Aici descoperim
dreptul tehnologiei


Potrivit art. 12 din Legea nr. 506/2004 și art. 6 din Legea nr. 365/2002 privind comerțul electronic, este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare, prin fax sau poștă electronica sau orice altă altă metodă care foloseste care folosește servicii de comunicații electronice destinate publicului (mesaje SPAM), cu excepția cazului în care destinatarul și-a exprimat, în prealabil, în mod expres consimțământul pentru a primi astfel de notificări.

Consimțământul destinatarului poate fi probat cu orice mijloc de probă, însă sarcina probei revine expeditorului.

Aceste dispoziții de mai sus se completează cu cerințele consimțământului impuse de GDPR. Astfel, potrivit GDPR, consimțământul trebuie să fie:

  • dat în mod liber

Persoana trebuie să facă o alegere reală dacă consimte sau nu la marketing. Organizațiile nu trebuie să constrângă, să stimuleze persoanele să consimtă sau să penalizeze persoanele care refuză să consimtă.

Atunci când marketingul este o condiție de abonare la un serviciu, organizația va trebui să demonstreze cum a fost acordat consimțământul în mod liber.

Și potrivit Grupului de Lucru Art. 29[1], consimțământul trebuie să fie o alegere reală pentru persoana vizată. Dacă persoana nu are o alegere reală, se simte obligată să își dea consimțământul sau urmează să suporte consecințe negative dacă nu își dă acordul, consimțământul nu este valabil.

Exemplu: O aplicație mobilă de streaming muzical editare solicită utilizatorilor să aibă activată localizarea GPS pentru utilizarea serviciilor sale. Aplicația informează utilizatorii că va utiliza datele colectate în scopuri de publicitate comportamentală. Nici geolocalizarea și nici publicitatea comportamentală nu sunt necesare pentru furnizarea serviciului de streaming muzical. Întrucât utilizatorii nu pot utiliza aplicația fără a fi de acord cu această prelucrare, consimțământul nu poate fi considerat ca fiind acordat în mod liber.[2]

  • specific

În contextul marketingului direct, consimțământul trebuie să fie specific fiecărui canal de comunicare prin care se dorește transmiterea mesajelor (e-mail, sms, apel automat, chatbot, push notifications etc)

  • informat

Oamenii trebuie să înțeleagă pentru ce anume își dau consimțământul.[3] Există elemente obligatorii care trebuie prezentate persoanei înainte de a i se cere consimțământul: identitatea fiecărui operator, scopul prelucrării, tipurile de date colectate, existența dreptului de retragere a consimțământului și, dacă e cazul, informații despre profilare sau decizii automate cu impact semnificativ și informații privind posibilele riscuri de transfer către state terțe UE.

Informarea trebuie să utilizeze un limbaj simplu și ușor de înțeles și trebuie să se diferențieze de termenii generali. Dacă consimțământul este obținut pe hârtie, informarea trebuie să fie distinctă față de alte documente, astfel încât să se evidențieze și să atragă atenția. Utilizarea unui mod stratificat de prezentare a informației este un aspect pe care operatorii ar trebui să îl ia în calcul.

Exemplu: O companie realizează un apel de marketing către o persoană fizică. În timpul apelului, persoană este întrebată dacă dorește să fie contactată de companii terțe în scopuri de marketing. Persoana spune „da”. Apoi urmează un mesaj automat în care un robot enumeră rapid denumirea a 20 de companii care sunt incredibil de greu de înțeles într-un timp atât de scurt. Acesta nu va fi un consimțământ informat. În primul rând, deoarece i s-a solicitat acordul persoanei înainte ca aceasta să fie informată despre companiile terțe și în al doilea rând deoarece mesajul automat este practic imposibil de înțeles.

 

  • lipsit de ambiguitate

Recomandarea este să se facă uz de declarații scrise, însă, întrucât acest lucru nu este întotdeauna realist se poate apela la alternative precum declarații verbale înregistrate, răspunsuri la e-mail-uri și mesaje electronice, căsuțe cu posibilitate de bifare etc.

Tăcerea, inacțiunea sau căsuțetele pre-bifate nu valorează consimțământ. Consimțământul trebuie să implice o acțiune reală, ca de exemplu o semnătură, bifarea unei căsuțe sau un răspuns clar la un e-mail.

Exemplu: O companie decide să folosească baza de date a clienților pentru a trimite mesaje promoționale. Clienții nu au consimțit anterior recepționării marketing-ului, astfel încât compania trimite o scrisoare clienților prin care îi informează că urmează să le transmită informații despre promoții prin e-mail și prin poștă. În scrisoare se indică un număr de telefon unde clienții pot suna și își pot exprima poziția că nu doresc să primească marketing. Inacțiunea de a răspunde nu valorează contimțământ. Prin urmare, urmând această „strategie” de obținere a consimțământului, compania nu va putea să își promoveze serviciile prin marketing direct, deoarece consimțământul nu este clar și nu implică o acțiune reală. [4]

Vrei să îți faci singur implementarea GDPR? În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței. 

Află mai multe despre KIT aici.

[1] Ghidul privind consimțământul elaborate de Grupul de Lucru Art. 29 http://www.dataprotection.ro/servlet/ViewDocument?id=1442, link accesat la data de 3.05.2018.

[2] Idem, p. 7, par. 1.

[3] https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf, p. 21, link accesat 02.06.2018

[4] Idem, p. 22



Responsabilul cu protecția datelor ar trebui să aibă următoarele atribuții:

  • Informarea, sfătuirea angajatorului și a celorlalți angajați, emiterea de recomandări către angajator, precum și către ceilalți angajați cu privire la obligaţiile care le revin în temeiul Regulamentului (EU) 2016/679 şi al altor dispoziţii de drept al Uniunii sau drept intern referitoare la protecţia datelor;
  • Promovarea unei culturi a protecției datelor cu caracter personal în cadrul organizației;
  • Organizarea de training-uri în vederea pregătirii și sensibilizării angajaților cu privire la prelucrarea datelor cu caracter personal;
  • Participarea în mod regulat la ședințele conducerii unde se iau hotărâri cu implicații privind prelucrarea datelor și oferirea de opinii concrete și documentate;
  • Colectarea informațiilor necesare pentru identificarea activităților de prelucrare;
  • Colaborarea cu celelalte departamente precum HR, Juridic, IT, Securitate pentru a avea informațiile necesare îndeplinirii sarcinilor;
  • Recomandări și sprijin concret în privința implementării cerințelor Regulamentului (EU) 2016/679, cum ar fi principiile prelucrării datelor, drepturile persoanei vizate, protecția datelor începând cu momentul conceperii și în mod implicit, păstrarea evidenței activităților de prelucrare, securitatea și managementul adecvat al incidentelor de securitate;
  • Monitorizarea respectării Regulamentului, a altor dispoziții de drept al Uniunii sau de drept intern referitoare la protecția datelor;
  • Monitorizarea respectării politicilor tehnice și organizaționale ale operatorului;
  • Monitorizarea efectuării auditurilor necesare;
  • Alocarea responsabilităților, sensibilizarea și formarea personalului implicat în operațiunile de prelucrare;
  • Informarea organizației dacă este obligatorie sau necesară efectuarea unei evaluări de impact privind protecția datelor cu caracter personal, potrivit art. (35) din Regulament;
  • Recomandări concrete în privința metodologiei care trebuie urmată pentru efectuarea unei evaluări de impact;
  • În situația în care organizația nu dispune de resursele necesare pentru efectuarea internă a evaluării de impact, va recomanda externalizarea acestui proces și va îndruma organizația în alegerea corectă a persoanelor specializate care pot efectua evaluarea de impact;
  • Recomandarea măsurilor care trebuie implementate (inclusiv politici tehnice și organizatorice) pentru a atenua orice riscuri la adresa drepturilor și intereselor persoanelor vizate;
  • Sprijinirea conceperii și actualizării constante a evidenței activităților de prelucrare, potrivit art. (30) din Regulament;
  • Cooperarea cu Autoritatea de Supraveghere;
  • Asumarea rolului de punct de contact pentru Autoritatea de Supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36, precum şi, dacă este cazul, consultarea cu privire la orice altă chestiune;
  • Asumarea rolului de punct de contact cu persoanele vizate privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul Regulamentului;
  • Oferirea de sprijin concret în situația unui incident de securitate și oferirea de sprijin cu privire la notificarea Autorității/Autorităților de Supraveghere competentă/competente și a persoanelor vizate;
  • Respectarea secretului și a confidențialității în ceea ce privește îndeplinirea sarcinilor sale;
  • Monitorizarea și oferirea de sprijin concret în orice alt aspect legat de protecția datelor cu caracter personal, conform dispozițiilor legale în vigoare.

Ai nevoie de o fișă a postului DPO sau o decizie de numire? Este inclusă în KIT-ul Premium de implementare. De asemenea, în KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

 



Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator.

Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

O trăsătură comună au aceste persoane împuternicite: ele prelucrează datele provenite de la clienții lor doar pentru aceștia din urmă. Atâta timp cât respectă acest lucru și nu prelucrează datele în scopuri proprii, ele au mai puține obligații de respectat pe GDPR.

Dacă se abat de la această regulă și prelucreze datele în alte scopuri, vor fi transformați în operatori și vor avea obligația respectării celorlalte dispoziții ale GDPR, dar sunt pasibili și de a fi sancționați pentru nerespectarea obligației de a prelucra numai pentru scopul operatorului.

Exemplu: O firmă de organizări evenimente organizează, la cererea clientului său, o societate de avocatură, o conferință cu o temă juridică. Firma de organizări evenimente va colecta datele participanților la evenimente doar în scopul indicat de către societatea de avocatură, respectiv pentru organizarea conferinței. În cazul în care, peste o anumită perioadă de timp, firma de organizări organizează un eveniment similar și se gândește să îl promoveze, transmițând e-mailuri participanților la conferința juridică, iese din sfera persoanei împuternicite și se transformă în operator. În acest caz, va fi obligată să respecte toate cerințele impuse de GDPR operatorului.  Cu toate acestea, o astfel prelucrarea va fi ilegală.

 

Vrei să îți faci singur implementarea GDPR? În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.



Pe scurt:

  • Datele cu caracter personal sunt orice informații care se referă la o persoană identificată sau care poate fi identificată, denumită „persoană vizată”;
  • O persoană poate fi identificată dacă se pot obține informații suplimentare cu privire la ea pentru a o identifica;
  • Datele cu caracter personal trebuie să se refere la o persoană fizică în viață;
  • Datele publice pot fi date cu caracter personal, cu excepția situației în care au fost făcute publice de către persoana vizată în mod direct, fără dubiu;
  • Există mai multe categorii de date:
    • datele obișnuite (ca de exemplu numele, adresa de e-mail, domiciliul etc), majoritatea datelor intrând în această categorie și există categorii speciale de date, și
    • așa-numitele date sensibile (datele biometrice, datele medicale, CNP-ul etc), care au un regim special și pot fi prelucrate respectând anumite condiții stricte.
  • Anonimizarea datelor înseamnă că datele nu mai conțin niciun element de identificare;
  • Pseudonimizarea datelor înseamnă că datele sunt înlocuite cu un cod.

Datele anonimizate nu mai sunt date cu caracter personal, în schimb datele pseudonimizate sunt în continuare date cu caracter personal.

Regulamentul definește datele cu caracter personal drept orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.[1]

GDPR extinde definiția datelor cu caracter personal. Acest lucru poate include acum identificatori online și chiar date genetice și biometrice, cum ar fi amprentele digitale, scanarea retinei, recunoașterea vocală și recunoașterea facială. Parolele sunt, de asemenea, considerate date personale în cadrul GDPR.[2]

Utilizarea sintagmei „orice informație” a fost folosită în mod intenționat de legiuitorul european, pentru a nu exclude, din sfera de protecție, anumite categorii de date cu caracter personal.

Curtea de Justiție a Uniunii Europene a decis, în cauza C-582/14 faptul că inclusiv o adresă IP dinamică poate fi, în anumite circumstanțe, o dată cu caracter personal.

Asemănător, în Cauza C‑434/16, CJUE a decis că foaia de examen a unui candidat se încadrează în conceptul de date cu caracter personal.

Grupul de Lucru Art. 29 recomandă, pentru a identifica dacă o anumită informație este dată cu caracter personal, a se lua în calcul patru piloni:[3]

  • orice informație;
  • care se referă la;
  • o persoană fizică identificată sau identificabilă.

 

„Orice informație”

Domeniul este atât de vast încât nu va exista niciodată o listă exhaustivă a datelor cu caracter personal. Acestea includ numele, adresa de e-mail, datele biometrice (imagini faciale, amprente), CNP, locația unei persoane, ocupația, sexul etc. Absolut orice informație.

Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privind persoanele decedate.[4]

Informațiile pot fi atât obiective, cât și subiective:

Exemplu: Evaluarea performanței unui angajat la locul de muncă reprezintă o informație cu caracter personal, chiar dacă reflectă doar opinia personal a supervizorului, ca de exemplu „Angajatul X este mereu obosit” sau „Angajatul X nu este dedicat muncii sale.”

Informațiile sunt date cu caracter personal, indiferent că se referă la viața privată sau viața profesională a individului.[5] De exemplu, adresa de e-mail de serviciu intră în categoria de date cu caracter personal.

Paragraful 30 din Preambulul Regulamentului spune faptul că inclusiv adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio pot fi date cu caracter personal, deoarece pot lăsa urme, care, combinate cu alte informații primite de servere pot conduce către identificarea persoanelor, prin crearea de profiluri.[6]

„Care se referă la”

Pentru a intra în sfera datelor cu caracter personal, informațiile trebuie să se refere la o persoană fizică în viață. În unele cazuri informațiile cu privire la obiecte, fapte sau procese pot fi date cu caracter personal dacă există o legătură strânsă între acestea și persoana fizică, de exemplu, mașina colegului Mihai, telefonul clientului Andrei, parola utilizatorului mihai.andrei78.

Dacă anumiți factori exteriori, cum ar fi obiectele, procesele, evenimentele, faptele pot conduce la evalua sau analiza un individ într-un anumit mod, ar trebui să se considere a fi date cu caracter personal. [7]

„O persoană fizică identificată sau identificabilă.”

Situația datelor referitoare la persoane fizice identificate este clară (domiciliul angajatului X, CNP-ul clientului Y, e-mail-urile abonaților X,Y,Z).

Ce se întâmpla, însă, dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale?

Pot fi. Dacă există mijloace care pot conduce către identificarea persoanei. Aceste mijloace trebuie să țină cont atât de tehnologia actuală, cât și de cea care va fi, în mod rezonabil, dezvoltată în viitor.

Identificarea persoanei se poate realiza prin nume. Însă, simplul fapt că nu știm numele unei persoane, nu înseamnă că aceasta nu poate fi identificată. Cei mai mulți dintre noi nu știm numele tuturor vecinilor, însă îi putem identifica. Pentru identificare, ne raportăm, potrivit Regulamentului la „un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale

Cu alte cuvinte, daca avem o informație care nu este atribuita unei persoanei, însă putem folosi informații suplimentare (prin orice mijloace) pentru a identifica persoana respectiva, vorbim de date cu caracter personal.

Exemplu: „Datele referitoare la salariile într-o companie nu sunt, în general, date cu caracter personal. Aceste date se pot regăsi, fără probleme, în anunțurile de recrutare. Însă, dacă într-o companie există un singur angajat pe un anumit post, salariul aferent acelui post este o informație cu caracter personal care se referă la singurul angajat care ocupa respectivul post. ”[8]

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Află mai multe despre KIT aici.

 

[1] Art. 4 pct. 1 din Regulamentul (EU) 679/2016.

[2] GDPR for Dummies. Editat de Meta Compliance Group, ce poate fi accesat aici.

[3] Opinia 4/2007 a Grupului de Lucru Art. 29, adoptată pe 20 iunie 2017, ce poate fi accesată aici.

[4] https://www.facebook.com/legalup.ro/?ref=search, Ruxandra Sava, 5 ianuarie 2018

[5] A se vedea Hotărârea CEDO din 16 februarie 2000 în cauza Amann/Elveţia, nr. 27798/95, punctul 65.

Preambul (30) din Regulamentul (EU) 679/2016: „Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.”

[7] Opinia 4/2007 a Grupului de Lucru Art. 29.

[8] A se vedea în acest sens și postarea de pe Facebook a paginii LegalUp din data de 5 ianuarie 2018, ce poate fi accesată aici.



Primim des întrebarea: „Este CNP-ul obligatoriu pe factură?”

Răspunsul e nu.

Art. 319 alin. (20) din Codul fiscal enumeră elementele obligatorii pe care trebuie să le cuprindă o factură, iar CNP-ul nu se regăsește printre ele.

Potrivit principiului „reducerii la minimum a datelor” prevăzut de GDPR, conform căruia datele cu caracter personal trebuie să fie limitate la ceea ce este necesar, prelucrarea CNP-ului în scop de facturare este interzisă. Pentru încălcarea principiului „reducerii la minimum la datelor”, Regulamentul prevede o amendă de până la 4% din cifra de afaceri sau până la 20.000.000 Euro, luându-se în calcul cea mai mare și… pentru fiecare abatere 😞

Nu trebuie omis din vedere faptul că, potrivit legislatiei naționale, CNP-urile sunt date sensibile, iar prelucrarea lor este supusă unor criterii stricte.

Concluzia: nu mai treceți CNP-ul pe factură! 

Vrei formulare de consimțământ?

 

 

 



GDPR nu oferă o definiție a marketing-ului direct. Cu toate acestea, Grupul de Lucru Art. 29 a oferit îndrumări cu privire la sfera de aplicare a termenului „marketing direct” și consideră că acesta include orice formă de promovare a produselor și serviciilor, chiar și prin marketing direct de către ONG-uri.[1]

Pentru a fi considerat marketing direct, nu trebuie neapărat ca produsul sau serviciu să fie contra cost. Inclusiv promovarea directă, către un individ, a unui produs gratuit este marketing direct și intră sub sfera GDPR.

Însă, nu orice activitate de marketing intră sub influența GDPR, ci doar marketingul direct, promovarea bunurilor și serviciilor direct către o anumită persoană (prin e-mail, sms, poștă, fax etc).

 

Nu intră în noțiunea de marketing direct:

  • Comunicările de marketing care nu sunt direcționate către persoane fizice (de exemplu, reclame banner nespecificate pe site sau trimiteri către companii fără a fi menționate persoane de contact)
  • Mesaje care se referă strict la servicii (adică mesaje trimise persoanelor fizice pentru a le informa, de exemplu, cu privire la starea unei comenzi pe care au plasat-o). [2]

Mesajele de mai sus nu trebuie să respecte regulile în materie de marketing,  însă datele cu caracter personal care se prelucrează cu această ocazie trebuie să respecte cerințele GDPR, cum ar fi informarea persoanelor sau respectarea drepturilor acestora.

Marketing-ul direct acoperă orice mesaj care include elemente de marketing, chiar dacă scopul principal al mesajului nu este marketing-ul.[3]

Exemplu: O bancă face un apel telefonic către un client pentru a oferi informații cu privire administrarea contului bancar. Cu toate acestea, în timpul apelului, banca își prezintă oferta cu privire la un card de cumpărături. Desi scopul principal al apelului este pentru administrare, deoarece apelul este, de asemenea, utilizat pentru a promova alte servicii, apelul se încadrează în definiția marketingului direct.[4]

Te ajutăm să fii conform GDPR! Ne poți contacta mai jos

[contact-form-7 404 "Not Found"]

[1] Opinia 5/2004 a Grupului de Lucru art. 29 cu privire mesajele electronice pentru scopuri de marketing

[2] European Data Protection, Law and Practice, Ed. 2018, p. 305

[3] https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf, p. 13, link accesat 02.06.2018

[4] Idem, p. 14



Nu există un termen-limită al consimțământului. În general, odată ce acesta este valabil, el nu are termen de expirare și datele pot fi prelucrate până când persoana își va retrage consimțământul.

Cu toate acestea, dacă consimțământul a fost dat în scopul unei campanii care a avut o scurtă perioadă, acesta nu este suficient pentru companii ulterioare odată ce campania inițială a încetat. De exemplu, consimțământul pentru mesaje despre un produs care va fi lansat nu este valabil pentru alte produse care vor fi lansate anul următor.

De asemenea, dacă un client și-a dat consimțământul odată ce s-a abonat la un serviciu, consimțământul va expira atunci când acesta va renunța la serviciu. Organizația nu ar trebui să se bazeze pe consimțământ pentru a recâștiga clientul.

GDPR obligă operatorii să se asigure că consimțământul poate fi retras la fel de ușor cum a fost dat, în orice moment și în mod gratuit, dar nu neapărat prin aceeași acțiune. Retragerea consimțământului nu trebuie să aducă prejudicii. Neîndeplinirea unui mecanism de retragere duce la eșecul validității acordului. În cazul retragerii, prelucrarea care a avut loc anterior rămâne legală, însă prelucrarea ulterioară trebuie să înceteze. Un nou consimțământ valabil este necesar.

 



Cine este persoana împuternicită de operator (furnizorul de servicii)?

Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator. Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

Contractul dintre operator și persoana împuternicită (furnizorul de servicii)

GDPR cere ca între operator și persoana împuternicită să existe un contract care: [1]

  • stabilește obiectul și durata prelucrării;
  • stabilește natura și scopul prelucrării;
  • prevede tipul de date cu caracter personal;
  • stabilește categoriile de persoane vizate;
  • stabilește obligațiile și drepturile operatorului.

Respectivul contract prevede în principiu că persoana împuternicită:

  • prelucrează datele personale numai pe baza instrucțiunilor operatorului, neputând să se abată de la ele;
  • se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea;
  • adoptă toate măsurile necesare în conformitate cu articolul 32 din Regulament (pseudonimizarea și criptarea datelor cu caracter personal, confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor, restabilirea disponibilității datelor în cazul unui incident de securitate, testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării);
  • nu recrutează o altă persoană să prelucreze datele fără acordul scris și prealabil al operatorului;
  • răspunde pentru persoana pe care o recrutează;
  • oferă asistență operatorului pentru a răspunde cererile persoanelor vizate;
  • oferă asistență operatorului cu privire incidentele de securitate și evaluările de impact;
  • șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare;
  • permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.

În practică, poate fi un contract, o anexă la contract, un act adițional sau clauze incluse în contractele de prestări servicii. GDPR nu spune cine trebuie să inițieze acest contract, însă opinia majoritară este în sensul în care, ambii actori, și operatorul și persoana împuternicită au sarcina inițierii.

Un model de contract (acord de prelucrare), împreună cu instrucțiuni și ghiduri de utilizare este inclus în KIT-ul nostru complet de documente pentru implementarea GDPR, care poate fi achiziționat de aici. 

KIT-ul conține, pe lângă contracte, și alte documente absolut necesare pentru implementarea cerințelor GDPR, precum registre, politici tehnice, acorduri de prelucrare, politici de confidențialitate, note de informare etc.

 

[1] Art. 26 alin. (3) din Regulamentul (EU) 679/2016.

 

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.



Responsabilul cu protecția datelor personale este acea persoană desemnată de operator sau de către persoana împuternicită de acesta cu scopul de a implementa proceduri care validează respectarea  prezentului Regulament și de a superviza persoanele care prelucrează date cu caracter personal.

Articolul 37 alin. 1 din Regulament expune cazurile în care operatorul are obligația de a desemna un responsabil.

Responsabilul este desemnat:

  1. Când prelucrarea este efectuată de o autoritate sau organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
  2. Când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare, care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  3. Când activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date, sau a unor date cu caracter personal privind condamnări penale și infracțiuni.

Responsabilul cu prelucrarea datelor personale este desemnat pe baza calităților profesionale și a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini obligațiile prevăzute la articolul 39.

 

Sarcinile responsabilului cu protecția datelor prevăzute de articolul 39

Persoana desemnată cu protecția datelor are următoarele obligații:

  1. Să informeze și să consilieze operatorul, persoana desemnată de operator să prelucreze date, precum și angajații care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul respectării regulamentului și al altor dispoziții de drept al Uniunii sau dreptului intern cu privire la protecția datelor;
  2. Să monitorizeze respectarea prezentului regulament, a altor dispoziții de drept al Uniunii sau de drept intern cu referire la protecția datelor inclusiv alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului desemnat cu operațiunile de prelucrare, precum și auditurile aferente;
  3. Să furnizeze consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia;
  4. Să coopereze cu autoritatea de supraveghere;
  5. Să-și asume rolul de persoană de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare inclusiv consultarea prealabilă în ceea ce privește evaluarea impactului asupra protecției datelor, precum și cu privire la orice alte chestiuni;

Responsabilul cu protecția datelor ține seama în mod corespunzător de riscul asociat operațiunilor de prelucrare, luând în calcul natura, domeniul de aplicare, contextul și scopurile pentru care se prelucrează date personale.

 



Cum s-a născut GDPR?

Am observat cu toții cât de mult a început GDPR să apară tot mai des și mai des într-o perioadă atât de scurtă de timp în viețile noastre. Practic, aproape orice site care este pus în temă în ceea ce privește reglementarea ce va intra în vigoare în data de 25 mai, afișează, în momentul deschiderii paginii, o căsuță/notificare care cuprinde succint ceea ce ar trebui să înțeleagă utilizatorul referitor la datele sale personale.

Din ce în ce mai multă lume cunoaște  ce este și ce privește acest Regulament General de Protecție a Datelor, însă nu este la fel de important când, unde și din ce motiv s-a născut “strămoșul” acestuia?

Germenul la nivel unional al regulamentelor care privesc protecția datelor personale a apărut la data de 28 ianuarie 1981, sub numele de “Convenția nr. 108” și a fost semnată de membrii Consiliului Europei la Strasbourg. Acesta reprezintă unul dintre primele instrumente juridice adoptate la nivel internațional în domeniul protecției datelor personale.

România a ratificat Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal prin Legea nr. 682/2001. Prin Legea nr. 55/2005 țara noastrã a ratificat și Protocolul adițional la Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal, cu privire la autoritãțile de control și fluxul transfrontalier al datelor.

Observăm astfel cum încă din anul 1981, oamenii au început să se preocupe de riscul traficului de date necorespunzător. Deși probabil sună a ficțiune la nivel mental, vorbind despre vremurile de acum 37 de ani raportat la ceea ce dispunem astăzi, este adevărat că încă de atunci (sau poate și mai devreme, în accepțiunea unora) era necesară o astfel de garantare a respectării vieții private în acest sens, așa cum clarifică și preambulul Convenției:

“Scopul prezentei convenţii este de a garanta pe teritoriul fiecărui stat parte, fiecărei persoane fizice, oricare ar fi cetăţenia sa sau reşedinţa sa, respectarea drepturilor şi libertăţilor sale fundamentale şi, în special, dreptul la viaţa privată, faţă de prelucrarea automatizată a datelor cu caracter personal care îl privesc (protecţia datelor).”

 

     Comitetul Consultativ

         Prin această Convenție a fost creat și Comitetul Consultativ, în baza Capitolului V al prezentului document, fiind format din reprezentanții tuturor statelor membre ale Consiliului Europei, semnatare ale Convenției. În componența sa se regăsesc și un președinte, alături de doi vice-președinți.

Atribuțiile sale sunt în principiu de a elabora proiecte de instrumente juridice în vederea adoptãrii acestora de cãtre Comitetul de Miniștri și, totodatã,  de a emite avize și rapoarte.

La lucrãrile Comitetului pot participa și reprezentanți ai statelor membre ale Consiliului Europei, dar care nu au semnat Conventia nr. 108, iar reuniunile acestuia au loc, de regulă, la sediul Consiliului la Strasbourg.

Ce părere are România?

România a ratificat Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal prin Legea nr. 682/2001.

Prin Legea nr. 55/2005 țara noastrã a ratificat și Protocolul adițional la Convenția pentru protejarea persoanelor fațã de prelucrarea automatizatã a datelor cu caracter personal, cu privire la autoritãțile de control și fluxul transfrontalier al datelor.

Țara noastră se califică a fi membru activ, participând prin reprezentanții Autoritãții Naționale de Supraveghere a Prelucrãrii Datelor cu Caracter Personal la reuniunile Comitetului, având drept de vot.

Convenția adusă la actualitate?

Convenția  trece în prezent printr-un proces de modernizare și adaptare la provocãrile privind protecția datelor reprezentate de noile tehnologii în domeniul comunicațiilor. Proiectul de modernizare a Convenției a fost inițiat de cãtre Comitetul Consultativ.

Procesul de revizuire va urmãri cele douã mari obiective, respectiv sã rãspundã provocãrilor la adresa vieții private ca rezultat al utilizãrii noilor tehnologii în domeniul comunicațiilor și sã sublinieze importanța mecanismului de follow-up cu privire la implementarea principiilor stabilite prin aceasta.

Astfel, în octombrie 2011 au început discuțiile privind modernizarea Convenției 108, Comitetul Consulativ  ajungând la adoptarea, la nivelul tehnic în 2012 a unui text de protocol de revizuire. Comitetul miniștrilor a decis înființarea unui comitet ad-hoc privind protecția datelor format din reprezentanți ai statelor membre ale Consiliului Europei cu misiunea de a finaliza modernizarea Convenției 108 prin negocierea formalã a textului protocolului de amendare.

Întrucât majoritatea statelor pãrți la Convenția 108 sunt membre atât ale UE, cât și ale Consiliului Europei, se dorește realizarea unor modificãri compatibile între instrumentele juridice de la nivelul acestor douã organizații internaționale.

 

 

 

 

 

Surse:

http://www.dataprotection.ro/?page=europa_council&lang=ro

http://www.cdep.ro/pls/legis/legis_pck.htp_act_text?idt=31103

https://www.coe.int/en/web/data-protection/home

http://fra.europa.eu/sites/default/files/fra-2014-handbook-data-protection-ro.pdf

https://www.shutterstock.com/image-photo/padlock-over-eu-map-symbolizing-general-774890887?src=-J08ujIe4pUpbgW8dxkkWw-1-30