Cart

Aici descoperim
dreptul tehnologiei

tsunami-2400x1350-wallpaper-1200x675.jpg
amenzi gdpranspdcpcursuri GDPRdocumentatie GDPRgdprruxandrasava

Urmează un val de amenzi GDPR? Ruxandra Sava: sunt avocat, nu futurolog.

8 iulie 2019 Ruxandra Sava0

Prima amendă GDPR în România a adus, așa cum era de așteptat, un val de opinii și analize ale profesioniștilor în domeniu. Deși ne putem pune semne de întrebare serioase cu privire la validitatea unor opinii care se bazează doar pe un comunicat de presă al ANSPDCP, fără a cunoaște detaliile investigației (care s-a desfășurat pe o perioadă de 7 luni) și fără a vedea procesul-verbal de contravenție, reiese clar că UniCredit Bank a fost amendată cu 130.000 euro pentru încălcarea GDPR. Cred că ar trebui să evităm analizele superficiale care folosesc termeni precum măsuri organizaționale  organizatorice, politici adecvate, privacy by design, minimizare, fără a explica adevăratul sens și implicația practică.

Păreri sunt multe și cred că e prea devreme pentru a trage concluzii. Urmează un val de amenzi? Probabil, dar ar trebui să iei în calcul că eu sunt avocat, nu futurolog. Pot să spun că în trecut ANSPDCP a sancționat pe vechea lege mii de companii din România, fără a discrimina în funcție de cifra de afaceri sau domeniul de activitate. Probabil la fel va fi situația și cu GDPR. Dar eu nu pot să prevăd viitorul și nici nu îmi doresc să fac politică. Situația poate fi rezumată într-o frază: există o lege, respectarea ei nu este opțională și pot exista consecințe.

Probabil ne-am grăbit să emitem predicții cu privire la comportamentul ANSPDCP și am uitat să analizăm esențialul. Și cred că prima întrebare pe care trebuie să ne-o punem este:

Pentru ce a fost amendată UniCredit?

Am fost plăcut surprinsă când am aflat că prima amendă GDPR în România a fost dată pentru nerespectarea principiilor „Privacy by design” și „Privacy by default”. Nerespectarea acestor principii a condus către încălcarea principiului minimizării datelor: au fost procesate mai multe date decât era necesar, în speță, beneficiarii plăților puteau vedea CNP-urile plătitorilor. Nu există nicio justificare pentru care cel care primește o plată să aibă nevoie să cunoască CNP-ul plătitorului. S-a ajuns în această situație pentru că nu au fost implementate măsuri adecvate pentru confidențialitatea datelor, încă din momentul conceperii respectivului sistem informatic (Privacy by design) și nici după ce a fost pus la dispoziția clienților (Privacy by default).

Te-ar putea interesa și:

Ce înseamnă Privacy by Design?

Pe scurt, „Privacy by design” înseamnă că ar trebui să ne gândim la confidențialitatea și protecția datelor cu caracter personal încă din momentul în care proiectul (aplicație/site/platformă/alt sistem informatic) se află în fază de concept. Majoritatea companiilor se orientează în prezent pe optimizarea proceselor de business, dezvoltând sisteme și produse care să le ajute să lucreze mai simplu. Dar au apus vremurile când pasai proiectul către IT și îl utilizai imediat ce era implementat tehnic. Acum, când ai un proiect pe masă, trebuie să îți pui întrebări cu privire la cum vei proteja datele cu caracter personal. Ai putea găsi utile întrebările de mai jos:

Respectă proiectul legislația?

Este puțin probabil ca proiectul să respecte legislația încă din faza de concept fără a fi implementat și recomandările avocaților/consilierilor juridici. Cu cât e mai nou proiectul, cu atât este nevoie de opinia unui specialist. GDPR este doar unul dintre domeniile de drept care își pot spune cuvântul cu privire la legalitatea unui proiect informatic. În funcție de specificul proiectului, va trebui să respecți și alte legi: legislația comerțului electronic, legislația consumatorului, legislația publicității, concurenței, proprietate intelectuală etc.

Ca avocat specializat pe dreptul tehnologiei, am lucrat la o serie de proiecte inovative în România și m-am ocupat de conformitatea cu GDPR și alte dispoziții legale. Toate proiectele online trebuie să respecte GDPR, dar în funcție de activitatea desfășurată, este posibil să fie incidente și alte dispoziții legale. E mai ușor să previi decât să repari, de aceea ar trebui să îți pui întrebările potrivite încă din faza de concept. Un avocat te poate ajuta să identifici probleme și să găsești soluțiile potrivite.

  • magazine online. Deși majoritatea magazinelor online trebuie să acorde o atenție deosebită legislației protecției consumatorului, GDPR, legislației comerțului electronic, legislației publicității, concurenței și proprietății intelectuale, în funcție de specificul activității este posibil să fie incidende și alte acte normative.
  • platforme de e-learning. Exemple de întrebări: Ce garanții ofer? Cui aparține proprietatea intelectuală? Ce se întâmplă dacă serviciul nu este mulțumitor? Este incident dreptul de retragere? Cum mă protejetez suficient de bine, respectând totuși toate drepturile utilizatorilor? 
  • platforme de e-mail marketing/sms marketing. Exemple de întrebări: Răspund dacă utilizatorul face SPAM sau trimite conținut ilegal? Ce măsuri pot întreprinde pentru a determina utilizatorul să respecte legislația și pentru a mă exonera de răspundere?
  • servicii de cloud. Exemplu de întrebare: Cum protejez utilizatorii și cum îmi pot minimiza răspunderea în situația unui incident?
  • aplicații de programări online. Exemple de întrebări: Cine se ocupă de respectarea drepturilor în temeiul GDPR al utilizatorului final? Ce se întâmplă dacă clientul meu nu respectă drepturile utilizatorului, dar aplicația procesează datele acestuia din urmă?
  • Platforme peer-to-peer (pe modelul Uber, Airbnb). Exemple de întrebări: Ce actori sunt implicați și care sunt drepturile și obligațiile fiecăruia? Care sunt riscurile platformei și cum poate minimiza platforma riscurile? 

Proiectele inovative ar trebui să țină cont de anumite întrebări-cheie precum:

  • Cum respect legislația?
  • Care sunt riscurile?
  • Care este cea mai simplă și eficientă modalitate să respect legislația?

Conformarea cu GDPR este deosebit de importantă, dar profită de această ocazie pentru a discuta cu avocatul și despre alte probleme juridice care pot influența evoluția business-ului tău. Ar trebui să fii atent la detalii, dar nu să te pierzi în ele, ci să ai focusul potrivit pe lucrurile esențiale. Compliance-ul este o călătorie, nu o destinație. În compliance, riscul de a te pierde în detalii este foarte mare, de aceea echipa ta trebuie să își păstreze focusul pe rezultate. 

Cum respectăm legislația?

Când e vorba de sisteme informatice, primul pas pe care trebuie să îl faci este să explici și să arăți avocatului, în detaliu, cum funcționează tehnologia. Doar după ce a înțeles tehnologia, îți poate spune ce modificări sunt necesare pentru a respecta legislația. Nu poate funcționa altfel. E ca și cum ai încerca să obții autorizație de construire fără documentație. O parte de modificări vor însemna acte și documente (i.e. Termene și Condiții, Politici de confidențialitate, Contracte, Avize, Autorizații), iar altele vor ține de implementarea tehnică.

După ce se implementează tehnic și înainte de a lansa, este nevoie de o opinie finală a specialiștilor pentru a nu fi fost omis din greșeală vreun aspect esențial. Sunt convinsă că UniCredit s-a ocupat de aspectele legale, însă, din eroare sau din neglijență, CNP-urile ajungeau unde nu ar fi trebuit. Eu recomand ca în procesul de testare unui sistem informatic să fie cerută întotdeauna și opinia avocaților/consilierilor juridici. Tehnicul și juridicul trebuie să facă echipă. Nu există altă soluție.

În decembrie am ținut o prezentare la Camera de Comerț despre cum esența implementării GDPR o reprezintă comunicarea eficientă dintre IT și Juridic. Am propus cu entuziasm soluții pentru depășirea barierelor dintre tehnic și juridic și mă bucur că am anticipat bine la vremea respectivă.

Recomandări practice pentru a evita amenda

  1. Cum sarcina implementării GDPR revine operatorului, recomand companiilor să adopte rezerve în privința propunerilor de genul: „Externalizează! Ne ocupăm noi de tot!”
  2. Responsabilizarea echipa pentru deschidere față de schimbare și înțelegerea normelor GDPR.
  3. Întocmirea procedurilor și politicilor necesare (documentația GDPR). Aș recomanda companiilor să cumpere resurse și kituri de implementare din surse de încredere.
  4. Implementarea tehnică, juridică și organizatorică a procedurilor scrise.
  5. Verificarea conformității cu GDPR a fiecărui proces de business și efectuarea modificărilor necesare.
  6. Verificarea conformității cu GDPR a oricărui nou sistem informatic, încă din faza de proiect.
  7. Dacă compania nu are resurse interne, ajutorul ar trebui cerut unui consultant GDPR cu expertiză.
  8. Verificarea și actualizarea periodică a procedurilor și politicilor GDPR.
  9. Companiile ar trebui să înțeleagă că GDPR nu este un dosar pe care îl inchizi într-un sertar. Procedurile scrise și implementate ieri vor trebuie actualizate la realitatea de azi. Eu aș recomanda cel puțin de două ori pe an.

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.

Poți intra în legătură cu Ruxandra Sava pe LinkedIn.

 

 

VEZI ARTICOLUL
Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png
drepturile persoanei vizateinformareinteres legitimmonitorizaretransparentatransparență

Monitorizarea CCTV și GDPR. Conditii privind informarea angajatilor

5 iulie 2019 Ruxandra Sava0

Monitorizarea prin camere de supraveghere cu circuit închis (CCTV) face parte din activitatea majorității companiilor din România, însă pentru a supraveghea legal trebuie să respecți o serie de cerințe instituite de GDPR și de Legea 190/2018 privind măsurile de aplicare a GDPR. În acest articol îți vom explica pe scurt ce ai de făcut pentru a respecta legislația și îți vom furniza gratuit două modele de documente utile pentru conformare.

Potrivit Legii nr. 190/2018, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

Cu alte cuvinte, trebuie puse în balanță interesul companiei de a monitoriza prin CCTV și drepturile angajaților la viața privată. Dacă balanța va înclina în favoarea angajatorului, atunci supravegherea CCTV poate fi realizată. Orientările europene în materie spun că trebuie documentat un test de echilibrare (sau analiză a interesului legitim) pentru ca angajatorul să afle dacă poate monitoriza legal prin CCTV. Un model de analiză a interesului legitim pentru CCTV găsești aici.

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

Poți descărca un model de informare pentru CCTV de aici.

Atenție! Informarea angajaților cu privire la CCTV nu exonerează compania de informarea angajaților cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal. Un model de notă de informare completă a angajaților găsești în KIT-ul nostru de implementare. 

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Te-ar putea interesa și: 

VEZI ARTICOLUL
GDPR.jpg
amenzi gdpr

Prima amenda GDPR în România. 130.000 euro pentru UniCredit Bank.

4 iulie 2019 LegalUp0

Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) și cu această ocazie a acordat prima amendă GDPR în România.

Operatorul a fost sancționat contravențional cu amendă în cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro.

Sancțiunea a fost aplicată UNICREDIT BANK S.A. ca urmare  a neaplicării măsurilor tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, şi să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele RGPD şi a proteja drepturile persoanelor vizate. Aceasta a condus la dezvăluirea în documentele ce conţin detaliile tranzacţiilor şi care sunt puse on-line la dispoziţia clienţilor beneficiari ai plăţilor, a datelor privind CNP-ul și adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la o alta instituţie de credit – tranzacţii externe şi depuneri la casierie), respectiv a datelor privind adresa plătitorului (pentru situaţiile în care plătitorul efectua tranzacţia dintr-un cont deschis la UNICREDIT BANK SA – tranzacţii interne), pentru un număr de 337.042 persoane vizate, în perioada 25 mai 2018 – 10.12.2018.

Vrei să eviți amenda, dar nu ai pus încă în aplicare măsurile tehnice și organizatorice adecvate? Află mai multe despre KIT-ul nostru de implementare GDPR

Sancțiunea a fost aplicată ca urmare a unei sesizări a Autorității Naţionale de Supraveghere din data de 22.11.2018 prin care se semnala faptul că datele privind CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A., prin intermediul tranzacțiilor on-line, erau dezvăluite către beneficiarul tranzacției, prin formularele de extras de cont/detalii.

Potrivit art. 5 alin. 1 lit. c) din RGPD (”Principii legate de prelucrarea datelor cu caracter personal”), operatorul avea obligația de a prelucra date limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate datele.

Te-ar putea interesa și:

În același timp, considerentul (78) din Regulament precizează: ”Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile referitoare la protecţia datelor.”

Sursa dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


VEZI ARTICOLUL
jbareham_180405_1777_facebook_0003.0-1200x800.jpg
amenzi gdprconsimtamantdreptul retelelor socialeTechnology LawTransferuri de date

Facebook amendat cu 1 milion de euro pentru violarea datelor personale. Italia

30 iunie 2019 LegalUp0

Autoritea de supraveghere a prelucrării datelor din Italia a amendat Facebook cu un milion de euro pentru încălcarea legislației naționale italiene cu privire la protecția datelor cu caracter personal, în legătură cu scandalul Cambridge Analytica.

Anul trecut s-a aflat că datele personale a aproape 87 de milioane de utilizatori Facebook au fost culese ilegal de către o aplicație de data mining cu scop politic, Cambridge Analytica.

Aceste acuzații au apărut înainte de aplicarea directă a Regulamentului GDPR din 25 mai 2018  care prevede amenzi de până la 20.000.ooo euro, astfel justificându-se amenda relativ mică aplicată Facebook în acest caz. Autoritatea de supraveghere din Italia și-a întemeiat amenda pe legislația națională în vigoare înainte de aplicarea GDPR, amendând Facebook cu un milion de euro.

 

 

Autoritatea de supraveghere din Italia precizează că 57 de utilizatori Facebook au downloadat Testul Thisisyourdigitallife, test psihologic folosit pentru a colecta în masă datele personale ale utilizatorilor platformei, date care ar fi fost folosite ulterior pentru manipularea campaniilor electorale. Facebook a permis acestei aplicații accesul la lista de prieteni a fiecărei persoane care a descărcat aplicația, în consecință, potrivit Autorității de supraveghere din Italua, datele a 214,077 italieni au fost prelucrate, în lipsa consimțământului sau al altui temei legal, de către aplicație.

Potrivit informațiilor transmise de Autoritatea de supraveghere din italia, cuantumul amenzii a fost stabilit luându-se în calcul numărul utilizatorilor afectați, situația economică a Facebook și numărul utilizatorilor globali și italieni ai companiei. 

Anul trecut, Facebook a fost amendată de Autoritatea de Concurență din Italia cu 10 milioane de euro pentru vânzarea datelor personale fără a informa corect utilizatorii.

Totodată, în 2017, Facebook a fost amendat cu 3 milioane de euro pentru partajarea ilegală a datelor utilizatorilor cu Whatsapp.

Vrei să înveți cum să implementezi corect GDPR și să eviți amenzile? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Sursa

 


 

Te-ar putea interesa și:

VEZI ARTICOLUL
Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-4.png
comert electronicdreptul noilor tehnologiidrepturile persoanei vizategdprinformaretransparență

Politica de confidențialitate. Cum o redactezi și cum o implementezi pe site. Ghid.

29 iunie 2019 LegalUp0

Fiecare site care colectează date cu caracter personal trebuie să dețină o Politică de confidențialitate inclusiv site-urile de prezentare care colectează date (prin formulare de contact, de exemplu), trebuie să dețină o Politică de confidențialitate (sau Notă de informare). Prin intermediul acestui document, site-ul trebuie să explice persoanei fizice care utilizează sau doar vizitează site-ul modul în care îi prelucrează datele cu caracter personal. Să scrii o Politică de confidențialitate la standardele cerute poate fi un proces complicat dacă ai în față doar un document Word și nu deții instrumentele și informațiile potrivite. În prezentul articol, îți voi explica pas cu pas cum poți redacta o Politică de confidențialitate chiar fără a avea cunoștințe de specialitate juridică și/sau tehnică.

Pasul 1. Înțelege scopul acestei Politici de confidențialitate

Scopul principal al Politicii de confidențialitate este informarea persoanei fizice vizate cu privire la modalitatea în care îi prelucrezi datele. Politica de confidențialitate trebuie să existe pentru a respecta dreptul la informare în temeiul GDPR al fiecărei persoane fizice vizate. Destinatarul mesajului este o persoană fizică fără cunoștințe tehnice și fără cunoștințe juridice. Prin urmare, trebuie să te asiguri că folosești limbajul potrivit astfel încât persoana fizică să poată înțelege cum anume îi prelucrezi datele. 

Pasul 2. Folosește limbajul potrivit

Evită jargonul juridic și informațiile tehnice complicate și încearcă să explici persoanei, pe limbajul ei, cum anume îi prelucrezi datele. Nu da copy-paste de la alte site-uri deoarece documentele sunt protejate de drepturi de autor și este ilegal. În principiu, ar trebui să eviți să pasezi această sarcină către programator sau developer, deoarece majoritatea oamenilor tehnici nu sunt la curent cu legislația. Dacă ești jurist, evită jargonul juridic deoarece recomandările europene spun că limbajul trebuie să fie ușor de înțeles de către oricine. Atât noțiunile juridice (i.e. temeiul juridic), cât și noțiunile tehnice trebuie traduse într-un limbaj simplu, comun. 

Pasul 3. Identifică ce trebuie să scrii și schițează un plan

Politica de confidențialitate trebuie să cuprindă, în mod obligatoriu, elementele de la art. 13 și art. 14 din GDPR, respectiv:

  • identitatea și datele de contact ale operatorului;
  • datele de contact ale responsabilului cu protecția datelor;
  • categoriile de date;
  • scopurile prelucrării;
  • temeiurile juridice ale prelucrării;
  • dacă este cazul, interesele legitime;
  • destinatarii sau categoriile de destinatari;
  • intenția de a transfera;
  • perioada stocării;
  • drepturile persoanei vizate;
  • existența sau inexistența unui proces decizional automat.

Cel mai ușor este să creezi o secțiune pentru fiecare element de mai sus și să alegi un subtitlu potrivit. Imediat după ce ai tratat o secțiune, poți trece la următoarea. Dacă ți se pare deja prea complicat, recomandăm utilizarea șablonului nostru de Politică de confidențialitate ușor de completat de către oricine (click aici). 

Pasul 3. Redactarea propriu-zisă

Creează o introducere și tratează fiecare element separat, sub formă de subtitlu. Introducerea ar trebui să ofere câteva noțiuni preliminare despre site/companie, despre modalitatea de prelucrare și despre cuprinsul politicii de confidențialitate. Reține că recomandările europene sunt în sensul în care informația prezentată trebuie să fie stratificată, astfel încât utilizatorul să ajungă rapid la informația care îl interesează. Ai putea prezenta informația sub formă de acordeon. De exemplu, pe utilizator îl poate interesa doar modalitatea în care îpartajezi datele cu alte entități, de aceea ar trebui creată o secțiune specială dedicată fiecărei cerințe, ca de exemplu: „Cum și cu cine partajăm datele dvs?”. Ai grijă să nu omiți niciun element de la pct. 2. Dacă nu știi ce înseamnă vreun element de la punctul 2., poți căuta pe blogul nostru (utilizând funcția search) și vei afla mai multe informații.

Cu privire la categoriile de date cu caracter personal, ar trebui să ai grijă să acoperi o gamă cât mai largă de date prelucrate. Când îți pui întrebarea ce date prelucrez?”, ar trebui să ai în vedere că datele cu caracter personal înseamnă orice informație cu privire la o persoană fizică identificată sau identificabilă. 

O atenție deosebită trebuie să acorzi scopurilor prelucrării, care trebuie să fie prezentate specific persoanei fizice.

Exemple de informări greșite:

  • putem folosi datele dvs. să dezvoltăm noi servicii” (informarea este greșită deoarece nu este clar despre ce servicii este vorba);
  • „putem folosi datele dvs pentru a vă oferi servicii personalizate” (informarea este greșită deoarece nu este clar despre ce servicii personalizate este vorba);
  • „putem folosi datele dvs în scopuri de cercetare” (informarea este greșită deoarece nu este clar despre ce fel de cercetare este vorba);

Exemple de informări corecte:

  • „Vom analiza istoricul de cumpărături şi vom folosi detalii despre produsele pe care le-aţi achiziţionat anterior pentru a vă face sugestii pentru alte produse de care aţi putea fi interesat” (este clar ce tipuri de date vor fi prelucrate şi că datele vor fi prelucrate astfel încât reclamele personalizate să ajungă la persoana vizată);
  • „Vom păstra informaţiile privind vizitele tale recente pe site-ul nostru şi felul cum vă deplasaţi în diferite secţiuni ale site-ului pentru a analiza modul în care oamenii utilizează site-ul pentru a-l face mai intuitiv” (este clar ce tip de date vor fi procesate şi scopul).

 

 

Pasul 4. Implementarea politicii de confidențialitate pe site

Sunt foarte multe lucruri de discutat în privința acestui pas. În primul rând, trebuie să te asiguri că urci Politica într-un loc vizibil pe site pentru că, indiferent de cât de bine ar fi scrisă, dacă este ascunsă, nu își va îndeplini scopul. Politica ar trebui să existe în cât mai multe locuri pentru a fi cât mai aproape de conformitate, de exemplu:

  • în funcția de meniu de pe site;
  • în footer;
  • în semnătura din e-mail;
  • pe pagina de Facebook;
  • dacă vei comunica cu potențialii clienți inițial prin telefon, ar trebui să îi inviți să consulte politica de confidențialitate de pe site;
  • dacă vei comunica cu potențialii clienți inițial prin Facebook messenger, ar trebui să le furnizezi link-ul către Politica de confidențialitate, împreună cu invitația de a o lectura;
  • dacă utilizezi chatboți, trebuie să prezinți și această informație;

Te-ar putea interesa și:

Obligatoriu, la fiecare colectare de date (i.e. formulare de contact, formulare pentru înscriere la newsletter, formulare de comandă), trebuie să existe o căsuță nebifată prin care utilizatorul să își dea acordul că a citit și că este de acord cu Politica de confidențialitate. Această operațiune prin care utilizatorul își dă acordul trebuie stocată pentru a putea dovedi faptul că ai informat corespunzător și să te pui la adăpost în eventualitatea unui control sau al unui litigiu în instanță. Persoana fizică neinformată sau informată necorespunzător poate depune atât plângere la ANSPDCP, dar poate intenta și litigiu împotriva ta pentru a solicita despăgubiri.

Politica de confidențialitate trebuie separată în mod clar de Termeni și Condiții prin intermediul unor link-uri/pagini diferite. Termenii și Condițiile nu au legătură cu GDPR, existența lor pe site este cerută de legislația comerțului electronic.

La formularul de comandă, utilizatorul trebuie să accepte atât Termenii și Condițiile, dar și Politica de confidențialitate prin intermediul unor căsuțe/link-uri diferite.

Pentru aplicaţii, nota de informare ar trebui, de asemenea, să fie disponibilă înainte de download. Odată ce aplicaţia este instalată, informaţiile trebuie să fie uşor accesibile în interiorul aplicaţiei. O modalitate de a îndeplini această cerinţă este să se asigure că pentru accesarea informaţiilor nu se utilizează niciodată mai mult de două click-uri şi funcţia de meniu utilizată în aplicaţii ar trebui să includă întotdeauna o secţiune pentru protecţia datelor.

Pasul 5. Actualizarea și/sau modificarea

Politica de confidențialitate ar trebui revizuită cel puțin de două ori pe an pentru a fi actualizată dacă au intervenit ceva modificări în prelucrarea datelor. Este posibil ca în viitor o afacere să colecteze alte date, să transmită diferit datele sau să prelucreze datele în alte scopuri. Aceste modificări trebuie să se regăsească și în Politica de confidențialitate. Noile modificări trebuie aduse la cunoștința utilizatorilor (dacă aceștia au conturi create pe site) sau pot fi aduse la cunoștință prin afișare pe site.

Cum te putem ajuta?

Dacă ai nevoie de un șablon de Politică de confidențialitate la standardele GDPR, ușor de completat și adaptat la activitatea oricărui site/magazin online, cu instrucțiuni de completare, îți recomandăm șablonul nostru (click aici)

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

VEZI ARTICOLUL
IMAGINE-GDPR-LEGALUP.png
fun

Cum a implementat Primaru’ GDPR’ul. (Fun)

29 iunie 2019 LegalUp0

(Textul de mai jos este un pamflet și ar trebui tratat ca atare :))

 

Era o zi banală de primavară când Primarul din Satul „Consimțarul de jos” a aflat ceva ce avea să îi schimbe viața. A aflat un cuvânt nou: „GDPR”. Nedumerit și parțial disperat, își cheamă secretara.

– Ioana, ia spune… Ce mai e și acest GDPR?

– Nu știu, șefu’. O fi vreo boală?

– Cred că boală e. A naibii boală! Am auzit că toți o au. Auzi, Ioană, nu cumva ai luat și tu GDPR-ul ăsta și ești contagioasă?

– Șefu, nu cred că e o boală. Mă întorc în birou, studiez și revin cu mai multe detalii.

Ioana pleacă și revine peste câteva ore:

– Șefu, e o lege. Trebuie să o implementăm aici, la Primărie.

– Cum adică să implementăm? întreabă nedumerit Primarul.

– Păi sunt mai multe variante. Consultanță GDPR, KIT GDPR, angajăm pe cineva care știe…

– Prostii! Eu sunt Primar, îmi cumpăr un Manual!

Cercetează secretara piața manualelor GDPR din România și găsește un manual potrivit. Studiază primarul câteva zile și își cheamă din nou secretara:

– Ce ai făcut, Ioană? Mă iei de prost? Oi fi eu primar, dar engleză zău că știu!

– Nu știu, șefu.

– Ia spune. Cum implementăm acest GDPR?

– Cum face toată lumea, șefu’, cu șabloane. Că doar nu stăm să le scriem noi de la 0.

– Bun, să găsim niște sabloane atunci. Cumpără un KIT GDPR și hai să ne apucăm de treabă!

 

 

 

 

VEZI ARTICOLUL
Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png
anonimizaredate medicaledate personaledate specialedreptul munciidrepturile persoanei vizategdprinteres legitimRecrutarea si HRtemeiuri juridicetransparență

Recrutezi? 7 sfaturi practice pentru a respecta GDPR

24 iunie 2019 LegalUp0

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]

VEZI ARTICOLUL
Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-2.png
anonimizaredate personaledrepturile persoanei vizateJurisprudență NaționalăTechnology Lawtemeiuri juridice

10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

21 iunie 2019 Ruxandra Sava0

Prin hotărârea nr. 747/2019, Judecătoria Sectorului 5 București a obligat Compania Națională „Aeroporturi București” SA să achite reclamantei suma de 10.000 lei daune morale pentru publicarea pe pagina de internet (platforma http://www.bucharestairports.ro) a unei hotărâri societare care conținea datele personale ale reclamantei (CNP, adresă, număr și serie de buletin etc). Instanța a considerat că încălcarea confidențialității acestor date încalcă principiile prelucării datelor: limitarea la ceea ce este necesar (principiul minimizării). 

Ce s-a întâmplat?

Reclamanta a introdus acțiune împotriva pârâtei Compania Națională „Aeroporturi București” SA, solicitând:

  • înlăturarea (ștergerea) datelor personale constând în adresa de domiciliu, cod numeric personal,  data și locul eliberării cărții de identitate publicate și menținute de către societatea pârâtă în cadrul platformei online http://www.bucharestairports.ro;
  • obligarea acesteia la plata unor daune morale în cuantum de 60 000 lei pentru prejudiciul continuu cauzat, constând în lezarea drepturilor garantate privind protecția datelor cu caracter personal prin prelucrarea în cadrul platformei online indicate anterior a datelor cu caracter personal; și
  • obligarea acesteia la plata cheltuielilor de judecată ocazionate de acest proces.

În drept, reclamanta a invocat prevederile Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, prevederile Legii nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului nr. 679/2016, dispozițiile art. 70-77 C.civ., art. 252-253 C.civ., art. 1349 C.civ., art. 1357-1358 C.civ., art. 1382-1382 C.civ., art. 1385-1386 C.civ., art. 194 și următoarele C.proc.civ.

Ce a decis instanța?

Instanța a considerat că fapta ilicită de a publica datele cu caracter personal fără a avea un temei juridic atrage răspunderea civilă delictuală a societății și, în consecință:

  • a obligat pârâta să  inlature (stergerea) datelor personale ale reclamantei constand in adresa de domiciliu, cod numeric personal,  data si locul eliberarii cartii de identitate, publicate si mentinute de parata in cadrul platformei online http//www.bucharestairports.ro;
  • a obligat pârâta la plata către reclamantă a sumei de 10.000 lei – daune morale;
  • a obligat pârâta la plata catre reclamanta a sumei de 625 lei cheltuieli de judecata.

Pentru a decide în sensul celor precizate anterior, instanța a avut în vedere inexistența unui temei legal.

„Cu privire la fondul litigiul, instanța reține că art. 6 din Regulamentul nr. 679/2016 reglementează că prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una din următoarele condiții: persoana vizată și-a dat consimțământul (…), prelucrarea este necesară pentru executarea unui contract , prelucrarea este necesară în vederea îndeplinirii unei obligații legale ce revine operatorului, prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public  sau prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță”

Deși pârâta s-a apărat, invocând că a obținut consimțământul reclamantei, instanța a apreciat că „având în vedere lipsa unui consimțământ expres al reclamantei în sensul publicării datelor sale personale pe site-ul pârâtei și în lipsa unor elemente din care să se întrevadă existența unui consimțământ tacit în același sens, instanța reține inaplicabilitatea art. 6 alin. (1) lit. (a) din Regulamentul nr. 679/2016” .Dacă vrei să afli mai multe despre consimțământul GDPR, poți consulta ghidul nostru de aici, iar formulare de consimțământ la standardele GDPR găsești în pachetul nostru de formulare (click aici)

Recomandări. Concluzii

Decizia instanței întărește concluzia că protecția datelor cu caracter personal este un subiect de maximă importanță în actualul context economic și social. Se spune că datele sunt noua monedă de schimb, prin urmare companiile trebuie să întreprindă acțiuni concrete pentru a respecta drepturile persoanelor fizice cu privire la protecția și confidențialitatea datelor cu caracter personal. Pentru a evita litigiile, vă recomandăm următoarele:

Înțelegeți noile prevederi europene și naționale în materie de protecție a datelor. Externalizarea poate părea o soluție la îndemână, însă personalul companiei trebuie să fie instruit corespunzător pentru a proteja datele și a respecta drepturile persoanelor vizate. Vă recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. 

Înțelegeți că GDPR este despre protecția datelor persoanelor fizice, de aceea, aveți grijă să aveți focusul potrivit – către persoana fizică vizată. Clientul, angajatul, candidatul, colaboratorul, reprezentatul sau persoana de contact din cadrul unei companii sunt persoane vizate, iar datele lor trebuie protejate. Înțelegeți-le drepturile și respectați-le. 

Numiți un responsabil cu protecția datelor, chiar dacă nu este necesar. În mod ideal, ar trebui că responsabilul să fie un angajat care să fie la curent cu activitățile de zi cu zi ale companiei, însă, în măsura în care doriți să apelați la un responsabil extern, asigurați-vă că îl țineți la curent cu toate activitățile companiei care pot afecta viața privată a persoanelor fizice. De aemenea, responsabilul cu protecția datelor ar trebui verificat că își îndeplinește sarcinile, deoarece răspunderea este a companiei, indiferent că a numit sau nu un responsabuil cu protecția datelor. În situația unei amenzi sau a unor despăgubiri, compania se poate îndrepta împotriva responsabilului dacă prin acțiunea sau inacțiunea lui a declanșat premisele unei răspunderi.

Implementați juridic, tehnic și organizatoric prevederile GDPR și aveți grijă să documentați în scris toate procesele. Având în vedere că atât în instanță, cât și în fața ANSPDCP pot fi aduse înscrisuri care să ateste că v-ați respectat obligațiile, documentația nu este opțională, ci obligatorie. Vă recomandăm KIT-ul nostru de implementare, care conține documentația standard și adaptabilă oricărei companii (click aici).

 

Te-ar putea interesa și:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


VEZI ARTICOLUL
empireee-1200x675.jpg
Medical

Securitatea datelor medicale și instruirea personalului

21 iunie 2019 Empire Logistics0

Securitatea datelor medicale și instruirea personalului

Autori:

Elena Marc – Consilier juridic în domeniul sanitar / Formator / Specialist protectia datelor / Membru ASCPD

 

Există întotdeauna riscuri implicate atunci când lucrați cu date cu caracter personal, dacă este vorba despre un dosar electronic al pacientului sau pe suport de hârtie. Acesta este motivul pentru care GDPR prevede dispoziții referitoare la securitatea datelor medicale și a celorlalte date cu caracter personal. Securitatea informațiilor acoperă trei aspecte:

  1. Confidenţial;
  2. Integritate;
  3. Disponibilitate.

Pentru a asigura un nivel adecvat de protecție și a contribui la securitatea datelor medicale, GDPR prevede că trebuie luate măsuri tehnice și organizatorice adecvate, cum ar fi anonimizarea, pseudonimizarea sau criptarea datelor, dar și politicile specifice organizației care abordează riscurile procesării respectivei organizații. Aceste politici sunt necesare, având în vedere că riscurile nu pot fi întotdeauna evitate.

Unul dintre riscurile implicate este accesul neautorizat. Dacă un fișier al unui pacient este accesat de cineva care nu este autorizat, din punct de vedere GDPR există o încălcare a datelor. Această încălcare trebuie notificată Autorității Naționale de Supraveghere și, în unele cazuri, comunicată pacientului.

O altă modalitate de a preveni încălcarea datelor este păstrarea datelor atat cât este necesar. Atunci când datele de sănătate nu mai sunt necesare pentru tratamentul pacientului, GDPR stabilește că pacientul are dreptul de a solicita ștergerea acestor date. În plus, legea prevede că datele sunt păstrate pentru o perioadă maximă de timp. Durata de păstrare a datelor depinde de scopul pentru care au fost colectate inițial datele personale, ceea ce înseamnă că este important ca acest scop este clar pentru persoana vizată. Dacă este necesar în scopuri de tratament, datele privind sănătatea pot fi păstrate mai mult de 15 ani. Dacă vorbim de cercetare medicală, ar putea fi importantă stocarea datelor pentru o perioadă mai lungă de timp.

O altă protecție importantă pe care GDPR o oferă persoanei vizate este desemnarea unui responsabil de protecție a datelor (DPO) ( articolul 37 GDPR ). GDPR cere ca, în anumite cazuri, inclusiv atunci când datele sensibile sunt prelucrate pe scară largă, trebuie să fie desemnat un DPO. Instituțiile mari de asistență medicală, cum ar fi spitalul, trebuie să desemneze un DPO, având în vedere că procesează datele de sănătate pe scară largă.

Tehnologiile moderne implică multe riscuri, cu toate acestea, există o mulțime de modalități de a proteja datele de sănătate și de îmbunătățire a  tehnicilor. Ca atare va invitam sa urmati acest plan simplu pe care orice angajat il poate respecta pentru un grad de siguranța cibernetică la locul de munca:

  1. Numai încredere în https-URL-uri! Utilizați site-urile de încredere numai când furnizați informațiile personale. O regulă bună este să verificați adresa URL. Dacă site-ul include “https: //”, atunci este un site securizat. Dacă adresa URL include “http: //” – notați “s” lipsă – evitați introducerea informațiilor sensibile cum ar fi datele cărții de credit.
  2. Nu deschideți atașamente / link-uri necunoscute! Nu deschideți atașamentele de e-mail sau faceți clic pe link-uri din e-mailuri din surse necunoscute. Unul dintre cele mai frecvente moduri în care oamenii sunt atacați este prin e-mailuri deghizate ca fiind trimise de cineva în care aveți încredere.
  3. Păstrați-vă dispozitivele actualizate! Mențineți întotdeauna dispozitivele actualizate.Actualizările de software conțin update-uri importante pentru a remedia problemele de securitate. Cyber-attackerii se dezvoltă pe dispozitivele depășite, deoarece nu au cel mai actual software de securitate.
  4. Actualizați în mod regulat fișierele! Faceți copii de rezervă în mod regulat pentru a preveni atacurile de securitate cibernetică.

Pentru ca tinem la siguranta PC-ului d-voastra la locul de munca, va oferim cateva tips-uri orientative in plus privind securitatea datelor medicale:

  1. Investiti intr-un antivirus cu licenta actualizata. Cu totii ne amagim cand vine vorba de un program la care trebuie reinoita licenta anual, DAR totul raul inspre bine. ’’Da dar imi mananca din resurse.’’ Printr-o defragmentare periodica a unitatii de lucru (eliminati fisierele temporale si documentele de care nu aveti nevoie) este un ’’win’’ mult mai mare decat sa iti manance altii datele printr-un banal Keylogger sau KeySniffer doar pentru ca nu aveti un paravan de protectie.
  2. Parole mai puternice, si nu glumesc. Ionut1234 sau lipsa in totalitate a parolelor nu va va salva prea mult timp de un potential atac mai ales daca detineti informatii de mare pret pentru cel care le vrea. In caz ca aveti probleme in a va genera parole mai complexe, sau nu le puteti tine evidenta, folositi un Password Manager cum ar fi Password Generator, Dashlane, LastPass, Roboform.
  3. Software de criptare a datelor in momentul cand efectuati un back-up, astfel banala encriptie AES-256 byti va salveaza de multe peripetii. Va recomandam unele dintre cele mai uzuale la ora actuala: VeraCrypt, Bitlocker sau PGP (Pretty Good Privacy).
  4. Evident, procesul de educare privind noile ’’security threats’’ ce apar zi de zi nu tine doar de un sector anume, toate departamentele operatorului ar trebui implicate in training-uri periodice care sa ridice pragul de awareness in acest domeniu, si aici vorbim de marketing, front-end desk, etc. Investiti in educatia d-voastra sau a angajatilor!

Vrei să înveți cum să securizezi datele medicale pentru a evita incidentele de securitate? A fost personalul instruit corespunzător pentru a proteja datele medicale? Vrei să afli mai multe despre aplicabilitatea GDPR în domeniul medical? Atunci îți recomandăm să parcurgi cursul nostru online (click aici ) la finalul căruia vei obține și certificatul de absolvire. 

 


VEZI ARTICOLUL
car-travelling-by-sunny-road_1088-51.jpg
drept civiljurisprudenta europeana

CJUE. Pagube produse de incendiul unui vehicul. Răspunderea civilă auto

20 iunie 2019 LegalUp0

Curtea de Justiție a Uniunii Europene
Hotărârea în cauza C-100/18
Línea Directa Aseguradora, S.A./Segurcaixa, Sociedad Anónima de Seguros y Reaseguros

 

O situație în care un vehicul staționat într-un garaj privat al unui imobil de mai mult
de 24 de ore a luat foc, provocând un incendiu, care își are originea în circuitul
electric al vehiculului, și a cauzat prejudicii acestui imobil intră în sfera noțiunii de
„pagube produse de vehicule”, în sensul Directivei privind asigurarea de
răspundere civilă auto

În luna august a anului 2013, un vehicul care nu mai circulase de 24 de ore, staționat în garajul privat al unui imobil, a luat foc și a cauzat prejudicii. Incendiul își are originea în circuitul electric al vehiculului. Proprietarul vehiculului încheiase o asigurare de răspundere civilă auto cu Línea Directa Aseguradora, S.A. (denumită în continuare „Línea Directa”). Imobilul era asigurat la Segurcaixa, Sociedad Anónima de Seguros y Reaseguros (denumită în continuare „Segurcaixa”), iar societatea proprietară a fost despăgubită în cuantum de 44 704,34 euro în repararea prejudiciilor cauzate imobilului de incendiul vehiculului.

În luna martie a anului 2014, Segurcaixa a chemat în judecată Línea Directa pentru ca aceasta să fie obligată la rambursarea despăgubirii plătit, pentru motivul că accidentul își avea originea într-un eveniment legat de circulația vehiculului acoperit de asigurarea auto a vehiculului. Cererea Segurcaixa a fost respinsă în primă instanță însă, în cadrul procedurii de apel, Línea Directa a fost obligată la plata despăgubirii solicitate de Segurcaixa, întrucât instanța competentă a reținut că reprezintă un „eveniment legat de circulația vehiculului”, în sensul dreptului spaniol, „o situație în care un vehicul staționat în mod nepermanent într-un garaj privat a luat foc, atunci când acest incendiu a fost provocat de cauze proprii vehiculului și fără intervenția unor terți”.

Línea Directa a declarat recurs împotriva acestei hotărâri la Tribunal Supremo (Curtea supremă, Spania). Întrucât are îndoieli cu privire la interpretarea care trebuie dată noțiunii de „eveniment legat de circulația vehiculului” conținute în Directiva privind asigurarea de răspundere civilă auto,această instanță a decis să adreseze întrebări Curții de Justiție.

Prin hotărârea pronunțată astăzi, Curtea consideră că intră în sfera noțiunii de „pagube produse de vehicule” o situație în care un vehicul staționat într-un garaj privat al unui imobil a luat foc provocând un incendiu, care își are originea în circuitul electric al vehiculului, și a cauzat prejudicii acestui imobil chiar dacă vehiculul nu a fost deplasat timp de mai mult de 24 de ore înainte de producerea incendiului.

 

Curtea amintește, mai întâi, că noțiunea de „pagube produse de vehicule” constituie o noțiune autonomă a dreptului Uniunii, a cărei interpretare nu poate fi lăsată la aprecierea fiecărui stat membru. Ea subliniază de asemenea că obiectivul de protecție a victimelor accidentelor provocate de aceste vehicule a fost urmărit și consolidat în mod constant de către legiuitorul Uniunii.

Curtea arată că, potrivit jurisprudenței sale, noțiunea de „pagube produse de vehicule” nu este limitată la situațiile de circulație rutieră și că în sfera acestei noțiuni intră orice utilizare a unui vehicul care este conformă cu funcția sa obișnuită, în special orice utilizare a unui vehicul ca mijloc de transport.

Pe de o parte, faptul că vehiculul implicat într-un accident era staționat la momentul în care s-a produs acesta nu ar exclude, în sine, posibilitatea ca utilizarea vehiculului respectiv în acel moment să se încadreze în funcția sa de mijloc de transport. Pe de altă parte, nicio dispoziție a directivei nu limitează întinderea obligației de asigurare și a protecției pe care această obligație urmărește să o confere victimelor unor accidente cauzate de vehicule cu motor la cazurile de utilizare a unor astfel de vehicule pe anumite terenuri sau pe anumite drumuri.

 

Te-ar putea interesa și:

 

Curtea deduce din aceasta că domeniul de aplicare al noțiunii de „pagube produse de vehicule”, în sensul directivei, nu depinde de caracteristicile terenului pe care este utilizat acest vehicul și în special de împrejurarea că vehiculul în cauză este, la momentul accidentului, staționat și se află într-o parcare. În aceste condiții, ea consideră că staționarea și perioada de imobilizare a vehiculului sunt etape naturale și necesare care fac parte integrantă din utilizarea acestuia ca mijloc de transport. Vehiculul este astfel utilizat în conformitate cu funcția sa de mijloc de transport, în principiu, în timpul staționării sale între două deplasări.

În speță, Curtea consideră că staționarea unui vehicul într-un garaj privat constituie o utilizare conformă cu funcția de mijloc de transport. Această concluzie nu este repusă în discuție de faptul că acest vehicul a staționat mai mult de 24 de ore în acest garaj, întrucât staționarea unui vehicul presupune ca acesta să rămână imobilizat, uneori pentru o perioadă îndelungată, până la următoarea sa deplasare.

În ceea ce privește împrejurarea că accidentul în discuție rezultă dintr-un incendiu cauzat de circuitul electric al unui vehicul, Curtea consideră că din moment ce vehiculul care se află la originea acestui accident corespunde definiției de „vehicul” în sensul directivei, nu este necesar să se identifice printre piesele vehiculului cea care se află la originea faptei prejudiciabile și nici să se determine funcțiile pe care le asigură această piesă.

Sursa Curia

 

 

 


VEZI ARTICOLUL

Newer Posts

Older Posts

blog-legalup-pagina-2-din-21-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Sunt de acord Nu sunt de acord
Setari permisiuni Politica cookies
Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Obligatorii Analytics
Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.
Cookie-uri generale
Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec
Decline all Services
Da, Sunt de acord