bunuri, prestează servicii sau interacționează în alte modalități cu cetățeni ai Uniunii.

Regulamentul GDPR are în centru său un element primordial: persoana fizică. Datele persoanei fizice trebuie protejate prin măsuri adecvate.

Regulament GDPR introduce un principiu important: responsabilitatea.

Pe scurt, responsabilitatea înseamnă că operatorul de date este singurul responsabil de a implementa măsurile adecvate pentru protecția datelor cu caracter personal și că poate demonstra că aceste măsuri au fost implementate. Cu alte cuvinte, nu este suficient să protejăm datele cu caracter personal, ci trebuie și să documentăm aceste procese prin politici și proceduri adecvate, precum registre, analize, acorduri cu partenerii comerciali, consimțăminte documentate, informări către persoane.

În pas de traziție către era digitală, protecția datelor cu caracter personal este un subiect serios pe agenda fiecărei companii.

În continuare, vom rezuma pe scurt GDPR, cu mențiunea că pe blogul LegalUp publicăm constant articole despre Regulamentul GDPR pentru a veni în spirijinul companiilor.

Regulament GDPR. Principiile 

GDPR introduce șase principii care trebuie respectate de către orice Organizație care prelucrează date așa cum sunt ele descrise pe scurt mai jos:

  • Legalitate, echitate și transparență

prelucrează datele legal și corect față de persoana vizată și explică-i de ce îi prelucrezi într-un limbaj pe care îl poate înțelege, fără jargon juridic.

  • Limitarea scopuluinu folosi datele în altă manieră decât aceea prezentată persoanei fizice;
  • Minimizarea datelornu prelucra mai multe date decât îți trebuie;
  • Exactitatepăstrează datele actualizate;
  • Integritate și confidențialitateprotejează datele prin măsuri adecvate;
  • Responsabilitatedocumentează procesele și fii capabil să demonstrezi respectarea principiilor de mai sus.

 

Regulament GDPR. Legalitatea

Toate operațiunile asupra datelor trebuie să fie legale, adică să se bazeze pe cel puțin unul dintre temeiurile de mai jos:

  • Consimțământul – persoana și-a dat în mod valabil consimțământul;
  • Contractul – există un contract sau urmează să se încheie un contract;
  • Obligația legală – există o obligație legală;
  • Interesul vital – protejezi viața sau sănătatea persoanei;
  • Interesul public;
  • Interesul tău legitim – atâta timp cât nu intră în conflict cu interesul persoanei fizice;

Indiferent de temei (consimțământul, contractul, obligația legală etc), trebuie să respecți GDPR și să pui în practică politici adecvate de protecție a datelor.

Cele șase temeiuri enumerate mai sus se află pe poziție de egalitate. Consimțământul este important, însă el vine cu dezavantaje, cum ar fi dreptul de retragere a consimțământului, imposibilitatea de a obține consimțământul tuturor persoanelor, refuzul de a-și da consimțământul. De aceea, ai putea considera util să verifici dacă nu cumva poți prelucra datele în baza altui temei. Există o obligație legală? Ai un contract cu persoana? Nu ai nevoie de consimțământ.

Interesul legitim se va folosi cu precauție. El se folosește, de regulă, pentru situații în care nu există nu se poate sau nu se dorește obținerea consimțământului și nu există alt temei (supraveghere CCTV, monitorizare locație gps, recrutare, organizări evenimente etc). Pentru a se putea utiliza interesul legitim, este nevoie ca Organizația să documenteze în scris că interesul ei primează asupra drepturilor și intereselor persoanelor vizate.

 

Consimțământul

Comsimțământul persoanei trebuie să îndeplinească o serie de condiții, printre care să fie cert și informat. Căsuțele pre-bifate, tăcerea sau inacțiunea nu valorează consimțământ. Persoana trebuie să îți dea consimțământul printr-o acțiune reală, precum bifarea unei căsuțe, o semnătură, un DA categoric înregistrat.

Consimțământul trebuie să fie însoțit de o notă de informare prin care persoana să afle pentru ce anume își dă consimțământul.

Va trebui să poți demonstra că ai obținut consimțământul valabil și să îi permiți persoanei să își retragă în orice moment consimțământul și la fel de simplu cum l-a dat, dar nu neapărat prin aceeași acțiune.

Pentru copii sub 16 ani, își vor da părinții consimțământul. Iar în anumite cazuri, precum prelucrarea datelor sensibile sau transferul international de date, consimțământul trebuie să fie explicit: verificare în doi factori, semnătură scrisă, semnătură electronica etc.

 

 

 

Ce drepturi are persoana fizică?

Regulament GDPR introduce un set de drepturi pentru persoana fizică vizată pe care  operatorul trebuie să le respecte și să răspundă în timp util la cererile persoanei, de obicei, în termen de maxim o lună.

 

1 Dreptul la informare persoana trebuie să fie informată, printre altele, cu privire la ce date sunt prelucrate, de ce, în ce scopuri, cui sunt transmise și ce drepturi are

 

2 Dreptul de acces persoana are dreptul să acceseze propriile informații personale prelucrate
 

3

 

 

 

 

Dreptul la rectificare

 

 

 

 

 

persoana are dreptul de a obține rectificarea informațiilor incomplete și inexacte care o privesc
 

4

 

 

 

 

Dreptul la ștergere

 

 

 

 

 

În unele situații, persoana are dreptul de a solicita ștergerea datelor care nu mai sunt necesare

5 Dreptul la restricționarea prelucării  

Restricționarea prelucrării atunci când există temei

 

6  

 

 

Dreptul de a portabilitate

 

 

 

Dreptul persoanei de a solicita portarea datelor de la un operator la altul
 

7

 

Dreptul la obiecție

 

Dreptul persoanei de a se opune prelucrării, atunci când există temei

 

8

 

Dreptul de a nu fi supusă unei decizii automate, inclusiv crearea de profiluri

 

Persoana are dreptul la intervenție umană în cazul deciziilor importante care o privesc

 

9

 

Dreptul de a depune o plângere la Autoritatea de supraveghere

 

Atunci când este nemulțumită de modalitatea în care i se prelucrează datele sau când drepturile nu i-au fost respectate

 

10

 

Dreptul de a se adresa instanței de judecată

 

Pentru a obține daune materiale și/sau morale dacă a rezultat un prejudiciu

 

Responsabilul cu protecția datelor

În funcție de specificul organizației dumneavoastră, sunteți obligat sau nu să desemnați un responsabil cu protecția datelor.

Sunteți obligat să desemnați unul dacă:

  • Sunteți o autoritate sau un organism public;
  • Monitorzați persoanele vizate pe scară largă;
  • Prelucrați volume mari de date speciale.

Responsabilul cu protecția datelor monitorizează respectarea Regulament GDPR de către Organizație și reprezintă principalul punct de contact dintre Organizație, pe o parte și Autoritatea de supraveghere și persoanele vizate, pe de altă parte. El are diverse atribuții și funcții pentru a ajuta Organizația să protejeze datele personale.

 

Evidența activităților de prelucrare

Regulament GDPR obligă operatorii și persoanele împuternicite să țină o evidență a activităților de prelucrare, în următoarele situații:

  • atunci când entitatea are mai mult de 250 angajați;
  • prelucrarea este susceptibilă să genereze un risc pentru drepturile și libertățile persoanei vizate prelucrarea include categorii speciale de date;
  • prelucrarea nu este ocazională.

Având în vedere că, în general, în activitatea unei firme, prelucrarea nu este ocazională, ar trebui ca fiecare organizație să aibă o evidență internă a activităților care să fie revizuită periodic.

Evidența poate fi ținută sub forma unui registru și trebuie să cuprindă:

  • Numele și datele de contact ale operatorului;
  • descrierea activiților de prelucrare;
  • scopurile prelucrării;
  • categoriile de date prelucrate;
  • categoriile de persoane vizate;
  • categoriile de destinatari;
  • transferurile internaționale de date, dacă e cazul;
  • durata de stocare;
  • măsurile tehnice și organizatorice luate.

Acordurile între Operator și Împuternicit

GDPR este foarte clar într-o privință: trebuie să existe acorduri scrise între operatorul de date și persoana împuternicită (furnizorul care are acces la date) și stabilește ce anume trebuie să conțină acest contract. Împuternicitul trebuie să respecte termeni clari în materie de protecție a datelor, iar contractele existente trebuie actualizate cu acorduri de prelucrare. Chiar dacă nu există un contract scris între operator și furnizor, Regulament GDPR cere un contract scris în materie de proitecție a datelor.

 

Autoritățile de supraveghere

Fiecare stat membru UE are o autoritate de supraveghere independentă responsabilă, printre altele, cu monitorizarea respectării legislației în materie de protecție a datelor, efectuarea investigațiilor, aplicarea sancțiunilor și spirijinul persoanelor vizate. În România, funcționează Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal. Conform raportului anual publicat pe site-ul Autorității, în anul 2017 ANSPDCP a dat 217 avertismente și 128 de amenzi.

 

Regulament GDPR. Transferurile internaționale de date

Transferul de date ale cetățenilor europeni către state din afara UE ridică întrebări despre cât de bine pot fi protejate aceste date. RGPD nu interzice în mos expres transferurile internaționale, ci precizează că acestea pot avea loc dacă există garanții corespunzătoare, de exemplu:

  • decizii adecvate, așa cum este cazul Privacy Shield unde sunt incluși marii furnizori de tehnologie (Google, Facebook, Amazon) și a alte companii.
  • Reguli corporatiste obligatorii;
  • Clauze standard

Există și derogări pentru situații specifice, cum ar fi consimțământul explicit al persoanei sau necesitatea executării unui contract.

 

Regulament GDPR. Căi de atac, răspundere și sancțiuni

Și așa ajungem la motivul pentru care implementați normele GDPR: amenzile. RGPD prevede faptul că amenda poate ajunge până la 4% din cifra de afaceri. Legea națională de punere în aplicare a RGPD (Legea nr. 190/2018) confirmă acest lucru.

Atunci când optează între a aplica un avertisment sau o amendă, iar în cazul amenzii, cuantumul acesteia, ANSPDCP ia în calcul mai mulți factori printre care: gradul de conformare, măsurile implementate, gravitatea abaterii, numărul încălcărilor, prejudiciile aduse persoanelor vizate și măsurile întreprinse de operator sau împuternicit pentru prevenirea limitarea prejudiciului.

Persoanele vizate nemulțumite de modul în care o Organizație le prelucrează datele au drepturile de a depune o plângere la Autoritatea de supraveghere și de a se adresa instanțelor de judecată pentru obținerea despăgubirilor.

 

Vrei să implementezi GDPR? Consultă tutorialul nostru de implementare aici sau consultă oferta noastră aici .

 

Articolul este scris de Ruxandra Sava. 

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. 

În iunie 2017, Ruxandra a fondat LegalUp cu scopul de fi principalul punct de informare în domeniul legislației privind protecția datelor cu caracter personal.


Pasionată de domeniu, a publicat în mediul online peste 100 de articole referitoare la GDPR, a implementat GDPR în cadrul a peste 20 de companii  (mici, medii, mari) și a lansat prima carte în domeniul intitulată „GDPR pe înțelesul tău”. 

Ruxandra a lansat în mai 2018, în colaborare cu o altă companie, primul KIT de implementare GDPR, care a fost achizitionat și implementat de numeroase companii, printre care Starbucks, Qfort, Regio Călători SRL, Aqua Carpatica. 4 luni mai târziu, Ruxandra Sava a dus proiectul la următorul nivel, potrivit feedback-ului din partea clienților: a îmbunătățit, a simplificat procedurile și a adăugat altele noi cu ajutor din partea specialiștilor în securitate și a lansat pe propria platformă, LegalUp, KIT GDPR Premium, incluzând și suportul la implementare.

Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.


42797565_2695457437146397_8971170303103205376_n.jpg

Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD) îşi începe activitatea în România.

S-a înfiinţat Asociaţia Specialiştilor în Confidenţialitate şi Protecţia Datelor (ASCPD), creată cu scopul de a informa şi de a reuni profesioniştii care doresc să gestioneze cu succes punerea în aplicare a Regulamentului General privind Protecţia Datelor 2016/679 şi a legislaţiei aferente, funcţionând ca un organism consultativ profesionist pentru persoane şi organizaţii. ASPDC este o organizaţie non-guvernamentală, autonomă, apolitică şi non-profit care ajută la definirea, susţinerea şi îmbunătăţirea profesiei de Responsabil în protecţia datelor şi a altor specialişti în domeniu şi îşi desfăşoară activitatea în conformitate cu prevederile OG nr.26/2000.

Consiliul Director pentru mandatul 2018/2019 este format din:
– Marius Dumitrescu – Preşedinte
– Cristiana Deca – Vicepreşedinte
– Alin Olteanu – Vicepreşedinte
– Cristian Deca – Vicepreşedinte

ASCPD ghidează persoanele responsabile în protecţia datelor şi alţi specialişti în domeniul confidenţialităţii datelor în rezolvarea numeroaselor probleme juridice, tehnice şi organizatorice pentru a obţine un echilibru adecvat între interesele persoanelor vizate, care necesită protecţie, şi cele ale operatorilor.

Obiectivul ASCPD este de a oferi soluţii concrete la problemele cu care se confruntă specialiştii în confidenţialitate şi protecţia datelor, de a creşte gradul de conştientizare a legislaţiei şi de a oferi membrilor săi un forum în care aceste subiecte să poată fi dezbătute, precum şi un loc de pregătire profesională continuă. ASCPD militează pentru îmbunătăţirea gradului de conştientizare cu privire la tehnologiile şi legile care pun în pericol viaţă privată, pentru a se asigura că publicul este informat şi implicat.

“Efortul nostru de a înfiinţa o astfel de asociaţie vine pe fondul unei lipse de educaţii în domeniul protecţiei datelor pentru piaţa românească. Ne propunem, ca un prim pas, să creăm programe de educaţie în domeniul protecţiei datelor pentru noua categorie de specialişti apărută în piaţă, odată cu intrarea în vigoare a Regulamentului. Companiile din România au nevoie de stabilitate organizaţională, iar prin proiectele noastre ne dorim să contribuim pozitiv la această stabilitate, prin specializarea personalului intern implicat în gestionarea programelor de confidenţialitate interne”, a declarat Cristiana Deca – Vicepreşedinte ASCPD.

Orice persoană fizică poate solicita înscrierea în Asociaţie prin completarea unui formular de adeziune (https://bit.ly/2Rf0FgR), iar pentru a fi acceptat, un candidat trebuie să fi absolvit un curs de specialitate în domeniul protecţiei datelor sau să fie angajat într-o organizaţie unde are atribuţii în acest domeniu.

Formularul de adeziune se trimite scanat la adresa secretariat@ascpd.ro împreună cu dovada absolvirii unui curs de specializare în domeniul protecţiei datelor sau o adeverinţă de la locul de muncă privind încadrarea şi atribuţiile în domeniul protecţiei datelor. Taxa de membru pentru trimestrul 4 /2018 este de 100 lei.

Proiectele ASCPD pentru perioada 2018-2019:

1. Organizarea Primei ediţii a Conferinţei Naţionale Protecţia Datelor în Domeniul Sanitar şi continuarea organizării de conferinţe pe domenii tematice ale grupurilor de lucru

2. Încheierea unor parteneriate strategice cu organizaţii reprezentative şi relevante pentru atingerea scopului organizaţiei

3. Reprezentarea şi promovarea asociaţiei la evenimente şi conferinţe de specialitate, organizate în ţară şi în străinătate

4. Iniţierea unei campanii de informare şi educare a persoanelor vizate

5. Înfiinţarea Registrului Naţional al membrilor ASCPD

6. Înfiinţarea comisiilor de specialitate pe domenii tematice

7. Lansarea unui portal destinat persoanelor vizate şi oferirea de consultanţă primară gratuită către acestea prin intermediul membrilor ASCPD

8. Editarea şi lansarea unei reviste lunare cu scopul pregătirii profesionale continue a specialiştilor în confidenţialitate şi protecţia datelor

9. Dezvoltarea reţelei DPO.NET în România şi creşterea numărului de membrii ASCPD

10. Lansarea programului “Privacy Academy” destinat dezvoltării şi susţinerii membrilor asociaţiei ASCPD şi organizarea unor cursuri bianuale pentru toţi membrii organizaţiei

11. Realizarea unui proiect de cercetare “Stadiul implementării GDPR în spitalele din România”

12. Susţinerea şi stimularea schimburilor de experienţă în România şi în străinătate.

 

LegalUp.ro și Ruxandra Sava (CIPP/E) salută înființarea primei Asociații a Specialiștilor în Confidenţialitate şi Protecţia Datelor și îi urează mult succes în anii ce vor urma!


businessman-character-meditating_1012-332.jpg

ANSPDCP a publicat pe 1 octombrie, un proiect de decizie, aflat în prezent în dezbatere publică, privind lista operațiunilor pentru care este necesară realizarea evaluării impactului asupra protecției datelor.

Potrivit proiectului de decizie, evaluarea impactului asupra protecției datelor cu caracter personal de către operatori este necesară în următoarele cazuri:

a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări
sistematice și cuprinzătoare a aspectelor personale referitoare la persoane
fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri,
și care stă la baza unor decizii care produc efecte juridice privind persoana
fizică sau care o afectează în mod similar într-o măsură semnificativă;

b) prelucrarea pe scară largă a datelor cu caracter personal care dezvăluie
originea rasială sau etnică, opiniile politice, confesiunea religioasă sau
convingerile filozofice sau apartenența la sindicate, a datelor genetice, a
datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor
privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane
fizice sau a datelor cu caracter personal referitoare la condamnări penale și
infracțiuni;

c) prelucrarea datelor cu caracter personal având ca scop monitorizarea
sistematică pe scară largă a unei zone accesibile publicului, cum ar fi
supravegherea video în zone publice, precum căi de acces, piețe, parcuri sau
alte asemenea spații;

d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor
vulnerabile, în special ale minorilor, prin mijloace automate de monitorizare
și/sau înregistrare sistematică a comportamentului, inclusiv în vederea
desfășurării activităților de reclamă, marketing și publicitate;

e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea
inovatoare sau implementarea unor soluții tehnologice automate noi, în special
în cazul în care operațiunile respective limitează capacitatea persoanelor vizate
de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere
facială în vederea facilitării accesului în diferite spații;

f) prelucrarea pe scară largă a datelor generate prin intermediul dispozitivelor cu
senzori care transmit date prin Internet sau alte mijloace (aplicații „Internetul
lucrurilor” cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării
inteligente, orașe inteligente sau alte asemenea aplicații) în scopuri precum
evaluarea situației economice, a stării de sănătate, a preferințelor sau
intereselor personale, a solvabilității sau comportamentului, localizarea
geografică a persoanelor vizate;

g) prelucrarea pe scară largă și/sau sistematică a datelor de telefonie, de internet
sau a altor date de comunicare, a metadatelor sau a datelor de localizare sau
urmărire a persoanelor fizice (cum ar fi urmărirea prin Wi-Fi, prelucrarea
datelor de localizare geografică a pasagerilor în transportul public sau alte
asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea
unui serviciu solicitat de persoana vizată.

Propunerile, sugestiile și opiniile persoanelor interesate pot fi transmise în termen de 10 zile calendaristice, calculate de la data publicării anunțului (1.10.2018), la adresa anspdcp@dataprotection.ro.

 

IMPLEMENTEAZĂ GDPR


gdpr-1200x880.png

Mă ocup cu GDPR de aproape doi ani. M-a fascinat, m-a încântat, m-a enervat, m-a fascinat din nou și i-am rămas fidelă. Pentru că am creat, aici pe LegalUp, cel mai mare portal de informații despre GDPR, în perioada martie – mai 2018, primeam în jur de 50 de apeluri pe zi și 30 de mail-uri. Am avut peste 50 de întâlniri.

Cunosc piața consultanței GDPR ca în palmă. S-au supărat pe mine pentru că vând șabloane online. Dar de ce ar începe toți cum am început eu cu o foaie goală și un pix? Cred că scopul nostru, al tuturor, e să protejăm datele și să găsim cele mai bune soluții. Am peste 30 de foldere denumite „KIT” în PC. Crede-mă, nu ai vrea să faci toata munca de acolo. Poate ai vrea să protejezi totuși datele. Șabloanele există acum și pot fi adaptate ușor. Responsabilii nu scriu documentația, sau cel puțin nu ar trebui să o facă.

Recunosc că m-am gândit la varianta să fiu DPO externalizat. După ce am oferit consultanță GDPR în cadrul a aproape 20 de firme, mi-am sfătuit clienții să numească un responsabil intern. Pentru că eu, oricât de mult aș vrea, nu pot fi întotdeauna acolo să realizez când intervine o breșă de securitate, să răspund la o cerere a unei persoane vizate, să fac training-ul constant al angajaților, să atrag atenția angajatului X atunci când face fotografii cu telefonul personal la documente care conțin date personale. Cum aș mai putea să mă perfecționez constant dacă nu aș face altceva zilnic în afară de a explica de 100 de ori aceleași lucruri către X persoane? Și, la câte firme aș putea să fac treaba asta pe lună? Maxim 3. Nu ar renta nici din punct de vedere financiar… Și așa mă întreb: care e calitatea serviciilor oferite de responsabilii externi care au în grijă câteva zeci de firme?

Am făcut ce am considerat de cuviință. Acum sunt consultant al responsabililor interni. La un moment dat se vor descurca singuri. Mă fascinează cum evoluează și cât de multe învață. Unii sunt mai norocoși, au și consultanța inclusă, dar alții își cumpără din banii lor KIT-ul meu. Mă întristează cumva. Le spun că angajatorul ar trebui să le dea resursele, așa cum spune și Regulamentul. Îmi răspund că ei ar trebui să știe ce trebuie să facă. Dar cum așa? A învățat cineva la școală GDPR? Au existat cursuri serioase pe piață? Nici măcar la Facultatea de Drept nu se predă. Noi, care încă suntem aici, am învățat din pasiune. Și dacă nu ești din pasiune și o faci doar pentru bani, măcar nu îți bate joc. 

Unii asta își doresc. Vor să găsească un consultant, să îi dea o sumă, să le facă dosarul și să doarmă liniștiți. Și să îl numească apoi DPO, în speranța că au pasat răspunderea. Ei bine, nu e chiar așa. Documentația dă bine la un control, dar să nu uităm că ea trebuie înțeleasă de companie, nu doar semnată. Iar consultantul nu va fi întotdeauna lângă tine să îți spună că trebuie să îi dai să semneze nota de informare candidatului la interviu sau că trebuie să închei un acord de prelucrare cu noua agenție de marketing. Iar DPO-ul externalizat, ce știe el?

La companiile medii și mari, e mai simplu. Au documentația, cumpărată sau venită din afară, juriștii lor o personalizează, avocatul o verifică, IT-ul o implementează, iar responsabilul trebuie să fie în centrul acțiunii: el nu scrie documentația, dar o înțelege, el nu implementează tehnic, dar verifică să fie în regulă, el verifică toate departamentele și toți angajații respectă GDPR și se asigură că drepturile personelor vizate se respectă.

La companiile mici observ că nu se dorește implementarea. Sau se dorește, dar se crede că dacă au numit un responsabil, au pasat responsabilitatea. Ca să înțelegeți unde bat: asemănați GDPR cu contabilitatea – o contabilitate a datelor. Orice companie are un contabil, dar asta înseamnă că nu mai trebuie emise facturi? Așa e și aici, cu diferența că GDPR are impact asupra tuturor proceselor. Așa cum ai învățat odată să emiți o factură, așa acum va trebui să înveți cum și când să informezi persoana fizică, cum și când să închei un acord de prelucrare, cum să identifici și să răspunzi la o cerere de acces etc. Desigur, poți angaja un DPO intern, dar nu îți vei permite unul care știe ce să facă. Poți apela la un serviciu externalizat de DPO, dar nu va funcționa – el e departe, tu ai nevoie de ajutor acum. Așa că singura soluție care rămâne este să îți faci curaj să înțelegi despre ce e vorba. Nu vei înțelege și nu vei implementa totul din prima. Nu există nicio companie 100% GDPR compliant azi. Mergi la un curs. Citește un ghid.  Ia-ți șabloane de documente și implementează. Ai și suportul meu. Pentru că răspunsurile pe care eu ți le dau le reutilizez. Întrebările pe GDPR se repetă. Tu mă întrebi ceva, eu întocmesc un ghid și îl trimit mai departe. Poate îl public pe blog. Dar scrie-mi, nu mă suna. Am nevoie ca răspunsurile să fie în scris, ca să le reutilizez.

Evident că se poate întâmpla să ai ghinionul să vină ANSPDCP în control. Dar în afară de asta, ar trebui să știi că e și afacerea ta la mijloc. Oamenii își cunosc drepturile (clienții, angajații) și așteaptă ca tu să le respecți. Zilnic, îmi scriu, aici, pe chat, persoane nemulțumite de modul în care organizațiile le prelucrează datele. Iar dacă ești împuternicit (furnizor de servicii), vei vedea cum drumul tău se închide. Îmi amintesc că am negociat cu Carrefour ceva pentru ca un start-up să nu piardă un contract. Au cerut de toate (politică de securitate, acces, ștergere, registru). Atunci mi-am luat inima în dinți și am scris eu, cu ajutor de la niște băieți în IT, și politicile tehnice. Și în cele din urmă a fost bine. Nu s-a pierdut contractul. Le-am inclus ulterior în KIT. Și așa, mediul de afaceri se divide în două: cei care respectă GDPR și cei care nu respectă GDPR. Și cei din prima categorie nu vor să lucreze cu restul. Azi economia funcționează pe schimb de date și schimbul de date nu mai e posibil între cele două categorii. Pe termen mediu, firmele care nu își implementează GDPR vor dispărea de pe piață pentru că nu vor mai avea cu cine să lucreze. Și așa am insistat la un fenomen interesant. Companii române au renunțat să lucreze cu furnizori IT români și au migrat către Cloud. Au apelat la Google, Microsoft etc. Și e foarte simplu să îți dai seama dacă firma X a implementat GDPR. Verifici site-ul. Acolo trebuie să existe documentația legală pusă la punct și nu copy-paste. Știți cât îmi ia să îmi dau seama dacă o firmă a implementat GDPR? 3 click-uri și maxim un minut. Urmează apoi chestionarea și verificarea documentației. Și abia după aceea se poate încheia contractul. Astea fiind spuse, cum ai putea crede că poți pasa responsabilitatea total fără ca tu să nu vrei să știi nimic? Cum poți crede că un serviciu DPO externalizat poate funcționa în România?

Ce am scris mai sus e perspectiva antreprenorială. 

Msi există și o perspectivă a riscurilor. Întotdeauna trebuie să știi care date trebuie protejate mai bine. Unele sunt sensibile (știu că termenul e inactual, dar îl folosesc pentru că îmi place), altele nu. Cine stabilește riscurile? La mine e simplu, fiind empatică, le simt. Și aici întotdeauna e vorba de potențialul prejudiciu adus unei persoane fizice dacă datele ar fi dezvăluite. Utilizez și eu scheme și grafice, dar pentru a mă verifica. Și întotdeauna e același rezultat.

Mai există și o perspectivă a viitorului. Privacy by design. Noile tehnologii care azi se construiesc – IoT, AI. Dacă legea iartă actualele sisteme pentru că nu prea avem ce să le facem, ce urmează trebuie să se conformeze. Mai ales că intruziunea noilor tehnologii în viața privată este din ce în ce mai mare. Și tehnologia nu face diferențe între adulți și copii. Datele noastre, combustibilului lor. Iar aici nu doar adultul, ci și copilul trebuie să știe și să înțeleagă pe ce anume dă click. Iar dacă ție nu îți pasă, fii sigur că părintelui care simte că a pierdut controlul când copilului lui de 9 ani stă tot timpul cu ochii în tabletă îi pasă.

GDPR… Ei bine, vom auzi multă vreme de acum încolo de el. Ai crezut că ai închis dosarul? Încă nu. Te afectează zi de zi, în activitatea ta. Până acum a fost etapa de conștientizare. Piața consultanței se cerne… Dacă ai crezut că poți pasa responsabilitatea, te-ai înșelat.

Despre responsbailii cu protecția datelor externalizați am zis suficient. Vrei să faci business în 2018? Ar trebui să îți pese de domeniu. Și nu prin numirea unui DPO externalizat, care mai are încă zeci de firme ca a ta, ca să renteze la final de lună. Câtă informație să încapă într-un singur om? Aș fi putut și eu să o fac, dar am ales să fiu corectă. Am depus două jurăminte: unul la Barou în 2014 și altul la IAPP în 2018. De asta prefer să fiu aici pentru a oferi șabloane, a da consultanță și a mentora noua generație de DPO interni și nu pentru a deveni complice la o minciună împachetată frumos: responsabilul cu protecția datelor externalizat.

 

Poate cândva va fi posibil și acest serviciu. Dar e nevoie de multă carte, educație și etică profesională.

 

Ruxandra Sava

Avocat

CIPP/E