Aici descoperim
dreptul tehnologiei

brass-scales-justice-close-up-view_124595-251.jpg

Prin sentința civilă nr. 13391/2019 Judecătoria Iași a obligat Municipiul Iași să acorde daune morale de 15.000 de lei unei persoane fizice pentru  acoperirea prejudiciului suferit ca urmare a publicării numelui acestuia pe lista debitorilor.

Domnul avocat Dragoș Rotaru, avocatul care a instrumentat cazul a precizat suplimentar pentru LegalUp.ro faptul că „Nelegalitatea a izvorat din faptul incalcarii dispozitiilor imperative ale Codului de procedura fiscala in sine, adica a nerespectarii realitatii de fapt si de drept, a prezentarii unei situatii de fapt inconforme cu realitatea. Nerespectarea dispozitiilor imperative ale Codului de procedura fiscala, privitoare strict la publicarea listei debitorilor, a condus la nerespectarea principiului legalitatii inscris in Regulament, potrivit caruia prelucrarea datelor cu caracter personal trebuie sa fie legala. desigur ca si alte principii au fost nerespectate. Le-am aratat in toate apararile mele. De asemenea, dupa modificarea C.pr.fisc., in sensul ca nu mai exista de la inceputul anului 2019 obligatia publicarii listelor de debitori cu persoane fizice, insasi publicarea numelui unei persoane fizice apare nelegala.”

Extras din sentință:

…Din materialul probator administrat în cauză instanţa apreciază că în cauză sunt îndeplinite condiţiile răspunderii civile delictuale. Astfel, fapta ilicită reţinută în sarcina pârâtului vizează încălcarea de către acesta a dispoziţiilor legale privind procedura publicării, respectiv dispoziţiile alin. (4) potrivit cărora, în termen de 15 zile de la achitarea integrală a obligaţiilor fiscale datorate, organul fiscal competent operează modificările pentru fiecare debitor care şi-a achitat aceste obligaţii şi cele ale alin. (5), potrivit cărora prevederile prezentului articol se aplică şi pentru obligaţiile fiscale stabilite prin titluri de creanţă împotriva cărora contribuabilul a exercitat căile de atac prevăzute de lege, până la soluţionarea căilor de atac, caz în care organul fiscal face menţiuni cu privire la această situaţie. Or, nerespectarea procedurii de publicare a listei respective a determinat implicit nesocotirea dispoziţiilor legislaţiei în materia protecţiei datelor cu caracter personal ce permitea operatorului, în anumite condiţii, prelucrarea acestor date.

Faţă de aceste considerente, în cazul de faţă, rezultă în mod evident din cuprinsul tuturor înscrisurilor depuse la dosar, dar şi din recunoaşterile parţiale ale pârâtului, că reclamantul a continuat să figureze în lista debitorilor, după achitarea debitului şi chiar după ce titlul de creanţă în baza căruia fusese înregistrat acest debit a fost anulat. De asemenea, instanţa reţine că nu a fost consemnată la niciun moment contestarea de către reclamant a debitului înregistrat pe această listă, deşi exista rubrică specială în acest sens, iar organului fiscal îi revenea obligaţia de a efectua aceste menţiuni.

(…)

 

KIT GDPR Premium

 

Din materialul probator administrat în cauză instanţa apreciază că în cauză sunt îndeplinite condiţiile răspunderii civile delictuale.

Astfel, fapta ilicită reţinută în sarcina pârâtului vizează încălcarea de către acesta a dispoziţiilor legale privind procedura publicării, respectiv dispoziţiile alin. (4) potrivit cărora, în termen de 15 zile de la achitarea integrală a obligaţiilor fiscale datorate, organul fiscal
competent operează modificările pentru fiecare debitor care şi-a achitat aceste obligaţii şi cele ale alin. (5), potrivit cărora prevederile prezentului articol se aplică şi pentru obligaţiile fiscale stabilite prin titluri de creanţă împotriva cărora contribuabilul a exercitat căile de atac prevăzute de lege, până la soluţionarea căilor de atac, caz în care organul fiscal face menţiuni cu privire la această situaţie. Or, nerespectarea procedurii de publicare a listei respective a determinat implicit nesocotirea dispoziţiilor legislaţiei în materia protecţiei datelor cu caracter personal ce permitea operatorului, în anumite condiţii, prelucrarea acestor date.

Faţă de aceste considerente, în cazul de faţă, rezultă în mod evident din cuprinsul tuturor înscrisurilor depuse la dosar, dar şi din recunoaşterile parţiale ale pârâtului, că reclamantul a continuat să figureze în lista debitorilor, după achitarea debitului şi chiar după ce titlul de creanţă în baza căruia fusese înregistrat acest debit a fost anulat. De asemenea, instanţa reţine că nu a fost consemnată la niciun moment contestarea de către reclamant a debitului înregistrat pe această listă, deşi exista rubrică specială în acest sens, iar organului fiscal îi revenea obligaţia de a efectua aceste menţiuni.

Mai mult, instanţa reţine că lista în discuţie a continuat a fi postată chiar şi după momentul înregistrării prezentei cereri de chemare în judecată, în contextul unor notificări succesive ale reclamantului în sensul eliminării postării respective.

Cu toate acestea, instanţa apreciază că demnitatea reprezintă un sentiment cu conţinut complex şi înglobează atât o latură socială (în legătură cu modul în care persoana este percepută de către ceilalţi), cât şi o latură individuală, determinată de percepţia pe care fiecare
persoană o are despre demnitatea sa.

În ceea ce priveşte prejudiciul nepatrimonial, instanţa reţine că în stabilirea existenței prejudiciului moral – definit în doctrina și în jurisprudență ca orice atingere adusă uneia dintre prerogativele care constituie atributul personalității umane și care se manifestă prin suferința fizică sau morală, pe care le resimte victimă – trebuie luat în calcul caracterul și importanţa valorilor nepatrimoniale, cărora le-a fost cauzat prejudiciul, situația personală a victimei, ținând cont de mediul social din care victimă face parte, educația, cultură, standardul de moralitate, personalitatea și psihologia victimei, circumstanțele săvârșirii faptei, statutul social, etc. Fiind vorba de lezarea unor valori fără conținut economic și de protejarea unor drepturi care intră, că element al vieții private, în sferă art. 8 din Convenția pentru Apărarea Drepturilor Omului, dar și de valori aparate de Constituție și de legile naționale, existența prejudiciului este circumscrisă condiției aprecierii rezonabile, pe o bază echitabilă corespunzătoare a prejudiciului real și efectiv produs victimei. Instanţa consideră că nicio persoană ale cărei valori fundamentale au fost lezate în asemenea context, nu ar putea trece cu ușurință peste o asemenea situație, fără a suferi pe plan psihic.

În acelaşi context, unul dintre drepturile personalității, calificate de doctrină ca „drepturi primordiale ale ființei umane”, care își găsește reglementarea în cuprinsul Codului civil, în conținutul capitolului consacrat Respectului datorat ființei umane și drepturilor ei inerente, este și dreptul la reputație, ca element component al dreptului la demnitate, alături de dreptul la onoare.

În ceea ce privește proba prejudiciului moral, proba faptei ilicite este suficientă, urmând că prejudiciul și raportul de cauzalitate să fie prezumate, instanțele urmând să deducă producerea prejudiciului moral din simplă existența a faptei ilicite de natură să producă un asemenea prejudiciu și a împrejurărilor în care a fost săvârșită, soluția fiind determinată de caracterul subiectiv, intern al prejudiciului moral, proba sa directă fiind practic imposibilă. În acest sens, instanţa constată că publicarea pe internet a propriului nume pe o listă a datornicilor, în condiţiile în care debitul fusese achitat sau titlul ce a stat la baza acestei înscrieri a fost anulat în mod definitiv de instanţă, este de natură să cauzeze suferinţe de natură psihică/morală unei persoane care, potrivit declaraţiei martorului audiat în cauză, este
o persoană publică, cu o anumita notorietate si un anumit prestigiu pe plan local

Aplicând acest dispoziţii legale şi consideraţii cu caracter general în cauza de faţă, instanţa reţine că, în ceea ce priveşte cererea de chemare în judecată, având în vedere faptele ilicite invocate, rezultă fără echivoc că a fost produs un prejudiciu reclamantului, prejudiciu constând nu numai în ruşinea publică şi lezarea demnităţii şi a reputaţiei pentru o perioadă de aproape 2 ani, dar şi în încercările repetate ale acestuia de a i se face dreptate, perseverenţa în apărarea propriei imagini şi pentru încetarea acţiunii ilicite.

Analiza suferinţei suferite de reclamant se face prin raportare la starea afectivă a acestuia, la profesia exercitată, la faptul că lista respectivă a fost accesibilă oricărei persoane o perioadă îndelungată de timp, prin acţiunea unei autorităţi publice, reclamantul fiind pus într-o poziţie
de inferioritate şi în situaţia de a-şi apăra propria imagine. De asemenea instanţa apreciază că demersurile, administrative şi judiciare, întreprinse de reclamant şi fără niciun rezultat pe o perioadă de aproximativ doi ani au fost de natură a accentua prejudiciul moral suferit de către acesta.

Cu privire la daunele morale solicitate, instanţa reţine că acoperirea prejudiciului moral trebuie să presupună o justă evaluare a compensaţiei sau satisfacţiei acordate persoanei vătămate, nefiind în măsură a compensa în întregime pierderea suferită, de altfel nici nu ar fi posibil a se stabili cu certitudine ce sumă ar putea acoperi în întregime o asemenea suferinţă, dar este în măsură a atenua urmările faptei. Instanţa va avea în vedere aşadar criteriul general reținut de CEDO, respectiv cel al gradului de lezare a valorilor sociale ocrotite, intensitatea si gravitatea atingerii adusa acestora, despăgubirile trebuind sa prezinte un raport rezonabil de proporționalitate cu atingerea adusa (cauza Tolstoy Miloslavsky).

Faţă de aceste considerente, constatând îndeplinite condiţiile răspunderii civile delictuale, instanţa urmează a admite în parte cererea şi a dispune obligarea pârâtului la plata sumei de 15000 de lei cu titlu de daune morale. ”

 

Sentința nu este definitivă deoarece a fost atacată cu apel de Municipiul Iași.

 

Te-ar putea interesa și:

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



mobile-payment-man-clicks-with-finger-screen-tablet-hombre-hace-clic-con-el-dedo_79451-318.jpg

,,Nu este un patrimoniu al nostru silinţa stăruitoare de a preface această lume rea într-o lume mai bună, căutând, din propriu îndemn, cu bunăvoinţă şi stăpânire de sine, a netezi calea vecinului, înlăturându-i piedicile şi abuzurile care îi îngreunează viaţa, făcându-i-o mai plăcută” – Policarp Moruşca.

La nivel intern, patrimoniul cuprinde toate drepturile și datoriile, ce pot fi evaluate în bani, ale unei persoane.

La nivel internațional, patrimoniul implică două înțelesuri sau accepțiuni:

  • Patrimoniul sau proprietatea = totalitatea tuturor drepturilor personale și reale, inclusiv bunurile mobile și imobile, aparținând unei persoane reale sau unei persoane juridice;
  • Patrimoniul sau moștenirea = un drept sau o moștenire fie de la tată, fie de la altă persoană.

Aspecte legale și practice privind patrimoniul

Patrimoniul a fost definit ca ,,ansamblul drepturilor şi obligaţiilor unei persoane fizice sau juridice, ce pot fi evaluate în bani. Patrimoniul este o universalitate juridică, cuprinzând într-o unitate totalitatea drepturilor (activul) şi obligaţiilor (pasivul)”.

Codul civil reglementează patrimoniul în cadrul art. 31 alin. (1)-(3), stabilind următoarele reguli:

  • Orice persoană fizică sau persoană juridică este titulară a unui patrimoniu care include toate drepturile şi datoriile ce pot fi evaluate în bani şi aparţin acesteia;
  • Patrimoniul poate face obiectul unei diviziuni sau unei afectaţiuni numai în cazurile şi condiţiile prevăzute de lege;
  • Patrimoniile de afectaţiune sunt masele patrimoniale fiduciare, cele afectate exercitării unei profesii autorizate, precum şi alte patrimonii determinate potrivit.

Privitor la transferurile între patrimonii, art. 32 din Codul civil instituie regula conform căreia, în caz de diviziune sau afectaţiune, transferul drepturilor şi obligaţiilor dintr-o masă patrimonială în alta, în cadrul aceluiaşi patrimoniu, se face cu respectarea condiţiilor prevăzute de lege şi fără a prejudicia drepturile creditorilor asupra fiecărei mase patrimoniale. Transferul de drepturi și obligații dintr-o masă patrimonială în alta nu reprezintă o înstrăinare.

KIT GDPR Premium

 

Ce este patrimoniul profesional individual?

În temeiul art. 33 C. civ., o persoană poate avea patrimoniu profesional individual, iar constituirea masei patrimoniale afectate exercitării în mod individual a unei profesii autorizate se stabileşte prin actul încheiat de titular, cu respectarea condiţiilor de formă şi de publicitate prevăzute de lege. Aceste prevederi se vor aplica și în cazul măririi sau micșorării patrimoniului profesional individual. Lichidarea patrimoniului individual va respecta prevederile art. 1.941-1.948 C. civ.

Particularități ale patrimoniului reflectate prin intermediul dispozițiilor legii civile

Particularitățile privind patrimoniul se reflectă în temeiul dispozițiilor Codului civil astfel:

  • 122 alin. (2) privind caracterul personal al tutelei: Instanţa de tutelă, cu avizul consiliului de familie, poate, ţinând seama de mărimea şi compunerea patrimoniului minorului, să decidă ca administrarea patrimoniului ori doar a unei părţi a acestuia să fie încredinţată, potrivit legii, unei persoane fizice sau persoane juridice specializate;
  • 187 privind elementele constitutive ale persoanei juridice: Orice persoană juridică trebuie să aibă o organizare de sine stătătoare şi un patrimoniu propriu, afectat realizării unui anumit scop licit şi moral, în acord cu interesul general;
  • 196 alin. (1) lit. g) privind cauzele de nulitate ale persoanei juridice: Nulitatea unei persoane juridice poate fi constatată sau, după caz, declarată de instanţa judecătorească numai atunci când: s-au încălcat dispoziţiile legale privind patrimoniul iniţial sau capitalul social minim, subscris şi vărsat;

 

Te-ar putea interesa și:

 

  • 214 alin. (1) și alin. (2) privind separarea patrimoniilor persoanei juridice: Membrii organelor de administrare au obligaţia să asigure şi să menţină separaţia dintre patrimoniul persoanei juridice şi propriul lor patrimoniu. Ei nu pot folosi în profitul ori în interesul lor sau al unor terţi, după caz, bunurile persoanei juridice ori informaţiile pe care le obţin în virtutea funcţiei lor, afară de cazul în care ar fi autorizaţi în acest scop de către cei care i-au numit;
  • 222 privind independența patrimonială a persoanei juridice: Persoana juridică având în subordine o altă persoană juridică nu răspunde pentru neexecutarea obligaţiilor acesteia din urmă şi nici persoana juridică subordonată nu răspunde pentru persoana juridică faţă de care este subordonată, dacă prin lege nu se dispune altfel;
  • 235 alin. (1) și alin. (2) privind efectele fuziunii persoanei juridice: În cazul absorbţiei, drepturile şi obligaţiile persoanei juridice absorbite se transferă în patrimoniul persoanei juridice care o absoarbe. În cazul contopirii persoanelor juridice, drepturile şi obligaţiile acestora se transferă în patrimoniul persoanei juridice nou-înfiinţate;
  • 237 alin. (1) și alin. (2) privind efectele divizării persoanei juridice: Patrimoniul persoanei juridice care a încetat de a avea fiinţă prin divizare se împarte în mod egal între persoanele juridice dobânditoare, dacă prin actul ce a dispus divizarea nu s-a stabilit o altă proporţie. În cazul divizării parţiale, când o parte din patrimoniul unei persoane juridice se desprinde şi se transmite unei singure persoane juridice deja existente sau care se înfiinţează în acest mod, reducerea patrimoniului persoanei juridice divizate este proporţională cu partea transmisă;
  • 500 privind independența patrimonială: Părintele nu are niciun drept asupra bunurilor copilului şi nici copilul asupra bunurilor părintelui, în afară de dreptul la moştenire şi la întreţinere;
  • 800 privind atribuțiile administratorului: Persoana împuternicită cu administrarea deplină este ţinută să conserve şi să exploateze în mod profitabil bunurile, să sporească patrimoniul sau să realizeze afectaţiunea masei patrimoniale, în măsura în care aceasta este în interesul beneficiarului;
  • 821 privind bunurile de uz personal: În măsura în care patrimoniul administrat cuprinde bunuri de uz personal ale titularului sau, după caz, ale defunctului, în inventar se face o menţiune de ordin general cu privire la acestea, descriindu-se doar obiectele de îmbrăcăminte, înscrisurile personale, bijuteriile sau obiectele de uz curent a căror valoare individuală depăşeşte echivalentul în lei al sumei de 100 euro;
  • 953 privind moștenirea: Moştenirea este transmiterea patrimoniului unei persoane fizice decedate către una sau mai multe persoane în fiinţă;
  • 955 alin. (1) și alin. (2) privind felurile moștenirii: Patrimoniul defunctului se transmite prin moştenire legală, în măsura în care cel care lasă moştenirea nu a dispus altfel prin testament. O parte din patrimoniul defunctului se poate transmite prin moştenire testamentară, iar cealaltă parte prin moştenire legală;
  • 986 privind legatul: Legatul este dispoziţia testamentară prin care testatorul stipulează ca, la decesul său, unul sau mai mulţi legatari să dobândească întregul său patrimoniu, o fracţiune din acesta sau anumite bunuri determinate.

Particularitățile privind patrimoniul sunt precizate cu titlu limitativ, conform dispozițiilor Codului civil.

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



Pastila-de-GDPR.png

Pe scurt

  • Trebuie să identificați motive întemeiate conform RGPD (cunoscute sub denumirea de „temei juridic”) pentru colectarea și utilizarea datelor cu caracter personal.
  • Trebuie să vă asigurați că nu utilizați datele în nicio altă situație care ar încălca orice alte legi.
  • Trebuie să utilizați datele cu caracter personal într-un mod echitabil. Acest lucru înseamnă că nu trebuie să prelucrați datele într-un mod care este pe nedrept prejudiciabil, neașteptat sau înșelător față de persoanele vizate.
  • Trebuie să fiți de la început clari, deschiși și sinceri cu persoanele vizate în ceea ce privește modul în care veți utiliza datele lor cu caracter personal.

Liste de verificare

Legalitate

  • Am identificat un temei juridic adecvat (sau temeiuri) pentru prelucrarea noastră.
  • Dacă prelucrăm date aparținând unei categorii speciale sau date privind condamnări penale, am identificat o condiție pentru prelucrarea acestui tip de date.
  • Nu întreprindem, în general, nicio acțiune nelegală cu datele cu caracter personal.

Echitate

  • Am evaluat modul în care prelucrarea ar putea afecta persoanele vizate și putem justifica orice impact negativ.
  • Tratăm datele persoanelor doar în moduri la care acestea s-ar aștepta în mod rezonabil sau putem explica de ce orice prelucrare neașteptată este justificată.
  • Nu înșelăm sau inducem în eroare persoanele atunci când le colectăm datele cu caracter personal.

Transparență

  • Suntem deschiși și sinceri și respectăm obligațiile de transparență aferente dreptului de a fi informat.

 

Ce înseamnă principiul legalității, echității și transparenței?

Articolul 5 alineatul (1) din RGPD statuează că:

“1. Datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”)”.

KIT GDPR Premium

 

Articolele 6-10 conțin dispoziții mai detaliate referitoare la legalitate și la „temeiul juridic pentru prelucrare”.

Articolele 13 și 14 descriu în detaliu obligațiile de transparență ca parte din „dreptul de a fi informat”.

Cele trei elemente reprezentate de legalitate, echitate și transparență se suprapun, dar trebuie să vă asigurați că le respectați pe toate trei. Nu este suficient să demonstrați că prelucrarea dumneavoastră este legală dacă este fundamental inechitabilă sau ascunsă față de persoanele vizate.

Ce este legalitatea?

Pentru ca prelucrarea datelor cu caracter personal să fie legală, trebuie să identificați motive specifice pentru prelucrare.  Acestea poartă denumirea de „temei juridic” pentru prelucrare și există șase opțiuni care depind de scopul dumneavoastră și de relația pe care o aveți cu persoana vizată. De asemenea, există condiții suplimentare specifice pentru prelucrarea unor tipuri de date deosebit de sensibile. Dacă nu se aplică niciun temei juridic, atunci prelucrarea dumneavoastră este ilegală și încalcă acest principiu.

De asemenea, într-un sens mai general, legalitatea înseamnă că nu efectuați nicio prelucrare ilegală a datelor cu caracter personal. Legalitatea presupune obligații legale și obligații prevăzute de common law, fie că sunt de natură penală sau civilă. Dacă prelucrarea implică săvârșirea unei infracțiuni, aceasta este, în mod evident, ilegală. Cu toate acestea, prelucrarea poate fi, de asemenea, ilegală dacă are drept rezultat:

  • o încălcare a unor obligații legale;
  • organizația dumneavoastră își depășește atribuțiile legale sau exercită aceste atribuții în mod necorespunzător; o încălcare a dreptului de autor;
  • o încălcare a unui acord de natură contractuală care constituie titlu executoriu;
  • o încălcare a legislației;
  • sau o încălcare a drepturilor omului.

Acestea sunt doar exemple, lista nefiind exhaustivă. Cu privire la alte cerințe legale relevante, ar putea fi nevoie să apelați la consultanță juridică.

Dacă ați prelucrat date cu caracter personal în mod ilegal, RGPD conferă persoanelor fizice dreptul de a șterge datele respective sau de a restricționa prelucrarea acelor date de către dumneavoastră.

Ce este echitatea?

Prelucrarea datelor cu caracter personal trebuie să fie întotdeauna echitabilă și legală. Dacă orice aspect al prelucrării dumneavoastră este inechitabil, veți încălca acest principiu, chiar dacă puteți demonstra că aveți un temei juridic pentru prelucrare.

În general, echitatea presupune faptul că dumneavoastră ar trebui să manipulați date cu caracter personal doar în moduri la care persoanele vizate s-ar aștepta în mod rezonabil și nu ar trebui să le utilizați în moduri care au efecte negative nejustificate asupra acestora. Trebuie să reflectați nu doar asupra modului în care puteți să utilizați datele cu caracter personal, dar și dacă ar trebui să le utilizați.

Evaluarea caracterului echitabil al prelucrării dumneavoastră depinde parțial de modul în care obțineți informațiile. În special, dacă o persoană este înșelată sau indusă în eroare atunci când se obțin datele cu caracter personal, atunci este probabil ca această prelucrare să nu fie echitabilă.

Pentru a evalua dacă prelucrați date cu caracter personal în mod echitabil, trebuie să realizați o analiză mai generală a modului în care prelucrarea afectează interesele persoanelor vizate, la nivel colectiv și individual. Există încălcarea acestui principiu și în cazul în care ați obținut și ați utilizat informații în mod echitabil în legătură cu majoritatea persoanelor la care se referă acestea, dar în mod inechitabil în legătură cu o singură persoană.

Datele cu caracter personal pot fi folosite uneori într-un mod care afectează negativ o persoană fără să fie neapărat inechitabil. Ceea ce contează este dacă acest prejudiciu este sau nu justificat.

De asemenea, ar trebui să vă asigurați că aveți un comportament echitabil față de persoanele care doresc să-și exercite drepturile asupra datelor lor. Aceasta face parte din obligația dumneavoastră de a facilita exercitarea drepturilor persoanelor. Pentru mai multe informații, citiți orientările noastre privind drepturile.

 

Ce este transparența?

Transparența este fundamental legată de echitate. Prelucrarea transparentă înseamnă claritate, deschidere și sinceritate față de  persoanele vizate de la început cu privire la identitatea dumneavoastră și la modul și scopul în care le utilizați datele cu caracter personal.

Transparența este întotdeauna importantă, dar în special în situațiile în care persoanele au de ales dacă doresc să intre sau nu într-o relație cu dumneavoastră. Dacă persoanele cunosc de la început scopurile în care le veți utiliza informațiile, acestea vor putea să ia o decizie informată cu privire la stabilirea unei relații sau la o eventuală tentativă de renegociere a termenilor acestei relații.

Transparența este importantă chiar și atunci când nu aveți o relație directă cu persoana respectivă și colectați datele sale cu caracter personal dintr-o altă sursă. În unele cazuri, aceasta poate să fie chiar mai importantă deoarece este posibil ca persoanele în cauză să nu știe că dumneavoastră le colectați și le utilizați datele lor cu caracter personal și acest lucru le afectează posibilitatea lor de a-și exercita drepturilor asupra acestor date. Această situație este denumită uneori „prelucrare invizibilă”.

Trebuie să vă asigurați că informați persoanele cu privire la prelucrare într-un mod care este ușor accesibil și ușor de înțeles. Trebuie să utilizați un limbaj clar și simplu.

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



true-proportions-european-union-flag-with-texture_88653-389.jpg





Pe scurt 

RGPD stabilește șapte principii-cheie:

Aceste principii ar trebui să se afle în centrul abordării dumneavoastră privind prelucrarea datelor cu caracter personal. Ține minte aceste principii, înțelege ce sunt acestea și nu sunt șanse mici să încalci GDPR.

Care sunt cele șapte principii? 

Articolul 5 din RGPD stabilește șapte principii-cheie care se află în centrul regimului general de protecție a datelor.

Articolul 5 alineatul (1) prevede că datele cu caracter personal sunt:

„(a) prelucrate în mod legal, echitabil și transparent față de persoanele vizate („legalitate, echitate și transparență”);

(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale („limitări legate de scop”)

(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”);

(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere („exactitate”);

(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”);

(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare („integritate și confidențialitate”).”

 

KIT GDPR Premium

 

Articolul 5 alineatul (2) adaugă faptul că:

„Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare („responsabilitate”).”

În articolele viitoare vom analiza fiecare principiu în parte.

 

De ce sunt importante principiile?

Principiile se află în centrul RGPD. Acestea sunt stabilite chiar la începutul actului legislativ și se află la baza tuturor dispozițiilor care urmează. Principiile nu stabilesc reglementări riguroase, ci mai degrabă înglobează spiritul regimului general de protecție a datelor, și, din acest motiv, sunt foarte puține excepții.

Respectarea spiritului acestor principii-cheie este, așadar, un element constitutiv al bunelor practici în materie de protecție a datelor. De asemenea, aceasta este esențială pentru respectarea dispozițiilor detaliate din RGPD.

Nerespectarea acestor principii poate să vă expună unor amenzi substanțiale. Articolul 83 alineatul (5) litera (a) prevede că încălcarea principiilor de bază pentru prelucrarea datelor cu caracter personal face obiectul nivelului celui mai ridicat de amenzi administrative. Acest lucru poate să însemne o amendă de până la 20 000 000 EUR sau de până la 4 % din cifra de afaceri mondială totală anuală, luându-se în considerare nivelul cel mai ridicat.

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



GDPR-2018.jpg





Autoritatea Națională de Supraveghere a finalizat în data de 10.04.2020 o investigație la operatorul Estee Lauder Romania SRL și a constatat că acesta a încălcat prevederile art. 6, art. 7 și art. 9 din Regulamentul General privind Protecția Datelor.

Operatorul Estee Lauder Romania SRL a fost sancționat contravențional cu amendă în cuantum de 14483,4 lei, echivalentul a 3.000 EURO.

Sancțiunea a fost aplicată operatorului ca urmare a unei plângeri prin care s-a reclamat prelucrări ilegale de date prin dezvăluirea și, respectiv, colectare de date personale (numele, prenumele, numărul de telefon, data nașterii și informații privind starea de sănătate), fără consimțământ sau alt temei legal.

Totodată, operatorului i s-a aplicat și măsura corectivă de a asigura conformitatea cu Regulamentul General privind Protecția Datelor a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin instruirea regulată a personalului propriu cu privire la importanța respectării regulilor de prelucrare a datelor personale ale angajaților săi, în fiecare situație de prelucrare a datelor personale, pentru a se evita dezvăluirea ilegală a acestora, raportat la art. 58 alin. (2) lit. d) din RGPD).

KIT GDPR Premium

 

Autoritatea Națională de Supraveghere a finalizat în data de 23.04.2020 o investigație la operatorul Telekom Romania Communications SA și a constatat încălcarea dispozițiilor art. 32 din Regulamentul General privind Protecția Datelor.

Operatorul Telekom Romania Communications SA a fost sancționat contravențional cu amendă în cuantum de 14524.2 lei, echivalentul a 3.000 EURO.

Investigația a fost demarată în urma primirii unor plângeri prin care petentul a reclamat utilizarea frauduloasă a datelor sale personale la încheierea unor contracte pe numele său de către Telekom Romania Communications SA.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a implementat suficiente măsuri de securitate care să includă verificarea exactității datelor personale colectate telefonic (la distanță) în scopul încheierii contractelor.

Acest fapt a condus la o prelucrare ilegală a datelor petentului prin încheierea unor contracte de abonament pe numele său, folosind datele personale din contractul preexistent, fără verificarea corectitudinii acestora, contrar obligațiilor prevăzute de art. 32 din RGPD. În acest sens, art. 32 prevede, printre altele, la alin. (1) lit. b) și obligația operatorului de a implementa măsuri tehnice şi organizatorice adecvate, incluzând capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare.

De asemenea, operatorului i s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale, prin implementarea unor proceduri eficiente de identificare a persoanelor, care să prevină prelucrarea ilegală a datelor personale și dezvăluirea lor neautorizată, atât de către angajații/colaboratorii Telekom Romania Communications SA, cât și de către persoanele împuternicite și angajații/colaboratorii acestora,  precum și instruirea regulată a acestora și verificarea periodică a respectării instrucțiunilor date, raportat la art. 58 alin. (2) lit. d) din RGPD.

 

Te-ar putea interesa și:

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



Copy-of-Ghidul-Angajatului-Protecția-datelor.png





Știai că majoritatea incidentelor de securitate în cadrul unei companii pornesc de la fapta angajatului care este neatent sau nu are suficiente informații ca să știe cum să protejeze datele personale?

Majoritatea Organizațiilor amendate în temeiul GDPR au fost amendate pentru faptele angajaților.

Ca să ajut, am întocmit un scurt ghid într-un limbaj pe înțelesul oricărui angajat ca să știe ce are de făcut pentru a proteja datele cu caracter personal.

Ghidul poate fi descărcat de aici. 

Se poate citi și înțelege în maxim 15 minute și îl poți distribui tuturor angajaților pentru a evita breșele de securitate și amenzile GDPR!

 

KIT GDPR Premium

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



portrait-surprised-happy-woman-holding-shopping-bags_171337-6047.jpg

Poți fideliza clienții utilizând resurse la îndemână de pe internet și respectând GDPR? Bineînțeles. A convinge o persoană să cumpere o singură dată de la tine, poate fi ușor. Însă pentru a o fideliza ai nevoie de strategii și de o utilizare corectă a datelor clientului. Acest articol se va focusa spre a-ți transmite câteva strategii la îndemână pe care le poți utiliza pentru a fideliza clienții și îți va spune și ce ai de făcut pentru a respecta GDPR și a folosi acest Regulament European în favoarea ta.

Și totuși… Ce e GDPR?

GDPR este un Regulament European care introduce standarde privind prelucrarea datelor cu caracter personal ale persoanelor fizice. În contextul articolului, vorbim despre clienții tăi. GDPR îți spune cum pot fi prelucrate (colectate, stocate, utilizate etc) datele clienților (nume, prenume, e-mail, telefon, adresă etc) astfel încât să nu li se încalce viața privată. Pentru neconformare, afacerile pot fi amendate cu amenzi până la 4% din cifra de afaceri, însă foarte multe companii utilizează principiile GDPR pentru a crește afacerile așa cum îți voi explica în următoarele articole.

Ce legătură are GDPR cu fidelizarea clienților?

Înainte de a discuta despre soluțiile pe care le poți utiliza pentru a fideliza clienții, aș vrea să aduc în discuție o temă care este de esența oricărei relații de succes cu clientul: comunicarea. Prin comunicare îți poți fideliza clientul și îl poți ține la curent cu privire la noi produse și servicii pentru a-l determina să cumpere încă o dată. Însă comunicarea se realizează pe prelucrarea datelor personale. Pentru a informa clientul ai nevoie de e-mail sau de telefon. Această comunicare trebuie să respecte GDPR pentru:

  • a te feri de eventualualele amenzi GDPR;
  • a te feri de plângerile/sesizările clienților pentru prelucrările neconforme;
  • a oferi respect și încredere clientului.

KIT GDPR Magazine Online

 

Puține companii știu faptul că acest Regulament European poate fi utilizat pentru creșterea afacerilor și pentru a fideliza clienții, iar noi pe acest blog am tot explicat prin articole cum poți utiliza GDPR în favoarea ta.

Ce soluții ai pentru fidelizarea clienților? Câteva exemple:

1. Chestionare de feedback

E dificil să evoluezi o afacere dacă nu știi părerea clienților cu privire la produsele sau serviciile pe care le oferi. În acest sens ai putea să utilizezi chestionare pentru a afla părerea clienților cu privire la produsele și serviciile pe care le oferi. După analiza chestionarelor, poți îmbunătăți procesele.
Cum faci acest lucru? Îți poți crea propriile chestionare utilizând o soluție gratuită cum este Google Forms sau poți utiliza soluții mai avansate ca CognitoForms sau Net Promoter Score®
Ce trebuie să știi despre GDPR: 
  • pentru a putea colecta date prin chestionare trebuie să ai pe site o Politică de confidențialitate prin care explici clientului faptul că vei colecta și aceste date. Un model de astfel de politică găsești aici.  Dacă nu faci acest lucru, încalci dreptul clientului la informare și poți risca o investigație GDPR dacă un client îți face reclamație. 
  • trebuie să utilizezi doar furnizori care respectă GDPR și se află în Europa sau în următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina. Pentru SUA, trebuie să verifici dacă furnizorul se află în această listă.  Dacă lucrezi cu furnizori care nu respectă GDPR sau faci un transfer internațional nepermis de date poți fi amendat în situația unei investigații GDPR. 

2. E-mail marketing

Poți ține la curent clientul pe e-mail cu privire la produse și servicii noi sau alte oferte și promoții. Poți realiza acest lucru în mod automat prin soluții ca MailChimp care preiau automat baza de date a clienților și trimit e-mailuri la ce zi și oră dorești. Oricum abuzul acestui serviciu poate avea un efect contrar: clientul este deranjat și se dezabonează. Ideea e să găsești un echilibru și să nu trimiți prea multe e-mailuri.

Ce trebuie să știi despre GDPR: 
  • este recomandat să obții consimțământul clientului pentru a trimite astfel de newslettere, de exemplu printr-o bifă la formularul de înregistrare.
  • dacă vrei să promovezi servicii și produse similare produselor deja achizionate de client, nu ai nevoie de consimțământ deoarece Legea nr. 506/2004 instituie o excepție în acest sens. !Utilizează cu precauție această informație. Trebuie realizată o analiză a campaniei concret și cel mai sigur este să întrebi un avocat înainte.
  • clientul are dreptul oricum de a se dezabona și tu trebuie să îi permiți să își exercite acest drept;
  • pentru a putea face e-mail marketing trebuie să ai pe site o Politică de confidențialitate prin care explici clientului faptul că vei face e-mail marketing. Un model de astfel de politică găsești aici.  Dacă nu faci acest lucru, încalci dreptul clientului la informare și poți risca o investigație GDPR dacă un client îți face reclamație. 
  • trebuie să utilizezi doar furnizori care respectă GDPR și se află în Europa sau în următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina. Pentru SUA, trebuie să verifici dacă furnizorul se află în această listă.  Dacă lucrezi cu furnizori care nu respectă GDPR sau faci un transfer internațional nepermis de date poți fi amendat în situația unei investigații GDPR. 

3. E-mail marketing bazat pe profilarea clientului

Aici rămân valabile toate aspectele discutate la punctul 2 de mai sus, însă, înainte de a-ți spune mai multe despre acest subiect, aș vrea să precizez faptul că această metodă ar trebui utilizată cu maximă precauție deoarece există șanse mari să se încalce GDPR. În principiu, înainte să introduci profilare clientului ar trebui să te consulți cu un avocat sau să te documentezi foarte bine pe internet din surse de încredere.

Ca să faci o profilare adecvată trebuie să ai date relevante despre clientul tău pentru a-i trimite exact mesajele care îl interesează.

Câteva lucruri despre GDPR: 

  • Poți prelucra doar ceea ce este strict necesar pentru profilare. GDPR nu îți permite să prelucrezi mai multe date decât îți trebuie.
  • pentru a putea face e-mail marketing bazat pe profilare trebuie să ai pe site o Politică de confidențialitate prin care explici clientului faptul că vei profilare și cum o realizezi. Un model de astfel de politică găsești aici.  Dacă nu faci acest lucru, încalci dreptul clientului la informare și poți risca o investigație GDPR dacă un client îți face reclamație. 
  • trebuie să utilizezi doar furnizori care respectă GDPR și se află în Europa sau în următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina. Pentru SUA, trebuie să verifici dacă furnizorul se află în această listă.  Dacă lucrezi cu furnizori care nu respectă GDPR sau faci un transfer internațional nepermis de date poți fi amendat în situația unei investigații GDPR. 
  • nu poți profilare (cu anumite excepții) pe categorii speciale de date: originea rasială sau etnică, opiniile politice, confesiunea religioasă, convingerile filozofice, apartenența la sindicate, de date genetice, date biometrice pentru identificarea unică a unei persoane fizice, date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
  • profilarea pentru a determina clientul să cumpere nu are, în general, riscuri mari, însă dacă prin profilare se produc consecințe neplăcute pentru client (cum ar fi interzicerea unui drept) sunt șanse să încalci GDPR și să fii amendat. Aici depinde foarte mult și ce fel de servicii oferi deoarece contextul diferă. O aplicație de food-delivery care colectează preferințele alimentare a unei persoane va implica riscuri mult mai mici față de o aplicație online de sănătate care colectează diverse date privind sănătatea.
  • e posibil să trebuiască să desemnezi un responsabil cu protecția datelor.
  • în funcție de situația concretă a afacerii (numărul de clienți, metoda de comunicare, datele prelucrate etc) e posibil să trebuiască să desemnezi un responsabil cu protecția datelor.

4. Campanii de ziua clientului

Această strategie este utilizată de foarte multe companii pentru a fideliza clienții, însă prezintă riscuri mari ar trebui utilizată cu maximă precauție deoarece există șanse mari să se încalce GDPR. În principiu, înainte să introduci campanii de ziua clientului ar trebui să te consulți cu un avocat sau să te documentezi foarte bine pe internet din surse de încredere.

Câteva lucruri despre GDPR: 

  • pentru a putea face e-mail campanii de ziua clientului, în majoritatea cazurilor, trebuie să îi ceri consimțământul în acest sens. 
  • trebuie să ai pe site o Politică de confidențialitate prin care explici clientului faptul că vei face campanii de ziua lui. Dacă nu faci acest lucru, încalci dreptul clientului la informare și poți risca o investigație GDPR dacă un client îți face reclamație. 
  • trebuie să utilizezi doar furnizori care respectă GDPR și se află în Europa sau în următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina. Pentru SUA, trebuie să verifici dacă furnizorul se află în această listă.  Dacă lucrezi cu furnizori care nu respectă GDPR sau faci un transfer internațional nepermis de date poți fi amendat în situația unei investigații GDPR. 
  • în funcție de situația concretă a afacerii (numărul de clienți, metoda de comunicare etc) e posibil să trebuiască să desemnezi un responsabil cu protecția datelor.

5. Alte forme de fidelizare: invitații la evenimente, reduceri, promoții, vouchere, concursuri etc

Aceste forme de fidelizare chiar dacă nu generează un venit imediat mențin interesul clientului față de afacerea ta și îți oferă un avantaj în fața concurenței.

Pentru a face astfel de campanii pentru a fideliza clienții poți utiliza diverse metode de a comunica, iar aspectele discutate anterior cu privire la GDPR rămân valabile.

6. Programe de loialitate

Poți menține interesul clientului față de afaceerea ta prin a-i da acestuia posibilitatea să acumuleze puncte, iar în schimb să beneficieze de anumite promoții/discount-uri. Programele de loialitate pot fi folosite și în afacerile online, deși sunt rar utilizate în România.

Cu privire la GDPR, în această situație rămân valabile aspectele discutate anterior la punctul 4.

Pot fideliza clienții fără a respecta GDPR?

Întrucât a fideliza clienții înseamnă o bună comunicare cu aceștia și un respect față de datele lor, pentru a avea succes pe termen mediu și lung ai nevoie de integrarea principiilor GDPR în business-ul tău. Nicio afacere nu își dorește clienți care să depună reclamații. Afacerile își doresc clienți mulțumiți și fideli, de aceea integrarea principiilor GDPR ar trebui să se realizeze natural și să găsească un echilibru între protecția vieții private a clientului și profitul afacerii tale. Oamenii devin din ce în ce mai conștienți de drepturile pe care le au în temeiul GDPR și au așteptări din ce în ce mai mari cu privire la respectul față de utilizarea datelor cu caracter personal.

Ai o întrebare? Scrie-mi: ruxandra.sava@legalup.ro

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



portrait-doubtful-frustrated-asian-woman_171337-14342.jpg





Pentru a înțelege ce au de făcut concret în temeiul GDPR, companiile trebuie să afle dacă sunt operator de date, persoane împuternicite sau operatori asociați. În acest articol vom explica aceste noțiuni, iar într-un material viitor vom spune ce au de făcut companiile concret în funcție de rolul pe care îl au: operator de date, persoană împuternicită și/sau operator asociat.

Pe scurt

  • A înțelege rolul dumneavoastră în legătură cu datele cu caracter personal pe care le prelucrați este esențial pentru asigurarea respectării RGPD și a tratamentului echitabil al persoanelor.
  • Obligațiile dumneavoastră în temeiul RGPD vor varia în funcție de calitatea pe o aveți: operator, operator asociat sau persoană împuternicită de operator.
  • În temeiul RGPD, ANSPDCP are competența de a lua măsuri împotriva operatorilor și persoanelor împuternicite de aceștia. Persoanele pot introduce plângeri pentru compensații și despăgubiri atât împotriva operatorilor, cât și a persoanelor împuternicite de aceștia.
  • Ar trebui să acordați timp evaluării și documentării situației fiecărei organizații cu care lucrați în ceea ce privește toate datele cu caracter personal și activitățile de prelucrare pe care le desfășurați.
  • Calitatea de operator sau de persoană împuternicită de operator depinde de mai multe aspecte. Întrebarea-cheie este: cine stabilește scopurile în care sunt prelucrate datele și mijloacele de prelucrare?
  • Organizațiile care stabilesc scopurile și mijloacele de prelucrare vor avea calitatea de operatori indiferent de modul în care sunt descrise serviciile de prelucrare în contract.

Te-ar putea interesa și:

Operator de date, persoană împuternicită sau operator asociat?

Următoarele liste de verificare stabilesc indicatorii conform cărora sunteți un operator de date, o persoană împuternicită de operator sau un operator asociat. Cu cât bifați mai multe puncte, cu atât probabilitatea de a vă încadra în categoria relevantă este mai mare.

Suntem operator de date?

  • Am decis să colectăm sau să prelucrăm date cu caracter personal.
  • Am decis care este scopul sau rezultatul prelucrării.
  • Am decis ce date cu caracter personal ar trebui colectate.
  • Am decis în privința căror persoane colectăm date cu caracter personal.
  • Obținem un câștig comercial sau un alt beneficiu din prelucrare, cu excepția plăților pentru servicii prestate de un alt operator.
  • Prelucrăm datele cu caracter personal ca o consecință a unui contract dintre noi și persoana vizată.
  • Persoanele vizate sunt angajații noștri.
  • Luăm decizii în privința persoanelor vizate ca parte sau ca rezultat al prelucrării.
  • Emitem opinii profesionale în cadrul activității de prelucrare a datelor cu caracter personal.
  • Avem o relație directă cu persoanele vizate.
  • Avem autonomie totală cu privire la modul în care sunt prelucrate datele cu caracter personal.
  • Am desemnat persoanele împuternicite de operatori să prelucreze datele cu caracter personal în numele nostru.

 

Te-ar putea interesa și:

 

Suntem operatori asociați?

  • Avem un obiectiv comun cu alții în ceea ce privește prelucrarea.
  • Prelucrăm date cu caracter personal în aceleași scopuri ca un alt operator.
  • Folosim același set de date cu caracter personal (de exemplu, o bază de date) pentru această prelucrare ca un alt operator.
  • Am conceput acest proces împreună cu un alt operator.
  • Avem norme comune de management al informațiilor cu un alt operator.

 

 

Suntem persoane împuternicite de operator?

  • Urmăm instrucțiunile altei persoane privind prelucrarea datelor cu caracter personal.
  • Am primit datele cu caracter personal din partea unui client sau o terță persoană similară ori ni s-a spus ce date să colectăm.
  • Nu decidem să colectăm date cu caracter personal de la persoane.
  • Nu decidem ce date cu caracter personal ar trebui colectate de la persoane.
  • Nu decidem temeiul juridic pentru utilizarea datelor respective.
  • Nu decidem scopul sau scopurile în care datele vor fi folosite.
  • Nu decidem divulgarea datelor sau persoanele cărora aceste date vor fi divulgate.
  • Nu decidem durata pentru care aceste date sunt păstrate.
  • Putem lua unele decizii privind modul de prelucrare a datelor, dar punem în aplicare aceste decizii în baza unui contract încheiat cu altcineva.
  • Nu suntem interesați de rezultatul final al prelucrării.

Ce înseamnă operator de date și persoană împuternicită de operator?

Operatorii sunt principalii factori de decizie; aceștia exercită un control general asupra scopurilor și mijloacelor prelucrării datelor cu caracter personal.

În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare ale acelorași date cu caracter personal, atunci aceștia sunt operatori asociați. Cu toate acestea, ei nu sunt operatori asociați dacă prelucrează aceleași date în scopuri diferite.

Persoanele împuternicite de operatori acționează în numele și doar la instrucțiunile operatorilor în cauză.

Cum stabiliți dacă sunteți un operator de date sau o persoană împuternicită de operator?

Ar trebui să puteți distinge între operatori, operatori asociați și persoane împuternicite de operatori pentru a înțelege ce obligații RGPD se aplică în fiecare caz.

Pentru a determina dacă sunteți un operator de date sau o persoană împuternicită de operator, trebuie să vă analizați rolul și responsabilitățile în legătură cu activitățile de prelucrare a datelor pe care le desfășurați.

Dacă exercitați un control general asupra scopului și mijloacelor de prelucrare a datelor cu caracter personal, cu alte cuvinte dacă decideți ce date sunt prelucrate și de ce, sunteți un operator.

Dacă nu urmăriți niciun scop personal în prelucrarea datelor și acționați doar la instrucțiunile unui client, sunteți probabil o persoană împuternicită, chiar dacă luați unele decizii tehnice despre modul în care prelucrați datele.

Ce înseamnă că sunteți operator de date?

Operatorii au cel mai ridicat nivel de responsabilitate a conformității. Trebuie să vă conformați și să demonstrați respectarea tuturor principiilor privind protecția datelor, precum și a cerințelor RGPD.  De asemenea, sunteți responsabil pentru conformitatea persoanei (persoanelor) împuternicite de dumneavoastră.

Autoritățile de supraveghere (precum ANSPDCP) și persoanele fizice pot lua măsuri împotriva unui operator în cazul încălcării obligațiilor sale, inclusiv amenzi contravenționale. 

 

 

KIT GDPR Premium

 

Ce înseamnă că sunteți o persoană împuternicită de operator?

Persoanele împuternicite de operatori nu au aceleași obligații ca operatorii în temeiul RGPD.  Cu toate acestea, dacă sunteți o persoană împuternicită de operator, aveți într-adevăr o serie de obligații directe în temeiul RGPD.

Atât autoritățile de supraveghere (precum ANSPDCP), cât și persoanele fizice pot lua măsuri împotriva unei persoane împuternicite de operator pentru încălcarea acestor obligațiilor.

Ce înseamnă că sunteți operatori asociați?

Operatorii asociați trebuie să decidă care dintre ei va avea responsabilitatea primară de respectare a obligațiilor prevăzute în RGPD și, în special, a obligațiilor de transparență și a drepturilor persoanelor. Aceștia ar trebui să pună la dispoziția persoanelor aceste informații.

Cu toate acestea, toți operatorii asociați rămân responsabili pentru conformarea cu obligațiile operatorului în conformitate cu RGPD. Atât autoritățile de supraveghere, cât și persoanele fizice pot lua măsuri împotriva oricărui operator pentru încălcarea acestor obligații. Mai multe despre ce obligații aveți în calitatea de operator asociat puteți afla citind acest articol. 

Sursa: ICO

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



blonde-influencer-recording-make-up-video_23-2148135466.jpg




Instagram ia poziție față de protecția juridică a fotografiilor, spunând clar într-un e-mail transmis publicației Ars Technica  faptul că nu acordă o licență de utilizare site-urilor atunci când aceștia integrează imagini de pe instagram folosind API-ul pus la dispoziție de Instagram. Anunțul făcut de Instagram a venit ca o surpriză neplăcută pentru utilizatorii care credeau că dacă folosesc API-ul pus la dispoziție de Instagram nu încalcă drepturile de autor ale titularilor conturilor de Instagram.

Totuși, anunțul este o veste bună pentru creatorii de conținut de pe internet deoarece au mai mult control asupra conținutului și o poziție avantajoasă în negocierea contractelor.

Potrivit Instagram, platforma nu oferă licență și cere site-urilor să obțină acordul direct de la titularii drepturilor de autor asupra imaginilor pentru publicare și/sau distribuirea imaginilor, inclusiv atunci când se folosește un API.

În concret, atunci când dorești să integrezi postarea cuiva de pe Instagram într-un articol de pe site-ul tău, trebuie să obții acordul persoanei care deține drepturile de autor (creatorul de conținut). Dacă nu realizezi acest lucru, ai putea încălca drepturile de autor ale titularului și poți fi dat în judecată. În mod corelativ, dacă cineva îți utilizează imaginile fără acordul tău, te poți adresa instanțelor de judecată pentru protecția intereselor și drepturilor tale.

Instagram ia în calcul noi măsuri pentru protecția juridică a fotografiilor și spune că explorează posibilitatea de a da creatorilor de conținut mai mult control asupra fotografiilor. În prezent, utilizatorii de instagram pot bloca integrarea imaginilor lor pe site-uri terțe prin utilizarea funcției contului privat.

Poziția Instagram este conformă cu legislația drepturilor de autor în România (Legea nr. 8/1996) care prevede faptul că trebuie să existe acordul prealabil al titularului dreptului de autor.

 

Te-ar putea interesa și:

KIT GDPR Premium

 

 

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png





În acest articol vom discuta despre cum putem afla dacă se prelucrează date cu caracter personal și cum se realizează identificarea persoanei vizate.

Pe scurt

  • A înțelege dacă prelucrați date cu caracter personal este esențial pentru a înțelege dacă RGPD se aplică activităților dumneavoastră.
  • Datele cu caracter personal sunt informații care se referă la o persoană identificată sau identificabilă.
  • O persoană poate fi identificată printr-un simplu nume sau un număr ori prin alte elemente de identificare, precum o adresă IP sau un identificator cookie, ori prin alți factori.
  • Dacă identificarea persoanei este posibilă directdin informațiile pe care le prelucrați, atunci informațiile respective pot constitui date cu caracter personal.
  • Dacă o persoană nu poate fi identificată direct din informațiile respective, atunci trebuie să evaluați dacă persoana respectivă poate fi în continuare identificată. Ar trebui să luați în considerare informațiile pe care le prelucrați, precum și toate mijloacele pe care este probabil, în mod rezonabil, să le utilizați dumneavoastră sau orice altă persoană în scopul identificării persoanei respective.
  • Chiar dacă o persoană este identificată sau identificabilă, direct sau indirect, din datele pe care le prelucrați, acestea nu reprezintă date cu caracter personal dacă nu „se referă” la persoana respectivă.
  • Atunci când evaluați dacă informațiile „se referă” la o persoană, trebuie să luați în considerare o serie de factori, inclusiv conținutul informațiilor, scopul sau scopurile în care le prelucrați și impactul sau efectul probabil al prelucrării respective asupra persoanei în cauză.
  • Este posibil ca aceleași informații să constituie date cu caracter personal când sunt utilizate în anumite scopuri de un operator dar să nu reprezinte date cu caracter personal atunci când utilizate în alte scopuri de un alt operator.
  • Informațiile din care s-au înlăturat sau înlocuit identificatorii pentru a  pseudonimiza datele constituie în continuare date cu caracter personal în sensul RGPD.
  • Informațiile care sunt într-adevăr anonime nu sunt vizate de RGPD.
  • Dacă informațiile care par să se refere la o anumită persoană sunt inexacte (și anume, conțin o eroare de fapt sau se referă la o altă persoană), informațiile reprezintă în continuare date cu caracter personal, pentru că se referă la persoana respectivă.

 

 

Ce sunt datele cu caracter personal?

RGPD se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate sau prelucrării datelor cu caracter personal prin alte mijloace decât cele automatizate, care fac parte sau sunt destinate să facă parte dintr-un sistem de evidență a datelor.

Datele cu caracter personal includ doar informațiile care se referă la persoanele fizice care: pot fi identificate sau care sunt identificabile, direct sau indirect din informațiile în cauză sau care pot fi identificate indirect din informațiile respective coroborate cu alte informații.

Datele cu caracter personal pot, de asemenea, include categorii speciale de date cu caracter personal sau date privind condamnările penale și infracțiunile. Aceste date sunt considerate a fi mai sensibile și prelucrarea lor este posibilă doar în condiții limitate.

Datele pseudonimizate pot contribui la reducerea riscurilor la adresa vieții private prin îngreunarea identificării persoanelor, dar aceste date constituie în continuare date cu caracter personal.

Dacă datele cu caracter personal pot fi într-adevăr anonimizate, atunci datele anonimizate respective nu fac obiectul RGPD. Este important să înțelegem ce sunt datele cu caracter personal pentru a înțelege dacă datele respective au fost anonimizate.

Informațiile despre o persoană decedată nu constituie date cu caracter personal și, prin urmare, nu fac obiectul RGPD.

Informațiile despre societăți private sau autorități publice nu reprezintă date cu caracter personal.

Cu toate acestea, pot constitui date cu caracter personal informațiile despre persoanele care acționează în calitate de comercianți individuali, angajați, parteneri și directori de societăți private dacă aceste persoane sunt identificabile în mod individual, iar informațiile se referă la acestea ca și persoane.




Te-ar putea interesa și:

 

Identificarea persoanei vizate. Ce sunt elementele de identificare?

O persoană este „identificată” sau „identificabilă” dacă puteți să o deosebiți de alte persoane.

Un nume este probabil modalitatea cea mai obișnuită de identificare a unei persoane. Cu toate acestea, posibilitatea ca orice element de identificare potențial să identifice cu adevărat o persoană depinde de context.

Pentru identificarea unei persoane, ar putea fi nevoie de o combinație de elemente de identificare. RGPD furnizează o listă neexhaustivă de elemente de identificare care include:

  • un nume;
  • un număr de identificare, date de localizare și
  • un identificator online.

„Identificatorii online” includ adresele IP și identificatorii cookie care pot reprezenta date cu caracter personal. O persoană poate fi identificată și de alți factori.

Identificarea directă a unei persoane fizice

Dacă doar prin citirea informațiilor pe care le prelucrați puteți să deosebiți o persoană de alte persoane, atunci persoana va fi identificată (sau identificabilă).

Nu trebuie să cunoașteți numele unei persoane pentru a o identifica direct, o combinație de alte elemente de identificare putând fi suficientă pentru a o identifica.

Dacă o persoană este direct identificabilă din informațiile respective, atunci acestea pot constitui date cu caracter personal.

Identificarea indirectă a unei persoane fizice

Este importantă conștientizarea faptului că informațiile pe care le dețineți pot identifica indirect o persoană și, prin urmare, ar putea constitui date cu caracter personal.

Chiar dacă ați avea nevoie de informații suplimentare pentru a putea identifica pe cineva, această persoană rămâne identificabilă.

Informațiile suplimentare respective pot fi informații pe care le aveți deja sau informații pe care trebuie să le obțineți din altă sursă.

În anumite circumstanțe, ar putea exista o posibilitate ipotetică redusă că cineva ar putea recompune datele astfel încât să identifice persoana respectivă. Totuși, acest lucru nu reprezintă neapărat o condiție suficientă pentru ca persoana să fie identificabilă în sensul RGPD. Trebuie să luați în considerare toți factorii implicați.

Atunci când analizați dacă persoanele pot fi identificate, puteți fi nevoiți să evaluați mijloacele care ar putea fi folosite de către o persoană interesată și suficient de determinată.

Aveți o obligație continuă de a evalua dacă probabilitatea de identificare s-a modificat în timp (de exemplu, ca urmare a evoluțiilor tehnologice).

Ce înseamnă „se referă la”?

Informațiile trebuie să „se refere la” persoana identificabilă pentru a fi date cu caracter personal. Acest lucru înseamnă că informațiile respective fac mai mult decât doar să o identifice: trebuie să se refere la persoana în cauză într-un fel.

Pentru a determina dacă o informație se referă la o persoană, este posibil să trebuiască să analizați:

  • conținutul datelor respective (se referă direct la persoana în cauză sau la activitățile sale?),
  • scopul în care veți prelucra datele; și
  • rezultatele sau efectele asupra persoanei respective determinate de prelucrarea datelor.

Datele pot face trimitere la o persoană identificabilă fără a fi date cu caracter personal deoarece informațiile nu se referă la aceasta.

KIT GDPR Premium

 

Vor fi situații în care ar putea fi dificil să se determine dacă datele sunt date cu caracter personal. În acest caz, ca exemplu de bună practică, ar trebui să tratați informațiile respective cu grijă, să vă asigurați că aveți un motiv clar pentru prelucrarea acestora și, în special, că le dețineți și le distrugeți în condiții de securitate.

O informație inexactă poate fi considerată a avea caracter personal dacă se referă la o persoană identificabilă și doar dacă este posibilă identificarea.

Sursa: ICO

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]