Aici descoperim
dreptul tehnologiei

padlock-computer-circuit-board_93675-6912.jpg

Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație la operatorul Entirely Shipping & Trading S.R.L., constatând  următoarele:

  • încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind Protecția Datelor (RGPD);
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD.

Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate; Citește acest articol pentru a afla cum trebuie să informezi persoana vizată. 
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare); Citeste acest articol pentru a afla cum poți supraveghea video legal angajații.
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta. Citește acest articol pentru a afla în ce condiții poți accesa e-mailul unui fost angajat. 

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat), accesul se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil.

În cadrul investigației, s-au constatat următoarele:

KIT GDPR Premium

 

Totodată, operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea; (modele de note de informare conforme GDPR se găsesc aici)
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor. (modele de politici și proceduri GDPR se găsesc aici)

Sursa: dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



abstract-technology-binary-code-background-with-gdpr-icons_158941-1.jpg

Autoritatea Națională de Supraveghere a finalizat, în data de 16.12.2019, o investigație la operatorul SC Enel Energie S.A., constatând  următoarele:

Operatorul S.C. Enel Energie S.R.L. a fost sancționat contravențional cu două amenzi, fiecare în cuantum de 14.334,30 lei, echivalentul sumei de 3000 EURO pentru încălcarea art. 5 alin. (1) lit. d) (principiul exactității), art. 6 alin. (1) lit. a) (consimțământ) și art. 7 alin. (1) din Regulamentul General privind Protecția Datelor, respectiv pentru încălcarea dispozițiilor art. 21 alin. (1) (dreptul la opoziție) din Regulamentul General privind Protecția Datelor.

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că S.C Enel Energie S.A. a prelucrat nelegal datele petentului, neputând face dovada obținerii consimțământului acestuia pentru transmiterea de notificări pe această adresă de e-mail și fără respectarea principiului exactității. În plus, operatorul nu a luat măsurile necesare pentru dezactivarea transmiterii de notificări, deși petentul și-a exercitat dreptul de opoziție în mai multe rânduri.

Amenda a fost achitată de operator.

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



abstract-technology-binary-code-background-with-gdpr-icons_158941-1.jpg

Autoritatea Națională de Supraveghere a finalizat, în data de 10.12.2019, o investigație la o Hora Credit IFN S.A. și a constatat încălcarea anumitor dispoziții din Regulamentul General privind Protecția Datelor (RGPD).

Operatorul a fost sancționat astfel:

  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (5) lit. a) din RGPD – amendă în cuantum de 14336,1 lei, echivalentul a 3000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD – amendă în cuantum de 47787 lei, echivalentul a 10.000 euro;
  • pentru contravenția constatată potrivit art. 12 din Legea nr. 190/2018, prin raportare la dispozițiile enumerate la art. 83 alin. (4) lit. a) din RGPD (raportat la art. 33 alin. (1) din RGPD) – amendă în cuantum de 4778,7 lei, echivalentul a 1000 euro.

Te-ar putea interesa și:

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care s-a reclamat faptul că Hora Credit IFN SA a transmis pe adresa de e-mail documente ce conțineau datele personale ale unei alte persoane.

Deși respectiva eroare a fost sesizată atât operatorului, cât și call center-ului acestuia, Hora Credit IFN SA nu a remediat acest aspect, transmițând în continuare mesaje pe adresa de e-mail.

În urma investigației s-a constatat că Hora Credit IFN SA a prelucrat datele fără să dovedească aplicarea unor mecanisme eficiente de verificare și validare a exactității datelor colectate și ulterior prelucrate, respectiv, de păstrare a confidențialității acestora, conform principiilor prevăzute la art. 5 din RGPD.

De asemenea, s-a constatat că operatorul nu a luat suficiente măsuri de securitate a datelor personale, potrivit art. 25 și 32 din RGPD, astfel încât să evite dezvăluirea neautorizată și accesibilă a datelor persoale către terți.

Totodată, Hora Credit IFN SA nu a notificat Autorității de supraveghere incidentul de securitate ce i-a fost adus la cunoștință, potrivit art. 33 din RGPD, în termen de 72 de ore de la data la care a luat cunoștință de acesta.

 

 

În același timp, oeratorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de colectare și prelucrare ulterioară a datelor personale în scopul încheierii și executării contractelor de împrumut, în special, sub aspectul verificării datelor personale colectate, precum adresa de poștă electronică, ce permit comunicarea la distanță a datelor personale, prin implementarea unor metode eficiente de validare a exactității datelor – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul încheierii și executării contractelor de împrumut, în vederea respectării secretului profesional și a confidențialității datelor personale ale clienților săi, în special, în cazul transmiterii unor documente și mesaje ce conțin date personale la distanță (de exemplu, prin poșta electronică), prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic (precum criptarea), cât și din punct de vedere organizatoric, prin instruirea persoanelor ce prelucrează date sub autoritatea sa, în vederea identificării și limitării imediate a riscurilor ce pot afecta persoanele vizate – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD);
  • măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale în scopul implementării unei politici interne adecvate pentru identificarea riscurilor, analiza acestora și notificarea către ANSPDCP în cazul producerii unei încălcări a securității, în condițiile prevăzute de art. 33 alin. (1) din RGPD – în termen de 30 zile de la data comunicării procesului-verbal de contravenție (art. 58 alin. (2) lit. d) din RGPD).

KIT GDPR Premium

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Avocatul-General-CJUE_-Facebook-transferă-datele-în-siguranță.png

Curtea de Justiție a Uniunii Europene
COMUNICAT DE PRESĂ nr. 165/19
Luxemburg, 19 decembrie 2019
Concluziile avocatului general în cauza C-311/18
Data Protection Commissioner/Facebook Ireland Limited, Maximilian
Schrems

Potrivit avocatului general Saugmandsgaard Øe, Decizia 2010/87/UE a Comisiei
privind clauzele contractuale tip pentru transferul de date cu caracter personal către
persoane împuternicite de către operator stabilite în țări terțe este validă

 

Regulamentul general privind protecția datelor (RGPD), asemenea Directivei privind prelucrarea datelor cu caracter personal pe care a înlocuit-o, prevede că datele cu caracter personal pot fi transferate către o țară terță dacă aceasta din urmă asigură un nivel adecvat de protecție a acestor date. În lipsa unei decizii a Comisiei prin care se constată caracterul adecvat al nivelului de protecție asigurat în țara terță în cauză, operatorul poate totuși efectua transferul dacă acesta este prevăzut cu garanții corespunzătoare. Aceste garanții pot în special lua forma unui contract între exportatorul și importatorul de date care să conțină clauze tip de protecție prevăzute într-o decizie a Comisiei. Prin Decizia 2010/87/UE 3, Comisia a instituit clauze contractuale tip pentru transferul de date cu caracter personal către persoane împuternicite de către operator stabilite în țări terțe. Prezenta cauză privește validitatea acestei decizii.

Situația de fapt și istoricul litigiului principal

Litigiul principal are în istoricul său o procedură inițiată de domnul Maximillian Schrems, un utilizator austriac al Facebook, și în care s-a pronunțat deja o Hotărâre a Curții de Justiție la 6 octombrie 2015 (denumită în continuare „Hotărârea Schremsˮ).

Datele utilizatorilor de Facebook care au reședința în Uniune, precum domnul Schrems, sunt transferate, în tot sau în parte, de la Facebook Ireland, filiala irlandeză a Facebook Inc., pe servere situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. În 2013, domnul Schrems a depus o plângere la autoritatea irlandeză responsabilă de supravegherea aplicării dispozițiilor de protecție a datelor cu caracter personal (denumită în continuare „autoritatea de supraveghereˮ), considerând că, având în vedere dezvăluirile făcute de domnul Edward Snowden cu privire la activitățile serviciilor de informații ale Statelor Unite (în special National Security Agency sau „NSA”), dreptul și practicile din Statele Unite nu asigură o protecție suficientă a datelor transferate către această țară împotriva supravegherii de către autoritățile publice. Autoritatea de supraveghere a respins această plângere, în special pentru motivul că în decizia sa din 26 iulie 2000, Comisia a apreciat că în cadrul regimului denumit al „sferei de siguranțăˮ, Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal transferate. Prin Hotărârea Schrems, Curtea de Justiție, răspunzând la o întrebare adresată de High Court (Înalta Curte de Justiție, Irlanda), a declarat nevalidă Decizia „Sfera de siguranțăˮ.

 

 

Ca urmare a Hotărârii Schrems, instanța de trimitere a anulat decizia prin care autoritatea de supraveghere a respins plângerea domnului Schrems și a trimis-o la această autoritate spre reexaminare. Aceasta a deschis o investigație și a solicitat domnului Schrems să își reformuleze plângerea ținând seama de declararea caracterului nevalid al Deciziei „Sfera de siguranțăˮ.

În acest scop, domnul Schrems a solicitat Facebook Ireland să precizeze temeiurile juridice pe care sunt întemeiate transferurile datelor cu caracter personal ale utilizatorilor Facebook din Uniune către Statele Unite. Facebook Ireland a menționat un acord de transfer și de prelucrare a datelor (data transfer processing agreement) încheiat între ea însăși și Facebook Inc., aplicabil începând cu 20 noiembrie 2015, și a invocat Decizia 2010/87.

În plângerea sa reformulată, domnul Schrems susține, pe de o parte, că clauzele conținute în acest acord nu sunt conforme cu clauzele contractuale tip prevăzute de Decizia 2010/87 și, pe de altă parte, că aceste clauze contractuale tip nu ar putea, indiferent de situație, să justifice transferul datelor cu caracter personal care îl privesc către Statele Unite. Domnul Schrems afirmă, astfel, că nicio cale de atac nu permite persoanelor vizate să își valorifice în Statele Unite drepturile la respectarea vieții private și la protecția datelor cu caracter personal. În aceste condiții, domnul Schrems solicită autorității de supraveghere să suspende acest transfer în temeiul Deciziei 2010/87.

Prin investigația sa, autoritatea de supraveghere urmărea să stabilească dacă Statele Unite asigură o protecție adecvată a datelor cu caracter personal ale cetățenilor Uniunii și, în cazul unui răspuns negativ, dacă utilizarea clauzelor contractuale tip prezintă garanții suficiente în ceea ce privește protecția libertăților și a drepturilor fundamentale ale acestora din urmă. Apreciind că instrumentarea plângerii domnului Schrems depinde de aspectul dacă Decizia 2010/87 este validă, autoritatea de supraveghere a inițiat o procedură în fața High Court pentru ca aceasta să se adreseze Curții în legătură cu acest subiect. High Court a efectuat trimiterea preliminară solicitată de această autoritate.

În concluziile prezentate astăzi, avocatul general Henrik Saugmandsgaard Øe propune Curții de Justiție să răspundă că analiza întrebărilor nu a evidențiat elemente de natură să afecteze validitatea Deciziei 2010/87.

Avocatul general observă cu titlu introductiv că litigiul principal are unica miză de a se stabili dacă Decizia 2010/87, prin care Comisia a instituit clauzele contractuale tip invocate în sprijinul transferurilor vizate în plângerea domnului Schrems, este validă.

Avocatul general consideră în primul rând că dreptul Uniunii se aplică transferurilor de date cu caracter personal către o țară terță atunci când aceste transferuri sunt subordonate unor finalități comerciale, deși datele transferate sunt susceptibile să facă obiectul unei prelucrări în scopuri de securitate din partea autorităților publice din această țară terță

KIT GDPR Premium

 

În al doilea rând, avocatul general constată că dispozițiile RGPD referitoare la transferurile către țări terțe au scopul de a asigura continuitatea unui nivel ridicat de protecție a datelor cu caracter personal, indiferent dacă datele sunt transferate în temeiul unei decizii privind caracterul adecvat sau pe baza unor garanții adecvate furnizate de exportator. În opinia lui, modul de atingere a acestui obiectiv diferă însă în funcție de temeiul juridic al transferului. Pe de o parte, o decizie privind caracterul adecvat are ca obiect constatarea faptului că o țară terță determinată asigură, în considerarea dreptului și a practicilor aplicabile în aceasta, un nivel de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate care să fie în esență echivalent celui rezultat din RGPD, interpretat în lumina cartei. Pe de altă parte, garanțiile adecvate furnizate de exportator, în special pe cale contractuală, trebuie să asigure în sine un asemenea nivel de protecție. În acest sens, clauzele contractuale tip adoptate de Comisie prevăd un mecanism general aplicabil transferurilor indiferent de țara terță de destinație și de nivelul de protecție asigurat în aceasta.

Te-ar putea interesa și:

Avocatul general efectuează în al treilea rând o analiză a validității Deciziei 2010/87 din perspectiva cartei. El apreciază că faptul că această decizie și clauzele contractuale tip pe care le prevede nu sunt obligatorii pentru autoritățile țării terțe de destinație și așadar nu le împiedică să impună importatorului obligații incompatibile cu respectarea acestor clauze nu determină în sine caracterul nevalid al deciziei amintite. Conformitatea Deciziei 2010/87 cu carta depinde de aspectul dacă există mecanisme suficient de solide care permit să se asigure suspendarea sau interzicerea transferurilor întemeiate pe clauze contractuale tip în cazul încălcării acestor clauze sau al imposibilității de a le respecta.

 

În opinia lui, această situație se regăsește în măsura în care există o obligație – ce revine operatorilor și, în cazul inacțiunii acestora din urmă, autorităților de supraveghere – de a suspenda sau de a interzice un transfer atunci când, din cauza unui conflict între obligațiile care decurg din clauzele tip și cele impuse de dreptul țării terțe de destinație, aceste clauze nu pot fi respectate.

Avocatul general constată pe de altă parte că instanța de trimitere repune în discuție în mod indirect anumite aprecieri efectuate de Comisie în Decizia din 12 iulie 2016, denumită „Scutul de confidențialitateˮ. În această decizie, Comisia a constatat că Statele Unite asigură un nivel
adecvat de protecție a datelor transferate din Uniune în cadrul regimului stabilit prin această decizie, având în vedere în special garanțiile cu privire la accesul autorităților din serviciul de informații americane la aceste date, precum și protecția juridică oferită persoanelor ale căror date sunt transferate. În opinia avocatului general, soluționarea litigiului principal nu necesită pronunțarea Curții cu privire la validitatea Deciziei „Scutul de confidențialitateˮ întrucât acest litigiu are ca obiect numai validitatea Deciziei 2010/87. Avocatul general prezintă însă cu titlu subsidiar motivele care îl fac să ridice problema validității Deciziei „Scutul de confidențialitateˮ din perspectiva drepturilor la respectarea vieții private și la protecția datelor cu caracter personal, precum și a dreptului la o cale de atac eficientă.

Sursa

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



great-ideas-concept-with-human-brain-paperclip-thinking-creativity-light-bulb-blue-background-new-ideas-concept_34936-2621.jpg

Prezentul articol are ca punct de pornire întrebarea adresată în cadrul unei platforme online cu privire la accesul în funcțiie publice al unei persoane care a fost supusă unei proceduri de internare voluntară în cadrul unei instituții medicale psihiatrice, pe fondul dezvoltării unei depresii. Această internare s-a finalizat cu ,,vindecarea” persoanei, dar datele personale au rămas stocate în cadrul dosarului electronic al pacientului. Este necesară protecția acestor date, sau acestea sunt exceptate de la protecție, reglementată prin intermediul Regulamentului privind protecția datelor cu caracter personal?

În această situație este relevantă Legea nr. 45/2019 pentru modificarea și completarea Legii nr. 95/2006 privind reforma în domeniul sănătății, care face trimitere către Regulamentului privind protecția datelor cu caracter personal, cunoscut sub denumirea de GDPR. Conform prezentei legi, precizăm următorul cadru normativ:

  • Sistemul DES (Dosar Electronic de Sănătate) este un serviciu public furnizat de CNAS, pentru toți pacienții care, potrivit prevederilor titlului VIII, sunt asigurați ai sistemului de asigurări sociale de sănătate și pentru toți furnizorii de servicii medicale pe toate tipurile de asistență medicală, indiferent dacă se află sau nu în relație contractuală cu o casă de asigurări de sănătate. Acest serviciu urmează să fie utilizat gradual de la data implementării în sistemul DES a funcționalităților specifice fiecărui tip de asistență medicală.

 

Te-ar putea interesa și:

 

  • Prelucrarea datelor cu caracter personal în cadrul DES, ca parte componentă a Platformei informatice din asigurările de sănătate, se realizează cu respectarea prevederilor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), precum și a celorlalte prevederi legale în vigoare privind prelucrarea datelor cu caracter personal.
  • CNAS adoptă măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel corespunzător de securitate și confidențialitate a datelor, în acord cu prevederile art. 32 din Regulamentul general privind protecția datelor.
  • Datele și informațiile din DES prevăzute la alin. (2) sunt accesibile medicilor numai cu consimțământul pacienților, cu excepția datelor și informațiilor din modulul «Sumar de urgență», care sunt accesibile medicilor care își desfășoară activitatea într-o structură de urgență, respectiv camera de gardă, UPU, CPU și serviciile de ambulanță și medicilor care își desfășoară activitatea în asistență medicală primară, numai în vederea realizării actului medical, fără a fi necesar consimțământul pacientului.

KIT GDPR Premium

 

  • Consimțământul pacientului pentru vizualizarea de către medici a datelor și a informațiilor din DES se exprimă astfel: (1) înainte de prezentarea la medic de către pacient, prin configurarea drepturilor de acces la secțiunea dedicată din cadrul propriului dosar sau de către reprezentantul legal, prin configurarea drepturilor de acces în secțiunea dedicată din dosarul electronic de sănătate al pacientului pe care îl reprezintă; sau (2) la prezentarea la medic – prin utilizarea, în prezența medicului, de către pacient sau reprezentantul său legal, a matricei de securitate sau, după caz, a cardului național de asigurări sociale de sănătate și codului PIN asociat acestuia.

Ca o consecință, utilizarea sau orice altă prelucrare a datelor și informațiilor din DES de către furnizorii de servicii medicale, în alt scop decât cel prevăzut în prezentul de lege, precum și orice altă încălcare a reglementărilor legale privind protecția datelor cu caracter personal se sancționează potrivit prevederilor Regulamentului general privind protecția datelor, precum și a celorlalte prevederi legale în vigoare privind prelucrarea datelor cu caracter personal.

În cadrul prezentului articol a fost utilizată ca sursă de informare platforma online https://lege5.ro/Gratuit/gmzdgmjygy2q/legea-nr-45-2019-pentru-modificarea-si-completarea-legii-nr-95-2006-privind-reforma-in-domeniul-sanatatii.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



friends-getting-photo_1153-166.jpg

Când am primit întrebarea din titlu de la prietena mea Andrada, răspunsul a venit natural: depinde. Dacă poți sau nu fi amendat de GDPR pentru că ai filmat un prieten (sau un membru al familiei) fără acordul lui depinde de foarte mulți factori: dacă relația este doar personală sau și profesională, contextul, ce vei face cu materialul și alți factori despre care vom discuta în continuare. Conform răspunsului oficial ANSPDCP, GDPR se aplică și persoanelor fizice.

Dar înainte să vorbesc despre excepții, adică acele invenții ale legiuitorului român care ne plac nouă avocaților pentru că jonglăm frumos cu ele (și mai facem și un ban cinstit de pe urma lor), o să expun regula. Regula este că GDPR nu se aplică activităților exclusiv personale sau domestice. Ca să explic regula de mai sus, voi da un exemplu: la petrecerea de Crăciun, prietenul tău Alin, după câteva shot-uri, sărută o altă fată decât prietena lui, iar tu surprinzi momentul pe cameră. Presupunând că petrecerea de Crăciun este un mediu exclusiv sau domestic (doar cu persoane din anturaj) și nu o petrecere publică sau o petrecere a unei companii și nu urmează să faci nimic cu acel material video, ci doar să îl păstrezi în telefon, GDPR nu se va aplica, iar tu nu poți fi amendat, în absența altor factori.

Dar cum excepția activităților exclusiv personale sau domestice este de strictă interpretare și dacă datele speței se schimbă este posibil să fii amendat sau nu în temeiul GDPR, în funcție de contextul clar: este contextul exclusiv domestic sau nu?

 

Te-ar putea interesa și:

Situația #1. Alin este un coleg de muncă

Să presupunem că petrecerea nu este organizată de o companie, ci de tine și de prietenii tăi, dar pentru că Alin, colegul tău de la muncă îți este prieten foarte bun, este invitat la petrecere și își face de cap. Având în vedere că natura relației tale cu Alin nu este exclusiv personală, ci este și una profesională, atunci contextul iese din sfera excepției GDPR, iar tu poți fi amendat de GDPR, dacă Alin decide să îți facă o plângere la ANSPDCP.

Situația #2. Petrecerea este organizată de compania la care lucrezi

Dacă petrecerea este organizată de o companie, indiferent că lucrezi la ea sau ești un simplu invitat, GDPR se va aplica, iar tu poți fi amendat de ANSPDCP dacă filmezi o persoană fără acordul ei sau nu ai alt temei legal. În principiu, în această situație, companiile ar trebui să se asigure să obțină consimțământul tuturor persoanelor la petrecere pentru a apărea în filmări sau să se bazeze pe interes legitim dacă un astfel de interes este justificat după o analiză prealabilă. În oricare situație, persoanele trebuie informate cu privire la posibilitatea ca evenimentul să fie înregistrat audio-video prin intermediul unei note de informare care poate fi afișată la intrarea la eveniment sau comunicată prin alte canale (de exemplu, pe e-mail) participanților.

 

 

Situația #3. Petrecerea este privată, dar tu postezi materialul pe Facebook

În această situație, nu este niciun fel de context profesional sau comercial. Alin îți este doar prieten, iar petrecerea este privată, dar, având în vedere că Facebook este un spațiu public conform Înaltei Curți de Casație și Justiție, GDPR se va aplica, iar tu poți fi amendat în temeiul GDPR. Aceeași este situația și celorlalte rețele de socializare: LinkedIn, Youtube, Instagram etc.

 

Situația #4. Petrecerea este privată, iar tu trimiți materialul în privat unui alt prieten

Întrucât în această situație nu există un context profesional de nicio natură, iar natura conversației este privată, GDPR nu se va aplica, iar tu nu poți fi amendat de GDPR, dar nu este etic. Deși nu poți fi amendat în temeiul GDPR, poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat. Cu toate acestea, dacă persoana care primește materialul decide să o facă publică, ea poate fi amendată de GDPR. De asemenea, dacă persoana căreia îi trimiți filmarea este un coleg de muncă al lui Alin, contextul pur domestic dispare, iar tu poți fi amendat de GDPR.

KIT GDPR Premium

 

Situația #5. Petrecerea este privată, iar tu trimiți materialul prietenei lui Alin

Cu excepția situației când prietena lui Alin este și colega lui de muncă sau există un alt raport profesional între ei, tu nu poți fi amendat în temeiul GDPR, dar poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat.

 

Concluzii

În principiu, GDPR nu intervine în situații amicale sau domestice, cu toate acestea, așa cum am văzut în exemplele de mai sus, linia dintre domestic și non-domestic este foarte subțire și chiar și în situația în care GDPR nu se aplică, putem fi trași la răspundere pentru prejudiciul cauzat în temeiul legislației civile. Situațiile au fost construite pornind de la exemplul inițial, dar dacă exemplul ar fi fost altul: ca de exemplu, Alin ar fi fost violent față de o persoană, cu siguranță că am fi avut un temei să îl filmăm și să transmitem materialul către organele abilitate. Cu toate acestea, chiar și în această situație, putem fi amendați de GDPR dacă publicăm filmulețul pe internet. Dreptul la viață privată este rezervat oricui și nu distinge între o persoană cu o conduită morală înaltă sau o persoană fără o astfel de conduită.

Dreptul la viață privată capătă importanță din ce în ce mai mare în actualul context digital și înainte să facem o mișcare care ar putea afecta viața privată a unei persoane, ar trebui să ne punem întrebarea dacă acțiunea noastră este etică sau nu. Nefiind o acțiune etică, pot exista consecințe juridice, chiar dacă nu neapărat în temeiul GDPR. În principiu, când e vorba de viața privată, atunci când o acțiune nu este etică, în principiu, nu respectă Regulamentul.

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]




Legea fundamentală a statului român conferă protecție sporită anumitor categorii de persoane. În sensul precizat, persoanele cu handicap se bucură de protecţie specială, în conformitate cu prevederile art. 50 din Constituția României. De asemenea, legea fundamentală prevede în sarcina statului realizarea unei politici naţionale de egalitate a şanselor, de prevenire şi de tratament ale handicapului, în vederea participării efective a persoanelor cu handicap în viaţa comunităţii, respectând drepturile şi îndatoririle ce revin părinţilor şi tutorilor.

 

GDPR și protecția datelor cu caracter personal ale persoanelor cu dizabilități

La intrarea în vigoare a prevederilor Regulamentului privind protecția datelor cu caracter personal, autoritățile îndreptățite să realizeze această protecție au realizat informarea persoanelor privind protecția datelor cu caracter personal inclusiv în sfera informatică. Cu titlu de exemplu este acțiunea exercitată de către Direcțiile privind protecția copilului, astfel: ,,având în vedere prevederile Regulamentului nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, precum și aceea că Direcția Generală de Asistență Socială și Protecția Copilului sector 6este operator de date cu caracter personal, nr. 5122/11537 și 13327/2007, vă prezentăm următoare informare cu privire la protecția datelor dumneavoastră cu caracter personal”

Conform exemplului anterior, direcțiile se vor ocupa de informarea și protecția datelor cu caracter personal ale persoanelor cu dizabilități. Protecția se va aplica astfel următoarelor categorii:

  1. copiii și adulții cu handicap, cetăţeni români, cetăţeni ai altor state sau apatrizi;
  2. însoţitorii și/sau asistenții maternali/personali ai persoanelor cu handicap grav;
  3. reprezentanții legali ai persoanelor cu dizabilități

 

 

În privința datelor cu caracter personal privind starea de sănătate, Regulamentul include și datele sau informațiile referitoare la handicapul persoanelor, în următorul sens, conform pct. (35) din Regulament: ,,datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menționate în Directiva 2011/24/UE a Parlamentului European și a Consiliului; un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv din date genetice și eșantioane de material biologic; precum și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro”

Necesitatea instituirii protecției a fost o măsură fundamentală și benefică tuturor categoriilor sociale. În sensul unei protecții temeinice, exemplificăm modalitatea în care o Direcție Generală de Asistență Socială și Protecția Copilului realizează o notă de informare cu privire la aplicarea prevederile Regulamentului. În atare direcție, Direcția precizează colectarea și prelucrarea următoarelor categorii de informații:

  1. date cu caracter personal ale copiilor și familiilor;
  2. date cu caracter personal ale persoanelor vârstnice;
  3. date cu caracter personal ale persoanelor cu dizabilități;
  4. date cu caracter personal ale altor persoane, grupuri sau comunități care interacționează cu Direcția în cauză

KIT GDPR Premium

 

Direcția în cauză precizează modalitatea în care se va realiza informarea și în care se va proceda la acordarea consimțământului în sensul prelucrării unor astfel de date. Conform Direcției Generale precizată anterior consimţământul trebuie să întrunească anumite condiții și anume, el trebuie acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal.

Te-ar putea interesa și:

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-5.png

Autor: Av. Ruxandra Sava, CIPP/E

Rațiunile comerciale determină companiile să pună la comun resurse pentru a duce pune la cale un proiect, însă aceste proiecte comune au, în unele situații, implicații în sfera GDPR în măsura în care companiile împart baze de date, stabilind împreună scopurile și mijloacele prelucrării datelor cu caracter personal.

Pentru o protecție adecvată a datelor cu caracter personal ale persoanelor vizate prelucrate împreună de către operatorii asociați, este obligatoriu ca fiecare operator asociat să respecte obligațiile impuse de GDPR și, mai mult decât atât, să stabilească un cadru general privind responsabilitatea fiecăruia față de persoanele vizate, ca de exemplu, cine informează și cine răspunde la cererile persoanelor vizate în temeiul GDPR.

Relațiile entităților angajate în protecția datelor iau naștere și se dezvoltă în medii complexe, dar, oricând de complex ar fi aceste medii, este important ca rolurile și responsabilitățile fiecărui operator asociat să fie distribuite în mod clar pentru a da eficiență legislației europene și naționale privind protecția datelor cu caracter personal.

Însă, înainte de a intra în subiectul gestionării eficiente a relației dintre operatorii asociați, trebuie să pornim de la o întrebare esențială: „Există o relație de operatori asociați?”. Pentru a răspunde la această întrebare, Fostul Grup de Lucru Art. 29, actual Comitet European pentru Protecția Datelor recomandă să se identifice dacă există sau nu un „control comun” asupra prelucrării datelor cu caracter personal. Dacă există acest control comun, entitățile vor fi într-o relație de operatori asociați, în caz contrar fiecare va avea calitatea de operator independent.

Exemplu #1: Amplasarea unor camere CCTV

O Organizație încheie un contract cu o societate de securitate pentru amplasarea unor camera CCTV în interiorul imobilelor unde există sediile și punctele de lucru. Având în vedere că scopul monitorizării CCTV și modalitatea în care datele personale (imaginile) sunt prelucrare (colectate, stocate etc) rămân în sarcina exclusivă a Organizației, Organizația este operator independent pentru această activitate de prelucrare, iar între părți nu există o relație de operatori asociați.

Exemplul #2: Agenție de turism

O agenție de turism, un hotel și un operator de servicii aeriene decid să construiască un site comun pentru procesarea mai eficientă a călătoriile. Acestea convin asupra elementelor importante ale mijloacelor care vor fi utilizate, cum ar fi datele care vor fi stocate, modul în care vor fi alocate și confirmate rezervările și persoanele care pot avea acces la informațiile stocate. Mai mult, ele hotărăsc să împartă baza de date a clienților pentru acțiuni de marketing comune. În această situație, cei trei operatori au un control comun asupra modalității de prelucrare a datelor și au rolul de operatori asociați pentru această activitate de prelucrare. [1]

[1] Exemplu din documentul Grupului de Lucru Art. 29: Avizul nr. 1/2010 privind conceptele de „operator” și „persoană împuternicită de către operator”

Pașii de urmat pentru gestionarea cu succes a relației dintre operatorii asociați

Pasul 1.

Creați o listă a tuturor organizațiilor care ar putea avea calitatea de operator asociat și, folosind informațiile teoretice expuse anterior și exemplele oferite, stabiliți care entități au calitatea de operatori asociați cu Organizația dvs.

Pasul 2.

Luați legătura cu fiecare operator asociat pentru a stabili, în linii mari, cadrul relației operator-asociat și, îndeosebi responsabilitatea fiecăruia în vederea protejării datelor cu caracter personal, notificarea incidentelor de securitate, informarea persoanelor vizate și răspunsul la cererea persoanelor vizate.

Pasul 3.

Redactați drafturile de contracte de prelucrare cu operatorii asociați pentru fiecare entitate în parte potrivit informațiilor și direcțiilor stabilite cu operatorii asociați la pasul anterior. Puteți găși un model de contract separat aici sau inclus în KIT-ul nostru de implementare. În măsura în care nu ați reușit să luați legătura cu o parte dintre operatorii asociați, creați drafturile de contracte potrivit informațiilor pe care le dețineți în prezent.

KIT GDPR Premium

Pasul 4.

Propunerea drafturilor de contracte, negocierea lor și încheierea contractelor.

Pasul 5.

Monitorizarea respectării contractelor și modificarea lor prin acte adiționale în măsura în care s-au schimbat anumite elemente ale relației sau au intrat în vigoare noi norme care prevăd necesitatea actualizării contractelor. Procedați la rezilierea contractelor și încetarea relațiilor cu operatorii asociați care nu își respect obligațiile asumate sau încalcă dispozițiile RGPD.

 

Cum te putem ajuta?

  • Consultanță și implementare GDPR. Scrie-ne pe LinkedIn sau pe Facebook
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici
  • Curs GDPR online care 28 de module care acoperă integral, teoretic și practic, materia. Află mai multe aici
  • Model de contract operator asociați  îl găsești aici. 
Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



close-up-girl-s-hand-drawing-house-with-colored-pencil-paper-against-white-backdrop_23-2148026286.jpg

Datele personale ale copiilor necesită o protecție sporită. Cu privire la modalitatea prelucrării, informațiile și comunicările trebuie să fie făcute în limbaj simplu, clar, în așa fel încât un copil să le poată înțelege cu ușurință

Datele personale ale copiilor. Protecție 

S-a remarcat faptul că, atât la nivel social, cât și la nivel legislativ, copiii ar necesita o protecție sporită. Definiția termenului ,, copil” este reflectată prin intermediul Legii nr. 272/2004 privind protecția și promovarea drepturilor copilului. Astfel, conform art. 4, prin ,,copil” vom înțelege persoana care nu a împlinit vârsta de 18 ani și nu a dobândit capacitatea deplină de exercițiu. Capacitatea de exercițiu este definită și prevăzută în cadrul Codului civil român. Prin raportare la art. 37 din Codul civil român, capacitatea de exercițiu reprezintă aptitudinea persoanei de a încheia singură acte juridice civile. În completare, art. 38 din Codul civil român prevede, cu privire la capacitatea de exercițiu deplină, că aceasta începe la data când persoana devine majoră, iar în acest din urmă caz persoana devine majoră la împlinirea vârstei de 18 ani. Minorul care a împlinit 14 ani dispune de capacitate de exercițiu restrânsă (cu derogările prevăzute de legea civilă), iar actele acestuia se vor încheia cu încuviințarea părinților sau a tutorelui, în anumite cazuri fiind necesară autorizarea instanței de tutelă (a se vedea în acest sens platforma online https://legeaz.net/noul-cod-civil/art-41-capacitatea-de-exercitiu-restransa-capacitatea-de-exercitiu-capacitatea-civila-a-persoanei-fizice).

 

KIT GDPR Premium

 

În lumina prevederilor GDPR, copil înseamnă persoana sub 16 ani, iar datele copiilor sub 16 ani necesită o protecție sporită. 

Copiii dispun de protecție inclusiv în ceea ce privește datele lor cu caracter personal. În cele ce urmează vom realiza o analiză legislativă internă și o raportare la prevederile internaționale integrate la nivel statal. Conform cadrului legislativ intern, în speță Legea nr. 272/2004 privind protecția și promovarea drepturilor copilului, art. 18, anumite informații privind copilul vor respecta principiul confidențialității și a dispozițiilor privind transmiterea informațiilor cu caracter personal. Informațiile cărora li se aplică aceste precepte sunt următoarele:

  • Informațiile ce privesc părintele sau altă/alte persoane ce au dreptul de a menține relații personale cu copilul;
  • Informațiile referitoare la copil atunci când sunt transmise de către persoana la care locuiește copilul, incluzând în această categorie fotografii, evaluări medicale, evaluări școlare, către părinte sau altă/alte persoane ce au dreptul de a menține întâlniri personale cu copilul.

 

 

La nivel internațional, Regulamentul privind Protecția Datelor cu Caracter Personal (RGDP), implementat la nivel național, prevede dispoziții ce vizează protecția copiilor în materie de date cu caracter personal. Conform pct. (38), datele cu caracter personal ale copiilor au nevoie de o protecție specifică a datelor cu caracter personal. Acest fapt se datorează faptului că ei ar putea fi mai puțin conștienți de anumite riscuri ori consecințe în materie de prelucrare a datelor cu caracter personal. Regulamentul statuează faptul că protecția trebuie să se aplice în mod special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing ori pentru crearea profilurilor de personalitate sau utilizator. În ceea ce privește consimțământul titularului răspunderii părintești, acesta nu trebuie să fie în mod necesar în contextul serviciilor de consiliere sau prevenire care sunt oferite în mod direct copiilor. Conform art. 8, atunci când sunt avute în vedere serviciile societății informaționale în mod direct către un copil, prelucrarea este una legală numai dacă copilul are cel puțin vârsta de 16 ani. Per a contrario, dacă acesta are sub 16 ani, prelucrarea va fi legală numai în măsura în care consimțământul său este fie acordat, fie autorizat de titularul răspunderii părintești asupra copilului (un model de formular de consimțământ al părintelui pentru prelucrarea datelor minorului se găsește aici). Regulamentul privind Protecția Datelor cu Caracter Personal conferă dreptul statelor de a putea prevede o vârstă inferioară privind consimțământul, sub condiția ca ea să nu fie mai mică de 13 ani. Rolul operatorului este acela de a verifica dacă a fost fie acordat, fie autorizat consimțământul.

 

 

Conform art. 57 din prezentul Regulament, fiecare autoritate de supraveghere are rolul de monitorizare și aplicare a Regulamentului privind Protecția Datelor cu Caracter Personal, dar și de promovare a acțiunilor de sensibilizare și înțelegere în rândul publicului a riscurilor și drepturilor în materie de prelucrare, acordându-se atenție specială activităților ce se adresează în mod specific copiilor. Prelucrării datelor cu caracter personal ale copiilor i se aplică principiul transparenței, prevăzut la pct. (58) din Regulament, astfel că orice informație care se va adresa publiculi sau persoanei vizate trebuie să fie concisă, ușor accesibilă și ușor de înțeles. Limbajul utilizat va fi unul simplu și clar. Informațiile vor putea să fie furnizate inclusiv în format electronic, având în vedere evoluția tehnologiei de la nivel actual. Se pornește de la premisa conform căreia o persoană este în dificultate în a cunoaște și a înțelege dacă datele cu caracter personal ce o privesc sunt colectate și, mai ales, cine realizează acest proces. Exemplul elocvent este reprezentat de publicitatea online. Regulamentul privind Protecția Datelor cu Caracter Personal are în vedere protecția sporită a datelor cu caracter personal atunci când prelucrarea ar viza un copil. Cu privire la modalitatea prelucrării, informațiile și comunicările trebuie să fie făcute în limbaj simplu, clar, în așa fel încât un copil să le poată înțelege cu ușurință.

 

Te-ar putea interesa și:

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



hacker-holding-mask_23-2147985363-1.jpg

Protecția datelor cu caracter personal nu este un drept absolut. În situațiile în care protecția datelor cu caracter personal intră în conflict cu alte drepturi și libertăți (dreptul de acces la informații de interes public, drepturile de autor, secrete comerciale etc), instanțele naționale trebuie să realizeze un test de echilibrare între instituțiile aflate în conflict, în funcție de particularitățile fiecărui caz și cu respectarea principiului proporționalității, pentru a afla care instituție primează și a putea pronunța o hotărâre care să poată fi pusă în executare.

În prezentul articol ne vom ocupa de conflictul dintre protecția datelor cu caracter personal și protecția drepturilor de autor prin rezumarea Cauzei C-461 (Bonner Audio AB vs. Perfect Communication Sweden AB) Hotărârea poate fi descărcată de aici.

Situația de fapt

Bonnier Audio și alții sunt societăți de editare, titulare, printre altele, ale unor drepturi exclusive de reproducere, de editare și de punere la dispoziția publicului a 27 de lucrări prezentate sub formă de cărți audio. Bonnier Audio și alții apreciază că, prin difuzarea publică a celor 27 de opere, fără acordul lor, cu ajutorul unui server FTP („file transfer protocol”), care permite partajarea de fișiere și transferul de date între calculatoare conectate la internet, s‑ar fi adus atingere drepturilor lor exclusive. Furnizorul de acces internet prin intermediul căruia a avut loc pretinsul schimb ilegal de fișiere este ePhone.

Bonnier Audio și alții au introdus la Solna tingsrätt [Tribunalul de Primă Instanță Solna] o cerere de emitere a unei somații de comunicare a numelui și a adresei persoanei care a utilizat adresa IP de la care se prezumă că au fost transmise fișierele respective în perioada cuprinsă între ora 3.28 și ora 5.45 din 1 aprilie 2009.

Acest furnizor, ePhone, s‑a opus cererii susținând în special că somația solicitată este contrară Directivei 2006/24.

În primă instanță, Solna tingsrätt a admis cererea de emitere a unei somații de comunicare a datelor în cauză.

Respectivul furnizor, ePhone, a formulat apel în fața Svea hovrätt [Curtea de Apel Svea], solicitând respingerea cererii de emitere a unei somații. Această societate a solicitat și sesizarea cu titlu preliminar a Curții pentru ca aceasta să precizeze dacă Directiva 2006/24 se opune posibilității ca informațiile privind un abonat căruia i s‑a atribuit o adresă IP să fie comunicate altor persoane decât autorităților vizate de directiva menționată.

KIT GDPR Premium

 

Svea hovrätt a reținut că nicio dispoziție din Directiva 2006/24 nu interzice ca o parte într‑un litigiu civil să fie somată să comunice, altor persoane decât o autoritate publică, date privind abonații. Respectiva instanță a respins și cererea de sesizare cu titlu preliminar a Curții.

Aceeași instanță a constatat și că societățile editoare de cărți audio nu dovediseră existența unor indicii reale cu privire la o atingere adusă unui drept de proprietate intelectuală. Instanța a decis, așadar, să anuleze somația de comunicare a datelor în cauză pronunțată de Solna tingsrätt. Astfel, Bonnier Audio și alții au introdus recurs în fața Högsta domstolen.

Cauza a fost suspendată și s-au adresat mai multe întrebări preliminare Curții, printre care

Întrebărea preliminară principală

(1) Directiva 2006/24 […], în special articolele 3-5 și 11 din aceasta, se opune aplicării unei dispoziții de drept național, instituită în temeiul articolului 8 din Directiva 2004/48 […], care, în scopul de a identifica un abonat, permite somarea unui furnizor de acces la internet să comunice titularului unui drept de autor sau succesorului său în drepturi, în cadrul unei proceduri civile, identitatea abonatului căruia i‑a fost atribuită o adresă IP care ar fi fost utilizată pentru a se aduce atingere respectivului drept? Se prezumă, pe de o parte, că solicitantul somației a dovedit existența unor indicii reale ale atingerii aduse dreptului de autor și, pe de altă parte, că măsura solicitată este proporțională.

Răspunsul Curții

Pe scurt, Curtea a răspuns negativ întrebării preliminare, statuând că Directiva 2006/24/CE  nu se opune aplicării unei legislații naționale care permite, în scopul de a identifica un abonat la internet sau un utilizator de internet, somarea unui furnizor de acces la internet să comunice titularului unui drept de autor sau succesorului său în drepturi identitatea abonatului căruia i‑a fost atribuită o adresă IP („Internet Protocol”) care ar fi fost utilizată pentru a se aduce atingere respectivului drept.

Curtea a statuat, de asemenea, faptul că Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) și Directiva 2004/48 trebuie interpretate în sensul că nu se opun unei legislații naționale, precum cea în cauză în acțiunea principală, în măsura în care această legislație permite instanței naționale sesizate cu o cerere de emitere a unei somații de comunicare a datelor cu caracter personal, formulată de o persoană care are calitate procesuală activă, să pondereze, în funcție de împrejurările fiecărei cauze și ținând seama în mod corespunzător de cerințele care rezultă din principiul proporționalității, interesele opuse existente.

Argumentele Curții

Pentru a răspunde în sensul celor indicate anterior, argumentele Curții au fost, în principal, următoarele:

  • După cum rezultă din articolul 4 din Directiva 2006/24, datele păstrate în conformitate cu această directivă nu pot fi transmise decât autorităților naționale competente, în cazuri bine determinate și în conformitate cu dreptul intern al statului membru în cauză.
  • Astfel, Directiva 2006/24 privește exclusiv prelucrarea și păstrarea datelor generate sau prelucrate de furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele publice de comunicații, în scopul utilizării în cadrul activităților de cercetare, de depistare și de urmărire a infracțiunilor grave, precum și transmiterea acestora către autoritățile naționale competente.
  • Directiva 2006/24 repezintă o reglementare specială și bine delimitată, care derogă și se substituie Directivei 2002/58.
  • În ceea ce privește acțiunea principală, trebuie arătat că legislația în cauză urmărește un obiectiv diferit de cel vizat de Directiva 2006/24, respectiv transmiterea de date în cadrul unei proceduri civile, pentru a se constata o atingere adusă drepturilor de proprietate intelectuală, obiectiv care nu intră, în domeniul de aplicare ratione materiae al Directivei 2006/24.
  • Pentru a oferi acest răspuns util, trebuie mai întâi amintit că în acțiunea principală Bonnier Audio și alții solicită comunicarea, pentru identificarea acestuia, a numelui și a adresei unui abonat la internet sau a unui utilizator de internet care utilizează adresa IP de la care se prezumă că au fost schimbate ilegal fișiere care conțin opere protejate.
  •  Trebuie să se constate că respectiva comunicare solicitată de Bonnier Audio și alții reprezintă o prelucrare a datelor cu caracter personal în sensul articolului 2 primul paragraf de Directiva 2002/58 coroborat cu articolul 2 litera (b) din Directiva 95/46. Această comunicare intră, așadar, în domeniul de aplicare al Directivei 2002/58.
  • De asemenea, trebuie arătat că în acțiunea principală comunicarea acestor date este necesară în cadrul unei proceduri civile, în beneficiul titularului unui drept de autor sau al succesorului său în drepturi, cu alte cuvinte o persoană privată, iar nu în beneficiul unei autorități naționale competente.
  • În această privință, trebuie să se constate de la bun început că o cerere de comunicare a datelor cu caracter personal în vederea asigurării protecției efective a drepturilor de autor intră, prin obiectul său, în domeniul de aplicare al Directivei 2004/48 privind respectarea drepturilor de proprietate intelectuală.
  • Or, Curtea a hotărât deja că Directiva 2004/48 nu se opune stabilirii de către statele membre a unei obligații de transmitere către persoane private a unor date cu caracter personal pentru a se permite inițierea unor proceduri judiciare civile împotriva atingerilor aduse dreptului de autor, dar nici nu impune ca aceste state să prevadă o asemenea obligație.
  • Cu toate acestea, Curtea a adăugat că, la transpunerea, în special, a Directivei 2002/58 și a Directivei 2004/48, statelor membre le revine obligația să se asigure că se întemeiază pe o interpretare a acestora din urmă care permite asigurarea unui echilibru just între diferitele drepturi fundamentale protejate de ordinea juridică a Uniunii. Pe lângă aceasta, la punerea în aplicare a măsurilor de transpunere a acestor directive, revine autorităților și instanțelor din statele membre nu numai sarcina de a interpreta dreptul lor național într‑un mod conform acelorași directive, ci și cea de a nu se întemeia pe o interpretare a acestora care ar intra în conflict cu drepturile fundamentale respective sau cu alte principii generale ale dreptului Uniunii, precum principiul proporționalității.
  • Or, trebuie subliniat că, pentru a se putea dispune emiterea unei somații de comunicare a datelor în cauză, legislația națională în discuție impune existența unor indicii reale cu privire la o atingere adusă unui drept de proprietate intelectuală asupra unei opere, ca informațiile solicitate să poată facilita ancheta cu privire la încălcarea dreptului de autor sau la atingerea adusă unui asemenea drept și ca motivele care stau la baza acestei somații să fie de un interes superior inconvenientelor sau altor prejudicii pe care le poate provoca destinatarului ei sau oricăror interese care se opun acesteia.
  • Astfel, această legislație permite instanței naționale sesizate cu o cerere de emitere a unei somații de comunicare a datelor cu caracter personal, formulată de o persoană care are calitate procesuală activă, să pondereze, în funcție de împrejurările fiecărei cauze și ținând seama în mod corespunzător de cerințele care rezultă din principiul proporționalității, interesele opuse existente.
  • În această situație, o asemenea legislație trebuie considerată ca fiind de natură să asigure un echilibru just între protecția dreptului de proprietate intelectuală de care se bucură titularii dreptului de autor și protecția datelor cu caracter personal de care beneficiază un abonat la internet sau un utilizator de internet.

 

Te-ar putea interesa și alte articole scrise de acest autor


arhive-date-personale-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord