Aici descoperim
dreptul tehnologiei

andra.jpg

Ruxandra Sava, avocat și fondatoare LegalUp, a obținut certificarea CIPP/E (Certified Information Privacy Professional/Europe) prin intermediul IAPP (International Association of Privacy Professionals).

Ruxandra Sava este avocat specializat în domeniul dreptului digital și al protecției datelor cu caracter personal. Ruxandra a oferit consultanță în vederea implementării normelor GDPR în cadrul a peste 20 companii (start-ups, companii mici, medii și mari, ONG-uri). A lansat primul blog în care a explicat GDPR pe înțelesul tuturor și a publicat în spațiul public numeroase materiale gratuite (articole, ghiduri, infografice). Din dorința de a oferi soluții practice companiilor, în mai 2018, în parteneriat cu Avocatoo și co-autorat cu Ana-Maria Udriște și sub deviza #wemakeGDPRsimple a dezvoltat și lansat primul KIT de implementare GDPR prin intermediul căruia companiile își pot face singure implementarea GDPR, la prețuri minime, utilizând șabloanele pre-completate însoțite de ghiduri și îndrumări la fiecare pas.

3 luni mai târziu, Ruxandra Sava a dus proiectul la următorul nivel și a lansat pe propria platformă, LegalUp, KIT GDPR Premium, primul KIT de implementare din România unde actualizarea documentelor se realizează timp de un an, iar orice documentat solicitat suplimentar va fi furnizat pe e-mail, atâta timp cât el poate fi standardizat pentru a fi inclus ulterior în KIT. 

În prezent, misiunea profesională a Ruxandrei este de a oferi cele mai bune soluții și resurse acolo unde dreptul se intersectează cu tehnologia și protecția datelor cu caracter personal.

Specialiștii în domeniul protecției datelor cu caracter personal acreditați de IAPP sunt arbitrii încrederii într-o societate bazată pe schimb de date la un nivel fără precedent. Ele ajută organizațiile să gestioneze rapid amenințările la adresa securității și confidențialității datelor personal și să preîntâmpine efecte nefaste, precum pierderi de date, incidente de securitate, litigii cu persoanele fizice sau eventualele sancțiuni ale autorităților de supraveghere. IAPP este prima organizație care a stabilit standardele profesionale ale specialiștilor în domeniul protecției datelor. Certificarea IAPP se bucură de o reputație recunoscută la nivel international.

CIPP este standardul global al specialiștilor în protecția datelor. Dezvoltat și lansat de IAPP în colaborare cu experți de prim rang (precum Bird and Bird si Field Fisher), CIPP este primul program global de certificare în domeniul protecției datelor cu caracter personal. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date. Ruxandra Sava se alătură celor profesioniștilor de prim-rang la nivel global în protecția datelor cu caracter personal, care dețin una sau mai multe certificări IAPP.

 

 



Potrivit unui proiect de lege adoptat la data de 13 iunie 2018 de Camera Deputatilor, repartizarea profitului între acționarii sau asociații unei firme va putea fi făcută și trimestrial, în timpul exercițiului financiar, în limita profitului contabil net realizat trimestrial. În prezent, actuala legislație permite doar repartizarea anuală.

Legea va fi promulgată curând.

„Astfel, în Legea contabilităţii nr. 82/1991 se introduce prevederea conform căreia repartizarea trimestrială a profitului către acţionari sau asociați se poate efectua opţional, în cursul exerciţiului financiar, în limita profitului contabil net realizat trimestrial, plus eventualele profituri reportate și sume retrase din rezerve disponibile în acest scop, din care se scad orice pierderi reportate şi sume depuse în reserve în conformitate cu cerințele legale sau statutare, respectiv pe baza situațiilor financiare interimare aprobate de adunarea generală a acționarilor sau asociaților, după caz.

Regularizarea sumelor repartizate în cursul exerciţiului financiar trebuie să aibă loc după aprobarea situaţiilor financiare anuale, iar dividendele repartizate şi plătite în plus în cursul exerciţiului financiar se restituie în termen de 60 de zile de la data aprobării situaţiilor financiare anuale. Obligaţia de restituire intervine pentru persoanele care au încasat dividende trimestrial, iar conducerea societăţii are obligația de a urmări recuperarea acestor sume şi de a dispune măsurile ce se impun în acest scop.

Persoanele care optează pentru repartizarea trimestrială de dividende au obligaţia să întocmească situaţii financiare interimare.

Acestea sunt supuse auditului, în situația în care persoanele care le întocmesc au obligația de auditare statutară a situațiilor financiare anuale sau optează pentru auditarea acestora, potrivit legii.

De asemenea, situaţiile financiare interimare sunt supuse verificării de către cenzori în cazul în care situațiile financiare anuale fac obiectul verificării de către cenzori, potrivit legii.” scrie legestart.ro



Potrivit art. 12 din Legea nr. 506/2004 și art. 6 din Legea nr. 365/2002 privind comerțul electronic, este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare, prin fax sau poștă electronica sau orice altă altă metodă care foloseste care folosește servicii de comunicații electronice destinate publicului (mesaje SPAM), cu excepția cazului în care destinatarul și-a exprimat, în prealabil, în mod expres consimțământul pentru a primi astfel de notificări.

Consimțământul destinatarului poate fi probat cu orice mijloc de probă, însă sarcina probei revine expeditorului.

Aceste dispoziții de mai sus se completează cu cerințele consimțământului impuse de GDPR. Astfel, potrivit GDPR, consimțământul trebuie să fie:

  • dat în mod liber

Persoana trebuie să facă o alegere reală dacă consimte sau nu la marketing. Organizațiile nu trebuie să constrângă, să stimuleze persoanele să consimtă sau să penalizeze persoanele care refuză să consimtă.

Atunci când marketingul este o condiție de abonare la un serviciu, organizația va trebui să demonstreze cum a fost acordat consimțământul în mod liber.

Și potrivit Grupului de Lucru Art. 29[1], consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.

Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber.[2]

  • specific

În contextul marketingului direct, consimțământul trebuie să fie specific fiecărui canal de comunicare prin care se dorește transmiterea mesajelor (e-mail, sms, apel automat, chatbot, push notifications etc)

  • informat

Oamenii trebuie să înțeleagă pentru ce anume își dau consimțământul.[3] Există elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.

Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.

Exemplu: O companie realizează un apel de marketing către o persoană fizică. În timpul apelului, persoană este întrebată dacă dorește să fie contactată de companii terțe în scopuri de marketing. Persoana spune „da”. Apoi urmează un mesaj automat în care un robot enumeră rapid denumirea a 20 de companii care sunt incredibil de greu de înțeles într-un timp atât de scurt. Acesta nu va fi un consimțământ informat. În primul rând, deoarece i s-a solicitat acordul persoanei înainte ca aceasta să fie informată despre companiile terțe și în al doilea rând deoarece mesajul automat este practic imposibil de înțeles.

 

  • lipsit de ambiguitate

Recomandarea este să se facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.

Tăcerea, inacțiunea sau căsuțetele pre-bifate nu valorează consimțământ. Consimțământul trebuie să implice o acțiune reală, ca de exemplu o semnătură, bifarea unei căsuțe sau un răspuns clar la un e-mail.

Exemplu: O companie decide să folosească baza de date a clienților pentru a trimite mesaje promoționale. Clienții nu au consimțit anterior recepționării marketing-ului, astfel încât compania trimite o scrisoare clienților prin care îi informează că urmează să le transmită informații despre promoții prin e-mail și prin poștă. În scrisoare se indică un număr de telefon unde clienții pot suna și își pot exprima poziția că nu doresc să primească marketing. Inacțiunea de a răspunde nu valorează contimțământ. Prin urmare, urmând această „strategie” de obținere a consimțământului, compania nu va putea să își promoveze serviciile prin marketing direct, deoarece consimțământul nu este clar și nu implică o acțiune reală. [4]

Vrei să îți faci singur implementarea GDPR? În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței. 

Află mai multe despre KIT aici.

[1] Ghidul privind consimțământul elaborate de Grupul de Lucru Art. 29 http://www.dataprotection.ro/servlet/ViewDocument?id=1442, link accesat la data de 3.05.2018.

[2] Idem, p. 7, par. 1.

[3] https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf, p. 21, link accesat 02.06.2018

[4] Idem, p. 22



Responsabilul cu protecția datelor ar trebui să aibă următoarele atribuții:

  • Informarea, sfătuirea angajatorului și a celorlalți angajați, emiterea de recomandări către angajator, precum și către ceilalți angajați cu privire la obligaţiile care le revin în temeiul Regulamentului (EU) 2016/679 şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor;
  • Promovarea unei culturi a protecției datelor cu caracter personal în cadrul organizației;
  • Organizarea de training-uri în vederea pregătirii și sensibilizării angajaților cu privire la prelucrarea datelor cu caracter personal;
  • Participarea în mod regulat la ședințele conducerii unde se iau hotărâri cu implicații privind prelucrarea datelor și oferirea de opinii concrete și documentate;
  • Colectarea informațiilor necesare pentru identificarea activităților de prelucrare;
  • Colaborarea cu celelalte departamente precum HR, Juridic, IT, Securitate pentru a avea informațiile necesare îndeplinirii sarcinilor;
  • Recomandări și sprijin concret în privința implementării cerințelor Regulamentului (EU) 2016/679, cum ar fi principiile prelucrării datelor, drepturile persoanei vizate, protecția datelor începând cu momentul conceperii și în mod implicit, păstrarea evidenței activităților de prelucrare, securitatea și managementul adecvat al incidentelor de securitate;
  • Monitorizarea respectării Regulamentului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor;
  • Monitorizarea respectării politicilor tehnice și organizaționale ale operatorului;
  • Monitorizarea efectuării auditurilor necesare;
  • Alocarea responsabilităților, sensibilizarea și formarea personalului implicat în operațiunile de prelucrare;
  • Informarea organizației dacă este obligatorie sau necesară efectuarea unei evaluări de impact privind protecția datelor cu caracter personal, potrivit art. (35) din Regulament;
  • Recomandări concrete în privința metodologiei care trebuie urmată pentru efectuarea unei evaluări de impact;
  • În situația în care organizația nu dispune de resursele necesare pentru efectuarea internă a evaluării de impact, va recomanda externalizarea acestui proces și va îndruma organizația în alegerea corectă a persoanelor specializate care pot efectua evaluarea de impact;
  • Recomandarea măsurilor care trebuie implementate (inclusiv politici tehnice și organizatorice) pentru a atenua orice riscuri la adresa drepturilor și intereselor persoanelor vizate;
  • Sprijinirea conceperii și actualizării constante a evidenței activităților de prelucrare, potrivit art. (30) din Regulament;
  • Cooperarea cu Autoritatea de Supraveghere;
  • Asumarea rolului de punct de contact pentru Autoritatea de Supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune;
  • Asumarea rolului de punct de contact cu persoanele vizate privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul Regulamentului;
  • Oferirea de sprijin concret în situația unui incident de securitate și oferirea de sprijin cu privire la notificarea Autorității/Autorităților de Supraveghere competentă/competente și a persoanelor vizate;
  • Respectarea secretului și a confidențialității în ceea ce privește îndeplinirea sarcinilor sale;
  • Monitorizarea și oferirea de sprijin concret în orice alt aspect legat de protecția datelor cu caracter personal, conform dispozițiilor legale în vigoare.

Ai nevoie de o fișă a postului DPO sau o decizie de numire? Este inclusă în KIT-ul Premium de implementare. De asemenea, în KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

 



Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator.

Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

O trăsătură comună au aceste persoane împuternicite: ele prelucrează datele provenite de la clienții lor doar pentru aceștia din urmă. Atâta timp cât respectă acest lucru și nu prelucrează datele în scopuri proprii, ele au mai puține obligații de respectat pe GDPR.

Dacă se abat de la această regulă și prelucreze datele în alte scopuri, vor fi transformați în operatori și vor avea obligația respectării celorlalte dispoziții ale GDPR, dar sunt pasibili și de a fi sancționați pentru nerespectarea obligației de a prelucra numai pentru scopul operatorului.

Exemplu: O firmă de organizări evenimente organizează, la cererea clientului său, o societate de avocatură, o conferință cu o temă juridică. Firma de organizări evenimente va colecta datele participanților la evenimente doar în scopul indicat de către societatea de avocatură, respectiv pentru organizarea conferinței. În cazul în care, peste o anumită perioadă de timp, firma de organizări organizează un eveniment similar și se gândește să îl promoveze, transmițând e-mailuri participanților la conferința juridică, iese din sfera persoanei împuternicite și se transformă în operator. În acest caz, va fi obligată să respecte toate cerințele impuse de GDPR operatorului.  Cu toate acestea, o astfel prelucrarea va fi ilegală.

 

Vrei să îți faci singur implementarea GDPR? În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.



Pe scurt:

  • Datele cu caracter personal sunt orice informații care se referă la o persoană identificată sau care poate fi identificată, denumită „persoană vizată”;
  • O persoană poate fi identificată dacă se pot obține informații suplimentare cu privire la ea pentru a o identifica;
  • Datele cu caracter personal trebuie să se refere la o persoană fizică în viață;
  • Datele publice pot fi date cu caracter personal, cu excepția situației în care au fost făcute publice de către persoana vizată în mod direct, fără dubiu;
  • Există mai multe categorii de date:
    • datele obișnuite (ca de exemplu numele, adresa de e-mail, domiciliul etc), majoritatea datelor intrând în această categorie și există categorii speciale de date, și
    • așa-numitele date sensibile (datele biometrice, datele medicale, CNP-ul etc), care au un regim special și pot fi prelucrate respectând anumite condiții stricte.
  • Anonimizarea datelor înseamnă că datele nu mai conțin niciun element de identificare;
  • Pseudonimizarea datelor înseamnă că datele sunt înlocuite cu un cod.

Datele anonimizate nu mai sunt date cu caracter personal, în schimb datele pseudonimizate sunt în continuare date cu caracter personal.

Regulamentul definește datele cu caracter personal drept orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.[1]

GDPR extinde definiția datelor cu caracter personal. Acest lucru poate include acum identificatori online și chiar date genetice și biometrice, cum ar fi amprentele digitale, scanarea retinei, recunoașterea vocală și recunoașterea facială. Parolele sunt, de asemenea, considerate date personale în cadrul GDPR.[2]

Utilizarea sintagmei „orice informație” a fost folosită în mod intenționat de legiuitorul european, pentru a nu exclude, din sfera de protecție, anumite categorii de date cu caracter personal.

Curtea de Justiție a Uniunii Europene a decis, în cauza C-582/14 faptul că inclusiv o adresă IP dinamică poate fi, în anumite circumstanțe, o dată cu caracter personal.

Asemănător, în Cauza C‑434/16, CJUE a decis că foaia de examen a unui candidat se încadrează în conceptul de date cu caracter personal.

Grupul de Lucru Art. 29 recomandă, pentru a identifica dacă o anumită informație este dată cu caracter personal, a se lua în calcul patru piloni:[3]

  • orice informație;
  • care se referă la;
  • o persoană fizică identificată sau identificabilă.

 

„Orice informație”

Domeniul este atât de vast încât nu va exista niciodată o listă exhaustivă a datelor cu caracter personal. Acestea includ numele, adresa de e-mail, datele biometrice (imagini faciale, amprente), CNP, locația unei persoane, ocupația, sexul etc. Absolut orice informație.

Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privind persoanele decedate.[4]

Informațiile pot fi atât obiective, cât și subiective:

Exemplu: Evaluarea performanței unui angajat la locul de muncă reprezintă o informație cu caracter personal, chiar dacă reflectă doar opinia personal a supervizorului, ca de exemplu „Angajatul X este mereu obosit” sau „Angajatul X nu este dedicat muncii sale.”

Informațiile sunt date cu caracter personal, indiferent că se referă la viața privată sau viața profesională a individului.[5] De exemplu, adresa de e-mail de serviciu intră în categoria de date cu caracter personal.

Paragraful 30 din Preambulul Regulamentului spune faptul că inclusiv adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio pot fi date cu caracter personal, deoarece pot lăsa urme, care, combinate cu alte informații primite de servere pot conduce către identificarea persoanelor, prin crearea de profiluri.[6]

„Care se referă la”

Pentru a intra în sfera datelor cu caracter personal, informațiile trebuie să se refere la o persoană fizică în viață. În unele cazuri informațiile cu privire la obiecte, fapte sau procese pot fi date cu caracter personal dacă există o legătură strânsă între acestea și persoana fizică, de exemplu, mașina colegului Mihai, telefonul clientului Andrei, parola utilizatorului mihai.andrei78.

Dacă anumiți factori exteriori, cum ar fi obiectele, procesele, evenimentele, faptele pot conduce la evalua sau analiza un individ într-un anumit mod, ar trebui să se considere a fi date cu caracter personal. [7]

„O persoană fizică identificată sau identificabilă.”

Situația datelor referitoare la persoane fizice identificate este clară (domiciliul angajatului X, CNP-ul clientului Y, e-mail-urile abonaților X,Y,Z).

Ce se întâmpla, însă, dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale?

Pot fi. Dacă există mijloace care pot conduce către identificarea persoanei. Aceste mijloace trebuie să țină cont atât de tehnologia actuală, cât și de cea care va fi, în mod rezonabil, dezvoltată în viitor.

Identificarea persoanei se poate realiza prin nume. Însă, simplul fapt că nu știm numele unei persoane, nu înseamnă că aceasta nu poate fi identificată. Cei mai mulți dintre noi nu știm numele tuturor vecinilor, însă îi putem identifica. Pentru identificare, ne raportăm, potrivit Regulamentului la „un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale

Cu alte cuvinte, daca avem o informație care nu este atribuita unei persoanei, însă putem folosi informații suplimentare (prin orice mijloace) pentru a identifica persoana respectiva, vorbim de date cu caracter personal.

Exemplu: „Datele referitoare la salariile într-o companie nu sunt, în general, date cu caracter personal. Aceste date se pot regăsi, fără probleme, în anunțurile de recrutare. Însă, dacă într-o companie există un singur angajat pe un anumit post, salariul aferent acelui post este o informație cu caracter personal care se referă la singurul angajat care ocupa respectivul post. ”[8]

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

[1] Art. 4 pct. 1 din Regulamentul (EU) 679/2016.

[2] GDPR for Dummies. Editat de Meta Compliance Group, ce poate fi accesat aici.

[3] Opinia 4/2007 a Grupului de Lucru Art. 29, adoptată pe 20 iunie 2017, ce poate fi accesată aici.

[4] https://www.facebook.com/legalup.ro/?ref=search, Ruxandra Sava, 5 ianuarie 2018

[5] A se vedea Hotărârea CEDO din 16 februarie 2000 în cauza Amann/Elveţia, nr. 27798/95, punctul 65.

Preambul (30) din Regulamentul (EU) 679/2016: „Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.”

[7] Opinia 4/2007 a Grupului de Lucru Art. 29.

[8] A se vedea în acest sens și postarea de pe Facebook a paginii LegalUp din data de 5 ianuarie 2018, ce poate fi accesată aici.



Portabilitatea datelor

Ce reprezintă portabilitatea datelor?

Portabilitatea datelor este un drept nou oferit de către Regulament persoanelor fizice cetățeni ai unui stat membru al Uniunii Europene.

Dreptul la portabilitatea datelor reprezintă dreptul unei persoane fizice “… de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și … dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal… “

Scopul acestui drept este de a susține alegerea utilizatorului și de a extinde și întări controlul  pe care acesta îl are asupra datelor sale personale.

Ce tipuri de date beneficiează de portabilitate?

Potrivit Ghidului privind dreptul la portabilitatea informațiilor , ghid adoptat de Comisia Europeană în data de 13 decembrie 2016 și revizuit în data de 5 aprilie 2017, acest drept nu este deplin ci se supune unor condiții prealabile.

Pentru a beneficia de portabilitate datele trebuie să îndeplinească în mod cumulativ următoarele condiții:

  1. Datele personale să privească utilizatorul

Se exclud astfel datele anonime sau datele care nu privesc utilizatorul.

Datele pseudonimizate care pot fi folosite pentru a identifica utilizatorul chiar dacă identificarea se face cu ajutorul acestuia fac obiectul acestui drept.

  1. Datele personale să fie furnizate operatorului de către utilizator

În acest sens avem:

Date furnizate în mod activ de către utilizator prin mijloacele tehnice puse la dispoziție de către operator, ca de exemplu: adresă de e-mail, vârstă, locație, număr de telefon, adresă poștală, nume utilizator, etc.

sau

Date rezultate din activitatea utilizatorului cum ar fi: date privind locația, pulsul, istoricul de c ăutari, paginile accesate, etc.

Datele inferate sau derivate din datele oferite operatorului de către utilizator nu beneficiează de dreptul de portabilitate.

Noțiunea de date furnizate de către utilizator trebuie interpretată și înțeleasă în mod extensiv. Aceasta cuprinde toate datele deținute de către operator cu privire la persoana utilizatorului cu excepția datelor inferate sau derivate.

  1. Dreptul la portabilitatea datelor să nu afecteze drepturile și libertățile celorlalți utilizatori

Obligațiile operatorului

  1. Să informeze utilizatorii cu privire la existența dreptului de portabilitate
  2. Să pună la dispoziția utilizatorului, la cererea acestuia, o copie a datelor furnizate de către acesta într-un format accesibil și utilizabil.
  3. Să onoreze cererea utilizatorului în cel mai scurt timp posibil însă fără să depășească o lună de la data solicitării, sau, în cazurile complexe nu mai mult trei luni cu condiția ca operatorul să informeze utilizatorul despre motivele care duc la întârzierea onorării cererii în termen de o lună.
  4. Să răspundă cererii utilizatorului chiar dacă acest răspuns este unul negativ (de refuz).

Operatorul poate refuza onorarea unei astfel de cereri a utilizatorului dacă aceasta este nefondata sau dacă are un caracter repetitiv.

Costul impus de onorarea unei astfel de cereri nu poate reprezenta un motiv legitim de refuz.

De asemenea, aceste cereri nu pot fi considerate ca fiind excesive dacă prin natura sa Operatorul oferă servicii de informare sau procesare automată a datelor personale.

  1. Să onoreze cererile în mod gratuit.
  2. Să ia toate măsurile de siguranță, astfel încât datele transmise să ajungă în mod sigur (de exemplu prin utilizarea encripției) la utilizatorul corect.

Aceste măsuri de siguranță nu trebuie să împiedice utilizatorii să își exercite drepturile.

Care este formatul recomandat pentru o astfel de cerere?

Regulamentul recunoaște ca format adecvat orice format electronic, structurat  și codificat într-o manieră care nu limitează procesarea automată, reutilizarea datelor și care poate fi recunoscut ușor de către aplicațiile software.

Cine oferă servicii de portare a datelor?

Instrumente de portabilitate a datelor sunt deja disponibile pe Slack, Oracle Cloud,  Spotify, Twitter, Facebook și Instagram.

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

Bibliografie

  1. http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN accesat la 2 iunie 2018
  2. https://www2.deloitte.com/nl/nl/pages/risk/articles/gdpr-top-ten-1-data-portability.html accesat la 2 iunie 2018
  3. https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf accesat la 2 iunie 2018
  4. https://slack.com/gdpr#data-portability accesat la 2 iunie 2018
  5. http://www.oracle.com/us/gdpr-oracle-cloud-apps-4070546.pdf accesat la 2 iunie 2018
  6. https://support.spotify.com/ro/account_payment_help/privacy/data-rights-and-privacy-settings/ accesat la 2 iunie 2018
  7. https://techcrunch.com/2018/04/24/instagram-export/ accesat la 2 iunie 2018

 

 



Primim des întrebarea: „Este CNP-ul obligatoriu pe factură?”

Răspunsul e nu.

Art. 319 alin. (20) din Codul fiscal enumeră elementele obligatorii pe care trebuie să le cuprindă o factură, iar CNP-ul nu se regăsește printre ele.

Potrivit principiului „reducerii la minimum a datelor” prevăzut de GDPR, conform căruia datele cu caracter personal trebuie să fie limitate la ceea ce este necesar, prelucrarea CNP-ului în scop de facturare este interzisă. Pentru încălcarea principiului „reducerii la minimum la datelor”, Regulamentul prevede o amendă de până la 4% din cifra de afaceri sau până la 20.000.000 Euro, luându-se în calcul cea mai mare și… pentru fiecare abatere 😞

Nu trebuie omis din vedere faptul că, potrivit legislatiei naționale, CNP-urile sunt date sensibile, iar prelucrarea lor este supusă unor criterii stricte.

Concluzia: nu mai treceți CNP-ul pe factură! 


Help-Desk