Aici descoperim
dreptul tehnologiei


Pe scurt:

  • Datele cu caracter personal sunt orice informații care se referă la o persoană identificată sau care poate fi identificată, denumită „persoană vizată”;
  • O persoană poate fi identificată dacă se pot obține informații suplimentare cu privire la ea pentru a o identifica;
  • Datele cu caracter personal trebuie să se refere la o persoană fizică în viață;
  • Datele publice pot fi date cu caracter personal, cu excepția situației în care au fost făcute publice de către persoana vizată în mod direct, fără dubiu;
  • Există mai multe categorii de date:
    • datele obișnuite (ca de exemplu numele, adresa de e-mail, domiciliul etc), majoritatea datelor intrând în această categorie și există categorii speciale de date, și
    • așa-numitele date sensibile (datele biometrice, datele medicale, CNP-ul etc), care au un regim special și pot fi prelucrate respectând anumite condiții stricte.
  • Anonimizarea datelor înseamnă că datele nu mai conțin niciun element de identificare;
  • Pseudonimizarea datelor înseamnă că datele sunt înlocuite cu un cod.

Datele anonimizate nu mai sunt date cu caracter personal, în schimb datele pseudonimizate sunt în continuare date cu caracter personal.

Regulamentul definește datele cu caracter personal drept orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.[1]

GDPR extinde definiția datelor cu caracter personal. Acest lucru poate include acum identificatori online și chiar date genetice și biometrice, cum ar fi amprentele digitale, scanarea retinei, recunoașterea vocală și recunoașterea facială. Parolele sunt, de asemenea, considerate date personale în cadrul GDPR.[2]

Utilizarea sintagmei „orice informație” a fost folosită în mod intenționat de legiuitorul european, pentru a nu exclude, din sfera de protecție, anumite categorii de date cu caracter personal.

Curtea de Justiție a Uniunii Europene a decis, în cauza C-582/14 faptul că inclusiv o adresă IP dinamică poate fi, în anumite circumstanțe, o dată cu caracter personal.

Asemănător, în Cauza C‑434/16, CJUE a decis că foaia de examen a unui candidat se încadrează în conceptul de date cu caracter personal.

Grupul de Lucru Art. 29 recomandă, pentru a identifica dacă o anumită informație este dată cu caracter personal, a se lua în calcul patru piloni:[3]

  • orice informație;
  • care se referă la;
  • o persoană fizică identificată sau identificabilă.

 

„Orice informație”

Domeniul este atât de vast încât nu va exista niciodată o listă exhaustivă a datelor cu caracter personal. Acestea includ numele, adresa de e-mail, datele biometrice (imagini faciale, amprente), CNP, locația unei persoane, ocupația, sexul etc. Absolut orice informație.

Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privind persoanele decedate.[4]

Informațiile pot fi atât obiective, cât și subiective:

Exemplu: Evaluarea performanței unui angajat la locul de muncă reprezintă o informație cu caracter personal, chiar dacă reflectă doar opinia personal a supervizorului, ca de exemplu „Angajatul X este mereu obosit” sau „Angajatul X nu este dedicat muncii sale.”

Informațiile sunt date cu caracter personal, indiferent că se referă la viața privată sau viața profesională a individului.[5] De exemplu, adresa de e-mail de serviciu intră în categoria de date cu caracter personal.

Paragraful 30 din Preambulul Regulamentului spune faptul că inclusiv adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio pot fi date cu caracter personal, deoarece pot lăsa urme, care, combinate cu alte informații primite de servere pot conduce către identificarea persoanelor, prin crearea de profiluri.[6]

„Care se referă la”

Pentru a intra în sfera datelor cu caracter personal, informațiile trebuie să se refere la o persoană fizică în viață. În unele cazuri informațiile cu privire la obiecte, fapte sau procese pot fi date cu caracter personal dacă există o legătură strânsă între acestea și persoana fizică, de exemplu, mașina colegului Mihai, telefonul clientului Andrei, parola utilizatorului mihai.andrei78.

Dacă anumiți factori exteriori, cum ar fi obiectele, procesele, evenimentele, faptele pot conduce la evalua sau analiza un individ într-un anumit mod, ar trebui să se considere a fi date cu caracter personal. [7]

„O persoană fizică identificată sau identificabilă.”

Situația datelor referitoare la persoane fizice identificate este clară (domiciliul angajatului X, CNP-ul clientului Y, e-mail-urile abonaților X,Y,Z).

Ce se întâmpla, însă, dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale?

Pot fi. Dacă există mijloace care pot conduce către identificarea persoanei. Aceste mijloace trebuie să țină cont atât de tehnologia actuală, cât și de cea care va fi, în mod rezonabil, dezvoltată în viitor.

Identificarea persoanei se poate realiza prin nume. Însă, simplul fapt că nu știm numele unei persoane, nu înseamnă că aceasta nu poate fi identificată. Cei mai mulți dintre noi nu știm numele tuturor vecinilor, însă îi putem identifica. Pentru identificare, ne raportăm, potrivit Regulamentului la „un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale

Cu alte cuvinte, daca avem o informație care nu este atribuita unei persoanei, însă putem folosi informații suplimentare (prin orice mijloace) pentru a identifica persoana respectiva, vorbim de date cu caracter personal.

Exemplu: „Datele referitoare la salariile într-o companie nu sunt, în general, date cu caracter personal. Aceste date se pot regăsi, fără probleme, în anunțurile de recrutare. Însă, dacă într-o companie există un singur angajat pe un anumit post, salariul aferent acelui post este o informație cu caracter personal care se referă la singurul angajat care ocupa respectivul post. ”[8]

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

[1] Art. 4 pct. 1 din Regulamentul (EU) 679/2016.

[2] GDPR for Dummies. Editat de Meta Compliance Group, ce poate fi accesat aici.

[3] Opinia 4/2007 a Grupului de Lucru Art. 29, adoptată pe 20 iunie 2017, ce poate fi accesată aici.

[4] https://www.facebook.com/legalup.ro/?ref=search, Ruxandra Sava, 5 ianuarie 2018

[5] A se vedea Hotărârea CEDO din 16 februarie 2000 în cauza Amann/Elveţia, nr. 27798/95, punctul 65.

Preambul (30) din Regulamentul (EU) 679/2016: „Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.”

[7] Opinia 4/2007 a Grupului de Lucru Art. 29.

[8] A se vedea în acest sens și postarea de pe Facebook a paginii LegalUp din data de 5 ianuarie 2018, ce poate fi accesată aici.



Datele anonimizate și datele pseudonimizate

Pe scurt

  • Datele nu trebuie stocate mai mult decât este necesar. Odată ce s-a împlinit perioada stocării, datele pot fi stocate doar dacă au fost anonimizate complet.
  • GDPR încurajează pseudonimizarea datelor, fiind unul dintre cele mai importante mijloace de protecție.
  • Pseudonimizarea se poate obţine, spre exemplu, prin înlocuirea unui element de identificare un un cod.

Datele anonimizate

Datele sunt anonimizate, atunci când orice element de identificare dispare. Dacă un element rămas poate servi, singur sau împreună cu altele, la reidentificarea persoanei, atunci anonimizarea nu a fost făcută, iar datele nu ar trebui păstrate.

Odată ce datele au fost anonimizate complet, acestea ies din sfera de protecție a Regulamentului.

Datele pseudonimizate

GDPR încurajează pseudonimizarea datelor cu caracter personal, fiind una dintre cele mai eficiente măsuri de protecție a datelor. Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de aceștia să își îndeplinească obligațiile de protecție a datelor.[1]

 

Potrivit GDPR, „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare.

Pseudonimizarea se poate obține, spre exemplu, prin înlocuirea unui element de identificare un cod.

Acest lucru nu înseamnă că datele vor fi separate definitive și irevocabil de numele persoanei, ci că asocierea între date şi elementele de identificare nu ar trebui să fie posibilă în mod direct. Pentru persoanele care nu au cheia de decodificare, reidentificarea este dificil de realizat. În schimb, pentru persoanele care au cheia de decodificare, reidentificarea se poate face cu ușurință.

F Exemplu: Propoziția „Alice Popescu, născută la 27 ianuarie 1995 are trei căței albi și iubește marea ”, poate fi pseudonimizată astfel:

„A.P. 1995 are trei căței albi și iubește marea” sau

„123 are trei căței albi și iubește marea” sau

„T67x&*j2372A are trei căței albi și iubește marea”

Persoanele care au acces la aceste date pseudonimizate nu au posibilitatea să o identifice pe „Alice Popescu, născută la 27 ianuarie 1995” din „123” sau „T67x&*j2372A”. Astfel, pseudonimizarea poate fi mai sigură împotriva utilizării incorecte.

Pseudonimizarea poate fi foarte utilă atunci când operatorii de date trebuie să lucreze cu aceleași persoane vizate, însă nu toți oamenii (cum ar fi angajații) trebuie  să cunoască identitatea reală a persoanelor vizate. Această tehnică de pseudonimizare ar trebui inclusă în sistemele avansate de prelucrare a datelor sau a noilor tehnologii, încă din stadiul dezvoltării acestora.

[1] Par. (28) din Preambulul Regulamentului (EU) 679/2016

Vrei să îți faci singur implementarea GDPR?

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.



Majoritatea firmelor prelucrează date cu caracter personal referitoare la angajații lor zi de zi. Datele personale prelucrate de firmă pot fi oricare, de la datele de identificare până la informațiile medicale prezentate de angajați pentru a justifica absența. În consecință, majoritatea întreprinderilor vor fi afectate de Regulamentul UE privind protecția generală a datelor (“GDPR”), care va reglementa prelucrarea datelor cu caracter personal atunci când devine direct aplicabil începând cu 25 mai 2018.

Acest articol cuprinde măsuri practice pe care ar trebui să le luați în considerare în ceea ce privește prelucrarea datelor angajaților.

1. Ce este GDPR?

Multe organizații se străduiesc să evalueze unde ar trebui să înceapă în ceea ce privește pregătirea pentru GDPR. Este util să ne amintim că am avut legislație privind protecția datelor în România încă din 2001 și, prin urmare, firmele care au respectat în mod serios respectarea protecției datelor sunt deja în bună formă pentru a îndeplini standardele de respectare a standardelor GDPR. GDPR se bazează și consolidează multe dintre cerințele și principiile existente privind protecția datelor în conformitate cu legislația actuală privind protecția datelor. GDPR ar trebui văzută ca o oportunitate de a revizita nivelul de protecție a datelor de către firma.

Începând cu 25 mai 2018, GDPR va înlocui Directiva din 1995 privind protecția datelor, care este legislația UE, pe care se bazează principala legislație română privind protecția datelor, Legea 677/2001. GDPR, fiind un Regulament, se va aplica direct în România, indiferent că se adoptă sau nu o lege națională.

2. „Consimțământul” în contractele de muncă

Ca și în cazul actualei legislații, pentru a prelucra datele personale ale unui angajat, firma are nevoie de o bază legală pentru a face acest lucru. Multe dintre bazele juridice pe care angajatorii le utilizează în prezent pentru a procesa datele cu caracter personal ale angajaților vor continua să existe în cadrul GDPR. Cele mai relevante baze juridice pentru angajatori, atât în ​​cadrul DPA, cât și în GDPR, sunt următoarele:

  • angajatul și-a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru executarea unui contract la care angajatul este parte;
  • prelucrarea este necesară pentru a lua măsuri la cererea angajatului înainte de a încheia un contract;
  • respectarea unei obligații legale;
  • prelucrarea este necesară pentru a proteja ale angajatului; și
  • în scopul intereselor legitime ale firmei.

În practică, constatăm că mulți angajatori tind să se bazeze pe prima bază juridică menționată mai sus pentru prelucrarea datelor, adică consimțământul, care este de obicei luat în contractul de muncă. Pentru ca consimțământul să fie valabil, acesta trebuie, printre altele, să fie „acordat în mod liber”, ceea ce ridică preocupări în contextul ocupării forței de muncă, deoarece este discutabil dacă consimțământul unui angajat este acordat în mod liber pe baza dezechilibrului puterii dintre un angajator și un angajat . Grupul de lucru „Articolul 29″, care este grupul reprezentativ al autorităților UE pentru protecția datelor, a comentat recent că un angajat este rareori în măsură să dea un consimțământ liber.

Un alt punct de reținut atunci când se bazează pe consimțământ este acela că anumite drepturi ale persoanelor vizate pot fi exercitate numai atunci când consimțământul este temeiul juridic, de exemplu dreptul la portabilitatea datelor și așa-numitul „drept de fi uitat”.

Având în vedere dificultățile legate de consimțământ, acum este momentul să te gândești dacă nu cumva firma ta poate invoca baze juridice alternative pentru o anumită prelucrare a datelor cu caracter personal. De exemplu, prelucrarea detaliilor unui angajat în cadrul salarizării ar putea fi întemeiată pe baza legală a executării unui contract cu angajatul. Cu toate acestea, pot exista situații în care consimțământul este singurul temei juridic adecvat pentru a se baza. O astfel de situație poate apărea, de exemplu, în contextul procesării informațiilor medicale ale unui angajat, în cazul în care o asemenea prelucrare nu este cerută de legislația muncii. În cazul în care este necesar să se bazeze pe consimțământul ca temei juridic, consimțământul ar trebui să fie obținut printr-o declarație sau alt document separat de contractul de muncă, care nu este în mod inerent legat de acceptarea de către salariat a locului de muncă în cadrul firmei.

3. Drepturile angajatului

GDPR introduce noi drepturi pentru persoanele vizate și modifică, de asemenea, unele dintre drepturile existente în cadrul legislației actuale. Un drept modificat pe care multe firme îl pot cunoaște este dreptul de acces al persoanelor vizate, care oferă în mod esențial unei persoane dreptul de a primi o copie a datelor sale personale.

Răspunsul la cerere trebuie să se facă „fără întârzieri nejustificate” și, în orice caz, în termen de o lună de la primirea solicitării.

Acest termen scurt înseamnă că firmele vor trebui să se asigure că au politicile și procedurile în vigoare pentru a se conforma unei cereri de acces primite și că dispune de personal și resurse suficiente pentru a se conforma. Cu toate acestea, în cazul în care o cerere este complexă sau dacă sunt formulate mai multe cereri, atunci termenul poate fi prelungit cu încă două luni, dacă este necesar, cu condiția ca persoana vizată să fie informată cu privire la prelungire și motivele acesteia în termen de o lună de la data la care angajatorul a primit cererea.

 

4. Responsabilitatea

Responsabilitatea este un principiul fundamental al GDPR. Aceasta impune ca firmele nu numai să respecte GDPR prin implementarea unor măsuri tehnice și organizatorice adecvate și a unor politici adecvate de protecție a datelor, dar trebuie, de asemenea, să poată demonstra conformitatea acestora. Ca atare, acest lucru va implica mai mult decât crearea unor politici de protecție a datelor și a unor registre de prelucrare care să respecte GDPR, ci si punerea în practică a acestor politici.

 

5. Informații care trebuie furnizate angajaților

Trebuie furnizate anumite informații angajaților înainte ca datele lor personale să fie colectate și prelucrate de către firmă. Informațiile vor fi în mod obișnuit furnizate sub forma unei notificări adresate candidaților, iar o politică de confidențialitate viitoare va fi furnizată angajaților, de regulă, cu ocazia încheierii contractului de muncă. În cadrul GDPR, vor fi furnizate următoarele informații:

  • numele firmei și datele de contact și numele și datele de contact responsabilului cu protectia datelor, dacă există;
  • scopul (scopurile) prelucrării, precum și temeiurile juridice pentru prelucrare;
  • în cazul în care temeiul juridic al prelucrării se bazează pe interesele legitime ale întreprinderii, aceste interese legitime trebuie identificate;
  • destinatarii sau categoriile de destinatari de date cu caracter personal;
  • dacă firma intenționează să transfere date cu caracter personal unei țări terțe și temeiul juridic al transferului;
  • perioada de păstrare a datelor cu caracter personal și criteriile utilizate pentru determinarea acesteia; modul în care angajații (sau candidații pentru locuri de muncă) își pot exercita drepturile;
  • modul în care angajații (sau candidații pentru locuri de muncă) își pot retrage consimțământul pentru prelucrare, în cazul în care prelucrarea de către firmă se bazează pe consimțământ;
  • dreptul de a depune o plângere autorității de supraveghere a protecției datelor;
  • dacă angajatul (sau candidatul la postul de loc de muncă) este obligat să furnizeze datele cu caracter personal în temeiul unei legi sau al unui contract și consecințele neconformării; și
  • existența procesului de luare a deciziilor automate, inclusiv profilarea, precum și logica și consecințele prelucrării pentru angajat (sau candidatul la un loc de muncă).

Este important să revizuiești informările oferite angajaților și candidaților pentru locuri de muncă, pentru a verifica dacă acestea includ informațiile de mai sus.

Dacă ai nevoie de modele de informare conforme GDPR pentru angajați și candidați le găsești aici, în KIT-ul nostru de implementare. 

 

6. Responsabilul cu protecția datelor („DPO”)

O modificare importantă introdusă de GDPR este cerința ca anumiți operatori de date și împuterniciți să numească un DPO. DPO este responsabil de supravegherea conformității unei organizații cu protecția datelor.

Un DPO este obligatoriu atunci când:

  • operatorul este o autoritate publică sau un organism public (cu excepția instanțelor de judecată);
  • operatorii de date și împuterniciții au ca activitate principală o prelucrare “care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă”; și
  • operatorii de date și împuterniciții implicați în prelucrarea la scară largă a datelor cu caracter personal sensibile sau a datelor cu caracter personal referitoare la condamnările și infracțiunile penale.

Grupul de lucru “Articolul 29” recomandă ca operatorii și împuterniciții să se informeze dacă este necesar un DPO.

DPO poate să fie intern (angajat) sau externalizat (de exemplu, un avocat) și trebuie să aibă cunoștințe de specialitate privind protecția datelor cu caracter personal. Dacă este angajat, nu poate fi sancționat sau demis pentru îndeplinirea activităților sale. Responsabilul va fi independent în îndeplinirea sarcinilor. Acest lucru trebuie luat în calcul înainte de a numi pe cineva.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

 


arhive-anonimizare-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord