Aici descoperim
dreptul tehnologiei

Dezmoștenirea-în-Codul-Civil-3.png

Dreptul de a fi uitat sau dreptul la ștergerea datelor

GDPR introduce dreptul persoanelor fizice de a fi uitat sau de a  șterge datele cu caracter personal.

  • Dreptul la ștergere este, de asemenea, cunoscut ca “dreptul de a fi uitat”.
  • Persoanele fizice pot face o cerere de ștergere verbală sau în scris.
  • Aveți la dispoziție o lună să răspundeți la solicitare.
  • Dreptul nu este absolut și se aplică numai în anumite circumstanțe.
  • Acest drept nu este singurul mod în care GDPR vă obligă să vă hotărâți să ștergeți datele cu caracter personal.

Listă de verificare

Cum ne pregătim?

  • Știm cum să recunoaștem o cerere de ștergere și înțelegem când se aplică dreptul.
  • Avem o procedură pentru a ști concret cum să identificăm și cum să răspundem la o cerere de ștergere.
  • Avem un registru unde înregistrăm cererile. 
  • Înțelegem când putem refuza o cerere și suntem conștienți de informațiile pe care trebuie să le furnizăm persoanelor atunci când facem acest lucru.

Cum răspundem?

  • Există procese prin care ne asigurăm că răspundem la o cerere de ștergere fără întârzieri nejustificate și în termen de o lună de la primire.
  • Suntem conștienți de circumstanțele în care putem prelungi termenul pentru a răspunde la o solicitare.
  • Înțelegem că se pune un accent deosebit pe dreptul de a fi uitat dacă cererea se referă la datele colectate de la copii.
  • Avem proceduri pentru a informa destinatarii dacă ștergem orice date pe care le-am împărtășit cu ei.
  • Avem metode adecvate pentru a șterge informațiile.

 

 

Ce reprezintă dreptul de a fi uitat?

În conformitate cu articolul 17 din GDPR, persoanele fizice au dreptul de a șterge datele cu caracter personal. Acest lucru este, de asemenea, cunoscut ca “dreptul de a fi uitat”. Dreptul nu este absolut și se aplică doar în anumite circumstanțe.

 

Când se aplică dreptul de a fi uitat?

Persoanele fizice au dreptul de a șterge datele lor personale dacă:

  • datele nu mai sunt necesare pentru scopul pentru care le-ați colectat sau le-ați prelucrat inițial;
  • vă bazați pe consimțământ ca temei legal pentru păstrarea datelor și persoana își retrage consimțământul;
  • vă bazați pe interesul legitim ca temei pentru prelucrare, iar persoana obiectează la prelucrarea datelor și nu există niciun interes legitim pentru a continua această prelucrare;
  • prelucrați datele personale în scopuri de marketing direct și persoana obiectează la prelucrarea respectivă;
  • ați prelucrat datele cu caracter personal în mod ilegal;
  • trebuie să faceți acest lucru pentru a respecta o obligație legală; sau ați prelucrat datele pentru a oferi unui copil servicii ale societății informaționale.

 

Cum se aplică dreptul de ștergere datelor colectate de la copii?

Se pune accent pe dreptul de a șterge datele cu caracter personal dacă cererea se referă la datele colectate de la copii. Aceasta reflectă protecția sporită a informațiilor copiilor, în special în mediul online, în cadrul GDPR.

Prin urmare, dacă prelucrați datele colectate de la copii, trebuie să acordați o importanță deosebită oricărei solicitări de ștergere, dacă prelucrarea datelor se bazează pe consimțământul dat de un copil – în special orice prelucrare a datelor personale pe internet. Acest lucru este valabil și în cazul în care persoana vizată nu mai este copil, deoarece este posibil ca un copil să nu fi fost pe deplin conștient de riscurile implicate de prelucrare în momentul acordării consimțământului.

 

Te-ar putea interesa și: 

 

Trebuie să înștiințăm celelalte organizații despre ștergerea datelor cu caracter personal?

GDPR specifică două situații în care trebuie să comunicați altor organizații ștergerea datelor cu caracter personal:

  • datele cu caracter personal au fost divulgate; sau
  • datele personale au fost făcute publice într-un mediu online (de exemplu, pe rețelele sociale,forumuri sau site-uri web).

Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare destinatar și să îl informați despre ștergere, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.

GDPR definește un beneficiar ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia i se dezvăluie datele cu caracter personal. Definiția include operatoii, persoanele împuternicite și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite sunt autorizate să prelucreze date cu caracter personal.

În cazul în care datele cu caracter personal au fost făcute publice într-un mediu online, ar trebui luate măsuri rezonabile pentru a informa alți operatori care prelucrează datele cu caracter personal pentru a șterge legăturile, copiile sau replicarea acestor date. Atunci când decideți ce măsuri sunt rezonabile, trebuie să țineți cont de tehnologia disponibilă și costul implementării.

 

Trebuie să ștergem datele personale din sistemele backup?

Dacă se primește o solicitare valabilă de ștergere și nu se aplică nicio excepție, va trebui să luați măsuri pentru a asigura ștergerea din sistemele backup, precum și din sistemele live. Acești pași vor depinde de circumstanțele dvs. specifice, de programul dvs. de stocare (în special în contextul copierii de rezervă) și de mecanismele tehnice disponibile.

Trebuie să fiți absolut clari când înștiințați persoanele cu privire la ce se va întâmpla cu datele lor atunci când cererea lor de ștergere este îndeplinită, inclusiv în ceea ce privește sistemele backup. Este posibil ca cererea de ștergere să poată fi îndeplinită instantaneu în ceea ce privește sistemele live, dar ca datele să rămână în backup pentru o anumită perioadă de timp, până când va fi suprascris.

Problema cheie este de a pune datele de rezervă “dincolo de utilizare”, chiar dacă nu pot fi suprascrise imediat. Trebuie să vă asigurați că nu utilizați datele din copia de rezervă pentru niciun alt scop, ceea ce înseamnă că backup-ul este pur și simplu ținut pe sistemele dvs. până când este înlocuit în conformitate cu un program stabilit. Cu toate acestea, este puțin probabil ca păstrarea datelor cu caracter personal în rezervă să reprezinte un risc semnificativ, deși acest lucru va fi specific contextului.

 

 

 

Când nu se aplică dreptul de a fi uitat?

Dreptul de a fi uitat nu se aplică în cazul în care prelucrarea este necesară pentru persoana vizată în următoarele situații:

  • când exercită dreptul la libertatea de exprimare și de informare;
  • când trebuie să respecte o obligație legală;
  • pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității publice;
  • pentru scopuri de arhivare în interes public, cercetare științifică istorică sau scopuri statistice, în cazul în care ștergerea este de natură să facă imposibilă sau să afecteze în mod grav realizarea prelucrării respective; sau
  • pentru stabilirea, exercitarea sau apărarea unui drept în instanță

De asemenea, GDPR specifică două situații în care dreptul de a fi uitat nu se aplică datelor de categorie specială:

  • dacă prelucrarea este necesară în scopuri de sănătate publică în interesul public (de exemplu, protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau dispozitivelor medicale); sau
  • în cazul în care prelucrarea este necesară în scopurile medicinii preventive sau profesionale (de exemplu, în cazul în care prelucrarea este necesară pentru capacitatea de muncă a unui angajat, pentru diagnosticul medical, pentru furnizarea de asistență medicală sau socială sau pentru gestionarea sănătății sau sociale sisteme sau servicii de îngrijire). Aceasta se aplică numai în cazul în care datele sunt prelucrate de către sau sub responsabilitatea unui profesionist care face obiectul unei obligații legale privind secretul profesional (de exemplu, un profesionist în domeniul sănătății).

 

Te-ar putea interesa si:

 

Putem refuza să ne conformăm unei cereri din alte motive?

Puteți refuza să vă conformați unei solicitări de ștergere dacă este vădit nefondată sau excesivă, luând în considerare dacă cererea are un caracter repetitiv.

Dacă considerați că o cerere este vădit nefondată sau excesivă, puteți să:

  • solicitați o “taxă rezonabilă” pentru a răspunde cererii; sau
  • refuza să răspundeți la cerere.

În ambele cazuri, va trebui să vă justificați decizia.

 

Ce ar trebui să facem dacă refuzăm să dăm curs unei cereri de ștergere?

Trebuie să informați persoana respectivă fără întârzieri nejustificate și în termen de o lună de la primirea cererii.

Trebuie să informați persoana despre:

  • motivele pentru care nu acționați;
  • dreptul lor de a adresa o plângere autorității de supraveghere și posibilitatea de a-și exercita acest drept printr-o cale de atac judecătorească.

De asemenea, trebuie să furnizați aceste informații dacă solicitați o taxă rezonabilă sau aveți nevoie de informații suplimentare pentru a identifica persoana respectivă.

 

Sursa aici

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Talk-to-Buyers-2-1200x750.jpg

Ca urmare a sesizării primite de la o persoană fizică, care a semnalat posibile încălcări ale legislației privind protecția datelor cu caracter personal, prin postările realizate de Rise Project în spațiul public, în temeiul competențelor legale de monitorizare și control ale Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, au fost solicitate informații referitoare la situația semnalată, de la operatorul respectiv.

In sesizarea primită se precizează că au fost postate în mediul online de către Rise Project o multitudine de date cu caracter personal ale unor persoane private și publice, solicitându-se verificarea respectării reglementărilor legale în vigoare din domeniul prelucrării datelor personale.

În acest context, subliniem că, întrucât însăși postarea publicată de Rise Project a indicat sursa obținerii acestora, respectiv ”o valiză cu informații esențiale (…) a fost găsită în zona rurală din Teleorman”, apreciem că informațiile solicitate prin adresa Autorității de Supraveghere nu sunt de natură să încalce secretul profesional al jurnaliștilor.

In același timp, evidențiem că, in Cauza Alkaya contra Turciei (cererea nr. 42811/06), Curtea Europeană a Drepturilor Omului a constatat încălcarea articolului 8 al Convenţiei Europene a Drepturilor Omului (dreptul la respectul vieţii private şi de familie) de către un cotidian național. Cauza vizase dezvăluirea de către presă a adresei domiciliului unei actriţe din Turcia, al cărei apartament fusese jefuit.

CEDO  a statuat că opţiunea locuinţei este o chestiune fundamental privată, iar exerciţiul liber al acestei alegeri este parte integrantă a sferei autonomiei personale protejate de articolul 8 al Convenției.

CEDO a trebuit astfel să determine dacă statul a administrat un just echilibru între dreptul reclamantei la protejarea vietii sale private și dreptul jurnaliștilor de la un cotidian la libertatea de exprimare, protejat de art. 10 din Convenție, iar în hotărârea pronunțată a constatat încălcarea vieții private a persoanei respective (incalcarea art. 8 al Convenției europene a drepturilor omului).

În acest context, menționăm faptul că, în prezent, în România nu există în vigoare o lege a presei.

 

 

 

Ca atare, reiterăm aspectele evidențiate în comunicatul de presă din data de 9.11.2018, postat pe site-ul ANSPDCP(http://www.dataprotection.ro/?page=Clarificari_referitoare_la_sesizarea_primita_de_ANSPDCP_in_cazul_Rise_Project&lang=ro), în sensul că:

Solicitarea de informații adresată Rise Project s-a realizat în temeiul competențelor de control ale institutiei noastre, stabilite de art. 57 alin. (1) lit. f) și h) și art. 58 alin. (1) și (2) din Regulamentul (UE) nr. 2016/679, de art. 14din Legea nr. 102/2005, cu modificările și completările ulterioare, de Legea nr. 190/2018, raportat și la necesitatea asigurării echilibrului între dreptul la protecţia datelor cu caracter personal şi dreptul la libertatea de exprimare (inclusiv prelucrarea în scopuri jurnalistice), prevăzut la art. 85 din RGPD, precum și având în vedere jurisprudența CEDO în domeniu.

Autoritatea de Supraveghere, în considerarea rolului său de garant al dreptului la viață privată și a dreptului la protecția datelor personale s-a exprimat și a actionat în mod constant, înca de la inființare, în anul 2005, în sensul asigurării unui echilibru între dreptul la protecția datelor cu caracter personal, libertatea de exprimare și dreptul la informație.

În acest context, Autoritatea de Supraveghere precizează în mod ferm că demersurile sale se înscriu exclusiv în sfera atribuțiilor legale, fără a aduce atingere libertății presei și fără a interfera în vreun fel cu exercitarea competențelor și atribuțiilor legale ale altor instituții ale statului.

ANSPDCP

 

 


Copy-of-Câteva-sute-de-companii-din-România-au-ales-să-implementeze-GDPR-inteligent-7-1200x675.png

Investigații GDPR. 10 Lucruri pe care trebuie să le știi despre controalele GDPR.

Nota Ruxandrei Sava, CIPP/E

Dragă cititorule, 

Eu știu că timpul este important pentru tine, așadar, prin acest articol mi-am propus să îți prezint, într-un limbaj simplu și ușor de înțeles, lucrurile care te interesează cu adevărat despre modalitatea în care se vor desfășura investigațiile GDPR.

Îți mulțumesc pentru aprecierile tale,

Ruxandra Sava,

CIPP/E

 

Descarcă procedura desfășurării investigației GDPR de aici

 

1.Investigații GDPR. Cine le desfășoară?

Investigațiile GDPR sunt desfășurate de către ANSPDCP (Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal), prin personalul său de control.

2. Cum pot ajunge să fiu investigat de ANSPDCP?

Există două căi prin care ANSPDCP poate decide să efectueze un control cu privire la conformitatea activităților tale de prelucrare a datelor cu caracter personal, și anume:

  • a fost depusă o plângere;

Cu alte cuvinte, atunci când o persoană fizică, nemulțumită de felul în care i se prelucrează datele, depune o plângere împotriva ta, ANSPDCP, în situația în care constată că respectiva plângere este întemeiată, va decide efectuarea unei investigații. De aceea este foarte important să ne asigurăm că respectăm drepturile tuturor persoanelor vizate.

Mai multe despre drepturile persoanei vizate poți citi aici:

Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

Dreptul la opoziție al persoanei vizate

Dreptul la restricționarea prelucrării

Dreptul la portabilitatea datelor 

Dreptul la rectificare al persoanei vizate

De asemenea, proceduri pentru asigurarea respectării drepturilor persoanelor vizate găsești aici.

  • ANSPDCP s-a sesizat din oficiu

Mai exact, chiar în absența unei plângeri, ANSPDCP poate desfășura o investigație în firma ta atunci când a obținut date și informații (art. 5 din Decizie) din surse cum ar fi:

– corespondenţa primită de ANSPDCP;

– mass-media;

– accesarea reţelei de internet;

De exemplu, ANSPDCP poate intra pe site-ul tău și descoperi faptul că nu ai implementat cerințele obligatorii, precum informarea utilizatorilor privind modulele cookie, acordul pentru marketing sau informarea vizitatorilor privind prelucrarea datelor cu caracter personal. Acest lucru poate da naștere unei investigații GDPR.

De exemplu, în anii trecuți, ANSPDCP a amendat diverse companii care dețineau site-uri și acestea nu aveau implementate procedurile GDPR. Potrivit statisticilor, cele mai multe amenzi s-au luat pentru nerespectarea obligației de informare, aceasta fiind și cel mai ușor de verificat. Află aici  cum trebuie să faci ca informarea să corespundă standardelor GDPR.

-documentele de constatare întocmite în urma efectuării altor investigaţii GDPR sau alte documente de la nivelul ANSPDCP;

De exemplu, dacă ANSPDCP desfășoară un control la un partener comercial este posibil să ajungă, pe acestă cale, și la tine.

-activităţile de cooperare cu entităţi de drept public sau privat ori cu autorităţi de supraveghere din străinătate

-alte surse.

Decizia nu menționează celelalte surse, lăsând a se înțelege că ANSPDCP are libertatea de a culegere informațiile de oriunde 🙂

3. Voi înștiințat cu privire la investigație?

Da și nu. Depinde. Potrivit Deciziei, investigaţiile pot fi efectuate cu înştiinţarea ta sau se pot desfăşura inopinat, fără anunţarea în prealabil.

4. Cum se desfășoara investigația? Se deplasează la mine, mă duc la ei la sediu sau în scris?

Potrivit Deciziei, investigațiile se pot desfășura:

-pe teren;

Decizia prevede, printre altele, că inspectorii ANSPDCP:

  • se deplasează la sediul  sediul/domiciliul/punctul de lucru sau alte locaţii;
  • prezintă legitimația de control;
  • prezintă obiectivele investigației;
  • verifică aspectele ce au legătură cu obiectivul investigației;
  • verifică orice document, echipament, mijloc sau suport de stocare a datelor;
  • ridică documentelor, în copie certificată de către entitatea controlată, sau a înregistrărilor relevante care au legătură cu obiectul controlului şi anexarea acestora
    la procesul-verbal de constatare/sancţionare;
  • întocmirea procesului-verbal de constatare/sancţionare;
  • aplicarea sancţiunii amenzii în situaţia în care cuantumul acesteia nu depăşeşte echivalentul în lei al sumei de 300.000 euro. Amenzile mai mari de 300.000 euro se dau de președintele ANSPDCP;
  •  înmânează o copie procesului-verbal de constatare/sancţionare.

Sfat: Asigură-te că ai dosarul cu proceduri GDPR, semnat de conducere și de personal și pus în ordine. Cum ar putea organizație care nu e în stare să își țină în ordine politicile și procedurile GDPR, să protejeze datele cu caracter personal? Dacă nu ai procedurile, le găsești aici.

Ce se întâmplă dacă împiedic accesul personalului de control?

În situaţia în care personalul de control este împiedicat în orice mod în exercitarea atribuţiilor, ANSPDCP poate solicita autorizarea judiciară, dată prin încheiere de către preşedintele Curţii de Apel Bucureşti sau de către un judecător delegat de acesta, în condiţiile legii.

Ar mai trebui să știi că, în toate situaţiile investigaţia nu poate începe înainte de ora 8,00 şi nu poate continua după ora 18,00 şi trebuie efectuată în prezenţa persoanei la care se efectuează investigaţia sau a reprezentantului său. Investigaţia poate continua şi după ora 18,00 numai cu acordul persoanei la care se efectuează aceasta sau a reprezentantului său.

De asemenea,  personalul de control poate audia persoanele ale căror declaraţii sunt considerate relevante şi necesare desfăşurării investigaţiei. Audierea se consemnează într-o notă de audiere.

În cadrul efectuării investigaţiilor, personalul de control poate propune printr-o notă, avizată/semnată de şeful ierarhic şi aprobată de preşedintele ANSPDCP/înlocuitorul acestuia, efectuarea de expertize, în condiţiile legii. De exemplu, în situația în care este nevoie de o expertiză informatică.

-la sediul ANSPDCP;

Investigațiile GDPR mai pot fi desfășurate și la sediul ANSPDCP. În acest sens, primești o adresă de convocare cu precizarea datei şi orei de începere a investigaţiei GDPR la sediul ANSPDCP. În adresă se menţionează obligaţia de a te prezenta la sediul ANSPDCP, după caz, cu documente, înregistrări relevante, echipamente informatice (dacă e cazul), actele de identitate ale reprezentantului legal/persoanei împuternicite şi ale entităţii controlate, inclusiv cu ştampila în cazul autorităţilor publice şi registrul de control, dacă este cazul.

-în scris

Întrucât este modalitatea cea mai puțin costisitoare, va fi probabil cea preferată de ANSPDCP. În acest sens, primești o adresă prin care ți se solicită ca într-un anumit termen să comunici informațiile și documentele necesare. În funcție de informațiile și documentele primite, se poate decide continuarea investigației în scris sau pe teren, sau se poate decide finalizarea investigaţiei prin încheierea procesului-verbal de constatare/sancţionare la sediul ANSPDCP.

5. Ce obligații am în eventualitatea unei investigații GDPR?

În cadrul investigaţiei, ai, în principal, următoarele obligaţii:

a)să permiți inespectorilor să înceapă și să deruleze investigația, fără a-i stânjeni în vreun fel;
b)să asiguri accesul personalului de control orice echipament, mijloc sau suport de prelucrare/stocare a datelor;
c)să pui la dispoziţia personalului de control orice informaţii şi documente indiferent de suportul de stocare, necesare desfăşurării investigaţiei, inclusiv copii de pe acestea;
d)să pui la dispoziţia ANSPDCP documentele solicitate, certificate pentru conformitate cu originalul;
e)să furnizezi într-o formă completă documentele, informaţiile, înregistrările şi evidenţele solicitate, precum şi orice lămuriri necesare, fără a putea opune caracterul
confidenţial al acestora, în condiţiile legii;
f)să permiți personalului de control utilizarea echipamentelor de înregistrare şi stocare audiovideo/foto ori de câte ori echipa de control consideră că este necesar în cadrul derulării activităţii de control.

 

Te-ar putea interesa și cum să implementezi GDPR corect. 

 

6. Ce sancțiuni pot primi? 

Sancțiunile principale sunt avertismentul sau amenda.

Atunci când se decide dacă se va impune o amendă și dacă da, cuantumul acesteia, se iau în calcul următoarele aspecte:

  • gravitatea încălcării;
  • dacă încălcarea a fost comisă intenționat sau din culpă;
  • acțiunile întreprinse de tine pentru pentru a reduce prejuciul;
  • gradul de responsabilitate, ținându-se seama de măsurile tehnice și organizatorice implementate, precum politici de securitate, proceduri pentru respectarea drepturilor, transferuri de date, managementul incidentelor de securitate etc. Măsurile care ar trebui să existe se găsesc aici.
  • încălcările anterioare;
  • gradul de cooperare cu ANSPDCP;
  • categoriile de date afectate, dacă este vorba de date obișnuite sau date sensibile;
  • orice alt factor agravant sau atenuat.

Sfat: Așa cum orice suspect în cazul unui investigații penale (vinovat sau nevinovat) ar trebui să își ia un avocat ca să îl apere, poate nu ar fi o idee rea să apelezi la un avocat cu experiență care să te apere pe parcursul investigației. Pe noi ne găsești aici 

7. Ce trebuie să conțină procesul-verbal?

Sub sancțiunea nulității absolute, procesul-verbal emis în urma unei investigații GDPR trebuie să conțină:

a) data şi locul încheierii procesului-verbal de constatare/sancţionare;
b) datele de identificare şi funcţiile membrilor echipei de control, inclusiv numărul legitimaţiei de control;
c) numărul şi data deciziei de împuternicire emise de preşedintele ANSPDCP şi, după caz, numărul şi data împuternicirii pentru investigaţiile efectuate pe teren şi neanunţate în prealabil în scris;
d) obiectul controlului;
e) datele de identificare ale entităţii controlate;
f) datele de identificare şi funcţiile reprezentanţilor entităţii controlate;
g) constatările rezultate în urma verificărilor efectuate;
h) descrierea faptei contravenţionale, cu indicarea datei şi locului în care a fost săvârşită fapta, a împrejurărilor ce pot servi la aprecierea gravităţii faptei şi, eventual, a pagubelor, a actului normativ prin care se stabileşte şi se sancţionează contravenţia, precum şi a măsurilor corective şi/sau a sancţiunii aplicate, dacă este cazul;
i) termenul de exercitare a căii de atac şi instanţa la care se depune plângerea, în cazul aplicării unei sancţiuni contravenţionale;
j) dacă s-au ridicat documente sau alte materiale, felul şi natura acestora;
k) dacă reprezentanţii entităţii controlate, care au participat la activitatea de control, au refuzat să consemneze obiecţiunile cu privire la conţinutul procesului-verbal de constatare/sancţionare, după ce le-a fost adus la cunoştinţă acest drept;
l) menţiuni privind înmânarea/comunicarea procesului-verbal de constatare/sancţionare, în copie, reprezentanţilor entităţii controlate;
m) motivele pentru care reprezentanţii entităţii controlate nu au semnat procesul-verbal de constatare/sancţionare, cu indicarea datelor de identificare a martorului care atestă motivele nesemnării procesului-verbal, în cazul în care acesta există, sau a motivelor care au condus la întocmirea procesului-verbal în lipsa unui martor.

 

Te-ar putea interesa și: 

 

8. Cum pot ataca în justiție procesul – verbal?

În termen de 15 zile de la data înmânării sau comunicării procesului-verbal emis în urma unei investigații GDPR, poți introduce contestație la Secția de contencios administrativ a tribunalului competent.

9. Ce se întâmplă dacă nu achit amenda în 15 zile?

Dacă nu faci dovada achitării amenzii în termen de 15 zile de la data înmânării sau comunicării procesului-verbal, vei fi executat silit de către organele de executare silită potrivit legii.

10. Pot fi amendat doar prin proces-verbal?

Nu. Dacă amenda este mai mică de 300.000 EURO, atunci aplicarea amenzii în urma unei investigații GDPR se va face prin procesul verbal încheiat de către inspectori.

Dacă amenda este mai mare de 300.ooo EURO, aplicarea amenzii în urma unei investigații GDPR se va face de către președintele ANSPDPC, prin Decizie, pe baza procesului-vernal încheiat de către inspectori.

De asemenea se poate dispune aplicarea unei amenzi cominatorii de până la 3.000 lei pentru fiecare zi de întârziere, în cazul în care nu te conformezi respectării măsurilor corective aplicate în urma unei investigații GDPR sau refuzi să pui la dispoziție documentele și informațiile solicitate.

 


Saas-AI_Lead-1200x675.jpg

În luna decembrie 2015, reprezentanţii  Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal au efectuat o investigaţie din oficiu la Primăria municipiului Timişoara.

În urma controlului, s-a constatat săvârşirea următoarelor fapte:

1. Omisiunea de a notifica și notificarea cu rea-credință, prevăzută de art. 31 din Legea nr. 677/2001, sub forma omisiunii de a notifica, întrucât Primăria Municipiului Timişoara deşi a început, încă din anul 2009, să utilizeze sistemul de pontare electronică a angajaţilor pe baza datelor biometrice, nu a notificat anterior începerii prelucrării datelor biometrice ale angajaților, conform obligaţiilor prevăzute de art. 22 alin. (1) din Legea nr. 677/2001 şi art. 1 alin. (1) lit. a) şi art. 2  din Decizia preşedintelui ANSPDCP nr. 11/2009;

2. Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara nu a realizat informarea persoanelor vizate, potrivit prevederilor art. 12 alin. (1) din Legea nr. 677/2001, pentru prelucrările efectuate în scopul pontării electronice a angajaţilor pe bază de amprente digitale;

3. Prelucrarea nelegală a datelor cu caracter personal, prevăzută de art. 32 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara a prelucrat date biometrice în mod excesiv faţă de scopul prelucrării (pontarea timpului de lucru al angajaţilor), în condiţiile în care puteau fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive, încălcându-se astfel art. 4 alin. 1 lit c) din Legea nr. 677/2001;

4. Neîndeplinirea obligațiilor privind confidențialitatea și aplicarea măsurilor de securitate, prevăzută de art. 33 din Legea nr. 677/2001, întrucât Primăria Municipiului Timişoara nu a adoptat suficiente măsuri de confidențialitate și securitate a datelor prelucrate (date biometrice), conform art. 19 și 20 din Legea nr. 677/2001.

Pentru faptele constatate, s-au aplicat următoarele sancţiuni:

Amendă în cuantum de 2000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 31 din Legea nr. 677/2001, în temeiul art. 35 din Legea nr. 677/2001,

Amendă în cuantum de 3000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 32 din Legea nr. 677/2001, raportat la art. 12 alin. din Legea nr. 677/2001,

Amendă în cuantum de 6000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 32 din Legea nr. 677/2001, raportat la art. 4 alin. 1 lit c) din Legea nr. 677/2001, Amendă în cuantum de 7000 de lei, pentru săvârşirea contravenţiei prevăzute de art. 33 din Legea nr. 677/2001.

În consecinţă, Autoritatea naţională de supraveghere a sancţionat Primăria municipiului Timişoara cu amendă contravenţională în cuantum total de 18.000 RON.

 

În acest context, subliniem că instanțele judecătoreşti au confirmat constant abordarea Autorității de Supraveghere în sensul că prelucrarea datelor personale (amprente) angajaților nu se poate realiza decât pe baza unei analize temeinice privind necesitatea şi proporţionalitatea unor astfel de măsuri, iar angajatorul trebuie să identifice soluţii alternative care să aibă un impact mai redus asupra vieţii private a salariaţilor.

Raportat la acest aspect, în jurisprudenţa Curţii Europene a Drepturilor Omului referitoare la art. 8 din Convenţia pentru apărarea drepturilor omului şi libertăţilor fundamentale (dreptul la respectarea vieții private și de familie) instanța europeană a statuat faptul că protecţia oferită de acest articol ar fi diminuată în mod inacceptabil dacă folosirea de tehnici ştiinţifice moderne ar fi permisă cu orice preţ şi fără realizarea unui echilibru între beneficiile folosirii extensive a acestor tehnici şi interesele importante legate de viaţa privată (Cauza S. şi M. Marper contra Regatului Unit).

 



Autor Laura Pintilie

Studentă anul II

Universitatea Babeş-Bolyai Cluj-Napoca Facultatea de Drept.

 

Cine este această autoritate?

În totalitatea țărilor membre ale Uniunii Europene a fost remarcată de-a lungul timpului, odată cu dezvoltarea sistemului informatic, importanța existenței unei activități de protecție a datelor cu caracter personal. Din acest considerent, au fost constituite organe competente pentru îndeplinirea unor astfel de atribuții. În vederea alinierii legislației române la acquis-ul comunitar, de la data de 12 mai 2005 intră în vigoare Legea nr.102/2005, prin care se înființează Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 

Acest organ reprezintă o autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, fiind garantul respectării drepturilor fundamentale la viață privată și la protecția datelor personale.

Articolele 7 si 8 din Carta Drepturilor Fundamentale a Uniunii Europene, articolul 16 din Tratatul privind Funcționarea Uniunii Europene  și articolul 8 din Convenția Europeană pentru Apărarea Drepturilor Omului și Libertăților Fundamentale sunt cele care statuează aceste principii, de altfel de nelipsit dintr-o lume și o societate civilizată, a anului 2018.

Un moment important în evoluția reglementărilor europene cu referire la protecția datelor  personale reprezintă anul 2016, în timpul căruia Parlamentul European și Consiliul European adoptă Regulamentul General privind  protecția persoanelor fizice în ceea ce presupune prelucrarea datelor cu caracter personal și libera circulație a acestora. Acest regulament are aplicabilitate directa în întregimea statelor Uniunii Europene începand cu data de 25 mai 2018, împreună cu Directiva vizând același subiect, în scopul prevenirii, detectării, investigării și punerii sub urmarire a infracțiunilor și a altor activități judiciare.

Întreaga reformă a cadrului legislativ implică inevitabil o sarcină a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal: o evaluare complexă

strației publice și imparțialitate completă. Potrivit legii, acesta nu poate fi supus nici unui mandat imperativ sau reprezentativ și nu poate fi obligat să se supună instrucțiunilor sau dispozițiilor altei autorități publice sau entități de drept privat.

 a instrumentelor prin care se asigură protecția acestor date, cu scopul pregătirii cadrului normativ național și instituțional în sensul aplicării noilor reglementări europene. O altă importantă țintă vizată este realizarea unei cooperări atât cu Comitetul European pentru protecția datelor, cât și cu celelalte autorități competente ale Uniunii.

 

Cu ce se ocupă Autoritatea Națională de Supraveghere a Prelucrarii Datelor cu Caracter Personal?

Acest organ iși desfasoară activitatea în condiții de independență față de orice autoritate a admini

 

Așadar, Autoritatea este însărcinată cu monitorizarea si controlul sub aspectul legalității prelucrărilor de date cu caracter personal care cad sub incidența Legii nr. 677/2001. În acest scop, se exercită urmatoarele atribuții:

  • Primește și analizează notificările privind prelucrarea datelor cu caracter personal;
  • Autorizează prelucrările de date în situațiile prevăzute de lege;
  • Poate dispune, în cazul în care constată încălcarea dispozițiilor prezentei legi, suspendarea provizorie sau încetarea prelucrării datelor, ștergerea parțială sau integrală a datelor prelucrate și poate să sesizeze organele de urmărire penală sau să intenteze acțiuni în justiție;
  • Informează persoanele fizice și/sau juridice asupra necesității respectării obligațiilor și îndeplinirii procedurilor prevăzute de Legea nr.667/2001;
  • Păstrează și pune la dispoziția publicului registrul de evide
  • nță a prelucrărilor de date cu caracter personal;
  • Primește și soluționează plângeri, sesizări sau cereri de la persoanele fizice și comunică soluția dată sau, după caz, demersurile efectuate;
  • Efectuează controale prealabile în situația în care operatorul prelucrează date cu caracter personal care sunt susceptibile de a prezenta riscuri speciale pentru drepturile și libertățile persoanelor;
  • Efectuează investigații din oficiu sau la primirea unor plângeri sau sesizări;
  • Este consultată atunci când se elaborează proiecte de acte normative referitoare la protecția drepturilor și libertăților persoanelor, în privința prelucrării datelor cu caracter personal;
  • Poate face propuneri privind inițierea unor proiecte de acte normative sau modificarea actelor normative în vigoare in domenii legate de prelucrarea datelor cu caracter personal;
  • Cooperează cu autoritățile publice, centralizează și analizează rapoartele anuale de activitate ale acestora privind protecția persoanelor în privința prelucrării datelor cu caracter personal;
  • Formulează recomandări și avize asupra oricărei chestiuni legate de protecția drepturilor și libertăților fundamentale în privința prelucrării datelor cu caracter personal, la cererea oricărei persoane, inclusiv a autorităților publice și a organelor administrației publice;
  • Cooperează cu autoritățile similare din străinătate, în vederea asistenței mutuale, precum și cu persoanele cu domiciliul sau cu sediul în străinătate, in scopul apărării drepturilor și libertăților fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;
  • Îndeplinește alte atribuții prevăzute de lege.

 

Autoritatea este condusă de un președinte a cărui funcție este asimiliată celei de secretar de stat.

Site-ul oficial care cuprinde totalitatea informațiilor referitoare la ativitatea Autorității și invită la consultarea lui este www.dataprotection.ro.

 

Sursă: www.dataprotection.ro

 



Cine este această Autoritate?

În totalitatea țărilor membre ale Uniunii Europene a fost remarcată de-a lungul timpului, odată cu dezvoltarea sistemului informatic, importanța existenței unei activități de protecție a datelor cu caracter personal. Din acest considerent, au fost constituite organe competente pentru îndeplinirea unor astfel de atribuții. În vederea alinierii legislației române la acquis-ul comunitar, de la data de 12 mai 2005 intră în vigoare Legea nr.102/2005, prin care se înființează Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Acest organ reprezintă o autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale, fiind garantul respectării drepturilor fundamentale la viață privată și la protecția datelor personale.

Articolele 7 si 8 din Carta Drepturilor Fundamentale a Uniunii Europene, articolul 16 din Tratatul privind Funcționarea Uniunii Europene  și articolul 8 din Convenția Europeană pentru Apărarea Drepturilor Omului și Libertăților Fundamentale sunt cele care statuează aceste principii, de altfel de nelipsit dintr-o lume și o societate civilizată, a anului 2018.

 Un moment important în evoluția reglementărilor europene cu referire la protecția datelor  personale reprezintă anul 2016, în timpul căruia Parlamentul European și Consiliul European adoptă Regulamentul General privind  protecția persoanelor fizice în ceea ce presupune prelucrarea datelor cu caracter personal și libera circulație a acestora. Acest regulament are aplicabilitate directa în întregimea statelor Uniunii Europene începand cu data de 25 mai 2018, împreună cu Directiva vizând același subiect, în scopul prevenirii, detectării, investigării și punerii sub urmarire a infracțiunilor și a altor activități judiciare.

Întreaga reformă a cadrului legislativ implică inevitabil o sarcină a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal: o evaluare complexă a instrumentelor prin care se asigură protecția acestor date, cu scopul pregătirii cadrului normativ național și instituțional în sensul aplicării noilor reglementări europene. O altă importantă țintă vizată este realizarea unei cooperări atât cu Comitetul European pentru protecția datelor, cât și cu celelalte autorități competente ale Uniunii.

Cu ce se ocupă Autoritatea Națională de Supraveghere a Prelucrarii Datelor cu Caracter Personal?

Acest organ iși desfasoară activitatea în condiții de independență față de orice autoritate a administrației publice și imparțialitate completă. Potrivit legii, acesta nu poate fi supus nici unui mandat imperativ sau reprezentativ și nu poate fi obligat să se supună instrucțiunilor sau dispozițiilor altei autorități publice sau entități de drept privat.

Așadar, Autoritatea este însărcinată cu monitorizarea si controlul sub aspectul legalității prelucrărilor de date cu caracter personal care cad sub incidența Legii nr. 677/2001. În acest scop, se exercită urmatoarele atribuții:

  • Primește și analizează notificările privind prelucrarea datelor cu caracter personal;
  • Autorizează prelucrările de date în situațiile prevăzute de lege;
  • Poate dispune, în cazul în care constată încălcarea dispozițiilor prezentei legi, suspendarea provizorie sau încetarea prelucrării datelor, ștergerea parțială sau integrală a datelor prelucrate și poate să sesizeze organele de urmărire penală sau să intenteze acțiuni în justiție;
  • Informează persoanele fizice și/sau juridice asupra necesității respectării obligațiilor și îndeplinirii procedurilor prevăzute de Legea nr.667/2001;
  • Păstrează și pune la dispoziția publicului registrul de evidență a prelucrărilor de date cu caracter personal;
  • Primește și soluționează plângeri, sesizări sau cereri de la persoanele fizice și comunică soluția dată sau, după caz, demersurile efectuate;
  • Efectuează controale prealabile în situația în care operatorul prelucrează date cu caracter personal care sunt susceptibile de a prezenta riscuri speciale pentru drepturile și libertățile persoanelor;
  • Efectuează investigații din oficiu sau la primirea unor plângeri sau sesizări;
  • Este consultată atunci când se elaborează proiecte de acte normative referitoare la protecția drepturilor și libertăților persoanelor, în privința prelucrării datelor cu caracter personal;
  • Poate face propuneri privind inițierea unor proiecte de acte normative sau modificarea actelor normative în vigoare in domenii legate de prelucrarea datelor cu caracter personal;
  • Cooperează cu autoritățile publice, centralizează și analizează rapoartele anuale de activitate ale acestora privind protecția persoanelor în privința prelucrării datelor cu caracter personal;
  • Formulează recomandări și avize asupra oricărei chestiuni legate de protecția drepturilor și libertăților fundamentale în privința prelucrării datelor cu caracter personal, la cererea oricărei persoane, inclusiv a autorităților publice și a organelor administrației publice;
  • Cooperează cu autoritățile similare din străinătate, în vederea asistenței mutuale, precum și cu persoanele cu domiciliul sau cu sediul în străinătate, in scopul apărării drepturilor și libertăților fundamentale ce pot fi afectate prin prelucrarea datelor cu caracter personal;
  • Îndeplinește alte atribuții prevăzute de lege.

Autoritatea este condusă de un președinte a cărui funcție este asimiliată celei de secretar de stat.

Site-ul oficial care cuprinde totalitatea informațiilor referitoare la ativitatea Autorității și invită la consultarea lui este www.dataprotection.ro.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Pintilie Laura

Studentă la Universitatea Babes-Bolyai, Facultatea de Drept Cluj-Napoca

 

 



Se vehiculează des ideea că începând cu 25 mai orice incident de securitate trebuie notificat Autorității de supraveghere. Prin incident de securitate înțelegem înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Exemple: pierderea unui laptop, uitarea unui telefon care conține date personale în taxi, un hacker a intrat în sistem și chiar și un screenshot făcut de un angajat la un ecran unde exista date personale. 

Nu orice astfel de incident trebuie notitifcat autorității, ci doar incidentele care prezintă riscuri pentru persoana vizată.

Și nu o zic eu, o zice Regulamentul prin Art. 33 alin. (1) „ In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons

Ei bine, eroarea vine dintr-o traducere nefericită a textului de mai sus în română. În română sună așa:„În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”

 

Aceeași părere o are și:

 

  1. Comisia Europeană: „să notifice cazurile de încălcare a securității datelor dacă există un risc pentru drepturile și libertățile persoanelor fizice.” Sursa aici
  2. ANSPDCP aici
  3. Grupul de Lucru Art. 29 aici

 

Cu toate acestea, înainte de a decide dacă vei notifica sau nu, trebuie să evaluezi cu atenție și luând în calcul toate circumanstanțele, dacă există un risc pentru drepturile și libertățile persoanei fizice.

 

 


arhive-anspdcp-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord