Aici descoperim
dreptul tehnologiei

corporate-suit-white-man-background_1150-1776.jpg

Autor Elena Marc – Specialist Protecția Datelor, Consultant EMPIRE LOGISTICS SRL

Dreptul persoanelor fizice la despagubire pentru prejudiciul cauzat

Cu toate că amenzile din GDPR sunt semnificative, companiile trebuie să fie preocupate de încă două lucruri.

  1. faptul că persoanele vizate pot să aibă opțiunea de a solicita despăgubiri în cazul în care acțiunile operatorului sau ale operatorului împuternicit duc la daune. 
  2. amenzile sunt, de asemenea, susceptibile de a crea daune reputaționale, care nu pot fi cuantificate cu ușurință.

Deocamdată nu se sție ce nivel de compensare va fi  acordat  victimelor  unei încălcări a datelor. GDPR afirmă că persoanele fizice pot solicita despăgubiri (fie de la operatorul  de date, fie de la persoana împuternicită de operatorul de date) dacă au suferit daune ca rezultat al încălcării GDPR. Considerentul 146 afirmă că există o obligație de răspundere:

”Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament.”  Ceea ce înseamnă  că este probabil ca o organizație să fie, de asemenea, răspunzătoare pentru cererile de despăgubire, în cazul în care aceasta va fi amendată de autoritate.

În schimb, pretenția persoanelor vizate ar putea fi bazată pe daune nefinanciare, cunoscute sub denumirea de daune morale, un exemplu ar putea fi epuizare emoțională. Cu toate acestea, nu există încă exemple privind cât de mult ar putea fi acordat astfel în cazul unei încălcări a datelor.

Citește mai multe despre daunele morale în temeiul GDPR în articolul nostru: 10.000 lei- daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

GDPR face obligatorie, în unele cazuri, notificarea încălcării, ceea ce va spori gradul de conștientizare al clientului și, astfel, ar putea să complice probabilitatea creanțelor. Unii dintre cei afectați au fost ulterior victime ale fraudei și astfel au suferit o pierdere financiară care ar putea fi evaluată separat. Cei care nu au suferit o pierdere financiară ar fi putut fi totuși extrem de îngrijorați de ceea ce sa întâmplat. Unii ar putea fi  îngrijorați că vor fi victime în viitor sau că ar fi putut fi furați banii din conturile lor. Acest lucru poate însemna că au avut un caz de daune morale.

În timp ce unele companii încalcă în mod intenționat legea, putem supune că majoritatea încălcărilor se datoreze lipsei de pregătire.

Articolul 83 din GDPR prevede 11 considerente diferite de care se ține cont  la stabilirea mărimii amenzii.Vezi: http://www.privacy-regulation.eu/ro/83.htm

Acestea includ factori precum:

  • natura, gravitatea și durata încălcării
  • încălcarea intenționată sau din neglijență
  • categoriile de date cu caracter personal afectate
  • numărul de persoane vizate și impactul asupra acestora
  • măsurile care au fost în vigoare pentru a proteja datele
  • nivelul de cooperare cu autoritatea de supraveghere
  • respectarea standardelor din industrie
  • istoric al încălcărilor anterioare

Există o mulțime de discuții despre amenzi, dar cel mai bine este să învățăm o lecție din acestea și să începem să ne pregătim  de conformare. Deci, nu așteptați și acționați înainte de a fi prea târziu.

Mai jos găsiți o lista de verificare, sub forma de întrebări care vă vor ajuta să evaluați dacă sunteți OBLIGAT să respectați GDPR sau nu.

Dacă toate răspunsurile dvs. sunt DA, nu există nici o îndoială că trebuie să vă conformați. Dacă majoritatea răspunsurilor dvs. sunt NU, dar câteva sunt DA, vă rugăm să consultați un specialist.

  1. Compania dvs. colectează date personale?
  2. În mod regulat, vă ocupați de activități cum ar fi salarizarea lunară, pregătirea și trimiterea de facturi, trimiterea de e-mailuri promoționale, prelucrarea și colectarea cererilor de la solicitanții de locuri de muncă, administrarea pacienților?
  3. Firma dvs. procesează orice tip de date speciale (cum ar fi date privind sănătatea, date generice sau biometrice, date care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase, calitatea de membru al sindicatelor, datele privind viața sexuală a unei persoane fizice sau orientarea sexuală )?
  4. Firma dvs. prelucrează date cu caracter personal privind condamnările penale și infracțiunile sau măsurile de securitate aferente?
  5. Este probabil ca prelucrarea datelor să ducă la un risc pentru drepturile și libertățile persoanelor vizate (adică supravegherea video, procedurile de evaluare a creditului și de prevenire a fraudei, localizarea angajaților)?

 

Te-ar putea interesa și:

 

 

 

 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Cine-răspunde-pentru-accidentul-unde-sunt-implicate-mașini-autonome_-1.png

Cazierul judiciar și GDPR.

Am primit pe adresa redacției următoarea întrebare la care am răspuns și am considerat că ar fi util să postăm răspunsul și aici, pe blog.

Întrebare: O companie din UE doreste sa externalizeze o parte din activitatile sale catre noi; in acest sens are o serie de cerinte printre care si faptul ca doreste sa cerem de la toti angajatii pe acest proiect “a certificate of good conduct (German “polizeiliches Führungszeugnis”) or an equivalent foreign certificate without any record regarding an essential contractual obligation or a criminal offence. At the date of presentation, the certificate of good conduct shall not be older than three months”.

Eu echivalez acest certificat cu cazierul (sper ca nu gresesc?) pe care nu avem obiceiul sa il cerem. Conform Art. 10 GDPR mi-e clar ca nu e ok sa facem prelucrarea datelor din cazier pentru ca nu exista o cerinta legala in acest sens, insa de asemenea intelegerea mea este ca acest Articol 10 se refera doar la prelucrarile de date in temeiul consimtamantului, este corect?

Atunci intrebarea este: am putea sa facem prelucrarea datelor din cazier in virtutea interesului legitim? Sau in virtutea unei baze contractuale (desi contractul ar fi intre cele doua firme, nu intre noi si angajat)?

 

LegalUp: Prelucrarea datelor referitoare la condamnări penale sau infracțiuni, incluzând cazierul judiciar, este o prelucrare de categorii speciale de date, prin urmare temeiurile legale pentru prelucrările de date obișnuite (printre care contractul și interesul legitim) nu sunt aplicabile.

Art. 10 din GDPR prevede că „Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat.”.

Prin urmare, există doar două situații în care se poate prelucra cazierul:

  1. prelucrarea se efectuează sub controlul unei autorități de stat; sau
  2. prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate.

În unele situații este într-adevăr permisă sau obligatorie colectarea cazierului la angajare (funcționari publici, gestionari, pasnici, consilieri juridici, medici), însă, în situația descrisă de dumneavoastră, cum nu ne puteam încadra pe niciunul din cazurile de mai sus și nu există temei legal, ar trebui să evitați colectarea cazierului pentru a respecta prevederile GDPR.

 

Te-ar putea interesa și:

 



template-2-1200x675.png

Cu siguranță, în calitatea ta de pasager aerian, te-ai întrebat cel puțin o dată ce se întâmplă cu multitudinea de date pe care le oferi companiilor aeriene. De ce sunt colectate atât de multe date? Cui sunt transmise? Pe ce perioadă sunt stocate? Sunt ele stocate în condiții de securitate și confidențialitate? Ce drepturi am? Parcurge articolul nostru și vei afla răspunsul la aceste întrebări. 

Azi, 2 decembrie, a intrat în vigoare Legea nr. 284/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian care transpune  Directiva (UE) 2016/681 a Parlamentului European și a Consiliului și a fost abrogată Ordonanța Guvernului nr. 13/2015 privind utilizarea unor date din registrele cu numele pasagerilor.

Cine este UNIP?

UNIP reprezintă abrevierea de la Unitatea națională de informații privind pasagerii și este o structură de specialitate, fără personalitate juridică, în cadrul Inspectoratului General al Poliției de Frontieră. UNIP, are, în principal următoarele atribuții: 

  • colectează datele pasagerilor de la transportatorii aerieni;
  • stochează datele pasagerilor pe o anumită perioadă;
  • transferă datele pasagerilor către autoritățile competente;
  • facilitează schimbul de date ale pasagerilor cu  Unitățile de informații privind pasagerii din alte state membre ale Uniunii Europene și cu EUROPOL;
  • facilitează schimbul de date ale pasagerilor cu țări terțe.

Ce date ale pasagerilor transmit companiile aeriene către UNIP?

Datele pasagerilor transmise de către companiile aeriene către UNIP sunt numite de lege Date PNR. 

a) codul de rezervare;

b) data rezervării sau a emiterii biletului;

c) data/datele programată/programate a/ale călătoriei;

d) numele și prenumele asociate rezervării;

e) adresa și informațiile de contact – număr de telefon, adresă de e-mail – asociate rezervării;

f) toate informațiile privind forma de plată, inclusiv adresa de facturare;

g) itinerarul complet de călătorie;

h) informațiile din profilul “client fidel”;

i) agenția sau agentul de turism prin care a fost făcută rezervarea sau a fost cumpărat biletul;

j) situația de călătorie a pasagerului, inclusiv confirmările, situația înregistrării pentru zbor, informații privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă;

k) informațiile scindate sau divizate din registrul cu numele pasagerilor;

l) mențiunile cu caracter general, inclusiv toate informațiile disponibile despre minorii neînsoțiți cu vârsta sub 18 ani, precum numele și sexul minorului, vârsta, limba/limbile vorbită/vorbite, numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire;

m) informațiile despre bilet, inclusiv numărul biletului, data emiterii biletului și bilete dus simplu și câmpurile aferente furnizării automate a prețului unui bilet de călătorie;

n) numărul locului și alte informații privind locul;

o) informațiile cu privire la codurile partajate;

p) toate informațiile cu privire la bagaje;

q) numărul pasagerilor înregistrați în PNR și alte nume ale acestora;

r) orice date API colectate, inclusiv tipul, numărul, țara de emitere și data expirării oricărui document de identitate, cetățenia, numele de familie, prenumele, sexul, data nașterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării și ora sosirii;

s) un istoric al tuturor modificărilor datelor PNR prevăzute mai sus.

În ce scopuri sunt colectate, prelucrate și transmise aceste date? 

Prelucrarea și transmiterea acestor date de la companiile aeriene către UNIP și ulterior către alte instituții abilitate de lege sunt necesare pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, precum și pentru prevenirea și înlăturarea amenințărilor la adresa securității naționale și exlusiv pentru următoarele scopuri:

a) efectuarea unei evaluări a pasagerilor înainte de sosirea sau de plecarea programată a acestora în/din România, în vederea identificării persoanelor cu privire la care este necesară o examinare suplimentară de către autoritățile competente și, după caz, de către EUROPOL, având în vedere faptul că respectivele persoane pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale;

b) oferirea de răspunsuri, de la caz la caz, unei cereri temeinic justificate bazate pe motive suficiente din partea autorităților competente vizând furnizarea și prelucrarea datelor PNR, în cazuri concrete, și comunicarea rezultatelor acestei prelucrări autorităților competente sau, după caz, EUROPOL;

c) analizarea datelor PNR în vederea actualizării sau a definirii de noi criterii ce urmează a fi utilizate pentru evaluările efectuate în scopul identificării oricăror persoane care pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale.

Când se transmit datele către UNIP?

Transporatorii aerienă transmit datele PNR către UNIP cu 48 până la 24 de ore înainte de ora programată pentru plecarea zborului.

Cui transmite UNIP datele pasagerilor?

  • Autorităților competente

a) Poliția Română;

b) Poliția de Frontieră Română;

c) Direcția Generală de Protecție Internă;

d) Direcția Generală Anticorupție;

e) Serviciul Român de Informații;

f) Serviciul de Informații Externe;

g) Ministerul Apărării Naționale: Direcția generală de informații a apărării;

h) Ministerul Public;

i) Agenția Națională de Administrare Fiscală: Direcția Generală a Vămilor.

  • Unitățile de informații din alte state membre;

UNIP reprezintă punctul național de contact cu unitățile de informații privind pasagerii ale altor state membre ale Uniunii Europene și este responsabilă pentru schimbul de date PNR cu acestea.

  • EUROPOL

EUROPOL poate adresa UNIP, prin intermediul Unității Naționale Europol, o cerere în format electronic, justificată corespunzător, de transmitere a unor anumite date PNR sau a rezultatului prelucrării respectivelor date.

EUROPOL adresează această cerere doar atunci când acest lucru este strict necesar pentru sprijinirea și consolidarea acțiunii statelor membre ale Uniunii Europene în vederea prevenirii, depistării sau investigării unei anumite infracțiuni de terorism sau a unei anumite infracțiuni grave, în măsura în care infracțiunea respectivă intră în sfera de competență a EUROPOL, în temeiul legislației Uniunii Europene care stabilește organizarea și atribuțiile EUROPOL.

Cererea trebuie să conțină motive rezonabile pe baza cărora EUROPOL consideră că transmiterea datelor PNR sau a rezultatului prelucrării datelor PNR va contribui în mod substanțial la prevenirea, depistarea sau investigarea infracțiunii în cauză.

În ce condiții poate UNIP transfera date către țări terțe?

UNIP poate transfera date PNR sau rezultatul prelucrării datelor PNR către autoritățile unei țări terțe doar de la caz la caz și dacă sunt îndeplinit, printre altele, următoarele condiții:

a) sunt respectate dispozițiile art. 15 din Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Afacerilor Interne în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice, republicată;

b) transferul este necesar în scopul prevenirii, depistării sau investigării unei fapte care este considerată de legea țării terțe solicitante drept infracțiune de terorism sau care este sancționată ca infracțiune de legea țării terțe solicitante cu o pedeapsă sau cu o măsură de siguranță privativă de libertate a cărei durată maximă este de cel puțin 3 ani și care este corespunzătoare uneia dintre formele de criminalitate prevăzute în anexa care face parte integrantă din prezenta lege;

c) autoritatea din țara terță comunică în scris că este de acord să transfere datele PNR unei alte țări terțe doar în cazul în care acest lucru este strict necesar în scopul prevăzut la lit. b) și doar cu autorizarea expresă a UNIP;

e) nu este afectată securitatea națională.

Pe ce perioadă sunt păstrate datele pasagerilor?

Datele pasagerilor furnizate de transportatorii aerieni se păstrează în cadrul UNIP pentru o perioadă de 5 ani de la momentul finalizării transferului de date de la companiile aeriene către UNIP. La împlinirea acestui termen, datele se șterg automat, printr-o procedură ireversibilă.

Totuși, la împlinirea a 6 luni de la momentul transferului, datele sunt depersonalizate prin marcarea următoarelor elemente:

a) numele, inclusiv numele altor pasageri, precum și numărul pasagerilor care călătoresc împreună;

b) adresa și informațiile de contact asociate rezervării;

c) toate informațiile privind forma de plată, inclusiv adresa de facturare;

d) informațiile din profilul “client fidel”;

e) mențiunile cu caracter general prevăzute la art. 14 alin. (1) lit. l);

f) orice date API care au fost colectate.

Cu toate acestea, ștergerea datelor în cadrul UNIP nu are efect asupra datelor care există deja la autoritățile competente unde acestea au fost transmise, păstrarea acestor date va respecta regimul aplicabil de păstrarea aplicabil cazului concret de prelucrare.

Cine va fi responsabil de protecția datelor? 

UNIP va avea un responsabil cu protecția datelor, numit de inspectorul general al IGPF.

Responsabil cu protecția datelor în cadrul UNIP va fi un polițist – funcționar public cu statut special cu studii superioare -, cu o experiență de minimum 2 ani în domeniul protecției datelor cu caracter personal și care a urmat cel puțin un curs de specializare în acest domeniu.

În exercitarea sarcinilor de serviciu privind respectarea legislației în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP este independent și nu poate primi instrucțiuni pe cale ierarhică.

Responsabilul cu protecția datelor UNIP va avea următoarele atribuții:

a) informarea și consilierea personalului UNIP care efectuează prelucrări de date PNR, cu privire la obligațiile care le revin în temeiul legislației privind protecția datelor cu caracter personal;

b) monitorizarea respectării de către UNIP a obligațiilor ce îi revin în conformitate cu dispozițiile legislației privind protecția datelor cu caracter personal și a politicilor UNIP în materia protecției datelor cu caracter personal, în special a alocării responsabilităților, a creșterii gradului de conștientizare a acestora în rândul personalului UNIP și a acțiunilor de formare a personalului implicat în operațiunile de prelucrare;

c) realizarea verificărilor necesare în scopul determinării nivelului de respectare a rigorilor impuse de cadrul normativ privind protecția datelor cu caracter personal;

d) furnizarea de consiliere în ceea ce privește evaluarea impactului măsurilor de protecție a datelor cu caracter personal prelucrate în cadrul Sistemului de evidență a datelor PNR și monitorizarea modului în care principiile prelucrării datelor cu caracter personal sunt implementate în cadrul operațiunilor realizate în cadrul UNIP;

e) cooperarea cu Autoritatea națională de supraveghere și îndeplinirea funcției de punct de contact pentru această instituție;

f) îndeplinirea funcției de punct unic de contact în relația cu persoanele vizate, cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal în cadrul Sistemului de evidență a datelor PNR.

Atunci când în exercitarea atribuțiilor prevăzute lconstată efectuarea unei operațiuni de prelucrare a datelor cu caracter personal nu este conformă cu legislația în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP informează conducerea IGPF. În cazul în care pentru remedierea situației nu sunt suficiente măsurile adoptate la nivelul IGPF, responsabilul cu protecția datelor în cadrul UNIP notifică, de îndată, Autoritatea națională de supraveghere.

Responsabilul cu protecția datelor UNIP reprezintă punctul de contact cu persoanele fizice vizate și, în consecință, are următoarele atribuții:

  • primește și întregistrează cererile persoanelor vizate într-un registru special;
  • solicită UNIP să realizeze verificările necesare pentru soluționarea cererilor;
  • întocmește și transmite răspunsurile către persoanele fizice solicitante.

Cum pot să îmi exercit drepturile cu privire la datele mele personale?

Pentru a-și exercita drepturile prevăzute de GDPR (acces, rectificare, restricționare, opoziție, ștergere, portabilitate), pasagerul va formula și va depune o cerere la UNIP. Pentru validitatea cererii, persoana trebuie să facă dovada identității. 

Sunt datele mele prelucrate în condiții de securitate și confidențialitate?

UNIP va asigura securitatea și confidențialitatea datelor potrivit GDPR și a legislației naționale de punere în aplicare a acestuia.

Este interzisă prelucrarea datelor PNR prin intermediul persoanelor împuternicite de către operator, în sensul Regulamentului general privind protecția datelor și a legislației de punere în aplicare a acestuia.

Prelucrează UNIP date sensibile despre mine?

Nu. Potrivit legii, prelucrarea datelor pasagerilor care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența la un sindicat, sănătatea, viața sexuală sau orientarea sexuală este interzisă.  În cazul în care datele PNR transmise de transportatorii aerieni cuprind informații sensibile, personalul UNIP șterge în mod ireversibil respectivele informații imediat după identificarea acestora.

Ce ar trebui să știu despre protecția datelor de către companiile aeriene?

Transportatorii aerieni rămân responsabili, în temeiul dispozițiilor legale din domeniul protecției datelor cu caracter personal aplicabile acestora, în ceea ce privește:

a) adoptarea măsurilor tehnice și organizatorice necesare pentru asigurarea protejării datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum și împotriva oricărei altei forme de prelucrare ilegală;

b) prelucrarea datelor PNR în mod legal, echitabil și transparent față de persoana vizată, inclusiv informarea pasagerilor, prealabilă colectării datelor PNR, cu privire la faptul că acestea sunt transmise către UNIP;

c) colectarea datelor PNR în scopuri determinate, explicite și legitime și abținerea de la prelucrarea ulterioară într-un mod incompatibil cu aceste scopuri;

d) colectarea de date PNR adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

e) prelucrarea de date PNR exacte și actualizate;

f) păstrarea datelor PNR într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate.

 

Te-ar putea interesa și:



black-vintage-car-clipart-1200x1200.jpg

Ați putea ghici cine află despre dvs. următoarele lucruri?

  • unde locuiți;
  • unde lucrați;
  • la ce școală merg copiii dvs.;
  • religia dvs.;
  • cât de des vizitați medicul,
  • dacă respectați limita de viteză;
  • toate contactele de pe telefon;
  • detalii despre toate apelurile telefonice, mesajele;
  • ce posturi de radio ascultați; și
  • dacă ați plecat de la sala de fitness în această dimineață și ați făcut o cafea și un croissant

Majoritatea oamenilor ar spune că telefonul lor, dar câți oameni ar spune “mașina”?

Autovehiculele moderne sunt pline de setări care fac viața mai ușoară și mai sigură, cum ar fi controlul direcției, sistemul de control al vitezei de croazieră, sistemele de navigație și media. Toate aceste facilități au ca rezultat generarea unor cantități enorme de date (pe care unele estimări le pun la 25Gb de date pe oră – echivalentul a 125.000 de documente Word sau 100 de ore de video). În funcție de natura tehnologiei utilizate în automobilul dvs. modern, aceste informații sensibile ar putea fi accesibile sau puse la dispoziția mai multor părți interesate, inclusiv producătorului, operatorilor de rețele mobile, furnizorilor de sisteme auto sau furnizorilor de servicii de cloud pentru stocarea datelor.

Aceste date sunt importante și sunt de interes pentru multe părți – pentru a le pune în context, un studiu recent din martie 2018 realizat de McKinsey & Company estimează că industria conectivității auto poate valora între 450 și 750 de miliarde de dolari în întreaga lume până în 2030.

Este îngrijorător că nu există un cadru juridic specific la nivel european care să reglementeze protecția datelor colectate de la vehicule.

Toate datele colectate care constituie “date personale” (de exemplu, numele, adresa, numărul de telefon, locația GPS și datele biometrice) sunt supuse noii legislații GDPR . În conformitate cu GDPR, există șase temeiuri pentru prelucrarea datelor personale, cel mai utilizat fiind consimțământul persoanei vizate.

Când ați achiziționat mașina, v-ați dat consimțământul pentru stocarea și prelucrarea datelor dvs.?

Colectarea datelor de către mașina dvs. nu este doar un alt exemplu de ingerință a Big Brother – este mai mult de atât.

Majoritatea companiilor colectează date cu scopul declarat de a menține și de a îmbunătăți serviciile furnizate sau de a dezvolta noi servicii. Există, fără îndoială, împrejurări în care oamenii ar prefera ca datele automobilelor să fie puse la dispoziția poliției și accesate de aceasta (în cadrul competențelor prevăzute de legislația națională). La începutul acestui an, poliția din Irlanda a reușit, să utilizeze datele despre locație de la un Nissan Qashqai pentru a urmări deplasarea lui Mark Hennessy în timp ce o răpea pe Justine Valdez .

În SUA, tehnologia este utilizată în mod obișnuit în mașini de către autoritățile de aplicare a legii, ceea ce dă naștere la preocupări majore privind protecția datelor. De exemplu, într-un caz, un șofer a activat accidental sistemul SOS al mașinii în timp ce discuta despre o afacere cu droguri. Personalul call-center a ascultat discuția, apoi a informat poliția locală care l-a arestat ulterior pe conducătorul auto. În acest caz, în timp ce primul gând este că arestarea unui traficant de droguri este în mod evident un lucru bun, vi se pare în regulă faptul că operatorii call-center ai producătorului de automobile ar putea asculta discuțiile dvs. private în timp ce vă aflați în mașină, dacă ați activat accidental sistemul de urgență? Poate că acesta este un preț care merită să fie plătit pentru siguranță știind că, dacă ați suferit un accident, ajutorul va fi la îndemână.

Ce părere aveți despre colectarea datelor de către mașina dvs.? V-ați bucura să fie utilizate pentru a vă prezenta conținut și anunțuri personalizate?

De exemplu, dacă autovehiculul dvs. urmează să rămână fără motorină/ benzină, v-ar plăcea să vă informeze că există o stație de alimentare în apropiere (indicații de orientare) și că veți obține o reducere cu 5% a combustibilului dacă veți merge acolo? În această “tranzacție”, stația de alimentare plătește, probabil, producătorului de automobile o anumită taxă pentru afișarea anunțului, dvs. veți obține o reducere a prețului benzinei/motorinei și stația ar beneficia și de alte achiziții ale dvs. (cum ar fi o cafea) în timp ce alimentați automobilul. Este o situație în care toate părțile au de câștigat sau este cu adevărat terifiant?

În cele din urmă, este clar că într-o lume curajoasă a mașinilor conectate, nimeni nu știe exact spre ce ne îndreptăm. Cu toate acestea, dintr-o perspectivă juridică, proprietarii de mașini trebuie să fie informați cu privire la toate datele personale colectate și la modul în care vor fi utilizate – fără acestea, producătorii se expun investigațiilor autorităților de supraveghere și reclamațiilor din partea clienților.

https://www.lexology.com/library/detail.aspx?g=0e462f17-e2fd-47b3-9396-d69fef19025f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

 


143-1439437_student-school-pupil-education-pupil-going-to-school-1200x861.png

Respectarea principiilor privind protecția datelor și, în special, corectitudinea ar trebui să fie esențiale pentru prelucrarea datelor personale ce aparțin copiilor.

Trebuie să aveți un temei legal pentru prelucrarea datelor personale ale unui copil. Consimțământul este un temei posibil, dar nu este singura opțiune. Uneori, alegerea unui alt temei este mai adecvată și oferă o protecție mai bună datelor copilului.

Ce e nou în cadrul GDPR?

Dacă vă bazați pe consimțământ ca temei legal pentru prelucrarea datelor cu caracter personal atunci când oferiți un serviciu direct copiilor, ar trebui să verificați dacă persoana care își dă consimțământul în aceste condiții are vârsta potrivită pentru a face acest lucru. Pentru copiii sub vârsta de 16 ani, trebuie să obțineți consimțământul de la cei care au autoritatea părintească asupra acestora, cu excepția cazului în care serviciul pe care îl oferiți este un serviciu online de prevenire sau consiliere. Trebuie, de asemenea, să verificați dacă persoana care acordă consimțământul deține, de fapt, autoritatea părintească pentru copil.

Copiii necesită, de asemenea, o protecție sporită atunci când colectați datele lor personale și le utilizați în scopuri de marketing sau pentru a crea pagini sau profiluri de utilizator.

În cele mai multe cazuri, nu trebuie să luați decizii cu privire la copii numai pe baza prelucrării automatizate, dacă acest lucru va avea un efect juridic sau alt efect similar semnificativ asupra acestora. Circumstanțele în care GDPR vă permite să luați astfel de decizii sunt limitate și se aplică numai dacă ați luat măsuri adecvate pentru protejarea intereselor copilului.

Ce trebuie să luăm în considerare atunci când alegem temeiul pentru prelucrarea datelor cu caracter personal ale copiilor?

Înainte de a începe prelucrarea datelor unui copil, trebuie să alegeți un temei legal. Puteți utiliza orice temei dintre cele prevăzute de GDPR.

Dacă doriți să vă bazați pe consimțământ ca temei pentru prelucrare, atunci copilul trebuie să poată înțelege ceea ce acceptă, altfel consimțământul nu este “informat” și, prin urmare, nu este valabil. Există și câteva reguli suplimentare pentru consimțământul online.

Dacă vă bazați pe “executarea unui contract”, atunci trebuie să luați în considerare capacitatea copilului de a accepta contractul și de a înțelege implicațiile prelucrării.

Dacă vă bazați pe interesul legitim, trebuie să vă echilibrați propriile interese legitime (sau ale terților) cu drepturile și libertățile fundamentale ale copilului. Aceasta implică o verificare în ceea ce privește natura și scopul prelucrării și riscurile potențiale pntru copii. De asemenea, trebuie să luați măsurile adecvate pentru a-i proteja împotriva acestor riscuri.

Ce se întâmplă dacă vrem să direcționăm marketingul către copii?

Copiii necesită o protecție sporită atunci când utilizați datele lor personale în scopuri de marketing. Nu trebuie să exploatați lipsa lor de înțelegere sau vulnerabilitatea.

Aceștia au dreptul să se opună prelucrării datelor personale pentru marketingul direct. Asadar, trebuie să încetați prelucrarea dacă vă cere copilul sau persoana care acționează în numele acestuia.

Ce se întâmplă când facem un profil sau luăm decizii automate în legătură cu ei?

În cele mai multe cazuri, nu trebuie să luați decizii care se bazează exclusiv pe prelucrarea automată (inclusiv profilarea)cu privire la copii, în cazul în care acestea au un efect juridic asupra lor. Dacă luați astfel de decizii, trebuie să vă asigurați că ați luat măsuri menite să protejeze drepturile, libertățile și interesele legitime ale copilului. Dacă faceți un profil pentru copii, atunci trebuie să le oferiți informații clare despre ceea ce faceți cu datele lor personale și nu trebuie să exploatați lipsa lor de înțelegere sau vulnerabilitatea.

În general, trebuie să evitați crearea de profiluri copiilor în scopuri de marketing. Trebuie, de asemenea, să respectați dreptul absolut al copiilor de a se opune profilării, care este legată de marketingul direct și să nu mai faceți acest lucru dacă vi se cere.

Cum se aplică dreptul de a fi informat copiilor?

Trebuie să oferiți copiilor aceleași informații pe care le oferiți adulților despre modul în care le utilizați datele personale. Este bine să le explicați și riscurile inerente prelucrării și garanțiile pe care le aveți. Trebuie să scrieți într-un stil concis, clar și simplu orice informație pe care o adresați copiilor. Trebuie să fie potrivită vârstei și prezentată într-un mod care să atragă publicul tânăr.

Cum se aplică dreptul la ștergerea datelor copiilor?

Copiii au același drept de a șterge datele lor personale ca și adulții. Acest drept este relevant în situația în care o persoană și-a dat inițial consimțământul la prelucrare când era copil, fără a fi pe deplin conștient de riscuri.

Una dintre circumstanțele specifice în care se aplică dreptul de ștergere este atunci când colectați datele personale ale unui copil pe baza consimțământului pentru a-i oferi un serviciu direct.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/applications/children/


hacking-3112539_1920-1200x675.png

Ce sunt categoriile speciale de date?

Categoriile speciale de date conțin date personale considerate sensibile și necesită o protecție sporită, conform GDPR.

Pentru a prelucra în mod legal categorii speciale de date, trebuie să identificați un temei, potrivit articolului 6, și o condiție separată pentru prelucrarea datelor sensibile în conformitate cu articolul 9.

Ce condiții trebuie să îndeplinească prelucrarea categoriilor speciale de date?

Condițiile sunt prevăzute de articolul 9 alineatul (2) din GDPR:

“(a) persoana vizată a dat un consimțământ explicit petru prelucrarea datelor cu caracter personal, pentru unul sau mai multe scopuri specifice, cu excepția cazului în care legislația Uniunii sau a statului membru prevede că interdicția menționată la alineatul (1) nu poate fi ridicată de persoana vizată;

(b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și exercitării anumitor drepturi ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și securității sociale, în măsura în care este autorizat de legislația Uniunii sau a statelor membre sau de o convenție colectivă în temeiul legislației statelor membre, care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;

(c) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice în cazul în care persoana vizată nu este capabilă din punct de vedere fizic sau legal să-și dea consimțământul;

(d) prelucrarea se desfășoară în cadrul activităților normale, cu garanții adecvate, de către o fundație, o asociație sau orice altă organizație nonprofit cu scop politic, filosofic, religios sau sindical și cu condiția ca prelucrarea să vizeze exclusiv membri sau foști membri ai organizației sau persoane care intră în contact periodic cu aceasta în legătură cu scopurile sale, și ca datele să nu fie divulgate fără consimțământul persoanelor vizate;

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod evident de către persoana vizată;

(f) prelucrarea este necesară pentru stabilirea, exercitarea sau apărarea unor  revendicări legale sau ori de câte ori instanțele acționează în calitatea lor judiciară;

(g) prelucrarea este necesară din motive de interes public, pe baza legislației Uniunii sau a statului membru, și este proporțională cu scopul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri adecvate și specifice pentru a proteja drepturile fundamentale și interesele persoanei vizate;

(h) prelucrarea este necesară în cadrul medicinii muncii sau preventive, pentru evaluarea capacității de muncă a angajatului, diagnostic medical, furnizarea de îngrijiri medicale sau tratamente ori gestionarea sistemelor și serviciilor de sănătate sau de asistență socială în temeiul legislației Uniunii sau al statelor membre, în temeiul unui contract cu un profesionist în domeniul sănătății și sub rezerva condițiilor și garanțiilor menționate la alineatul (3);

(i) prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, bazată pe legislația Uniunii sau a statului membru care prevede măsuri adecvate și specifice pentru a proteja drepturile și libertățile persoanei vizate, în special secretul profesional;

(j) prelucrarea este necesară în scopul arhivării în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1).”

 

Cum ne dăm seama că prelucrăm date sensibile?

Trebuie să alegeți un temei legal, exact în același mod ca și pentru prelucrarea altor categorii de date cu caracter personal, dar va trebui să îndepliniți și o condiție specifică, potrivit articolului 9 din GDPR, deoarece categoriile speciale de date necesită o protecție sporită. De exemplu, acestea conțin informații despre persoana fizică, referitoare la:

  • rasă;
  • origine etnică;
  • orientare politică;
  • religie;
  • apartenența la sindicate;
  • genetică;
  • biometrie (în cazul utilizării în scopuri de identificare);
  • sănătate;
  • viața sexuală; sau
  • orientarea sexuală.

Acest tip de date ar putea crea riscuri semnificative pentru drepturile și libertățile fundamentale ale unei persoane, de exemplu punându-le în pericol de discriminare.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/special-category-data/


date-4.png

Comsimțământ GDPR. Ghid complet pentru operatori

 

Oana Neghină, Consilier Juridic

Ruxandra Sava, Avocat, CIPP/E

Pe scurt

GDPR stabilește standarde ridicate pentru obținerea consimțământului. Însă, în multe cazuri nu veți avea nevoie de consimțământ. Dacă luarea consimțământului este dificilă, căutați un alt temei.

Consimțământul înseamnă a oferi persoanelor posibilitatea de a alege și a controla. Consimțământul real ar trebui să responsabilizeze indivizii, să vă construiți încrederea și implicarea și să vă îmbunătățiți reputația.

  • Verificați practicile de consimțământ și formularele de consimțământ existente. Actualizați consimțământul dacă nu întâlnește standardele GDPR.
  • Consimțământul necesită un opțiune pozitivă. Nu utilizați căsuțe pre-bifate sau alte metode prestabilite.
  • Consimțământul explicit necesită o declarație foarte clară și specifică.
  • Păstrați formularele de consimțământ separate de contracte sau termeni și condiții. 
  • Fiți specifici și minuțioși, pentru a obține consimțământul separat pentru scopuri diferite. Un consimțământ vag sau mascat nu este suficient.
  • Fiți clari și conciși.
  • Facilitați retragerea consimțământului de către persoanele vizate.
  • Păstrați dovezi ale consimțământului – cine, când, cum și ce le-ați spus oamenilor.
  • Păstrați consimțământul în curs de examinare și actualizați-l dacă intervine schimbare.
  • Evitați să cereți consimțământul pentru a prelucra o precondiție a unui serviciu.

Ar trebui să te asiguri că:

  • Consimțământul este cel mai potrivit temei pentru prelucrare.
  • Formularul de consimțământ este separat în mod clar de contract sau termeni și condiții.
  • Oamenii pot să opteze pozitiv.
  • Nu se folosesc căsuțe pre-bifate sau orice alt tip de consimțământ implicit.
  • Se foloște un limbaj clar, simplu, ușor de înțeles.
  • Se specifică de ce se solicită datele și ce se va face cu ele.
  • Oferim opțiuni distincte (“stratificate”) pentru a consimți separat de diferite scopuri sau tipuri de prelucrare.
  • Denumim organizația noastră și orice operator terț care se va baza pe consimțământ.
  • Le spunem persoanelor că își pot retrage consimțământul.
  • Ne asigurăm că persoanele pot refuza să-și dea consimțământul fără a fi în detrimentul lor.
  • Evităm ca consimțământul să fie o condiție prealabilă a unui serviciu.
  • Dacă oferim servicii online direct copiilor, solicităm consimțământul numai dacă există măsuri de verificare a vârstei, dacă au sub 16 ani, vom solicita consimțământul părinților.
  • Menținem o evidență a momentului și a modului în care am obținut consimțământul de la individ.
  • Menținem o evidență exactă a ceea ce li sa spus în acel moment.
  • Revizuim regulat consimțămintele pentru a verifica dacă relația, prelucrarea și scopurile nu s-au schimbat.
  • Avem procese în vigoare pentru a reînnoi consimțământul la intervale adecvate, inclusiv orice consimțământ parental.
  • Considerăm utilizarea unor tablouri de bord pentru confidențialitate sau a altor instrumente de gestionare a preferințelor drept o chestiune de bună practică.
  • Facilităm retragerea consimțământului în orice moment și dăm indicații despre acest lucru.
  • Acționăm în urma retragerii consimțământului cât mai curând posibil.
  • Nu sancționăm persoanele care doresc să-și retragă consimțământul.

Ce mai e nou?

GDPR stabilește un standard ridicat pentru consimțământ, dar cea mai mare schimbare este însemnătatea în practică a mecanismelor de consimțământ.

GDPR clarifică faptul că indicația consimțământului trebuie să fie lipsită de ambiguitate și să aibă o acțiune afirmativă. În mod specific interzice căsuțele pre-bifate. De asemenea, este nevoie o procedură distinctă (“granulară”) de consimțământ pentru operațiuni distincte de prelucrare. Formularele de consimțământ ar trebui să fie separate de contract și nu ar trebui, în general, să fie o condiție prealabilă pentru achiziționarea unui serviciu.

Trebuie să păstrați înregistrări clare pentru a demonstra consimțământul.

GDPR oferă un drept specific de retragere a consimțământului. Trebuie să le spuneți oamenilor despre dreptul lor de a se retrage și să le ofere modalități ușoare de retragere a consimțământului în orice moment.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de conducere ar putea afișa mai greu un consimțământ valabil acordat.

Trebuie să revizuiți consimțămintele existente și mecanismele de consimțământ pentru a verifica dacă acestea respectă GDPR. În acest caz, nu este nevoie să obțineți un nou consimțământ.

De ce este important consimțământul?

Consimțământul este un temei pentru prelucrare, iar consimțământul explicit poate, de asemenea, să legitimizeze folosirea unor categorii speciale de date. Consimțământul poate fi, de asemenea, relevant în cazul în care individul și-a exercitat dreptul la restricție, iar consimțământul explicit poate legitima luarea automată a deciziei și transferurile de date peste hotare.

Consimțământul autentic ar trebui să pună indivizii într-o poziție de control, să construiască încredere și angajament și să vă îmbunătățească reputația.

Dacă vă bazați pe consimțământul necorespunzător sau nevalabil, acest lucru ar putea distruge încrederea și vă poate afecta reputația – și vă poate expune unor amenzi mari.

Când este potrivit consimțământul?

Consimțământul este un temei pentru prelucrare, dar există și alternative. Consimțământul nu este în mod inerent mai bun sau mai important decât aceste alternative. Dacă luarea consimțământului este dificilă, trebuie să luați în considerare utilizarea unei alternative.

Consimțământul este potrivit dacă puteți oferi oamenilor posibilitatea reală de a alege și a controla modul în care utilizați datele lor. Dar dacă nu puteți oferi o alegere reală, consimțământul nu este valabil. Dacă puteți prelucra datele cu caracter personal fără consimțământ, solicitarea consimțământului poate fi înșelătoare și nedreaptă.

Autoritățile publice, angajatorii și alte organizații aflate într-o poziție de putere asupra persoanelor ar trebui evite să se bazeze pe consimțământ, cu excepția cazului în care pot demonstra că este acordat în mod liber.

Ce reprezintă consimțământul valabil?

Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi oamenilor posibilitatea reală de a alege și control asupra modului în care le utilizați datele.

Consimțământul ar trebui să fie evident și să necesite o opțiune pozitivă. Formularele de consimțământ trebuie să fie evidente, separate de alți termeni și condiții, concise, ușor de înțeles și ușor de utilizat.

Consimțământul trebuie să acopere în mod specific numele operatorului, scopurile prelucrării și tipurile de activități de prelucrare.

Nu există o limită de timp stabilită pentru consimțământ. Cât durează aceasta va depinde de context. Trebuie să revizuiți și să actualizați acordul, după caz.

Cum ar trebui să obținem, să înregistrăm și să gestionăm consimțământul?

Asigurați-vă că formularul de consimțământ este evident, concis, separat de contract sau termeni și condiții și ușor de înțeles. Include:

  • Denumirea organizației dvs.; numele oricăror operatori terți care se vor baza pe consimțământ;
  • de ce solicitați datele;
  • ce veți face cu ele; și
  • faptul că persoanele fizice își pot retrage consimțământul în orice moment.

Trebuie să le cereți utilizatorilor să acționeze pozitiv. Cel mai bun mod de a opta pozitiv este de a semna un formular de consimțământ în care le explicați pentru ce anume le prelucrați datele, ce faceți cu ele și ce drepturi au.  Nu utilizați căsuțe pre-bifate, casete de renunțare sau alte setări implicite. Ori de câte ori este posibil, furnizați opțiuni separate (“stratificate”) pentru a consimți la diferite scopuri și diferite tipuri de prelucrare.

Păstrați înregistrări pentru a dovedi consimțământul – cine a consimțit, când, cum și ce li s-a spus.

Facilitați retragerea consimțământului oricând persoanele vizate aleg să o facă. Luați în considerare utilizarea instrumentelor de gestionare a preferințelor.

Păstrați consimțămintele luate și actualizați-le dacă se schimbă ceva. Revizuiți periodic consimțămintele în activitatea dumneavoastră. 

Sursa aici

 

Vrei formulare de consimțământ?


privacy-10x10-FB-1200x1200.jpg

Scopul acestui manual de implementare GDPR este de a ajuta organizațiile să respecte prevederile GDPR utilizând KIT GDPR Premium LegalUp. Există mai multe soluții disponibile pentru implementarea GDPR în cadrul companiei dumneavoastră, însă metoda noastră este una eficientă și completă, incluzând atât documentația tehnică, cât și cea juridică și organizatorică.

Documentația este un factor important pentru demonstrarea conformității Organizației cu prevederile GDPR. Ea este solicitată de către autoritățile de supraveghere la fiecare investigație și pe bună dreptate: Cum poate o organizație care nu își ține în ordine politicile și procedurile de protecție a datelor să pretindă că asigură protecția datelor personale?

Cum încep implementarea GDPR?

După de ai achiziționat KIT GDPR Premium, vei putea începe implementarea GDPR. KIT GDPR Premium vine cu suport inclus nelimitat pe e-mail timp de 12 luni. 

 

Pasul 1. Întocmirea planului de implementare  

Primul pas în procesul de implementare GDPR este organizarea.

1.1. Deschide cu încredere folderul 1. 

 

Vei găsi acolo un document denumit „Planul operatorului pentru conformarea la GDPR” unde se structurează, în funcție de priorități, acțiunile pe care trebuie să le întreprinzi pentru a respecta RGPD.

1.2. Creează-ți planul de implementare GDPR. Vei putea trece termene-limită pentru implementarea acțiunilor, vei putea trece rolurile și responsabilitățile persoanei/persoanelor responsabile în procedura de aliniere la prevederile RGPD.

Ar fi util ca, pe tot parcursul implementării, să ai Planul la îndemână pentru a ști ce anume s-a început, ce s-a finalizat și ce mai este de făcut.

CUMPARĂ KIT

 

 

Pasul 2. Audit 

Înainte de a începe implementarea ar trebui să știi unde te situezi. Este posibil să fi implementat deja o parte din proceduri.

Audit-ul unui specialist în protecția datelor este scump și, în majoritatea cazurilor, chiar dacă ai angajat un specialist, cea mai mare parte din muncă o faci singur.

Doar tu știi cum funcționează Organizația, de aceea:

2.1. Deschide „Folderul 2 – Audit” și răspunde la întrebările din „Chestionar audit protecția datelor cu caracter personal”.

Ulterior

2.2. Deschide documentul „Raport audit” și urmează instrucțiunile pentru a afla în ce stadiu te afli și care este gradul de conformare al companiei.  

 

 

Cumpără acum

 

Pasul 3. Cartografierea

Acest pas este foarte important și ar trebui parcurs cu multă atenție. El te va ajuta să implementezi corect și complet pașii următori, ca de exemplu completarea Registrelor Activităților de Prelucrare sau redactarea notelor de informare către persoanele vizate.

3.1. Începe prin a răspunde la chestionare pentru a conștientiza, printre altele, ce categorii de date prelucrezi, care sunt persoanele vizate, care sunt scopurile, care este temeiul legal cui transmiți datele, ce proceduri ai implementat sau trebuie să implementezi.

 

cartografierea

Utilizează cu încredere cele 8 chestionare structurate pe departamente din folderul 3.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

CUMPARĂ KIT

 

Pasul 4. Întocmirea Registrului activităților de prelucrare

Așa cum am precizat mai sus, întocmirea acestui registru este obligatorie pentru aproape toate Organizațiile din România. În funcție de calitatea ta, operator sau împuternicit sau ambele va trebui să ai un registru pentru fiecare calitate.

 

Ambele registre din KITul de implementare GDPR vin cu exemple de completare.

Dacă ai parcurs cu succes Pasul 3 din KIT GDPR, completarea registrului nu va fi dificilă, deoarece vei utiliza răspunsurile pe care le-ai dat deja la întrebările din chestionare. Registrele sunt în format excel.

Reține faptul că registrul trebuie revizuit periodic. Ar fi util să stabilești date pentru revizuire, ca de exemplu, de două ori pe an. Pe măsură ce afacerea evoluează sau se schimbă (de exemplu, adoptă noi tehnologii care pot avea impact asupra vieții private), noile procese trebuie trecute în registru. Păstrează și versiunile anterioare.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

VREAU KIT-UL

 

 

Pasul 5. Înformarea persoanelor fizice

Clienții, angajații, candidații, voluntarii, vizitatorii pe site, reprezentații legale sau persoanele de contact din cadrul partenerilor comerciali etc – toți trebuie informaț icu privire la modalitatea în care le prelucrezi datele.

5.1. Deschide folderul 5 din KITul de implementare GDPR și completează notele de informare.

Am construit note de informare pentru majoritatea categoriilor de persoane vizate: angajați, candidați, clienți, vizitatori pe site, parteneri comerciali. Notele de informare sunt redactate de avocați specializați în protecția datelor și respectă cerințele GDPR și sunt construite utilizând un format stratificat și un limbaj ușor de înțeles. Ele sunt standardizate. 

dreptul la informare

După ce ai completat notele de informare, va trebui să informezi persoanele vizate, alegând canalul de comunicare (înmânarea documentului scris, comunicarea pe e-mail etc).

Ai nevoie de o notă de informare care nu se regăsește acolo? Scrie-ne la adresa de e-mail furnizată și ți-o vom trimite pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

Cumpără acum

 

Pasul 6. Obținerea consimțământului

În unele cazuri este obligatoriu să iei consimțământul. Deschide folderul 6 și acolo vei găsi șabloanele de consimțământ:

  • Formular consimțământ angajat;
  • Formular consimțământ client;
  • Formular consimțământ părinte pentru minor;
  • Formular consimțământ pacient;
  • Formular consimțământ explicit prelucrare date sensibile;
  • Formular consimțământ explicit transfer international;
  • Formular consimțământ marketing.

 

 

Ai nevoie de un formular care nu se regăsește mai sus? Scrie-ne la adresa de e-mail furnizată și ți-l vom trimite în scurt timp pe e-mail deoarece, ulterior, îl vom standardiza și îl vom include în KIT. 

CUMPARĂ KIT

 

Pasul 7. Respectă drepturile persoanelor vizate

În folderul 7 vei găsi documentul „Procedura privind respectarea drepturilor persoanelor vizate”. În fiecare companie trebuie să existe o astfel de procedură. În cele mai multe cazuri, existența unui control sau nu depinde de existența unei plângeri a unei persoane vizate. Utilizează „Registrul cererilor persoanelor vizate” pentru a documenta cererile în temeiul GDPR.

 

drepturi gdpr

 

Pasul 8. Încheie contracte cu furnizorii

În primul rând, trebuie să întocmești o listă cu toate organizațiile terțe cărora le transferi într-o formă sau alta date personale. Contabilitate, SSM, agenții de marketing, firme de recrutare, furnizori de servicii IT etc – toți sunt împuterniciți și tu ai obligația de a te asigura că ei respectă RGPD și de a încheia acorduri scrise cu ei.

GDPR cere ca operatorul să contracteze doar cu împuterniciții (furnizorii de servicii care au acces la date) care prezintă garanții că respectă GDPR. În folderul 8 vei găsi un chestionar prin care îl vei trimite împuterniciților pentru a verifica dacă respectă GDPR.

De asemenea, GDPR cere ca între operator și împuternicit să existe un contract scris. În folderul 8 vei găsi un astfel de contract.

8.1. Trimite chestionarul furnizorilor pentru a-i verifica

8.2. Încheie acordurile de prelucrare. 

 

Cumpără acum

 

Pasul 9. Încheie contracte cu partenerii comerciali

Pot exista situații în care partajezi date cu diverși parteneri comerciali din dorința de a oferi împreună un bun sau un serviciu. GDPR spune că trebuie să existe un contract pentru a stabili cine informează persoana vizată și cine răspunde la cererile de acces. În folderul 9 găsești un astfel de contract.

 

Pasul 10. Încheie contracte de confidențialitate

Datele cu caracter personal trebuie protejate și GDPR cere încheierea acordurilor de confidențialitate. Bazele de date și secretele comerciale trebuie, de asemenea, protejate. Noi am reușit prin acordurile de confidențialitate din Folderul 10 (Acord de confidențialitate angajat și Acord de confidențialitate partener comercial) să împușcăm doi iepuri dintr-un foc: protejarea afacerii (secrete comerciale și alte informații) și protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

 

Pasul 11. Prevenirea și managementul incidentelor de securitate

Procedurile din folderul 11 din KIT GDPR sunt necesare atât pentru respectarea GDPR, cât și pentru prevenirea și managementul adecvat al incidentelor de securitate.

 

 

Cumpără acum

Pasul 12. Interesul legitim

Există situații în care nu poți să iei consimțământul și nu te poți baza nici pe alt temei legal, așa că singura variantă rămâne interesul legitim. Dar pentru a utiliza interesul legitim, trebuie să afli dacă interesul Organizației prevalează asupra intereselor și drepturilor persoanelor fizice. În folderul 12 găsești analize ale interesului legitim:

  • Analiză interes legitim – supraveghere CCTV;
  • Analiză interes legitim – monitorizare GPS;
  • Analiză interes legitim standard – pentru a fi adaptată la alte situații.

Necesitatea unei analize a interesului legitim în situația supravegherii CCTV a fost introdusă de legiuitorul roman prin Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR de care trebuie să ținem cont în procesul de implementare GDPR.

Ai nevoie să păstrezi baza de date și vrei să mergi pe interes legitim? De exemplu, recrutezi sau organizezi evenimente? Scrie-ne la adresa de e-mail furnizată și îți vom trimite analiza în scurt timp pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT GDPR.

 

 

Cumpără acum

Pasul 13. Instruirea angajaților

Angajații trebuie să înțeleagă și să protejeze datele cu caracter personal. Cele mai multe incidente de securitate provin de la fapta angajatului, iar Organizația are obligația de a instrui corespunzător angajații. În folderul 13 găsești proceduri în relația cu angajații, documente prin care angajatul se oblige să respecte procedurile GDPR și Capitol ROI privind protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

Pasul 14. Securitatea. Politici tehnice și organizatorice

 

Am reușit să elaborăm, printr-o strânsă colaborare între juriști și experți în securitate cibernetică, următoarele Politici:

  • Politică Anti-Spam – pentru a ști cum să faci marketing care să respecte GDPR;
  • Politica de retenție – pentru a stabili termene-limită pentru stocarea datelor, așa cum cere RGPD;
  • Politica privind accesul la date – cum se face accesul la date pentru a se preveni accesul neautorizat;
  • Politica privind anonimizarea și pseudonimizarea – cum se anonimizează și pseudonimizează datele pentru a respecta GDPR;
  • Politică privind Securitatea informației – ce măsuri se vor întreprinde pentru a preveni incidentele de securitate;
  • Politica de ștergere – cum se șterg datele cu caracter personal de pe diver medii de stocare.

 

Cumpără acum

Folderul 15.  Responsabilul cu protecția datelor

Folderul 15 din KITul de implementare GDPR conține documentele necesare pentru desemnarea responsabilului cu protecția datelor.

 

 

 

Ce altceva mai este inclus în KIT-ul meu?

Kit-ul tău include

  • Un abonament de un an la actualizări gratuite
  • Suport nelimitat pe e-mail timp de 12 luni la implementarea documentelor.

 

VREAU KIT-UL



Autor Laura Pintilie

Studentă anul II

Universitatea Babeş-Bolyai Cluj-Napoca Facultatea de Drept.

 

Datele speciale

În viața unui om al secolului XXI, oricine are la cunoștință faptul că mediul informatic invadează întreg mapamondul, începând să devină o mână de ajutor pentru omul de rând, și o sursă de venit pentru specialiști. Cel puțin o dată în viață, oricare dintre noi a oferit internetului date cu privire la nume, vârstă, domiciliu, fie că e vorba despre o înregistrare pe rețelele de socializare, fie o simplă cazare la hotel.

Acestea poartă denumirea de date personale, așa cum le caracterizează și articolul 3, litera (a) din Legea 677/2001 “date cu caracter personal-orice informații referitoare la o persoană fizică identificată sau identificabilă; o persoană identificabilă este aceea care poate fi identificată, direct sau indirect, în mod particular prin referire la un număr de identificare ori la unul sau mai mulți factori specifici identității sale fizice , fiziologice, psihice, economice, culturale sau sociale.” Vorbim despre date personale atunci când acestea îndeplinesc condițiile de mai sus (o femeie din Brașov care se numește Constantin Elena Maria). În mod contrar, ele se numesc  date anonime  (o femeie din Brasov de 40 de ani).

Acum, că am clarificat noțiunea de date personale, putem vorbi și despre datele speciale, o categorie aparte de date, delimitate strict prin lege:

 

  • Rasa
  • Etnia
  • Orientarea politică
  • Religia
  • Convingerile filozofice sau de natură similară
  • Apartenența sindicală
  • Date privind starea de sănătate
  • Date privind viața sexuală

Pe lângă acestea, există o altă categorie de date, care beneficiază de un regim special:

  • Date cu caracter personal, având o funcție de identificare generală, cum este codul numeric personal (CNP)
  • Date personale referitoare la fapte penale sau contravenții.

Cum putem prelucra datele speciale intr-o manieră legală?

Reglementării privitoare la prelucrarea datelor cu caracter personal îi este consacrat Capitolul III al Legii 677/2011. Articolul 7, alin. (1) interzice în mod expres prelucrarea unor astfel de date, însă ca o excepție a acestei reguli, articolul 7, alin. (2) subliniază că prevederile primului nu se aplică în următoarele cazuri:

  • Când persoana vizată și-a dat în mod expres consimțământul pentru o astfel de prelucrare

Acest consimțământ reprezintă că persoana înțelege cum vor fi prelucrate aceste date, unde vor merge și in ce scop. În general, acordul este bazat pe încrederea conferită de transparența procesului de prelucrare, în condițiile cunoștinței de cauză. De cele mai multe ori, acesta se materializează în bifarea căsuței “Accept termenii și condițiile”, deși frecvent, termenii nu sunt cunoscuți datorită omiterii lecturării textului care le cuprinde.

  • Când prelucrarea este necesară în scopul respectării obligațiilor sau drepturilor specifice ale operatorului în domeniul dreptului muncii

Acestă excepție este imperios necesară ca prevederile dreptului muncii să nu contravină Legii 677/2001, deoarece există anumite obligații specifice domeniului, luând ca exemplu înregistrarea angajatului în sistemul Revisal. Cu toate acestea, este interzis ca angajatorul să transmită aceste date unei alte companii, instituții, organizații sau asociații, fără acordul expres al celui care le furnizează.

Pot exista însă cazuri în care există o obligație legală de a transmite datele, în calitate de angajator, așa cum ar fi de exemplu o cerere de la ANAF.

 

  • Când prelucrarea este necesară pentru protecția vieții, integrității persoanei vizate

În acest sens, există anumite cazuri în care chiar lipsa prelucrării datelor speciale pot pune în pericol viața sau integritatea persoanei vizate sau a alteia. Astfel, această condiție se insitutie ca un mijloc de protecție, de exemplu în cazul unei persoane aflată în incapacitate fizică sau juridică de a-și da consimțământul.

  • Când prelucrarea este efectuată în cadrul activităților legitime de către o fundație, organizație

Atunci când prelucrarea este conformă activităților sale din statut, o organizație cu scop nelucrativ și cu specific politic, filozofic, religios ori sindical și persoana vizată este membră a acelei organizații, se poate dispune acest procedeu.  Ca exemplu, un scop legitim este atunci când un ONG pentru promovarea libertății sexuale reprezintă în instanță o persoana căreia i-au fost încălcate drepturile.

  • Când prelucrarea se referă la date făcute publice în mod manifest de persoana vizată
  • Cand prelucrarea este necesară în scopuri de medicinale :
  • De medicină preventivă
  • De stabilire a diagnosticelor medicale
  • De administrare a unor îngrijiri sau tratamente speciale pentru persoana vizată
  • De gestionare a serviciilor de sănătate care acționează în interesul persoanei vizate

Condiția esențială de aplicare a cazurilor sus-numite este ca acestea acestea să fie făcute sub supravegherea cadrului medical supus secretului profesional sau unei alte persoane supuse unei obligații echivalente în ceea ce privește secretul.

  • Când legea prevede în mod expres aceasta în scopul protejării unui interes public important

Se impune condiția ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate și a celorlalte garanții prevăzute de prezenta lege (677/2001).

Articolul (3) vine să întăreasca obligația autorităților publice de a respecta și a ocroti viața intimă, familială și privată, reamintind totuși faptul că deși acestea sunt tot mai prezente în rutina cotidiană, nu dețin monopol asupra vieții noastre.

În final, se impune o mică recomandare pentru păstrarea “sănătății juridice” a unui cetățean, subiect de drept cu drepturi și obligații-precauția este întotdeauna cea mai ușoară cale de a evita conflictele și încălcările arbitrare de drepturi. Pentru asta, se invită încurajator consultarea termenilor și condițiilor următoarea data când decideți furnizarea informațiilor cu caracter personal, deoarece consecințele negative pot fi de multe ori subestimate sau neanticipate.

Surse: https://legeaz.net/legea-677-2002-date-caracter-personal/

 

 

Pintilie Laura-Adriana

Universitatea Babes-Bloyai Cluj Napoca, Facultatea de Drept

 


arhive-date-speciale-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord