Aici descoperim
dreptul tehnologiei

template-2-1200x675.png

Cu siguranță, în calitatea ta de pasager aerian, te-ai întrebat cel puțin o dată ce se întâmplă cu multitudinea de date pe care le oferi companiilor aeriene. De ce sunt colectate atât de multe date? Cui sunt transmise? Pe ce perioadă sunt stocate? Sunt ele stocate în condiții de securitate și confidențialitate? Ce drepturi am? Parcurge articolul nostru și vei afla răspunsul la aceste întrebări. 

Azi, 2 decembrie, a intrat în vigoare Legea nr. 284/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian care transpune  Directiva (UE) 2016/681 a Parlamentului European și a Consiliului și a fost abrogată Ordonanța Guvernului nr. 13/2015 privind utilizarea unor date din registrele cu numele pasagerilor.

Cine este UNIP?

UNIP reprezintă abrevierea de la Unitatea națională de informații privind pasagerii și este o structură de specialitate, fără personalitate juridică, în cadrul Inspectoratului General al Poliției de Frontieră. UNIP, are, în principal următoarele atribuții: 

  • colectează datele pasagerilor de la transportatorii aerieni;
  • stochează datele pasagerilor pe o anumită perioadă;
  • transferă datele pasagerilor către autoritățile competente;
  • facilitează schimbul de date ale pasagerilor cu  Unitățile de informații privind pasagerii din alte state membre ale Uniunii Europene și cu EUROPOL;
  • facilitează schimbul de date ale pasagerilor cu țări terțe.

Ce date ale pasagerilor transmit companiile aeriene către UNIP?

Datele pasagerilor transmise de către companiile aeriene către UNIP sunt numite de lege Date PNR. 

a) codul de rezervare;

b) data rezervării sau a emiterii biletului;

c) data/datele programată/programate a/ale călătoriei;

d) numele și prenumele asociate rezervării;

e) adresa și informațiile de contact – număr de telefon, adresă de e-mail – asociate rezervării;

f) toate informațiile privind forma de plată, inclusiv adresa de facturare;

g) itinerarul complet de călătorie;

h) informațiile din profilul “client fidel”;

i) agenția sau agentul de turism prin care a fost făcută rezervarea sau a fost cumpărat biletul;

j) situația de călătorie a pasagerului, inclusiv confirmările, situația înregistrării pentru zbor, informații privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă;

k) informațiile scindate sau divizate din registrul cu numele pasagerilor;

l) mențiunile cu caracter general, inclusiv toate informațiile disponibile despre minorii neînsoțiți cu vârsta sub 18 ani, precum numele și sexul minorului, vârsta, limba/limbile vorbită/vorbite, numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire;

m) informațiile despre bilet, inclusiv numărul biletului, data emiterii biletului și bilete dus simplu și câmpurile aferente furnizării automate a prețului unui bilet de călătorie;

n) numărul locului și alte informații privind locul;

o) informațiile cu privire la codurile partajate;

p) toate informațiile cu privire la bagaje;

q) numărul pasagerilor înregistrați în PNR și alte nume ale acestora;

r) orice date API colectate, inclusiv tipul, numărul, țara de emitere și data expirării oricărui document de identitate, cetățenia, numele de familie, prenumele, sexul, data nașterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării și ora sosirii;

s) un istoric al tuturor modificărilor datelor PNR prevăzute mai sus.

În ce scopuri sunt colectate, prelucrate și transmise aceste date? 

Prelucrarea și transmiterea acestor date de la companiile aeriene către UNIP și ulterior către alte instituții abilitate de lege sunt necesare pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, precum și pentru prevenirea și înlăturarea amenințărilor la adresa securității naționale și exlusiv pentru următoarele scopuri:

a) efectuarea unei evaluări a pasagerilor înainte de sosirea sau de plecarea programată a acestora în/din România, în vederea identificării persoanelor cu privire la care este necesară o examinare suplimentară de către autoritățile competente și, după caz, de către EUROPOL, având în vedere faptul că respectivele persoane pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale;

b) oferirea de răspunsuri, de la caz la caz, unei cereri temeinic justificate bazate pe motive suficiente din partea autorităților competente vizând furnizarea și prelucrarea datelor PNR, în cazuri concrete, și comunicarea rezultatelor acestei prelucrări autorităților competente sau, după caz, EUROPOL;

c) analizarea datelor PNR în vederea actualizării sau a definirii de noi criterii ce urmează a fi utilizate pentru evaluările efectuate în scopul identificării oricăror persoane care pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale.

Când se transmit datele către UNIP?

Transporatorii aerienă transmit datele PNR către UNIP cu 48 până la 24 de ore înainte de ora programată pentru plecarea zborului.

Cui transmite UNIP datele pasagerilor?

  • Autorităților competente

a) Poliția Română;

b) Poliția de Frontieră Română;

c) Direcția Generală de Protecție Internă;

d) Direcția Generală Anticorupție;

e) Serviciul Român de Informații;

f) Serviciul de Informații Externe;

g) Ministerul Apărării Naționale: Direcția generală de informații a apărării;

h) Ministerul Public;

i) Agenția Națională de Administrare Fiscală: Direcția Generală a Vămilor.

  • Unitățile de informații din alte state membre;

UNIP reprezintă punctul național de contact cu unitățile de informații privind pasagerii ale altor state membre ale Uniunii Europene și este responsabilă pentru schimbul de date PNR cu acestea.

  • EUROPOL

EUROPOL poate adresa UNIP, prin intermediul Unității Naționale Europol, o cerere în format electronic, justificată corespunzător, de transmitere a unor anumite date PNR sau a rezultatului prelucrării respectivelor date.

EUROPOL adresează această cerere doar atunci când acest lucru este strict necesar pentru sprijinirea și consolidarea acțiunii statelor membre ale Uniunii Europene în vederea prevenirii, depistării sau investigării unei anumite infracțiuni de terorism sau a unei anumite infracțiuni grave, în măsura în care infracțiunea respectivă intră în sfera de competență a EUROPOL, în temeiul legislației Uniunii Europene care stabilește organizarea și atribuțiile EUROPOL.

Cererea trebuie să conțină motive rezonabile pe baza cărora EUROPOL consideră că transmiterea datelor PNR sau a rezultatului prelucrării datelor PNR va contribui în mod substanțial la prevenirea, depistarea sau investigarea infracțiunii în cauză.

În ce condiții poate UNIP transfera date către țări terțe?

UNIP poate transfera date PNR sau rezultatul prelucrării datelor PNR către autoritățile unei țări terțe doar de la caz la caz și dacă sunt îndeplinit, printre altele, următoarele condiții:

a) sunt respectate dispozițiile art. 15 din Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Afacerilor Interne în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice, republicată;

b) transferul este necesar în scopul prevenirii, depistării sau investigării unei fapte care este considerată de legea țării terțe solicitante drept infracțiune de terorism sau care este sancționată ca infracțiune de legea țării terțe solicitante cu o pedeapsă sau cu o măsură de siguranță privativă de libertate a cărei durată maximă este de cel puțin 3 ani și care este corespunzătoare uneia dintre formele de criminalitate prevăzute în anexa care face parte integrantă din prezenta lege;

c) autoritatea din țara terță comunică în scris că este de acord să transfere datele PNR unei alte țări terțe doar în cazul în care acest lucru este strict necesar în scopul prevăzut la lit. b) și doar cu autorizarea expresă a UNIP;

e) nu este afectată securitatea națională.

Pe ce perioadă sunt păstrate datele pasagerilor?

Datele pasagerilor furnizate de transportatorii aerieni se păstrează în cadrul UNIP pentru o perioadă de 5 ani de la momentul finalizării transferului de date de la companiile aeriene către UNIP. La împlinirea acestui termen, datele se șterg automat, printr-o procedură ireversibilă.

Totuși, la împlinirea a 6 luni de la momentul transferului, datele sunt depersonalizate prin marcarea următoarelor elemente:

a) numele, inclusiv numele altor pasageri, precum și numărul pasagerilor care călătoresc împreună;

b) adresa și informațiile de contact asociate rezervării;

c) toate informațiile privind forma de plată, inclusiv adresa de facturare;

d) informațiile din profilul “client fidel”;

e) mențiunile cu caracter general prevăzute la art. 14 alin. (1) lit. l);

f) orice date API care au fost colectate.

Cu toate acestea, ștergerea datelor în cadrul UNIP nu are efect asupra datelor care există deja la autoritățile competente unde acestea au fost transmise, păstrarea acestor date va respecta regimul aplicabil de păstrarea aplicabil cazului concret de prelucrare.

Cine va fi responsabil de protecția datelor? 

UNIP va avea un responsabil cu protecția datelor, numit de inspectorul general al IGPF.

Responsabil cu protecția datelor în cadrul UNIP va fi un polițist – funcționar public cu statut special cu studii superioare -, cu o experiență de minimum 2 ani în domeniul protecției datelor cu caracter personal și care a urmat cel puțin un curs de specializare în acest domeniu.

În exercitarea sarcinilor de serviciu privind respectarea legislației în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP este independent și nu poate primi instrucțiuni pe cale ierarhică.

Responsabilul cu protecția datelor UNIP va avea următoarele atribuții:

a) informarea și consilierea personalului UNIP care efectuează prelucrări de date PNR, cu privire la obligațiile care le revin în temeiul legislației privind protecția datelor cu caracter personal;

b) monitorizarea respectării de către UNIP a obligațiilor ce îi revin în conformitate cu dispozițiile legislației privind protecția datelor cu caracter personal și a politicilor UNIP în materia protecției datelor cu caracter personal, în special a alocării responsabilităților, a creșterii gradului de conștientizare a acestora în rândul personalului UNIP și a acțiunilor de formare a personalului implicat în operațiunile de prelucrare;

c) realizarea verificărilor necesare în scopul determinării nivelului de respectare a rigorilor impuse de cadrul normativ privind protecția datelor cu caracter personal;

d) furnizarea de consiliere în ceea ce privește evaluarea impactului măsurilor de protecție a datelor cu caracter personal prelucrate în cadrul Sistemului de evidență a datelor PNR și monitorizarea modului în care principiile prelucrării datelor cu caracter personal sunt implementate în cadrul operațiunilor realizate în cadrul UNIP;

e) cooperarea cu Autoritatea națională de supraveghere și îndeplinirea funcției de punct de contact pentru această instituție;

f) îndeplinirea funcției de punct unic de contact în relația cu persoanele vizate, cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal în cadrul Sistemului de evidență a datelor PNR.

Atunci când în exercitarea atribuțiilor prevăzute lconstată efectuarea unei operațiuni de prelucrare a datelor cu caracter personal nu este conformă cu legislația în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP informează conducerea IGPF. În cazul în care pentru remedierea situației nu sunt suficiente măsurile adoptate la nivelul IGPF, responsabilul cu protecția datelor în cadrul UNIP notifică, de îndată, Autoritatea națională de supraveghere.

Responsabilul cu protecția datelor UNIP reprezintă punctul de contact cu persoanele fizice vizate și, în consecință, are următoarele atribuții:

  • primește și întregistrează cererile persoanelor vizate într-un registru special;
  • solicită UNIP să realizeze verificările necesare pentru soluționarea cererilor;
  • întocmește și transmite răspunsurile către persoanele fizice solicitante.

Cum pot să îmi exercit drepturile cu privire la datele mele personale?

Pentru a-și exercita drepturile prevăzute de GDPR (acces, rectificare, restricționare, opoziție, ștergere, portabilitate), pasagerul va formula și va depune o cerere la UNIP. Pentru validitatea cererii, persoana trebuie să facă dovada identității. 

Sunt datele mele prelucrate în condiții de securitate și confidențialitate?

UNIP va asigura securitatea și confidențialitatea datelor potrivit GDPR și a legislației naționale de punere în aplicare a acestuia.

Este interzisă prelucrarea datelor PNR prin intermediul persoanelor împuternicite de către operator, în sensul Regulamentului general privind protecția datelor și a legislației de punere în aplicare a acestuia.

Prelucrează UNIP date sensibile despre mine?

Nu. Potrivit legii, prelucrarea datelor pasagerilor care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența la un sindicat, sănătatea, viața sexuală sau orientarea sexuală este interzisă.  În cazul în care datele PNR transmise de transportatorii aerieni cuprind informații sensibile, personalul UNIP șterge în mod ireversibil respectivele informații imediat după identificarea acestora.

Ce ar trebui să știu despre protecția datelor de către companiile aeriene?

Transportatorii aerieni rămân responsabili, în temeiul dispozițiilor legale din domeniul protecției datelor cu caracter personal aplicabile acestora, în ceea ce privește:

a) adoptarea măsurilor tehnice și organizatorice necesare pentru asigurarea protejării datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum și împotriva oricărei altei forme de prelucrare ilegală;

b) prelucrarea datelor PNR în mod legal, echitabil și transparent față de persoana vizată, inclusiv informarea pasagerilor, prealabilă colectării datelor PNR, cu privire la faptul că acestea sunt transmise către UNIP;

c) colectarea datelor PNR în scopuri determinate, explicite și legitime și abținerea de la prelucrarea ulterioară într-un mod incompatibil cu aceste scopuri;

d) colectarea de date PNR adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

e) prelucrarea de date PNR exacte și actualizate;

f) păstrarea datelor PNR într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate.

 

Te-ar putea interesa și:



gdpr-1200x880.png

Mă ocup cu GDPR de aproape doi ani. M-a fascinat, m-a încântat, m-a enervat, m-a fascinat din nou și i-am rămas fidelă. Pentru că am creat, aici pe LegalUp, cel mai mare portal de informații despre GDPR, în perioada martie – mai 2018, primeam în jur de 50 de apeluri pe zi și 30 de mail-uri. Am avut peste 50 de întâlniri.

Cunosc piața consultanței GDPR ca în palmă. S-au supărat pe mine pentru că vând șabloane online. Dar de ce ar începe toți cum am început eu cu o foaie goală și un pix? Cred că scopul nostru, al tuturor, e să protejăm datele și să găsim cele mai bune soluții. Am peste 30 de foldere denumite „KIT” în PC. Crede-mă, nu ai vrea să faci toata munca de acolo. Poate ai vrea să protejezi totuși datele. Șabloanele există acum și pot fi adaptate ușor. Responsabilii nu scriu documentația, sau cel puțin nu ar trebui să o facă.

Recunosc că m-am gândit la varianta să fiu DPO externalizat. După ce am oferit consultanță GDPR în cadrul a aproape 20 de firme, mi-am sfătuit clienții să numească un responsabil intern. Pentru că eu, oricât de mult aș vrea, nu pot fi întotdeauna acolo să realizez când intervine o breșă de securitate, să răspund la o cerere a unei persoane vizate, să fac training-ul constant al angajaților, să atrag atenția angajatului X atunci când face fotografii cu telefonul personal la documente care conțin date personale. Cum aș mai putea să mă perfecționez constant dacă nu aș face altceva zilnic în afară de a explica de 100 de ori aceleași lucruri către X persoane? Și, la câte firme aș putea să fac treaba asta pe lună? Maxim 3. Nu ar renta nici din punct de vedere financiar… Și așa mă întreb: care e calitatea serviciilor oferite de responsabilii externi care au în grijă câteva zeci de firme?

Am făcut ce am considerat de cuviință. Acum sunt consultant al responsabililor interni. La un moment dat se vor descurca singuri. Mă fascinează cum evoluează și cât de multe învață. Unii sunt mai norocoși, au și consultanța inclusă, dar alții își cumpără din banii lor KIT-ul meu. Mă întristează cumva. Le spun că angajatorul ar trebui să le dea resursele, așa cum spune și Regulamentul. Îmi răspund că ei ar trebui să știe ce trebuie să facă. Dar cum așa? A învățat cineva la școală GDPR? Au existat cursuri serioase pe piață? Nici măcar la Facultatea de Drept nu se predă. Noi, care încă suntem aici, am învățat din pasiune. Și dacă nu ești din pasiune și o faci doar pentru bani, măcar nu îți bate joc. 

Unii asta își doresc. Vor să găsească un consultant, să îi dea o sumă, să le facă dosarul și să doarmă liniștiți. Și să îl numească apoi DPO, în speranța că au pasat răspunderea. Ei bine, nu e chiar așa. Documentația dă bine la un control, dar să nu uităm că ea trebuie înțeleasă de companie, nu doar semnată. Iar consultantul nu va fi întotdeauna lângă tine să îți spună că trebuie să îi dai să semneze nota de informare candidatului la interviu sau că trebuie să închei un acord de prelucrare cu noua agenție de marketing. Iar DPO-ul externalizat, ce știe el?

La companiile medii și mari, e mai simplu. Au documentația, cumpărată sau venită din afară, juriștii lor o personalizează, avocatul o verifică, IT-ul o implementează, iar responsabilul trebuie să fie în centrul acțiunii: el nu scrie documentația, dar o înțelege, el nu implementează tehnic, dar verifică să fie în regulă, el verifică toate departamentele și toți angajații respectă GDPR și se asigură că drepturile personelor vizate se respectă.

La companiile mici observ că nu se dorește implementarea. Sau se dorește, dar se crede că dacă au numit un responsabil, au pasat responsabilitatea. Ca să înțelegeți unde bat: asemănați GDPR cu contabilitatea – o contabilitate a datelor. Orice companie are un contabil, dar asta înseamnă că nu mai trebuie emise facturi? Așa e și aici, cu diferența că GDPR are impact asupra tuturor proceselor. Așa cum ai învățat odată să emiți o factură, așa acum va trebui să înveți cum și când să informezi persoana fizică, cum și când să închei un acord de prelucrare, cum să identifici și să răspunzi la o cerere de acces etc. Desigur, poți angaja un DPO intern, dar nu îți vei permite unul care știe ce să facă. Poți apela la un serviciu externalizat de DPO, dar nu va funcționa – el e departe, tu ai nevoie de ajutor acum. Așa că singura soluție care rămâne este să îți faci curaj să înțelegi despre ce e vorba. Nu vei înțelege și nu vei implementa totul din prima. Nu există nicio companie 100% GDPR compliant azi. Mergi la un curs. Citește un ghid.  Ia-ți șabloane de documente și implementează. Ai și suportul meu. Pentru că răspunsurile pe care eu ți le dau le reutilizez. Întrebările pe GDPR se repetă. Tu mă întrebi ceva, eu întocmesc un ghid și îl trimit mai departe. Poate îl public pe blog. Dar scrie-mi, nu mă suna. Am nevoie ca răspunsurile să fie în scris, ca să le reutilizez.

Evident că se poate întâmpla să ai ghinionul să vină ANSPDCP în control. Dar în afară de asta, ar trebui să știi că e și afacerea ta la mijloc. Oamenii își cunosc drepturile (clienții, angajații) și așteaptă ca tu să le respecți. Zilnic, îmi scriu, aici, pe chat, persoane nemulțumite de modul în care organizațiile le prelucrează datele. Iar dacă ești împuternicit (furnizor de servicii), vei vedea cum drumul tău se închide. Îmi amintesc că am negociat cu Carrefour ceva pentru ca un start-up să nu piardă un contract. Au cerut de toate (politică de securitate, acces, ștergere, registru). Atunci mi-am luat inima în dinți și am scris eu, cu ajutor de la niște băieți în IT, și politicile tehnice. Și în cele din urmă a fost bine. Nu s-a pierdut contractul. Le-am inclus ulterior în KIT. Și așa, mediul de afaceri se divide în două: cei care respectă GDPR și cei care nu respectă GDPR. Și cei din prima categorie nu vor să lucreze cu restul. Azi economia funcționează pe schimb de date și schimbul de date nu mai e posibil între cele două categorii. Pe termen mediu, firmele care nu își implementează GDPR vor dispărea de pe piață pentru că nu vor mai avea cu cine să lucreze. Și așa am insistat la un fenomen interesant. Companii române au renunțat să lucreze cu furnizori IT români și au migrat către Cloud. Au apelat la Google, Microsoft etc. Și e foarte simplu să îți dai seama dacă firma X a implementat GDPR. Verifici site-ul. Acolo trebuie să existe documentația legală pusă la punct și nu copy-paste. Știți cât îmi ia să îmi dau seama dacă o firmă a implementat GDPR? 3 click-uri și maxim un minut. Urmează apoi chestionarea și verificarea documentației. Și abia după aceea se poate încheia contractul. Astea fiind spuse, cum ai putea crede că poți pasa responsabilitatea total fără ca tu să nu vrei să știi nimic? Cum poți crede că un serviciu DPO externalizat poate funcționa în România?

Ce am scris mai sus e perspectiva antreprenorială. 

Msi există și o perspectivă a riscurilor. Întotdeauna trebuie să știi care date trebuie protejate mai bine. Unele sunt sensibile (știu că termenul e inactual, dar îl folosesc pentru că îmi place), altele nu. Cine stabilește riscurile? La mine e simplu, fiind empatică, le simt. Și aici întotdeauna e vorba de potențialul prejudiciu adus unei persoane fizice dacă datele ar fi dezvăluite. Utilizez și eu scheme și grafice, dar pentru a mă verifica. Și întotdeauna e același rezultat.

Mai există și o perspectivă a viitorului. Privacy by design. Noile tehnologii care azi se construiesc – IoT, AI. Dacă legea iartă actualele sisteme pentru că nu prea avem ce să le facem, ce urmează trebuie să se conformeze. Mai ales că intruziunea noilor tehnologii în viața privată este din ce în ce mai mare. Și tehnologia nu face diferențe între adulți și copii. Datele noastre, combustibilului lor. Iar aici nu doar adultul, ci și copilul trebuie să știe și să înțeleagă pe ce anume dă click. Iar dacă ție nu îți pasă, fii sigur că părintelui care simte că a pierdut controlul când copilului lui de 9 ani stă tot timpul cu ochii în tabletă îi pasă.

GDPR… Ei bine, vom auzi multă vreme de acum încolo de el. Ai crezut că ai închis dosarul? Încă nu. Te afectează zi de zi, în activitatea ta. Până acum a fost etapa de conștientizare. Piața consultanței se cerne… Dacă ai crezut că poți pasa responsabilitatea, te-ai înșelat.

Despre responsbailii cu protecția datelor externalizați am zis suficient. Vrei să faci business în 2018? Ar trebui să îți pese de domeniu. Și nu prin numirea unui DPO externalizat, care mai are încă zeci de firme ca a ta, ca să renteze la final de lună. Câtă informație să încapă într-un singur om? Aș fi putut și eu să o fac, dar am ales să fiu corectă. Am depus două jurăminte: unul la Barou în 2014 și altul la IAPP în 2018. De asta prefer să fiu aici pentru a oferi șabloane, a da consultanță și a mentora noua generație de DPO interni și nu pentru a deveni complice la o minciună împachetată frumos: responsabilul cu protecția datelor externalizat.

 

Poate cândva va fi posibil și acest serviciu. Dar e nevoie de multă carte, educație și etică profesională.

 

Ruxandra Sava

Avocat

CIPP/E