Aici descoperim
dreptul tehnologiei

hands-digital-watches-boys-watch-time-wrist-orientation-is-punctual_24883-1503.jpg

Deseori prezentat drept o alternativă la smartphone-uri, ceasul conectat pentru copii se numără printre tendințele începutului anului școlar. 

Ceasurile inteligente pentru copii reprezintă aproape jumătate din piața mondială a ceasurilor conectate!

Ceasurile inteligente prezintă, în general, următoarele funcționalități:

  • comunicarea cu copilul (mesagerie, telefon), chiar primirea unui SMS, datorită unei cartele SIM integrate;
  • cunoașterea exactă a locației copilului, cu o alertă dacă acesta se îndepărtează de la drumul către școală sau de la o zonă determinată, grație unui dispozitiv de tip GPS;
  • măsurarea în timp real a sănătății copilului, grație unor senzori (ritm cardiac);
  • încurajarea copilului să facă sport, să facă mișcare, grație unui indicator (tracker) de activitate (număr de pași);
  • relaxarea copilului cu funcții de fotografiere, jocuri și aplicații (meteo).

Ce întrebări ar trebui să-și pună familia?

1.Analizați avantajele practice având în vedere riscurile în caz de abuz

Acest obiect conectat este deseori prezentat de producători ca un mijloc de a se asigura în timp real că copilul nu se găsește într-o situație anormală. Indicatorii fiziologici, sociali sau spațiali pe culoarea verde liniștesc părinții care, astfel, pot oferi mai multă autonomie copilului lor.

Însă utilizarea nerezonabilă a unui ceas conectat în cazul unui copil poate avea și consecințe nefaste, cum ar fi:

  • limitarea capacității sale de a învăța singur și de a analiza riscurile: de exemplu, anticiparea unui pericol în locul copilului dacă indicatorii sunt negativi;
  • interferența excesivă în intimitatea sa socială sau corporală: de exemplu, supravegherea modului în care copilul interacționează în recreație sau a modului în care se comportă în clasă sau în timpul unui examen;
  • afectarea raportului de încredere și a dialogului pe care le are cu părinții săi: de exemplu, generarea unui sentiment de supraveghere 24/24 care determină copilul să se autocenzureze;
  • asocierea protecției vieții sale private cu un sentiment de culpabilitate.

 

 

2. Adaptați-vă nevoile pentru a minimiza impactul asupra vieții private a copilului

Pentru a ține cont cel mai bine de impactul asupra vieții private a copilului, este necesară evaluarea funcționalităților propuse în funcție de nevoi și de riscuri:

  • Geolocalizarea în timp real este foarte invazivă și prezintă riscuri importante dacă persoane rău intenționate o deturnează. Astfel, este posibilă dezactivarea geolocalizării atunci când nu este utilă sau dorită? Un simplu ceas comunicant nu ar fi suficient?
  • Posibilitatea de a comunica direct cu copilul poate fi, de asemenea, deturnată de o terță persoană. Tipul de canal de comunicare propus răspunde nevoii garantând o securitate suficientă? Un simplu telefon nu este oare mai potrivit?
  • Dacă utilizarea este legată mai ales de activitatea sportivă, este oare necesară o comunicare la distanță în timp real? Un simplu „tracker de activitate” ar putea fi suficient?

Pe scurt, fiți atenți la ceasurile inteligente de tip „all-in-one” care colectează multe informații despre copii (și despre părinții lor) fără să răspundă în mod necesar la o nevoie reală.

3. Vorbiți cu copilul dumneavoastră de îndată ce viața sa privată este afectată

Potrivit unei recomandări din anul 2011, grupul CNIL-urilor de la nivel european a subliniat că „nu ar trebui niciodată să se întâmple ca, din motive de securitate, copiii să fie supuși unei supravegheri excesive care le limitează autonomia” și aceasta chiar din partea persoanelor din familia lor. De altfel, dacă părinții consideră că utilizarea unei astfel de aplicații este justificată în anumite circumstanțe, „copiii trebuie să fie informați în acest sens și trebuie să poată participa, dacă acest lucru este posibil în mod rezonabil, la decizia de a utiliza o astfel de aplicație”.

Ce să facem înainte de a cumpăra?

  • Informați-vă înainte de a cumpăra eventual un astfel de dispozitiv:
  • Manifestați neîncredere față de ceasurile ieftine! O jucărie conectată oferită la un preț scăzut poate afecta viața privată și propune soluții tehnice puțin sau necorespunzător securizate.
  • Citiți Politica de confidențialitate și Termenii și Condițiile. Condițiile de utilizare sunt în limba română și sunt inteligibile? Datele sunt reutilizate în alte scopuri sau sunt transmise partenerilor? Datele sunt stocate în Europa sau într-o țară terță unde protecția datelor nu este la fel de bine garantată? ? Există date sau o adresă de contact a producătorului pentru a vă exercita  drepturile privind datele cu caracter personal?
  • Securitatea înainte de toate! Putem să controlăm datele colectate, să dezactivăm anumite funcții, cum ar fi geolocalizarea? Putem să protejăm accesul la aparat și la serviciile asociate (aplicație de mobil, site web) folosind o parolă puternică sau un mod de autentificare suplimentar?

În caz de dubiu, preferați o achiziție fizică la comercianții specializați care pot să vă dea posibilitatea să testați ceasurile inteligente și vă pot oferi sfaturi tehnice. De asemenea, consultați standurile de încercare propuse de asociațiile de consumatori, comentariile utilizatorilor de internet din magazinele de aplicații și, în general, forumurile de utilizatori.

Sursa CNIL

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



scanning-fingerprint-identification_99433-1109.jpg

Regulamentul (UE) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) instituie măsuri de protecție în privința datelor biometrice. La nivel jurisprudențial însă, nu au fost respectate măsurile de protecție cu privire la aceste date. În cele ce urmează vom analiza jurisprudența Curții Europene a Drepturilor Omului (CEDO) în ceea ce privește stocarea amprentelor digitale și păstrarea într-o bază de date electronică, după solicitarea reclamantului de a fi șterse.

Amprentele digitale și regimul lor juridic

În raport de Regulamentul (UE) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), amprentele digitale intră în categoria datelor biometrice. Regulamentul definește datele biometrice ca fiind:

  • Date cu caracter personal;
  • Date ce rezultă în urma unor tehnici de prelucrare specifice care se referă la:
    • Caracteristici fizice;
    • Caracteristici fiziologice;
    • Caracteristici comportamentale ale unei persoane fizice.
  • Date care permit identificarea unică a unei persoane;
  • Date care confirmă identificarea unică a unei persoane.

Astfel de date, în raport de prezentul Regulament, sunt chiar imaginile faciale și datele dactiloscopice. În această din urmă categorie specificăm amprentele digitale. Cu privire la prelucrarea datelor dactiloscopice, art. 9 din Regulamentul privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, este interzisă prelucrarea datelor cu caracter personal care dezvăluie datele biometrice pentru identificarea unică a unei persoane. În cazuri punctuale însă, prelucrarea datelor biometrice se poate realiza dacă:

  • Persoana vizată și-a dat consimțământul explicit pentru prelucrarea datelor, fie în unul fie în mai multe scopuri specifice, cu derogările prevăzute de Regulament;
  • Prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării de drepturi specifice ale operatorului sau persoanei vizate în domeniul ocupării forței de muncă, al securității și protecției sociale, cu autorizările prevăzute de Regulament;
  • Prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, în situațiile de incapacitate fizică sau juridică ale persoanei fizice de a-și da consimțământul (a se vedea în acest sens Regulamentul (UE) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

Informațiile prezentate anterior au caracter limitativ.

Pentru verificarea integrală a cazurilor de prelucrare a datelor biometrice reccomandăm consultarea acestui articol. 

 

 

Amprentele digitale în viziunea Curții Europene a Drepturilor Omului (CEDO)

În jurisprudența Curții Europene a Drepturilor Omului se urmărește tot mai mult respectarea protecției persoanelor. Sesizarea Curții Europene a Drepturilor Omului (CEDO) a fost făcută în nenumărate rânduri cu privire la încălcarea art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO), articol ce face referire la dreptul la respectarea vieții private și de familie. Conform art. 8 din prezenta Convenție, orice persoană are dreptul la respectarea vieții private și de familie, a domiciliului și a corespondenței sale. O prevedere aparte este reprezentată de interzicerea imixtiunii autorităților publice în exercitarea dreptului la viață privată. Derogarea se poate realiza numai în măsura în care legea prevede acest lucru și imixtiunea ar reprezenta o măsură necesară pentru următoarele subdomenii:

  • Securitate națională;
  • Siguranță publică;
  • Bunăstare economică a țării;
  • Apărarea ordinii;
  • Prevenirea faptelor penale;
  • Protecția sănătății;
  • Protecția moralei;
  • Protecția drepturilor și libertăților altor persoane.

În materie de jurisprudență a Curții Europene a Drepturilor Omului (CEDO) considerăm relevantă Cauza M.K. împotriva Franței, nr. 19522/09 din 18 aprilie 2013. Pornind de la situația de fapt, aflăm că reclamantul a reprezentat obiectul a două anchete ce vizau furtul de cărți. În primul proces instanța a pronunțat achitarea reclamantului. În al doilea proces s-a dispus încetarea procesului penal. Atât în primul, cât și în al doilea proces, reclamantului i-au fost prelevate amprentele digitale. Amprentele prelevate au fost înregistrate în baza de date.

 

 

Ulterior, reclamantul a solicitat ștergerea amprentelor din baza de date, însă cererea a fost admisă numai pentru amprentele luate în cazul primului proces. După ce a introdus căile de atac prevăzute de lege, acestea au fost respinse de către instanțele naționale. Ulterior, prin sesizarea Curții Europene a Drepturilor Omului, s-a constatat faptul că păstrarea amprentelor digitale ale reclamantului în baza de date a constituit încălcarea dreptului la respectarea vieții private a acestuia. Aprecierea Curții a fost una justă, prin constatarea faptului că reținerea amprentelor digitale ale reclamantului a reprezentat o ingerință disproporționată în dreptul privind respectarea vieții privată. Măsura de păstrare a amprentelor digitale a fost considerată de Curtea Europeană a Drepturilor Omului (CEDO)  ca fiind una ce nu poate să fie necesară într-o societate democratică. S-a invocat de asemenea lipsa echilibrului între interesul public și cel privat. Lipsa condamnării persoanei în cauză a constituit un punct esențial pentru justificarea ștergerii datelor ce conțineau amprentele digitale ale reclamantului (a se vedea în acest sens platforma online www.echr.coe.int).

De asemenea, prin raportare la Regulamentul (UE) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), dreptul ,,de a fi uitat” este unul esențial pentru persoană. Prin raportare la pct. (65) din prezentul Regulament, o persoana vizată ar trebui să aibă dreptul ,,de a fi uitată” în cazul în care păstrarea datelor încalcă prevederile Regulamentului, dreptul Uniunii sau dreptul intern. A fortiori, persoanele vizate ar trebui să aibă dreptul ca datele dactiloscopice să fie șterse și să nu mai fie prelucrate în situația în care nu mai sunt necesare pentru scopul în care sunt colectate sau prelucrate, sau atunci când persoanele vizate își retrag consimțământul pentru prelucrare ori se opun acesteia (a se vedea în acest sens platforma online eur-lex.europa.eu).

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



3d-medical-background-with-virus-cells-dna-strand_1048-8470.jpg

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) interzice prelucrarea datelor genetice, dar și a datelor privind orientarea sexuală (ale unei persoane fizice).

GDPR și categoriile de date ce sunt exceptate de la prelucrare

În temeiul Regulamentului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, este INTERZISĂ prelucrarea de date cu caracter personal privitoare la:

  • Originea etnică;
  • Originea rasială;
  • Opiniile politice;
  • Confesiunea religioasă;
  • Convingerile filozofice;
  • Apartenența la sindicate ;

Este, de asemenea, INTERZISĂ prelucrarea de:

  • date genetice ;
  • date biometrice pentru identificarea unică a unei persoane fizice ;
  • date privind sănătatea ;
  • date privind viața sexuală ale unei persoane fizice;
  • date privind orientarea sexuală ale unei persoane fizice (a se vedea în acest sens art. 9 din prezentul Regulament).

 

 

Derogări cu privire la prelucrarea datelor ,,exceptate” de la prelucrare

Cu toate că prezentul Regulament interzice prelucrarea datelor enunțate cu titlu limitativ anterior, tot acesta prevede și derogări. Aplicând o regulă ,,specială” în materie de prelucrare, datele interzise de la prelucrare pot să fie prelucrate în cazuri punctuale, atunci când:

  • persoana vizată și-a dat consimțământulîn mod explicit – pentru prelucrarea datelor ; consimțământul este dat fie pentru un scop, fie pentru mai multe scopuri specifice. Excepție în acest caz este situația în care dreptul Uniunii sau dreptul intern (național) prevede ca interdicția (interzicerea prelucrării datelor genetice, a datelor privind orientarea sexuală ale persoanelor, ș.a.m.d.) să nu poată fi înlăturată prin consimțământul persoanei;
  • prelucrarea să fie necesară în scopul îndeplinirii obligațiilor și al exercitării de drepturi specifice ale operatorului sau persoanei vizate, însă nu în orice domeniu, ci numai în domeniul ocupării forței de muncă și al securității sociale și protecției sociale. Această situație se aplică numai atunci când există autorizarea prin dreptul Uniunii sau prin dreptul intern. Acestor din urmă cazuri li se alătură și autorizarea prin acord colectiv de muncă, care se va încheia în temeiul dreptul intern, național;

Te-ar putea interesa și:

 

  • prelucrarea să fie necesară pentru protejarea intereselor pe care le consideră ca fiind vitale, ale persoanei vizate, sau ale unei alte persoane fizice. Se aplică numai în situația în care persoana vizată se află într-unul din următoarele cazuri:

* incapacitate fizică de a-și da consimțământul ;

* incapacitate juridică de a-și da consimțământul.

  • prelucrarea să fie necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță;
  • prelucrarea să fie necesară ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;
  • prelucrarea să fie necesară din motive de interes public în domeniul sănătății publice precum  protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale (a se vedea în acest sens Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, eur-lex.europa.eu).

Acestor situații, enunțate limitativ, li se adaugă și cele prevăzute în cadrul art. 9, alin. (2), lit. a)-j) de către Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.

 

 

Prelucrarea de categorii speciale de date cu caracter personal: datele genetice în viziunea CEDO

În cauza Peruzzo și Martens împotriva Germaniei situația de fapt îi avea în vedere pe ce doi reclamanți, condamnați pentru infracțiuni penale catalogate în legislația germană ca fiind infracțiuni grave.  La nivel intern, instanțele au decis prelevarea și stocarea de material celular în scopul facilitării anchetelor penale ce ar fi avut în vedere posibilele fapte penale pe care cei în cauză le-ar fi putut comite. Curtea Europeană a Drepturilor Omului (CEDO) a stabilit inadmisibilitatea cererii și a constatat faptul că la nivel intern dispozițiile în materie de prelevare și păstrare a materialului ADN de la persoanele condamnate pentru infracțiuni grave constituie ,,un proces de păstrare a echilibrului între interese publice și interese private concurente” și sunt legate de marja de apreciere a statului pârât (a se vedea în acest sens www.echr.coe.int).

Curtea Europeană a Drepturilor Omului (CEDO) a respins cererea, stabilind că în materie de prelucrare a datelor genetice se aplică următoarele precepte :

  • existența unor infracțiuni grave comise de către o persoană poate permite autorităților prelevarea de date genetice ale persoanei în cauză;
  • în atare manieră se asigură un echilibru just între interesele concurente (interes public- interes privat);
  • se are în vedere posibilitatea ulterioară de comitere a unor infracțiuni, pentru care prelucrarea datelor genetice facilitează identificarea autorului/autorilor (sistem al prevenției).

Prin date genetice, conform GDPR vom înțelege acele date care se referă la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, sau care rezultă dintr-o analiză a unei mostre de material biologic al persoanei fizice în cauză (în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor informații echivalente (a se vedea în acest sens pct. (34) din Regulament). Acestea sunt incluse în categoriile speciale de date cu caracter personal și sunt strâns legate de persoană.

Concluzii

Raportând toate elementele enunțate anterior la jurisprudența Curții Europene a Drepturilor Omului (CEDO), vom constata că instanța în cauză pune mai presus de interesul persoanei chiar interesul realizării justiției. Astfel, atunci când sunt comise infracțiuni grave la nivelul unui stat, este ,,îndreptățită” chiar prelevarea de date genetice în scopul facilitării identificării persoanei sau persoanelor subiect sau subiecți activi ai infracțiunilor. Acest lucru se realizează pentru potențialele situații în care persoanele ar comite noi infracțiuni, iar în acest scop organele de cercetare ale poliției judiciare ar putea cu ușurință să identifice autorul sau autorii.

Te-ar putea interesa și:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-4.png

Răspuns:

Datele cu caracter personal trebuie prelucrate doar dacă o companie nu poate atinge scopurile în altă modalitate. Este recomandat, atunci când este posibil, să folosiți date anonime. Acolo unde datele cu caracter personal sunt necesare, acestea ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar în acest scop („principiul reducerii la minimum a datelor”).

Este responsabilitatea companiei/ organizației dvs., în calitate de operator de date, de a evalua cât de multe date cu caracter personal sunt necesare și de vă asigura că datele irelevante nu sunt colectate.

 

Exemplu:

Compania/organizația dvs.  oferă servicii de închiriere autoturisme persoanelor fizice. Pentru prestarea acestor servicii, pot fi necesare necesar numele, adresa și numărul cardului de credit al clienților și, eventual, informații dacă persoana are un handicap (deci date privind sănătatea). Prelucrarea altor date, precum originea rasială, ar însemna să prelucrăm mai multe decât este necesar, prin urmare să încălcăm principiul „reducerii la minimum a datelor”

 

Referință:

 

Sursa aici 

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



mobile-phone-opened-google-application_1421-1751.jpg

Hotărârea în cauza C-136/17
GC și alții/Commission nationale de l’informatique et des libertés (CNIL)

 

Interdicția privind prelucrarea anumitor categorii de date personale sensibile se
aplică și operatorilor de motoare de căutare

În cadrul unei cereri de dezindexare, trebuie efectuată o evaluare comparativă între drepturile
fundamentale ale persoanei care solicită dezindexarea și cele ale utilizatorilor de internet potențial
interesați de aceste informații

 

Doamna G.C. și domnii A.F., B.H. și E.D. au acționat în fața Conseil d’État (Consiliul de Stat, Franța) împotriva Commission nationale de l’informatique et des libertés (Comisia Națională pentru Informatică și Libertăți, Franța) (CNIL) în legătură cu patru decizii ale acesteia prin care refuză să pună în întârziere societatea Google Inc. pentru a proceda la dezindexarea a diverse linkuri incluse în lista de rezultate afișată în urma unei căutări efectuate plecând de la numele lor. Aceste linkuri duc spre pagini de internet publicate de terți care conțin, printre altele, un fotomontaj satiric referitor la o femeie politică postat sub pseudonim, precum și articole care menționează calitatea uneia dintre persoanele interesate de responsabil pentru relații publice al Bisericii Scientologice, punerea sub acuzare a unui om politic și condamnarea altei persoane interesate pentru fapte de agresiune sexuală asupra unor minori.

Conseil d’État a adresat Curții de Justiție mai multe întrebări cu privire la interpretarea normelor de drept al Uniunii referitoare la protecția datelor cu caracter personal. Conseil d’État solicită să se stabilească în special dacă, având în vedere responsabilitățile, competențele și posibilitățile specifice ale operatorului unui motor de căutare, interdicția pentru alți operatori de a prelucra date care fac parte din anumite categorii speciale (precum opiniile politice, confesiunea religioasă sau convingerile filozofice, precum și viața sexuală) se aplică și unui asemenea operator.

 

 

În hotărârea pronunțată astăzi, Curtea amintește că, întrucât activitatea unui motor de căutare este susceptibilă să afecteze semnificativ și în mod adițional în raport cu cea a editorilor de site-uri internet drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, operatorul acestui motor, în calitate de persoană care stabilește scopurile și mijloacele acestei activități, trebuie să asigure, în cadrul responsabilităților, al competențelor și al posibilităților sale, că această activitate îndeplinește cerințele dreptului Uniunii pentru ca garanțiile prevăzute de acesta să își producă efectul deplin și pentru ca o protecție eficientă și completă a persoanelor vizate, în special a dreptului lor la respectarea vieții private, să poată să fie realizată efectiv.

Te-ar putea interesa și:

Curtea subliniază, în continuare, că se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, apartenența la sindicate, precum și prelucrarea de date privind sănătatea sau viața
sexuală, sub rezerva anumitor excepții și derogări. În plus, cu excepția unei derogări speciale, prelucrarea datelor referitoare la infracțiuni, condamnări penale sau măsuri de securitate se poate efectua numai sub controlul autorității publice, iar un registru complet al condamnărilor penale nu poate fi ținut decât sub controlul autorității publice.

 

 

Curtea consideră că această interdicție și aceste restricții se aplică, sub rezerva excepțiilor prevăzute de dreptul Uniunii, ansamblului operatorilor care efectuează asemenea prelucrări.

Ea subliniază însă că operatorul unui motor de căutare nu răspunde pentru faptul că datele cu caracter personal vizate de dispozițiile menționate figurează pe o pagină de internet publicată de un terț, ci pentru indexarea acestei pagini și în special pentru afișarea linkului către aceasta în lista rezultatelor prezentată utilizatorilor de internet în urma unei căutări. Interdicția sau restricțiile se aplică operatorului unui motor de căutare în temeiul acestei indexări și, așadar, prin intermediul unei verificări care trebuie efectuată, sub controlul autorităților naționale competente, pe baza unei cereri formulate de persoana vizată.

Curtea constată, în continuare, că, deși drepturile persoanei prevalează, ca regulă generală, asupra libertății de informare a utilizatorilor de internet, acest echilibru poate fi însă repus în discuție în funcție de natura informației în discuție și de caracterul sensibil al acesteia în ceea ce privește viața privată a persoanei vizate și în funcție de interesul publicului de a dispune de informația respectivă, care poate varia în special în funcție de rolul jucat de această persoană în viața publică.

Astfel, Curtea concluzionează că, atunci când operatorul unui motor de căutare este sesizat cu o cerere de dezindexare privind un link către o pagină de internet pe care sunt publicate date sensibile, acesta trebuie să verifice, pe baza tuturor elementelor relevante din speță și ținând seama de gravitatea ingerinței în drepturile fundamentale ale persoanei vizate la respectarea vieții private și la protecția datelor cu caracter personal, dacă includerea acestui link în lista de rezultate, care se afișează în urma unei căutări efectuate plecând de la numele acestei persoane, se dovedește strict necesară pentru protecția libertății de informare a utilizatorilor de internet potențial interesați să aibă acces la această pagină de internet prin intermediul unei asemenea căutări.

 

În plus, atunci când prelucrarea se referă la date care sunt făcute publice în mod manifest de către persoana vizată, un operator al unui motor de căutare poate refuza admiterea unei cereri de dezindexare, cu condiția ca această prelucrare să îndeplinească ansamblul celorlalte condiții de legalitate, iar persoana vizată să nu se poată opune acestei prelucrări din considerente întemeiate și legitime legate de situația sa particulară.

În sfârșit, în ceea ce privește paginile de internet care conțin date referitoare la o procedură judiciară în materie penală desfășurată împotriva unei anumite persoane, care se referă la o etapă anterioară a acestei proceduri și nu mai corespund situației actuale, revine operatorului motorului de căutare sarcina de a aprecia dacă această persoană are dreptul ca informațiile în discuție să nu mai fie, în stadiul actual, legate de numele său prin intermediul unei liste de rezultate, afișată în urma unei căutări efectuate plecând de la numele său. Pentru a aprecia acest drept, operatorul motorului de căutare trebuie să ia în considerare ansamblul împrejurărilor speței, precum în special natura și gravitatea infracțiunii în discuție, desfășurarea și rezultatul procedurii menționate, timpul scurs, rolul jucat de această persoană în viața publică și comportamentul său în trecut, interesul publicului la momentul cererii, conținutul și forma publicării, precum și repercusiunile acesteia pentru persoana menționată.

Operatorul unui motor de căutare este astfel obligat să admită o cerere de dezindexare privind linkuri către pagini de internet pe care figurează informații referitoare la o procedură judiciară căreia i-a făcut obiectul o persoană fizică și, dacă este cazul, informații referitoare la condamnareacare a rezultat, atunci când acestea se referă la o etapă anterioară a procedurii judiciare în cauză și nu mai corespund situației actuale, în măsura în care se constată că, având în vedere ansamblul împrejurărilor speței, drepturile fundamentale ale persoanei vizate prevalează asupra celor ale utilizatorilor de internet potențial interesați.

Curtea precizează de asemenea că, chiar dacă operatorul unui motor de căutare ar constata că persoana vizată nu are dreptul la dezindexarea unor astfel de linkuri pentru motivul că includerea linkului în cauză se dovedește strict necesară pentru a concilia drepturile la respectarea vieții private și la protecția datelor acestei persoane cu libertatea de informare a utilizatorilor de internet potențial interesați, acest operator este obligat, în orice caz, cel târziu cu ocazia cererii de dezindexare, să organizeze lista de rezultate astfel încât imaginea globală care rezultă pentru utilizatorul de internet să reflecte situația judiciară actuală, ceea ce necesită în special ca linkurile către paginile de internet care includ informații cu privire la acest subiect să apară în primul rând pe această listă.

Sursa Curia

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



corporate-suit-white-man-background_1150-1776.jpg

Autor Elena Marc – Specialist Protecția Datelor, Consultant EMPIRE LOGISTICS SRL

Dreptul persoanelor fizice la despagubire pentru prejudiciul cauzat

Cu toate că amenzile din GDPR sunt semnificative, companiile trebuie să fie preocupate de încă două lucruri.

  1. faptul că persoanele vizate pot să aibă opțiunea de a solicita despăgubiri în cazul în care acțiunile operatorului sau ale operatorului împuternicit duc la daune. 
  2. amenzile sunt, de asemenea, susceptibile de a crea daune reputaționale, care nu pot fi cuantificate cu ușurință.

Deocamdată nu se sție ce nivel de compensare va fi  acordat  victimelor  unei încălcări a datelor. GDPR afirmă că persoanele fizice pot solicita despăgubiri (fie de la operatorul  de date, fie de la persoana împuternicită de operatorul de date) dacă au suferit daune ca rezultat al încălcării GDPR. Considerentul 146 afirmă că există o obligație de răspundere:

”Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament.”  Ceea ce înseamnă  că este probabil ca o organizație să fie, de asemenea, răspunzătoare pentru cererile de despăgubire, în cazul în care aceasta va fi amendată de autoritate.

În schimb, pretenția persoanelor vizate ar putea fi bazată pe daune nefinanciare, cunoscute sub denumirea de daune morale, un exemplu ar putea fi epuizare emoțională. Cu toate acestea, nu există încă exemple privind cât de mult ar putea fi acordat astfel în cazul unei încălcări a datelor.

Citește mai multe despre daunele morale în temeiul GDPR în articolul nostru: 10.000 lei- daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

GDPR face obligatorie, în unele cazuri, notificarea încălcării, ceea ce va spori gradul de conștientizare al clientului și, astfel, ar putea să complice probabilitatea creanțelor. Unii dintre cei afectați au fost ulterior victime ale fraudei și astfel au suferit o pierdere financiară care ar putea fi evaluată separat. Cei care nu au suferit o pierdere financiară ar fi putut fi totuși extrem de îngrijorați de ceea ce sa întâmplat. Unii ar putea fi  îngrijorați că vor fi victime în viitor sau că ar fi putut fi furați banii din conturile lor. Acest lucru poate însemna că au avut un caz de daune morale.

În timp ce unele companii încalcă în mod intenționat legea, putem supune că majoritatea încălcărilor se datoreze lipsei de pregătire.

Articolul 83 din GDPR prevede 11 considerente diferite de care se ține cont  la stabilirea mărimii amenzii.Vezi: http://www.privacy-regulation.eu/ro/83.htm

Acestea includ factori precum:

  • natura, gravitatea și durata încălcării
  • încălcarea intenționată sau din neglijență
  • categoriile de date cu caracter personal afectate
  • numărul de persoane vizate și impactul asupra acestora
  • măsurile care au fost în vigoare pentru a proteja datele
  • nivelul de cooperare cu autoritatea de supraveghere
  • respectarea standardelor din industrie
  • istoric al încălcărilor anterioare

Există o mulțime de discuții despre amenzi, dar cel mai bine este să învățăm o lecție din acestea și să începem să ne pregătim  de conformare. Deci, nu așteptați și acționați înainte de a fi prea târziu.

Mai jos găsiți o lista de verificare, sub forma de întrebări care vă vor ajuta să evaluați dacă sunteți OBLIGAT să respectați GDPR sau nu.

Dacă toate răspunsurile dvs. sunt DA, nu există nici o îndoială că trebuie să vă conformați. Dacă majoritatea răspunsurilor dvs. sunt NU, dar câteva sunt DA, vă rugăm să consultați un specialist.

  1. Compania dvs. colectează date personale?
  2. În mod regulat, vă ocupați de activități cum ar fi salarizarea lunară, pregătirea și trimiterea de facturi, trimiterea de e-mailuri promoționale, prelucrarea și colectarea cererilor de la solicitanții de locuri de muncă, administrarea pacienților?
  3. Firma dvs. procesează orice tip de date speciale (cum ar fi date privind sănătatea, date generice sau biometrice, date care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase, calitatea de membru al sindicatelor, datele privind viața sexuală a unei persoane fizice sau orientarea sexuală )?
  4. Firma dvs. prelucrează date cu caracter personal privind condamnările penale și infracțiunile sau măsurile de securitate aferente?
  5. Este probabil ca prelucrarea datelor să ducă la un risc pentru drepturile și libertățile persoanelor vizate (adică supravegherea video, procedurile de evaluare a creditului și de prevenire a fraudei, localizarea angajaților)?

 

Te-ar putea interesa și:

 

 

 

 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Cine-răspunde-pentru-accidentul-unde-sunt-implicate-mașini-autonome_-1.png

Cazierul judiciar și GDPR.

Am primit pe adresa redacției următoarea întrebare la care am răspuns și am considerat că ar fi util să postăm răspunsul și aici, pe blog.

Întrebare: O companie din UE doreste sa externalizeze o parte din activitatile sale catre noi; in acest sens are o serie de cerinte printre care si faptul ca doreste sa cerem de la toti angajatii pe acest proiect “a certificate of good conduct (German “polizeiliches Führungszeugnis”) or an equivalent foreign certificate without any record regarding an essential contractual obligation or a criminal offence. At the date of presentation, the certificate of good conduct shall not be older than three months”.

Eu echivalez acest certificat cu cazierul (sper ca nu gresesc?) pe care nu avem obiceiul sa il cerem. Conform Art. 10 GDPR mi-e clar ca nu e ok sa facem prelucrarea datelor din cazier pentru ca nu exista o cerinta legala in acest sens, insa de asemenea intelegerea mea este ca acest Articol 10 se refera doar la prelucrarile de date in temeiul consimtamantului, este corect?

Atunci intrebarea este: am putea sa facem prelucrarea datelor din cazier in virtutea interesului legitim? Sau in virtutea unei baze contractuale (desi contractul ar fi intre cele doua firme, nu intre noi si angajat)?

 

LegalUp: Prelucrarea datelor referitoare la condamnări penale sau infracțiuni, incluzând cazierul judiciar, este o prelucrare de categorii speciale de date, prin urmare temeiurile legale pentru prelucrările de date obișnuite (printre care contractul și interesul legitim) nu sunt aplicabile.

Art. 10 din GDPR prevede că „Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat.”.

Prin urmare, există doar două situații în care se poate prelucra cazierul:

  1. prelucrarea se efectuează sub controlul unei autorități de stat; sau
  2. prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate.

În unele situații este într-adevăr permisă sau obligatorie colectarea cazierului la angajare (funcționari publici, gestionari, pasnici, consilieri juridici, medici), însă, în situația descrisă de dumneavoastră, cum nu ne puteam încadra pe niciunul din cazurile de mai sus și nu există temei legal, ar trebui să evitați colectarea cazierului pentru a respecta prevederile GDPR.

 

Te-ar putea interesa și:

 



template-2-1200x675.png

Cu siguranță, în calitatea ta de pasager aerian, te-ai întrebat cel puțin o dată ce se întâmplă cu multitudinea de date pe care le oferi companiilor aeriene. De ce sunt colectate atât de multe date? Cui sunt transmise? Pe ce perioadă sunt stocate? Sunt ele stocate în condiții de securitate și confidențialitate? Ce drepturi am? Parcurge articolul nostru și vei afla răspunsul la aceste întrebări. 

Azi, 2 decembrie, a intrat în vigoare Legea nr. 284/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian care transpune  Directiva (UE) 2016/681 a Parlamentului European și a Consiliului și a fost abrogată Ordonanța Guvernului nr. 13/2015 privind utilizarea unor date din registrele cu numele pasagerilor.

Cine este UNIP?

UNIP reprezintă abrevierea de la Unitatea națională de informații privind pasagerii și este o structură de specialitate, fără personalitate juridică, în cadrul Inspectoratului General al Poliției de Frontieră. UNIP, are, în principal următoarele atribuții: 

  • colectează datele pasagerilor de la transportatorii aerieni;
  • stochează datele pasagerilor pe o anumită perioadă;
  • transferă datele pasagerilor către autoritățile competente;
  • facilitează schimbul de date ale pasagerilor cu  Unitățile de informații privind pasagerii din alte state membre ale Uniunii Europene și cu EUROPOL;
  • facilitează schimbul de date ale pasagerilor cu țări terțe.

Ce date ale pasagerilor transmit companiile aeriene către UNIP?

Datele pasagerilor transmise de către companiile aeriene către UNIP sunt numite de lege Date PNR. 

a) codul de rezervare;

b) data rezervării sau a emiterii biletului;

c) data/datele programată/programate a/ale călătoriei;

d) numele și prenumele asociate rezervării;

e) adresa și informațiile de contact – număr de telefon, adresă de e-mail – asociate rezervării;

f) toate informațiile privind forma de plată, inclusiv adresa de facturare;

g) itinerarul complet de călătorie;

h) informațiile din profilul “client fidel”;

i) agenția sau agentul de turism prin care a fost făcută rezervarea sau a fost cumpărat biletul;

j) situația de călătorie a pasagerului, inclusiv confirmările, situația înregistrării pentru zbor, informații privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă;

k) informațiile scindate sau divizate din registrul cu numele pasagerilor;

l) mențiunile cu caracter general, inclusiv toate informațiile disponibile despre minorii neînsoțiți cu vârsta sub 18 ani, precum numele și sexul minorului, vârsta, limba/limbile vorbită/vorbite, numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire;

m) informațiile despre bilet, inclusiv numărul biletului, data emiterii biletului și bilete dus simplu și câmpurile aferente furnizării automate a prețului unui bilet de călătorie;

n) numărul locului și alte informații privind locul;

o) informațiile cu privire la codurile partajate;

p) toate informațiile cu privire la bagaje;

q) numărul pasagerilor înregistrați în PNR și alte nume ale acestora;

r) orice date API colectate, inclusiv tipul, numărul, țara de emitere și data expirării oricărui document de identitate, cetățenia, numele de familie, prenumele, sexul, data nașterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării și ora sosirii;

s) un istoric al tuturor modificărilor datelor PNR prevăzute mai sus.

În ce scopuri sunt colectate, prelucrate și transmise aceste date? 

Prelucrarea și transmiterea acestor date de la companiile aeriene către UNIP și ulterior către alte instituții abilitate de lege sunt necesare pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, precum și pentru prevenirea și înlăturarea amenințărilor la adresa securității naționale și exlusiv pentru următoarele scopuri:

a) efectuarea unei evaluări a pasagerilor înainte de sosirea sau de plecarea programată a acestora în/din România, în vederea identificării persoanelor cu privire la care este necesară o examinare suplimentară de către autoritățile competente și, după caz, de către EUROPOL, având în vedere faptul că respectivele persoane pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale;

b) oferirea de răspunsuri, de la caz la caz, unei cereri temeinic justificate bazate pe motive suficiente din partea autorităților competente vizând furnizarea și prelucrarea datelor PNR, în cazuri concrete, și comunicarea rezultatelor acestei prelucrări autorităților competente sau, după caz, EUROPOL;

c) analizarea datelor PNR în vederea actualizării sau a definirii de noi criterii ce urmează a fi utilizate pentru evaluările efectuate în scopul identificării oricăror persoane care pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale.

Când se transmit datele către UNIP?

Transporatorii aerienă transmit datele PNR către UNIP cu 48 până la 24 de ore înainte de ora programată pentru plecarea zborului.

Cui transmite UNIP datele pasagerilor?

  • Autorităților competente

a) Poliția Română;

b) Poliția de Frontieră Română;

c) Direcția Generală de Protecție Internă;

d) Direcția Generală Anticorupție;

e) Serviciul Român de Informații;

f) Serviciul de Informații Externe;

g) Ministerul Apărării Naționale: Direcția generală de informații a apărării;

h) Ministerul Public;

i) Agenția Națională de Administrare Fiscală: Direcția Generală a Vămilor.

  • Unitățile de informații din alte state membre;

UNIP reprezintă punctul național de contact cu unitățile de informații privind pasagerii ale altor state membre ale Uniunii Europene și este responsabilă pentru schimbul de date PNR cu acestea.

  • EUROPOL

EUROPOL poate adresa UNIP, prin intermediul Unității Naționale Europol, o cerere în format electronic, justificată corespunzător, de transmitere a unor anumite date PNR sau a rezultatului prelucrării respectivelor date.

EUROPOL adresează această cerere doar atunci când acest lucru este strict necesar pentru sprijinirea și consolidarea acțiunii statelor membre ale Uniunii Europene în vederea prevenirii, depistării sau investigării unei anumite infracțiuni de terorism sau a unei anumite infracțiuni grave, în măsura în care infracțiunea respectivă intră în sfera de competență a EUROPOL, în temeiul legislației Uniunii Europene care stabilește organizarea și atribuțiile EUROPOL.

Cererea trebuie să conțină motive rezonabile pe baza cărora EUROPOL consideră că transmiterea datelor PNR sau a rezultatului prelucrării datelor PNR va contribui în mod substanțial la prevenirea, depistarea sau investigarea infracțiunii în cauză.

În ce condiții poate UNIP transfera date către țări terțe?

UNIP poate transfera date PNR sau rezultatul prelucrării datelor PNR către autoritățile unei țări terțe doar de la caz la caz și dacă sunt îndeplinit, printre altele, următoarele condiții:

a) sunt respectate dispozițiile art. 15 din Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Afacerilor Interne în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice, republicată;

b) transferul este necesar în scopul prevenirii, depistării sau investigării unei fapte care este considerată de legea țării terțe solicitante drept infracțiune de terorism sau care este sancționată ca infracțiune de legea țării terțe solicitante cu o pedeapsă sau cu o măsură de siguranță privativă de libertate a cărei durată maximă este de cel puțin 3 ani și care este corespunzătoare uneia dintre formele de criminalitate prevăzute în anexa care face parte integrantă din prezenta lege;

c) autoritatea din țara terță comunică în scris că este de acord să transfere datele PNR unei alte țări terțe doar în cazul în care acest lucru este strict necesar în scopul prevăzut la lit. b) și doar cu autorizarea expresă a UNIP;

e) nu este afectată securitatea națională.

Pe ce perioadă sunt păstrate datele pasagerilor?

Datele pasagerilor furnizate de transportatorii aerieni se păstrează în cadrul UNIP pentru o perioadă de 5 ani de la momentul finalizării transferului de date de la companiile aeriene către UNIP. La împlinirea acestui termen, datele se șterg automat, printr-o procedură ireversibilă.

Totuși, la împlinirea a 6 luni de la momentul transferului, datele sunt depersonalizate prin marcarea următoarelor elemente:

a) numele, inclusiv numele altor pasageri, precum și numărul pasagerilor care călătoresc împreună;

b) adresa și informațiile de contact asociate rezervării;

c) toate informațiile privind forma de plată, inclusiv adresa de facturare;

d) informațiile din profilul “client fidel”;

e) mențiunile cu caracter general prevăzute la art. 14 alin. (1) lit. l);

f) orice date API care au fost colectate.

Cu toate acestea, ștergerea datelor în cadrul UNIP nu are efect asupra datelor care există deja la autoritățile competente unde acestea au fost transmise, păstrarea acestor date va respecta regimul aplicabil de păstrarea aplicabil cazului concret de prelucrare.

Cine va fi responsabil de protecția datelor? 

UNIP va avea un responsabil cu protecția datelor, numit de inspectorul general al IGPF.

Responsabil cu protecția datelor în cadrul UNIP va fi un polițist – funcționar public cu statut special cu studii superioare -, cu o experiență de minimum 2 ani în domeniul protecției datelor cu caracter personal și care a urmat cel puțin un curs de specializare în acest domeniu.

În exercitarea sarcinilor de serviciu privind respectarea legislației în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP este independent și nu poate primi instrucțiuni pe cale ierarhică.

Responsabilul cu protecția datelor UNIP va avea următoarele atribuții:

a) informarea și consilierea personalului UNIP care efectuează prelucrări de date PNR, cu privire la obligațiile care le revin în temeiul legislației privind protecția datelor cu caracter personal;

b) monitorizarea respectării de către UNIP a obligațiilor ce îi revin în conformitate cu dispozițiile legislației privind protecția datelor cu caracter personal și a politicilor UNIP în materia protecției datelor cu caracter personal, în special a alocării responsabilităților, a creșterii gradului de conștientizare a acestora în rândul personalului UNIP și a acțiunilor de formare a personalului implicat în operațiunile de prelucrare;

c) realizarea verificărilor necesare în scopul determinării nivelului de respectare a rigorilor impuse de cadrul normativ privind protecția datelor cu caracter personal;

d) furnizarea de consiliere în ceea ce privește evaluarea impactului măsurilor de protecție a datelor cu caracter personal prelucrate în cadrul Sistemului de evidență a datelor PNR și monitorizarea modului în care principiile prelucrării datelor cu caracter personal sunt implementate în cadrul operațiunilor realizate în cadrul UNIP;

e) cooperarea cu Autoritatea națională de supraveghere și îndeplinirea funcției de punct de contact pentru această instituție;

f) îndeplinirea funcției de punct unic de contact în relația cu persoanele vizate, cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal în cadrul Sistemului de evidență a datelor PNR.

Atunci când în exercitarea atribuțiilor prevăzute lconstată efectuarea unei operațiuni de prelucrare a datelor cu caracter personal nu este conformă cu legislația în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP informează conducerea IGPF. În cazul în care pentru remedierea situației nu sunt suficiente măsurile adoptate la nivelul IGPF, responsabilul cu protecția datelor în cadrul UNIP notifică, de îndată, Autoritatea națională de supraveghere.

Responsabilul cu protecția datelor UNIP reprezintă punctul de contact cu persoanele fizice vizate și, în consecință, are următoarele atribuții:

  • primește și întregistrează cererile persoanelor vizate într-un registru special;
  • solicită UNIP să realizeze verificările necesare pentru soluționarea cererilor;
  • întocmește și transmite răspunsurile către persoanele fizice solicitante.

Cum pot să îmi exercit drepturile cu privire la datele mele personale?

Pentru a-și exercita drepturile prevăzute de GDPR (acces, rectificare, restricționare, opoziție, ștergere, portabilitate), pasagerul va formula și va depune o cerere la UNIP. Pentru validitatea cererii, persoana trebuie să facă dovada identității. 

Sunt datele mele prelucrate în condiții de securitate și confidențialitate?

UNIP va asigura securitatea și confidențialitatea datelor potrivit GDPR și a legislației naționale de punere în aplicare a acestuia.

Este interzisă prelucrarea datelor PNR prin intermediul persoanelor împuternicite de către operator, în sensul Regulamentului general privind protecția datelor și a legislației de punere în aplicare a acestuia.

Prelucrează UNIP date sensibile despre mine?

Nu. Potrivit legii, prelucrarea datelor pasagerilor care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența la un sindicat, sănătatea, viața sexuală sau orientarea sexuală este interzisă.  În cazul în care datele PNR transmise de transportatorii aerieni cuprind informații sensibile, personalul UNIP șterge în mod ireversibil respectivele informații imediat după identificarea acestora.

Ce ar trebui să știu despre protecția datelor de către companiile aeriene?

Transportatorii aerieni rămân responsabili, în temeiul dispozițiilor legale din domeniul protecției datelor cu caracter personal aplicabile acestora, în ceea ce privește:

a) adoptarea măsurilor tehnice și organizatorice necesare pentru asigurarea protejării datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum și împotriva oricărei altei forme de prelucrare ilegală;

b) prelucrarea datelor PNR în mod legal, echitabil și transparent față de persoana vizată, inclusiv informarea pasagerilor, prealabilă colectării datelor PNR, cu privire la faptul că acestea sunt transmise către UNIP;

c) colectarea datelor PNR în scopuri determinate, explicite și legitime și abținerea de la prelucrarea ulterioară într-un mod incompatibil cu aceste scopuri;

d) colectarea de date PNR adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

e) prelucrarea de date PNR exacte și actualizate;

f) păstrarea datelor PNR într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate.

 

Te-ar putea interesa și:



black-vintage-car-clipart-1200x1200.jpg

Ați putea ghici cine află despre dvs. următoarele lucruri?

  • unde locuiți;
  • unde lucrați;
  • la ce școală merg copiii dvs.;
  • religia dvs.;
  • cât de des vizitați medicul,
  • dacă respectați limita de viteză;
  • toate contactele de pe telefon;
  • detalii despre toate apelurile telefonice, mesajele;
  • ce posturi de radio ascultați; și
  • dacă ați plecat de la sala de fitness în această dimineață și ați făcut o cafea și un croissant

Majoritatea oamenilor ar spune că telefonul lor, dar câți oameni ar spune “mașina”?

Autovehiculele moderne sunt pline de setări care fac viața mai ușoară și mai sigură, cum ar fi controlul direcției, sistemul de control al vitezei de croazieră, sistemele de navigație și media. Toate aceste facilități au ca rezultat generarea unor cantități enorme de date (pe care unele estimări le pun la 25Gb de date pe oră – echivalentul a 125.000 de documente Word sau 100 de ore de video). În funcție de natura tehnologiei utilizate în automobilul dvs. modern, aceste informații sensibile ar putea fi accesibile sau puse la dispoziția mai multor părți interesate, inclusiv producătorului, operatorilor de rețele mobile, furnizorilor de sisteme auto sau furnizorilor de servicii de cloud pentru stocarea datelor.

Aceste date sunt importante și sunt de interes pentru multe părți – pentru a le pune în context, un studiu recent din martie 2018 realizat de McKinsey & Company estimează că industria conectivității auto poate valora între 450 și 750 de miliarde de dolari în întreaga lume până în 2030.

Este îngrijorător că nu există un cadru juridic specific la nivel european care să reglementeze protecția datelor colectate de la vehicule.

Toate datele colectate care constituie “date personale” (de exemplu, numele, adresa, numărul de telefon, locația GPS și datele biometrice) sunt supuse noii legislații GDPR . În conformitate cu GDPR, există șase temeiuri pentru prelucrarea datelor personale, cel mai utilizat fiind consimțământul persoanei vizate.

Când ați achiziționat mașina, v-ați dat consimțământul pentru stocarea și prelucrarea datelor dvs.?

Colectarea datelor de către mașina dvs. nu este doar un alt exemplu de ingerință a Big Brother – este mai mult de atât.

Majoritatea companiilor colectează date cu scopul declarat de a menține și de a îmbunătăți serviciile furnizate sau de a dezvolta noi servicii. Există, fără îndoială, împrejurări în care oamenii ar prefera ca datele automobilelor să fie puse la dispoziția poliției și accesate de aceasta (în cadrul competențelor prevăzute de legislația națională). La începutul acestui an, poliția din Irlanda a reușit, să utilizeze datele despre locație de la un Nissan Qashqai pentru a urmări deplasarea lui Mark Hennessy în timp ce o răpea pe Justine Valdez .

În SUA, tehnologia este utilizată în mod obișnuit în mașini de către autoritățile de aplicare a legii, ceea ce dă naștere la preocupări majore privind protecția datelor. De exemplu, într-un caz, un șofer a activat accidental sistemul SOS al mașinii în timp ce discuta despre o afacere cu droguri. Personalul call-center a ascultat discuția, apoi a informat poliția locală care l-a arestat ulterior pe conducătorul auto. În acest caz, în timp ce primul gând este că arestarea unui traficant de droguri este în mod evident un lucru bun, vi se pare în regulă faptul că operatorii call-center ai producătorului de automobile ar putea asculta discuțiile dvs. private în timp ce vă aflați în mașină, dacă ați activat accidental sistemul de urgență? Poate că acesta este un preț care merită să fie plătit pentru siguranță știind că, dacă ați suferit un accident, ajutorul va fi la îndemână.

Ce părere aveți despre colectarea datelor de către mașina dvs.? V-ați bucura să fie utilizate pentru a vă prezenta conținut și anunțuri personalizate?

De exemplu, dacă autovehiculul dvs. urmează să rămână fără motorină/ benzină, v-ar plăcea să vă informeze că există o stație de alimentare în apropiere (indicații de orientare) și că veți obține o reducere cu 5% a combustibilului dacă veți merge acolo? În această “tranzacție”, stația de alimentare plătește, probabil, producătorului de automobile o anumită taxă pentru afișarea anunțului, dvs. veți obține o reducere a prețului benzinei/motorinei și stația ar beneficia și de alte achiziții ale dvs. (cum ar fi o cafea) în timp ce alimentați automobilul. Este o situație în care toate părțile au de câștigat sau este cu adevărat terifiant?

În cele din urmă, este clar că într-o lume curajoasă a mașinilor conectate, nimeni nu știe exact spre ce ne îndreptăm. Cu toate acestea, dintr-o perspectivă juridică, proprietarii de mașini trebuie să fie informați cu privire la toate datele personale colectate și la modul în care vor fi utilizate – fără acestea, producătorii se expun investigațiilor autorităților de supraveghere și reclamațiilor din partea clienților.

https://www.lexology.com/library/detail.aspx?g=0e462f17-e2fd-47b3-9396-d69fef19025f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

 


arhive-date-speciale-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord