Aici descoperim
dreptul tehnologiei

padlock-computer-circuit-board_93675-6912.jpg

Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație la operatorul Entirely Shipping & Trading S.R.L., constatând  următoarele:

  • încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind Protecția Datelor (RGPD);
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD.

Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate; Citește acest articol pentru a afla cum trebuie să informezi persoana vizată. 
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare); Citeste acest articol pentru a afla cum poți supraveghea video legal angajații.
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta. Citește acest articol pentru a afla în ce condiții poți accesa e-mailul unui fost angajat. 

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat), accesul se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil.

În cadrul investigației, s-au constatat următoarele:

KIT GDPR Premium

 

Totodată, operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea; (modele de note de informare conforme GDPR se găsesc aici)
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor. (modele de politici și proceduri GDPR se găsesc aici)

Sursa: dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



friends-getting-photo_1153-166.jpg

Când am primit întrebarea din titlu de la prietena mea Andrada, răspunsul a venit natural: depinde. Dacă poți sau nu fi amendat de GDPR pentru că ai filmat un prieten (sau un membru al familiei) fără acordul lui depinde de foarte mulți factori: dacă relația este doar personală sau și profesională, contextul, ce vei face cu materialul și alți factori despre care vom discuta în continuare. Conform răspunsului oficial ANSPDCP, GDPR se aplică și persoanelor fizice.

Dar înainte să vorbesc despre excepții, adică acele invenții ale legiuitorului român care ne plac nouă avocaților pentru că jonglăm frumos cu ele (și mai facem și un ban cinstit de pe urma lor), o să expun regula. Regula este că GDPR nu se aplică activităților exclusiv personale sau domestice. Ca să explic regula de mai sus, voi da un exemplu: la petrecerea de Crăciun, prietenul tău Alin, după câteva shot-uri, sărută o altă fată decât prietena lui, iar tu surprinzi momentul pe cameră. Presupunând că petrecerea de Crăciun este un mediu exclusiv sau domestic (doar cu persoane din anturaj) și nu o petrecere publică sau o petrecere a unei companii și nu urmează să faci nimic cu acel material video, ci doar să îl păstrezi în telefon, GDPR nu se va aplica, iar tu nu poți fi amendat, în absența altor factori.

Dar cum excepția activităților exclusiv personale sau domestice este de strictă interpretare și dacă datele speței se schimbă este posibil să fii amendat sau nu în temeiul GDPR, în funcție de contextul clar: este contextul exclusiv domestic sau nu?

 

Te-ar putea interesa și:

Situația #1. Alin este un coleg de muncă

Să presupunem că petrecerea nu este organizată de o companie, ci de tine și de prietenii tăi, dar pentru că Alin, colegul tău de la muncă îți este prieten foarte bun, este invitat la petrecere și își face de cap. Având în vedere că natura relației tale cu Alin nu este exclusiv personală, ci este și una profesională, atunci contextul iese din sfera excepției GDPR, iar tu poți fi amendat de GDPR, dacă Alin decide să îți facă o plângere la ANSPDCP.

Situația #2. Petrecerea este organizată de compania la care lucrezi

Dacă petrecerea este organizată de o companie, indiferent că lucrezi la ea sau ești un simplu invitat, GDPR se va aplica, iar tu poți fi amendat de ANSPDCP dacă filmezi o persoană fără acordul ei sau nu ai alt temei legal. În principiu, în această situație, companiile ar trebui să se asigure să obțină consimțământul tuturor persoanelor la petrecere pentru a apărea în filmări sau să se bazeze pe interes legitim dacă un astfel de interes este justificat după o analiză prealabilă. În oricare situație, persoanele trebuie informate cu privire la posibilitatea ca evenimentul să fie înregistrat audio-video prin intermediul unei note de informare care poate fi afișată la intrarea la eveniment sau comunicată prin alte canale (de exemplu, pe e-mail) participanților.

 

 

Situația #3. Petrecerea este privată, dar tu postezi materialul pe Facebook

În această situație, nu este niciun fel de context profesional sau comercial. Alin îți este doar prieten, iar petrecerea este privată, dar, având în vedere că Facebook este un spațiu public conform Înaltei Curți de Casație și Justiție, GDPR se va aplica, iar tu poți fi amendat în temeiul GDPR. Aceeași este situația și celorlalte rețele de socializare: LinkedIn, Youtube, Instagram etc.

 

Situația #4. Petrecerea este privată, iar tu trimiți materialul în privat unui alt prieten

Întrucât în această situație nu există un context profesional de nicio natură, iar natura conversației este privată, GDPR nu se va aplica, iar tu nu poți fi amendat de GDPR, dar nu este etic. Deși nu poți fi amendat în temeiul GDPR, poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat. Cu toate acestea, dacă persoana care primește materialul decide să o facă publică, ea poate fi amendată de GDPR. De asemenea, dacă persoana căreia îi trimiți filmarea este un coleg de muncă al lui Alin, contextul pur domestic dispare, iar tu poți fi amendat de GDPR.

KIT GDPR Premium

 

Situația #5. Petrecerea este privată, iar tu trimiți materialul prietenei lui Alin

Cu excepția situației când prietena lui Alin este și colega lui de muncă sau există un alt raport profesional între ei, tu nu poți fi amendat în temeiul GDPR, dar poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat.

 

Concluzii

În principiu, GDPR nu intervine în situații amicale sau domestice, cu toate acestea, așa cum am văzut în exemplele de mai sus, linia dintre domestic și non-domestic este foarte subțire și chiar și în situația în care GDPR nu se aplică, putem fi trași la răspundere pentru prejudiciul cauzat în temeiul legislației civile. Situațiile au fost construite pornind de la exemplul inițial, dar dacă exemplul ar fi fost altul: ca de exemplu, Alin ar fi fost violent față de o persoană, cu siguranță că am fi avut un temei să îl filmăm și să transmitem materialul către organele abilitate. Cu toate acestea, chiar și în această situație, putem fi amendați de GDPR dacă publicăm filmulețul pe internet. Dreptul la viață privată este rezervat oricui și nu distinge între o persoană cu o conduită morală înaltă sau o persoană fără o astfel de conduită.

Dreptul la viață privată capătă importanță din ce în ce mai mare în actualul context digital și înainte să facem o mișcare care ar putea afecta viața privată a unei persoane, ar trebui să ne punem întrebarea dacă acțiunea noastră este etică sau nu. Nefiind o acțiune etică, pot exista consecințe juridice, chiar dacă nu neapărat în temeiul GDPR. În principiu, când e vorba de viața privată, atunci când o acțiune nu este etică, în principiu, nu respectă Regulamentul.

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



scales-justice-gavel-sounding-block-object-law-book-working-with-judge-agreement_28283-1323.jpg

În situația aplicării amenzii GDPR, împotriva procesului-verbal de constatare/ sancţionare şi/sau a deciziei de aplicare a măsurilor corective, după caz, operatorul sau persoana împuternicită de operator poate introduce contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare. Hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel. Apelul se judecă de Curtea de Apel competentă. În toate cazurile, instanţele competente sunt cele din România. 

În materie de prelucrare a datelor cu caracter personal, conform Regulamentului privind protecția datelor cu caracter presonal, orice prelucrare neconformă a datelor va atrage cu sine și sancțiunea. Dintre sancțiunile contravenționale precizăm sancțiunea amenzii. Cu privire la această sancțiune, în nenumărate rânduri a fost aplicată în limite care au depășit și cuantumul de 10.000 euro. Există cazuri când sancțiunea amenzii poate să fie înlocuită cu avertismentul. În aceste situații instanța este cea care acționează în acest sens.

 

Te-ar putea interesa și:

 

În materie de prelucrare, din Decizia civilă nr. 1618/2008 a Curții de Apel Cluj, Secția Comercială, contencios administrativ și fiscal, aflăm că la nivel de primă instanță a fost admisă în parte plângerea contravențională formulată de (punctual) primarul municipiului Zalău în contradictoriu cu intimata Autoritatea Naţională de Supraveghere a datelor cu caracter personal şi s-a dispus înlocuirea sancţiunii amenzii contravenţionale aplicate prin procesul-verbal de constatare sancţionare nr. 22 din 12 februarie 2008, de 1500 RON, cu sancţiunea „avertisment. În vedere pronunțării acestei soluții, instanța a apreciat faptul că plângerea a fost una întemeiată, iar sancțiunea aplicată nu ar respecta legătura dintre fapta comisă și urmarea produsă. Totodată, instanța de fond a precizat că prelucrarea datelor cu caracter personal fără notificare în prealabil și dezvăluirea datelor unor persoane fără consimțământul acestora reprezintă într-adevăr contravenție, dar faptele ar reprezenta un grad de pericol social redus. În acest sens, instanța a apreciat că nu s-au produs vătămări ale drepturilor și intereselor persoanelor ale căror date au fost afișate, în acest din urmă caz neexistând reclamații către organele abilitate. Afișarea anumitor date a avut loc ca urmare a unei sesizări realizată de Ministerul de Interne. Un element important pe care l-a remarcat instanța de judecată a fost acela că instituția care a fost sancționată și-a însușit ,,starea de fapt” care fusese reținută în sarcina sa și că la momentul efectuării controlului privind încălcarea confidențialității datelor cu caracter personal, lista nu mai era disponibilă și accesibilă spre a fi consultată. În recurs, Curtea a apreciat că soluția înlocuirii amenzii contravenționale cu avertismentul este o soluție complet legală.

 

 

Schimbarea sancțiunii contravenționale a amenzii cu avertismentul se va face, mergând pe considerentele instanței în următoarele cazuri:

  • Se va realiza raportarea la gradul de pericol social produs prin încălcarea dispozițiilor legale în materie de protecție a datelor cu caracter personal și de prelucrare a acestor date;
  • Se va analiza existența/inexistența unor vătămări concrete (pentru primul caz în situația în care se va produce încălcarea propriu-zisă a prevederilor Regulamentului privind protecția datelor cu caracter personal);
  • Se va verifica împrejurarea existenței/inexistenței unei alte abateri de atare natură;

În cazul în care situațiile precizate anterior vor reflecta faptul că nu a existat o încălcare în materie de protecție a datelor cu caracter personal sau în privința prelucrării acestor date, instanța de judecată va putea proceda la înlocuirea sancțiunii contravenționale a amenzii GDPR cu avertismentul.

Curtea de Apel a constatat în cauza precizată faptul că prima instanță a realizat o determinare corectă a stării de fapt (s-a constatat că nu s-a produs o vătămare sau o prejudiciere în privința datelor cu caracter personal, având la bază inacțiunea și inexistența diseminării ulterioare informațiilor către accesul publicului) și că dispozițiile legale s-au aplicat în mod corect. Curtea de Apel a precizat că recursul formulat nu poate să fie unul adminisibil, câtă vreme prima instanță a realizat o analiză corectă, prin înlocuirea legală și corectă a sancțiunii amenzii ci avertismentul.

KIT GDPR Premium

Conform prevederilor în vigoare, împotriva procesului-verbal de constatare/ sancţionare şi/sau a deciziei de aplicare a măsurilor corective, după caz, operatorul sau persoana împuternicită de operator poate introduce contestaţie la secţia de contencios administrativ a tribunalului competent, în termen de 15 zile de la înmânare, respectiv de la comunicare. Hotărârea prin care s-a soluţionat contestaţia poate fi atacată numai cu apel. Apelul se judecă de curtea de apel competentă. În toate cazurile, instanţele competente sunt cele din România.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Free-as-a-bird.png

În luna iulie 2019, în spațiul public, a circulat o știre potrivit căreia persoanele fizice nu răspund în temeiul Regulamentului General privind Protecția Datelor (GDPR). Știrea falsă a devenit virală și a fost preluată de zeci de publicații online. Specialiștii GDPR de la LegalUp au luat poziție și au explicat că GDPR se aplică și persoanelor fizice, în situația în care prelucrarea datelor se realizează în afara unei activități exclusiv personale sau domestice. În acest sens, redacția LegalUp prin av. Ruxandra Sava, CIPP/E, a tranmis către ANSPDCP o serie de întrebări. Potrivit informațiilor comunicate de ANSPDCP către LegalUp, trei persoane fizice au fost sancționate cu avertisment în temeiul GDPR. Răspunsul ANSPDCP se găsește mai jos în articol. 

Considerentul (18) din Regulament prevede că:„Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul uneiactivități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau  comercială. Activitățile personale sau domestice ar putea include corespondența și repertoriul de adrese sau activitățile din cadrul rețelelor sociale și activitățile online desfășurate în contextul respectivelor activități. Cu toate acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice.” Per a contrario, GDPR se aplică în situația în care datele se prelucrează în afara unei activități domestice.

Exemplu #1. Un turism vizitează Colosseumul din Roma realizează un material video, surprinzând zeci de persoane fizice vizate. În situația în care, ulterior înregistrării, arată materialul doar prietenilor și familiei, GDPR nu se aplică deoarece activitatea este pur domestică. 

Exemplu #2. Un vlogger vizitează Colosseumul din Roma realizează un material video, surprinzând zeci de persoane fizice vizate. În situația în care vloggerul va urca materialul pe site, Youtube sau alte rețele de socializare accesibile publicului larg, GDPR se aplică deoarece se depășește sfera domestică. 

Te-ar putea interesa și:



tsunami-2400x1350-wallpaper-1200x675.jpg

În data de 02.07.2019,  Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul  WORLD TRADE CENTER BUCHAREST S.A. și a constatat că acesta a încălcat prevederile art. 32 alin. (4) raportat la art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat contravențional cu amendă în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

Încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii.

De asemenea, operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui număr de 46 de clienți ai WORLD TRADE CENTER BUCHAREST S.A și divulgarea neautorizată a acestor date, în mediul on-line, ceea ce a condus la afectarea drepturilor la viață privată și la protecția datelor cu caracter personal, garantate de art. 7 și art. 8 din Carta Drepturilor Fundamentale a Uniunii Europene și de art. 16 din Tratatul privind Funcționarea Uniunii Europene.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a transmiterii de către WORLD TRADE CENTER BUCHAREST S.A. a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității datelor cu caracter personal, prevăzută de art. 33 din RGPD.

Regulamentul General privind Protecţia Datelor instituie, prin art. 24, principiul responsabilității operatorului, potrivit căruia: ”Ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.”

Te-ar putea interesa și:

Totodată,  considerentul (75) din RGPD precizează:

”Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; (…) sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.”

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



tsunami-2400x1350-wallpaper-1200x675.jpg

Prima amendă GDPR în România a adus, așa cum era de așteptat, un val de opinii și analize ale profesioniștilor în domeniu. Deși ne putem pune semne de întrebare serioase cu privire la validitatea unor opinii care se bazează doar pe un comunicat de presă al ANSPDCP, fără a cunoaște detaliile investigației (care s-a desfășurat pe o perioadă de 7 luni) și fără a vedea procesul-verbal de contravenție, reiese clar că UniCredit Bank a fost amendată cu 130.000 euro pentru încălcarea GDPR. Cred că ar trebui să evităm analizele superficiale care folosesc termeni precum măsuri organizaționale  organizatorice, politici adecvate, privacy by design, minimizare, fără a explica adevăratul sens și implicația practică.

Păreri sunt multe și cred că e prea devreme pentru a trage concluzii. Urmează un val de amenzi? Probabil, dar ar trebui să iei în calcul că eu sunt avocat, nu futurolog. Pot să spun că în trecut ANSPDCP a sancționat pe vechea lege mii de companii din România, fără a discrimina în funcție de cifra de afaceri sau domeniul de activitate. Probabil la fel va fi situația și cu GDPR. Dar eu nu pot să prevăd viitorul și nici nu îmi doresc să fac politică. Situația poate fi rezumată într-o frază: există o lege, respectarea ei nu este opțională și pot exista consecințe.

Probabil ne-am grăbit să emitem predicții cu privire la comportamentul ANSPDCP și am uitat să analizăm esențialul. Și cred că prima întrebare pe care trebuie să ne-o punem este:

Pentru ce a fost amendată UniCredit?

Am fost plăcut surprinsă când am aflat că prima amendă GDPR în România a fost dată pentru nerespectarea principiilor „Privacy by design” și „Privacy by default”. Nerespectarea acestor principii a condus către încălcarea principiului minimizării datelor: au fost procesate mai multe date decât era necesar, în speță, beneficiarii plăților puteau vedea CNP-urile plătitorilor. Nu există nicio justificare pentru care cel care primește o plată să aibă nevoie să cunoască CNP-ul plătitorului. S-a ajuns în această situație pentru că nu au fost implementate măsuri adecvate pentru confidențialitatea datelor, încă din momentul conceperii respectivului sistem informatic (Privacy by design) și nici după ce a fost pus la dispoziția clienților (Privacy by default).

Te-ar putea interesa și:

Ce înseamnă Privacy by Design?

Pe scurt, „Privacy by design” înseamnă că ar trebui să ne gândim la confidențialitatea și protecția datelor cu caracter personal încă din momentul în care proiectul (aplicație/site/platformă/alt sistem informatic) se află în fază de concept. Majoritatea companiilor se orientează în prezent pe optimizarea proceselor de business, dezvoltând sisteme și produse care să le ajute să lucreze mai simplu. Dar au apus vremurile când pasai proiectul către IT și îl utilizai imediat ce era implementat tehnic. Acum, când ai un proiect pe masă, trebuie să îți pui întrebări cu privire la cum vei proteja datele cu caracter personal. Ai putea găsi utile întrebările de mai jos:

KIT GDPR Premium

 

Respectă proiectul legislația?

Este puțin probabil ca proiectul să respecte legislația încă din faza de concept fără a fi implementat și recomandările avocaților/consilierilor juridici. Cu cât e mai nou proiectul, cu atât este nevoie de opinia unui specialist. GDPR este doar unul dintre domeniile de drept care își pot spune cuvântul cu privire la legalitatea unui proiect informatic. În funcție de specificul proiectului, va trebui să respecți și alte legi: legislația comerțului electronic, legislația consumatorului, legislația publicității, concurenței, proprietate intelectuală etc.

Ca avocat specializat pe dreptul tehnologiei, am lucrat la o serie de proiecte inovative în România și m-am ocupat de conformitatea cu GDPR și alte dispoziții legale. Toate proiectele online trebuie să respecte GDPR, dar în funcție de activitatea desfășurată, este posibil să fie incidente și alte dispoziții legale. E mai ușor să previi decât să repari, de aceea ar trebui să îți pui întrebările potrivite încă din faza de concept. Un avocat te poate ajuta să identifici probleme și să găsești soluțiile potrivite.

  • magazine online. Deși majoritatea magazinelor online trebuie să acorde o atenție deosebită legislației protecției consumatorului, GDPR, legislației comerțului electronic, legislației publicității, concurenței și proprietății intelectuale, în funcție de specificul activității este posibil să fie incidende și alte acte normative.
  • platforme de e-learning. Exemple de întrebări: Ce garanții ofer? Cui aparține proprietatea intelectuală? Ce se întâmplă dacă serviciul nu este mulțumitor? Este incident dreptul de retragere? Cum mă protejetez suficient de bine, respectând totuși toate drepturile utilizatorilor? 
  • platforme de e-mail marketing/sms marketing. Exemple de întrebări: Răspund dacă utilizatorul face SPAM sau trimite conținut ilegal? Ce măsuri pot întreprinde pentru a determina utilizatorul să respecte legislația și pentru a mă exonera de răspundere?
  • servicii de cloud. Exemplu de întrebare: Cum protejez utilizatorii și cum îmi pot minimiza răspunderea în situația unui incident?
  • aplicații de programări online. Exemple de întrebări: Cine se ocupă de respectarea drepturilor în temeiul GDPR al utilizatorului final? Ce se întâmplă dacă clientul meu nu respectă drepturile utilizatorului, dar aplicația procesează datele acestuia din urmă?
  • Platforme peer-to-peer (pe modelul Uber, Airbnb). Exemple de întrebări: Ce actori sunt implicați și care sunt drepturile și obligațiile fiecăruia? Care sunt riscurile platformei și cum poate minimiza platforma riscurile? 

Proiectele inovative ar trebui să țină cont de anumite întrebări-cheie precum:

  • Cum respect legislația?
  • Care sunt riscurile?
  • Care este cea mai simplă și eficientă modalitate să respect legislația?

Conformarea cu GDPR este deosebit de importantă, dar profită de această ocazie pentru a discuta cu avocatul și despre alte probleme juridice care pot influența evoluția business-ului tău. Ar trebui să fii atent la detalii, dar nu să te pierzi în ele, ci să ai focusul potrivit pe lucrurile esențiale. Compliance-ul este o călătorie, nu o destinație. În compliance, riscul de a te pierde în detalii este foarte mare, de aceea echipa ta trebuie să își păstreze focusul pe rezultate. 

Cum respectăm legislația?

Când e vorba de sisteme informatice, primul pas pe care trebuie să îl faci este să explici și să arăți avocatului, în detaliu, cum funcționează tehnologia. Doar după ce a înțeles tehnologia, îți poate spune ce modificări sunt necesare pentru a respecta legislația. Nu poate funcționa altfel. E ca și cum ai încerca să obții autorizație de construire fără documentație. O parte de modificări vor însemna acte și documente (i.e. Termene și Condiții, Politici de confidențialitate, Contracte, Avize, Autorizații), iar altele vor ține de implementarea tehnică.

După ce se implementează tehnic și înainte de a lansa, este nevoie de o opinie finală a specialiștilor pentru a nu fi fost omis din greșeală vreun aspect esențial. Sunt convinsă că UniCredit s-a ocupat de aspectele legale, însă, din eroare sau din neglijență, CNP-urile ajungeau unde nu ar fi trebuit. Eu recomand ca în procesul de testare unui sistem informatic să fie cerută întotdeauna și opinia avocaților/consilierilor juridici. Tehnicul și juridicul trebuie să facă echipă. Nu există altă soluție.

În decembrie am ținut o prezentare la Camera de Comerț despre cum esența implementării GDPR o reprezintă comunicarea eficientă dintre IT și Juridic. Am propus cu entuziasm soluții pentru depășirea barierelor dintre tehnic și juridic și mă bucur că am anticipat bine la vremea respectivă.

Recomandări practice pentru a evita amenda

  1. Cum sarcina implementării GDPR revine operatorului, recomand companiilor să adopte rezerve în privința propunerilor de genul: „Externalizează! Ne ocupăm noi de tot!”
  2. Responsabilizarea echipa pentru deschidere față de schimbare și înțelegerea normelor GDPR.
  3. Întocmirea procedurilor și politicilor necesare (documentația GDPR). Aș recomanda companiilor să cumpere resurse și kituri de implementare din surse de încredere.
  4. Implementarea tehnică, juridică și organizatorică a procedurilor scrise.
  5. Verificarea conformității cu GDPR a fiecărui proces de business și efectuarea modificărilor necesare.
  6. Verificarea conformității cu GDPR a oricărui nou sistem informatic, încă din faza de proiect.
  7. Dacă compania nu are resurse interne, ajutorul ar trebui cerut unui consultant GDPR cu expertiză.
  8. Verificarea și actualizarea periodică a procedurilor și politicilor GDPR.
  9. Companiile ar trebui să înțeleagă că GDPR nu este un dosar pe care îl inchizi într-un sertar. Procedurile scrise și implementate ieri vor trebuie actualizate la realitatea de azi. Eu aș recomanda cel puțin de două ori pe an.

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.

Poți intra în legătură cu Ruxandra Sava pe LinkedIn.

 

 


Dezmoștenirea-în-Codul-Civil-3.png

Dreptul de a fi uitat sau dreptul la ștergerea datelor

GDPR introduce dreptul persoanelor fizice de a fi uitat sau de a  șterge datele cu caracter personal.

  • Dreptul la ștergere este, de asemenea, cunoscut ca “dreptul de a fi uitat”.
  • Persoanele fizice pot face o cerere de ștergere verbală sau în scris.
  • Aveți la dispoziție o lună să răspundeți la solicitare.
  • Dreptul nu este absolut și se aplică numai în anumite circumstanțe.
  • Acest drept nu este singurul mod în care GDPR vă obligă să vă hotărâți să ștergeți datele cu caracter personal.

Listă de verificare

Cum ne pregătim?

  • Știm cum să recunoaștem o cerere de ștergere și înțelegem când se aplică dreptul.
  • Avem o procedură pentru a ști concret cum să identificăm și cum să răspundem la o cerere de ștergere.
  • Avem un registru unde înregistrăm cererile. 
  • Înțelegem când putem refuza o cerere și suntem conștienți de informațiile pe care trebuie să le furnizăm persoanelor atunci când facem acest lucru.

Cum răspundem?

  • Există procese prin care ne asigurăm că răspundem la o cerere de ștergere fără întârzieri nejustificate și în termen de o lună de la primire.
  • Suntem conștienți de circumstanțele în care putem prelungi termenul pentru a răspunde la o solicitare.
  • Înțelegem că se pune un accent deosebit pe dreptul de a fi uitat dacă cererea se referă la datele colectate de la copii.
  • Avem proceduri pentru a informa destinatarii dacă ștergem orice date pe care le-am împărtășit cu ei.
  • Avem metode adecvate pentru a șterge informațiile.

 

 

Ce reprezintă dreptul de a fi uitat?

În conformitate cu articolul 17 din GDPR, persoanele fizice au dreptul de a șterge datele cu caracter personal. Acest lucru este, de asemenea, cunoscut ca “dreptul de a fi uitat”. Dreptul nu este absolut și se aplică doar în anumite circumstanțe.

 

Când se aplică dreptul de a fi uitat?

Persoanele fizice au dreptul de a șterge datele lor personale dacă:

  • datele nu mai sunt necesare pentru scopul pentru care le-ați colectat sau le-ați prelucrat inițial;
  • vă bazați pe consimțământ ca temei legal pentru păstrarea datelor și persoana își retrage consimțământul;
  • vă bazați pe interesul legitim ca temei pentru prelucrare, iar persoana obiectează la prelucrarea datelor și nu există niciun interes legitim pentru a continua această prelucrare;
  • prelucrați datele personale în scopuri de marketing direct și persoana obiectează la prelucrarea respectivă;
  • ați prelucrat datele cu caracter personal în mod ilegal;
  • trebuie să faceți acest lucru pentru a respecta o obligație legală; sau ați prelucrat datele pentru a oferi unui copil servicii ale societății informaționale.

 

Cum se aplică dreptul de ștergere datelor colectate de la copii?

Se pune accent pe dreptul de a șterge datele cu caracter personal dacă cererea se referă la datele colectate de la copii. Aceasta reflectă protecția sporită a informațiilor copiilor, în special în mediul online, în cadrul GDPR.

Prin urmare, dacă prelucrați datele colectate de la copii, trebuie să acordați o importanță deosebită oricărei solicitări de ștergere, dacă prelucrarea datelor se bazează pe consimțământul dat de un copil – în special orice prelucrare a datelor personale pe internet. Acest lucru este valabil și în cazul în care persoana vizată nu mai este copil, deoarece este posibil ca un copil să nu fi fost pe deplin conștient de riscurile implicate de prelucrare în momentul acordării consimțământului.

 

Te-ar putea interesa și: 

 

Trebuie să înștiințăm celelalte organizații despre ștergerea datelor cu caracter personal?

GDPR specifică două situații în care trebuie să comunicați altor organizații ștergerea datelor cu caracter personal:

  • datele cu caracter personal au fost divulgate; sau
  • datele personale au fost făcute publice într-un mediu online (de exemplu, pe rețelele sociale,forumuri sau site-uri web).

Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare destinatar și să îl informați despre ștergere, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.

GDPR definește un beneficiar ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia i se dezvăluie datele cu caracter personal. Definiția include operatoii, persoanele împuternicite și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite sunt autorizate să prelucreze date cu caracter personal.

În cazul în care datele cu caracter personal au fost făcute publice într-un mediu online, ar trebui luate măsuri rezonabile pentru a informa alți operatori care prelucrează datele cu caracter personal pentru a șterge legăturile, copiile sau replicarea acestor date. Atunci când decideți ce măsuri sunt rezonabile, trebuie să țineți cont de tehnologia disponibilă și costul implementării.

KIT GDPR Premium

 

Trebuie să ștergem datele personale din sistemele backup?

Dacă se primește o solicitare valabilă de ștergere și nu se aplică nicio excepție, va trebui să luați măsuri pentru a asigura ștergerea din sistemele backup, precum și din sistemele live. Acești pași vor depinde de circumstanțele dvs. specifice, de programul dvs. de stocare (în special în contextul copierii de rezervă) și de mecanismele tehnice disponibile.

Trebuie să fiți absolut clari când înștiințați persoanele cu privire la ce se va întâmpla cu datele lor atunci când cererea lor de ștergere este îndeplinită, inclusiv în ceea ce privește sistemele backup. Este posibil ca cererea de ștergere să poată fi îndeplinită instantaneu în ceea ce privește sistemele live, dar ca datele să rămână în backup pentru o anumită perioadă de timp, până când va fi suprascris.

Problema cheie este de a pune datele de rezervă “dincolo de utilizare”, chiar dacă nu pot fi suprascrise imediat. Trebuie să vă asigurați că nu utilizați datele din copia de rezervă pentru niciun alt scop, ceea ce înseamnă că backup-ul este pur și simplu ținut pe sistemele dvs. până când este înlocuit în conformitate cu un program stabilit. Cu toate acestea, este puțin probabil ca păstrarea datelor cu caracter personal în rezervă să reprezinte un risc semnificativ, deși acest lucru va fi specific contextului.

 

 

 

Când nu se aplică dreptul de a fi uitat?

Dreptul de a fi uitat nu se aplică în cazul în care prelucrarea este necesară pentru persoana vizată în următoarele situații:

  • când exercită dreptul la libertatea de exprimare și de informare;
  • când trebuie să respecte o obligație legală;
  • pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității publice;
  • pentru scopuri de arhivare în interes public, cercetare științifică istorică sau scopuri statistice, în cazul în care ștergerea este de natură să facă imposibilă sau să afecteze în mod grav realizarea prelucrării respective; sau
  • pentru stabilirea, exercitarea sau apărarea unui drept în instanță

De asemenea, GDPR specifică două situații în care dreptul de a fi uitat nu se aplică datelor de categorie specială:

  • dacă prelucrarea este necesară în scopuri de sănătate publică în interesul public (de exemplu, protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau dispozitivelor medicale); sau
  • în cazul în care prelucrarea este necesară în scopurile medicinii preventive sau profesionale (de exemplu, în cazul în care prelucrarea este necesară pentru capacitatea de muncă a unui angajat, pentru diagnosticul medical, pentru furnizarea de asistență medicală sau socială sau pentru gestionarea sănătății sau sociale sisteme sau servicii de îngrijire). Aceasta se aplică numai în cazul în care datele sunt prelucrate de către sau sub responsabilitatea unui profesionist care face obiectul unei obligații legale privind secretul profesional (de exemplu, un profesionist în domeniul sănătății).

 

Te-ar putea interesa si:

 

Putem refuza să ne conformăm unei cereri din alte motive?

Puteți refuza să vă conformați unei solicitări de ștergere dacă este vădit nefondată sau excesivă, luând în considerare dacă cererea are un caracter repetitiv.

Dacă considerați că o cerere este vădit nefondată sau excesivă, puteți să:

  • solicitați o “taxă rezonabilă” pentru a răspunde cererii; sau
  • refuza să răspundeți la cerere.

În ambele cazuri, va trebui să vă justificați decizia.

 

Ce ar trebui să facem dacă refuzăm să dăm curs unei cereri de ștergere?

Trebuie să informați persoana respectivă fără întârzieri nejustificate și în termen de o lună de la primirea cererii.

Trebuie să informați persoana despre:

  • motivele pentru care nu acționați;
  • dreptul lor de a adresa o plângere autorității de supraveghere și posibilitatea de a-și exercita acest drept printr-o cale de atac judecătorească.

De asemenea, trebuie să furnizați aceste informații dacă solicitați o taxă rezonabilă sau aveți nevoie de informații suplimentare pentru a identifica persoana respectivă.

 

Sursa aici

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Talk-to-Buyers-2-1200x750.jpg

Ca urmare a sesizării primite de la o persoană fizică, care a semnalat posibile încălcări ale legislației privind protecția datelor cu caracter personal, prin postările realizate de Rise Project în spațiul public, în temeiul competențelor legale de monitorizare și control ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, au fost solicitate informații referitoare la situația semnalată, de la operatorul respectiv.

In sesizarea primită se precizează că au fost postate în mediul online de către Rise Project o multitudine de date cu caracter personal ale unor persoane private și publice, solicitându-se verificarea respectării reglementărilor legale în vigoare din domeniul prelucrării datelor personale.

În acest context, subliniem că, întrucât însăși postarea publicată de Rise Project a indicat sursa obținerii acestora, respectiv ”o valiză cu informații esențiale (…) a fost găsită în zona rurală din Teleorman”, apreciem că informațiile solicitate prin adresa Autorității de Supraveghere nu sunt de natură să încalce secretul profesional al jurnaliștilor.

In același timp, evidențiem că, in Cauza Alkaya contra Turciei (cererea nr. 42811/06), Curtea Europeană a Drepturilor Omului a constatat încălcarea articolului 8 al Convenţiei Europene a Drepturilor Omului (dreptul la respectul vieţii private şi de familie) de către un cotidian național. Cauza vizase dezvăluirea de către presă a adresei domiciliului unei actriţe din Turcia, al cărei apartament fusese jefuit.

CEDO  a statuat că opţiunea locuinţei este o chestiune fundamental privată, iar exerciţiul liber al acestei alegeri este parte integrantă a sferei autonomiei personale protejate de articolul 8 al Convenției.

CEDO a trebuit astfel să determine dacă statul a administrat un just echilibru între dreptul reclamantei la protejarea vietii sale private și dreptul jurnaliștilor de la un cotidian la libertatea de exprimare, protejat de art. 10 din Convenție, iar în hotărârea pronunțată a constatat încălcarea vieții private a persoanei respective (incalcarea art. 8 al Convenției europene a drepturilor omului).

În acest context, menționăm faptul că, în prezent, în România nu există în vigoare o lege a presei.

 

 

 

Ca atare, reiterăm aspectele evidențiate în comunicatul de presă din data de 9.11.2018, postat pe site-ul ANSPDCP(http://www.dataprotection.ro/?page=Clarificari_referitoare_la_sesizarea_primita_de_ANSPDCP_in_cazul_Rise_Project&lang=ro), în sensul că:

Solicitarea de informații adresată Rise Project s-a realizat în temeiul competențelor de control ale institutiei noastre, stabilite de art. 57 alin. (1) lit. f) și h) și art. 58 alin. (1) și (2) din Regulamentul (UE) nr. 2016/679, de art. 14din Legea nr. 102/2005, cu modificările și completările ulterioare, de Legea nr. 190/2018, raportat și la necesitatea asigurării echilibrului între dreptul la protecţia datelor cu caracter personal şi dreptul la libertatea de exprimare (inclusiv prelucrarea în scopuri jurnalistice), prevăzut la art. 85 din RGPD, precum și având în vedere jurisprudența CEDO în domeniu.

Autoritatea de Supraveghere, în considerarea rolului său de garant al dreptului la viață privată și a dreptului la protecția datelor personale s-a exprimat și a actionat în mod constant, înca de la inființare, în anul 2005, în sensul asigurării unui echilibru între dreptul la protecția datelor cu caracter personal, libertatea de exprimare și dreptul la informație.

În acest context, Autoritatea de Supraveghere precizează în mod ferm că demersurile sale se înscriu exclusiv în sfera atribuțiilor legale, fără a aduce atingere libertății presei și fără a interfera în vreun fel cu exercitarea competențelor și atribuțiilor legale ale altor instituții ale statului.

ANSPDCP

 

 


Copy-of-Câteva-sute-de-companii-din-România-au-ales-să-implementeze-GDPR-inteligent-7-1200x675.png

Investigații GDPR. 10 Lucruri pe care trebuie să le știi despre controalele GDPR.

Nota Ruxandrei Sava, CIPP/E

Dragă cititorule, 

Eu știu că timpul este important pentru tine, așadar, prin acest articol mi-am propus să îți prezint, într-un limbaj simplu și ușor de înțeles, lucrurile care te interesează cu adevărat despre modalitatea în care se vor desfășura investigațiile GDPR.

Îți mulțumesc pentru aprecierile tale,

Ruxandra Sava,

CIPP/E

 

Descarcă procedura desfășurării investigației GDPR de aici

 

1.Investigații GDPR. Cine le desfășoară?

Investigațiile GDPR sunt desfășurate de către ANSPDCP (Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal), prin personalul său de control.

2. Cum pot ajunge să fiu investigat de ANSPDCP?

Există două căi prin care ANSPDCP poate decide să efectueze un control cu privire la conformitatea activităților tale de prelucrare a datelor cu caracter personal, și anume:

  • a fost depusă o plângere;

Cu alte cuvinte, atunci când o persoană fizică, nemulțumită de felul în care i se prelucrează datele, depune o plângere împotriva ta, ANSPDCP, în situația în care constată că respectiva plângere este întemeiată, va decide efectuarea unei investigații. De aceea este foarte important să ne asigurăm că respectăm drepturile tuturor persoanelor vizate.

Mai multe despre drepturile persoanei vizate poți citi aici:

Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

Dreptul la opoziție al persoanei vizate

Dreptul la restricționarea prelucrării

Dreptul la portabilitatea datelor 

Dreptul la rectificare al persoanei vizate

De asemenea, proceduri pentru asigurarea respectării drepturilor persoanelor vizate găsești aici.

  • ANSPDCP s-a sesizat din oficiu

Mai exact, chiar în absența unei plângeri, ANSPDCP poate desfășura o investigație în firma ta atunci când a obținut date și informații (art. 5 din Decizie) din surse cum ar fi:

– corespondenţa primită de ANSPDCP;

– mass-media;

– accesarea reţelei de internet;

De exemplu, ANSPDCP poate intra pe site-ul tău și descoperi faptul că nu ai implementat cerințele obligatorii, precum informarea utilizatorilor privind modulele cookie, acordul pentru marketing sau informarea vizitatorilor privind prelucrarea datelor cu caracter personal. Acest lucru poate da naștere unei investigații GDPR.

De exemplu, în anii trecuți, ANSPDCP a amendat diverse companii care dețineau site-uri și acestea nu aveau implementate procedurile GDPR. Potrivit statisticilor, cele mai multe amenzi s-au luat pentru nerespectarea obligației de informare, aceasta fiind și cel mai ușor de verificat. Află aici  cum trebuie să faci ca informarea să corespundă standardelor GDPR.

-documentele de constatare întocmite în urma efectuării altor investigaţii GDPR sau alte documente de la nivelul ANSPDCP;

De exemplu, dacă ANSPDCP desfășoară un control la un partener comercial este posibil să ajungă, pe acestă cale, și la tine.

-activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate

-alte surse.

Decizia nu menționează celelalte surse, lăsând a se înțelege că ANSPDCP are libertatea de a culegere informațiile de oriunde 🙂


3. Voi înștiințat cu privire la investigație?

Da și nu. Depinde. Potrivit Deciziei, investigaţiile pot fi efectuate cu înştiinţarea ta sau se pot desfăşura inopinat, fără anunţarea în prealabil.

4. Cum se desfășoara investigația? Se deplasează la mine, mă duc la ei la sediu sau în scris?

Potrivit Deciziei, investigațiile se pot desfășura:

-pe teren;

Decizia prevede, printre altele, că inspectorii ANSPDCP:

  • se deplasează la sediul  sediul/domiciliul/punctul de lucru sau alte locaţii;
  • prezintă legitimația de control;
  • prezintă obiectivele investigației;
  • verifică aspectele ce au legătură cu obiectivul investigației;
  • verifică orice document, echipament, mijloc sau suport de stocare a datelor;
  • ridică documentelor, în copie certificată de către entitatea controlată, sau a înregistrărilor relevante care au legătură cu obiectul controlului şi anexarea acestora
    la procesul-verbal de constatare/sancţionare;
  • întocmirea procesului-verbal de constatare/sancţionare;
  • aplicarea sancţiunii amenzii în situaţia în care cuantumul acesteia nu depăşeşte echivalentul în lei al sumei de 300.000 euro. Amenzile mai mari de 300.000 euro se dau de președintele ANSPDCP;
  •  înmânează o copie procesului-verbal de constatare/sancţionare.

Sfat: Asigură-te că ai dosarul cu proceduri GDPR, semnat de conducere și de personal și pus în ordine. Cum ar putea organizație care nu e în stare să își țină în ordine politicile și procedurile GDPR, să protejeze datele cu caracter personal? Dacă nu ai procedurile, le găsești aici.

Ce se întâmplă dacă împiedic accesul personalului de control?

În situaţia în care personalul de control este împiedicat în orice mod în exercitarea atribuţiilor, ANSPDCP poate solicita autorizarea judiciară, dată prin încheiere de către preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta, în condiţiile legii.

Ar mai trebui să știi că, în toate situaţiile investigaţia nu poate începe înainte de ora 8,00 şi nu poate continua după ora 18,00 şi trebuie efectuată în prezenţa persoanei la care se efectuează investigaţia sau a reprezentantului său. Investigaţia poate continua şi după ora 18,00 numai cu acordul persoanei la care se efectuează aceasta sau a reprezentantului său.

De asemenea,  personalul de control poate audia persoanele ale căror declaraţii sunt considerate relevante şi necesare desfăşurării investigaţiei. Audierea se consemnează într-o notă de audiere.

În cadrul efectuării investigaţiilor, personalul de control poate propune printr-o notă, avizată/semnată de şeful ierarhic şi aprobată de preşedintele ANSPDCP/înlocuitorul acestuia, efectuarea de expertize, în condiţiile legii. De exemplu, în situația în care este nevoie de o expertiză informatică.

-la sediul ANSPDCP;

Investigațiile GDPR mai pot fi desfășurate și la sediul ANSPDCP. În acest sens, primești o adresă de convocare cu precizarea datei şi orei de începere a investigaţiei GDPR la sediul ANSPDCP. În adresă se menţionează obligaţia de a te prezenta la sediul ANSPDCP, după caz, cu documente, înregistrări relevante, echipamente informatice (dacă e cazul), actele de identitate ale reprezentantului legal/persoanei împuternicite şi ale entităţii controlate, inclusiv cu ştampila în cazul autorităţilor publice şi registrul de control, dacă este cazul.

-în scris

Întrucât este modalitatea cea mai puțin costisitoare, va fi probabil cea preferată de ANSPDCP. În acest sens, primești o adresă prin care ți se solicită ca într-un anumit termen să comunici informațiile și documentele necesare. În funcție de informațiile și documentele primite, se poate decide continuarea investigației în scris sau pe teren, sau se poate decide finalizarea investigaţiei prin încheierea procesului-verbal de constatare/sancţionare la sediul ANSPDCP.

KIT GDPR Premium

 

5. Ce obligații am în eventualitatea unei investigații GDPR?

În cadrul investigaţiei, ai, în principal, următoarele obligaţii:

a)să permiți inespectorilor să înceapă și să deruleze investigația, fără a-i stânjeni în vreun fel;
b)să asiguri accesul personalului de control orice echipament, mijloc sau suport de prelucrare/stocare a datelor;
c)să pui la dispoziţia personalului de control orice informaţii şi documente indiferent de suportul de stocare, necesare desfăşurării investigaţiei, inclusiv copii de pe acestea;
d)să pui la dispoziţia ANSPDCP documentele solicitate, certificate pentru conformitate cu originalul;
e)să furnizezi într-o formă completă documentele, informaţiile, înregistrările şi evidenţele solicitate, precum şi orice lămuriri necesare, fără a putea opune caracterul
confidenţial al acestora, în condiţiile legii;
f)să permiți personalului de control utilizarea echipamentelor de înregistrare şi stocare audiovideo/foto ori de câte ori echipa de control consideră că este necesar în cadrul derulării activităţii de control.

 

Te-ar putea interesa și cursul nostru online care te va învața cum să implementezi corect GDPR. 

 

6. Ce sancțiuni pot primi? 

Sancțiunile principale sunt avertismentul sau amenda.

Atunci când se decide dacă se va impune o amendă și dacă da, cuantumul acesteia, se iau în calcul următoarele aspecte:

  • gravitatea încălcării;
  • dacă încălcarea a fost comisă intenționat sau din culpă;
  • acțiunile întreprinse de tine pentru pentru a reduce prejuciul;
  • gradul de responsabilitate, ținându-se seama de măsurile tehnice și organizatorice implementate, precum politici de securitate, proceduri pentru respectarea drepturilor, transferuri de date, managementul incidentelor de securitate etc. Măsurile care ar trebui să existe se găsesc aici.
  • încălcările anterioare;
  • gradul de cooperare cu ANSPDCP;
  • categoriile de date afectate, dacă este vorba de date obișnuite sau date sensibile;
  • orice alt factor agravant sau atenuat.

Sfat: Așa cum orice suspect în cazul unui investigații penale (vinovat sau nevinovat) ar trebui să își ia un avocat ca să îl apere, poate nu ar fi o idee rea să apelezi la un avocat cu experiență care să te apere pe parcursul investigației. Pe noi ne găsești aici 

7. Ce trebuie să conțină procesul-verbal?

Sub sancțiunea nulității absolute, procesul-verbal emis în urma unei investigații GDPR trebuie să conțină:

a) data şi locul încheierii procesului-verbal de constatare/sancţionare;
b) datele de identificare şi funcţiile membrilor echipei de control, inclusiv numărul legitimaţiei de control;
c) numărul şi data deciziei de împuternicire emise de preşedintele ANSPDCP şi, după caz, numărul şi data împuternicirii pentru investigaţiile efectuate pe teren şi neanunţate în prealabil în scris;
d) obiectul controlului;
e) datele de identificare ale entităţii controlate;
f) datele de identificare şi funcţiile reprezentanţilor entităţii controlate;
g) constatările rezultate în urma verificărilor efectuate;
h) descrierea faptei contravenţionale, cu indicarea datei şi locului în care a fost săvârşită fapta, a împrejurărilor ce pot servi la aprecierea gravităţii faptei şi, eventual, a pagubelor, a actului normativ prin care se stabileşte şi se sancţionează contravenţia, precum şi a măsurilor corective şi/sau a sancţiunii aplicate, dacă este cazul;
i) termenul de exercitare a căii de atac şi instanţa la care se depune plângerea, în cazul aplicării unei sancţiuni contravenţionale;
j) dacă s-au ridicat documente sau alte materiale, felul şi natura acestora;
k) dacă reprezentanţii entităţii controlate, care au participat la activitatea de control, au refuzat să consemneze obiecţiunile cu privire la conţinutul procesului-verbal de constatare/sancţionare, după ce le-a fost adus la cunoştinţă acest drept;
l) menţiuni privind înmânarea/comunicarea procesului-verbal de constatare/sancţionare, în copie, reprezentanţilor entităţii controlate;
m) motivele pentru care reprezentanţii entităţii controlate nu au semnat procesul-verbal de constatare/sancţionare, cu indicarea datelor de identificare a martorului care atestă motivele nesemnării procesului-verbal, în cazul în care acesta există, sau a motivelor care au condus la întocmirea procesului-verbal în lipsa unui martor.

 

Te-ar putea interesa și: 

 

8. Cum pot ataca în justiție procesul – verbal?

În termen de 15 zile de la data înmânării sau comunicării procesului-verbal emis în urma unei investigații GDPR, poți introduce contestație la Secția de contencios administrativ a tribunalului competent.

9. Ce se întâmplă dacă nu achit amenda în 15 zile?

Dacă nu faci dovada achitării amenzii în termen de 15 zile de la data înmânării sau comunicării procesului-verbal, vei fi executat silit de către organele de executare silită potrivit legii.

10. Pot fi amendat doar prin proces-verbal?

Nu. Dacă amenda este mai mică de 300.000 EURO, atunci aplicarea amenzii în urma unei investigații GDPR se va face prin procesul verbal încheiat de către inspectori.

Dacă amenda este mai mare de 300.ooo EURO, aplicarea amenzii în urma unei investigații GDPR se va face de către președintele ANSPDPC, prin Decizie, pe baza procesului-vernal încheiat de către inspectori.

De asemenea se poate dispune aplicarea unei amenzi cominatorii de până la 3.000 lei pentru fiecare zi de întârziere, în cazul în care nu te conformezi respectării măsurilor corective aplicate în urma unei investigații GDPR sau refuzi să pui la dispoziție documentele și informațiile solicitate.

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Saas-AI_Lead-1200x675.jpg

În luna decembrie 2015, reprezentanţii  Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal au efectuat o investigaţie din oficiu la Primăria municipiului Timişoara.

În urma controlului, s-a constatat săvârşirea următoarelor fapte:

1. Omisiunea de a notifica și notificarea cu rea-credință, prevăzută de art. 31 din Legea nr. 677/2001, sub forma omisiunii de a notifica, întrucât Primăria Municipiului Timişoara deşi a început, încă din anul 2009, să utilizeze sistemul de pontare electronică a angajaţilor pe baza datelor biometrice, nu a notificat anterior începerii prelucrării datelor biometrice ale angajaților, conform obligaţiilor prevăzute de art. 22 alin. (1) din Legea nr. 677/2001 şi art. 1 alin. (1) lit. a) şi art. 2  din Decizia preşedintelui ANSPDCP nr. 11/2009;

2. Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara nu a realizat informarea persoanelor vizate, potrivit prevederilor art. 12 alin. (1) din Legea nr. 677/2001, pentru prelucrările efectuate în scopul pontării electronice a angajaţilor pe bază de amprente digitale;

3. Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara a prelucrat date biometrice în mod excesiv faţă de scopul prelucrării (pontarea timpului de lucru al angajaţilor), în condiţiile în care puteau fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive, încălcându-se astfel art. 4 alin. 1 lit c) din Legea nr. 677/2001;

4. Neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate, prevăzută de art. 33 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara nu a adoptat suficiente măsuri de confidențialitate și securitate a datelor prelucrate (date biometrice), conform art. 19 și 20 din Legea nr. 677/2001.

Pentru faptele constatate, s-au aplicat următoarele sancţiuni:

Amendă în cuantum de 2000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 31 din Legea nr. 677/2001, în temeiul art. 35 din Legea nr. 677/2001,

Amendă în cuantum de 3000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 32 din Legea nr. 677/2001, raportat la art. 12 alin. din Legea nr. 677/2001,

Amendă în cuantum de 6000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 32 din Legea nr. 677/2001, raportat la art. 4 alin. 1 lit c) din Legea nr. 677/2001, Amendă în cuantum de 7000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 33 din Legea nr. 677/2001.

În consecinţă, Autoritatea naţională de supraveghere a sancţionat Primăria municipiului Timişoara cu amendă contravenţională în cuantum total de 18.000 RON.

 

În acest context, subliniem că instanțele judecătoreşti au confirmat constant abordarea Autorității de Supraveghere în sensul că prelucrarea datelor personale (amprente) angajaților nu se poate realiza decât pe baza unei analize temeinice privind necesitatea şi proporţionalitatea unor astfel de măsuri, iar angajatorul trebuie să identifice soluţii alternative care să aibă un impact mai redus asupra vieţii private a salariaţilor.

Raportat la acest aspect, în jurisprudenţa Curţii Europene a Drepturilor Omului referitoare la art. 8 din Convenţia pentru apărarea drepturilor omului şi libertăţilor fundamentale (dreptul la respectarea vieții private și de familie) instanța europeană a statuat faptul că protecţia oferită de acest articol ar fi diminuată în mod inacceptabil dacă folosirea de tehnici ştiinţifice moderne ar fi permisă cu orice preţ şi fără realizarea unui echilibru între beneficiile folosirii extensive a acestor tehnici şi interesele importante legate de viaţa privată (Cauza S. şi M. Marper contra Regatului Unit).

 


arhive-anspdcp-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord