Aici descoperim
dreptul tehnologiei

human-hand-fills-last-missing-elements-surface-from-jigsaw-puzzle_76080-2335.jpg

Termeni și Condiții? Evoluția tehnologică și contextul economic actual au schimbat fundamental modalitatea în care sunt încheiate contractele astăzi. Semnarea fizică a unui contract presupune costuri operaționale ridicate și risipă de energie și timp. În ceea ce privește activitatea de e-commerce, atât consumatorul, cât și profesionistul sunt interesați de încheierea cu celeritate a contractului pentru a-și atinge cât mai rapid scopul: executarea contractului de vânzare (cumpărarea și vânzarea bunurilor). Cu toate acestea, chiar într-un mediu automatizat și de cele mai multe ori, în absența unui contact direct, ci intermediat prin intermediul platformei de e-commerce, consumatorul are o serie de drepturi, printre care acela de a fi informat, într-o manieră adecvată și în conformitate cu legislația înainte de încheierea contractului. Cu alte cuvinte, consumatorul trebuie să știe ce anume acceptă înainte de a accepta.

Documentul „Termeni și Condiții” reprezintă o inovație a practicienilor în dreptul tehnologiei care are, în principal, următoarele scopuri:

(i) stocarea detaliilor unei relații contractuale dintre profesionist și consumator;

(ii) informarea adecvată a consumatorului de încheierea contractelor;

(iii) garanții adecvate pentru profesionist și consumator;

(iv) conformarea cu legislația comerțului electronic;

(v) o funcție probatorie pentru dovedirea existenței și conținutului contractului în situația unui litigiu.

Înainte de a desfășura o activitate de e-commerce trebuie să vă asigurați că aveți un document denumit „Termeni și Condiții” („Termene și Condiții”, „Condiții de utilizare” sau orice altă denumire care își atinge scopul) și care respectă anumite condiții de formă și de conținut prevăzute de legislație care vor fi prezentate pe scurt în cele ce urmează. În articolul de azi, vom detalia condițiile de formă, iar în articolul următor condițiile de fond.

Dacă ai nevoie de un model de Termeni și Condiții pentru activitatea de e-commerce îl găsești aici.

Cadrul legislativ: 

Condiții de formă

a) Condiția „accesibilității”

Conținutul documentului trebuie să fie accesibil consumatorului înainte de a fi acceptat. Pentru a se respecta cerința accesibilității nu se recomandă ascunderea documentului prin intermediul unei fraze și în spatele unui hyperlink, cum se întâmplă pe majoritatea site-urilor în prezent. „Sunt de acord cu Termenii și Condițiile”.

În mod ideal documentul ar trebui să apară în integralitate consumatorului pentru a putea fi citit înainte de a fi acceptat ca în exemplul de mai jos:

Tot în legătură cu respectarea condiției accesibilității, recomandăm ca aceste documente să fie disponibile pe site într-un loc accesibil, de exemplu în footer sau în meniu.

b) Condiția „lizibilității”

Legea nu definește concret ce înțelege prin lizibilitate, de aceea ne vom orienta către definiția din DEX, respectiv calitatea textului de a fi ușor de citit. Prin urmare se recomandă evitarea folosirii exagerate a jargonului juridic și/sau tehnic, a frazelor complicate, a fonturilor mici. Textul trebuie să fie scris pentru a putea fi înțeles de un cititor fără cunoștințe juridice sau tehnice.

c) Condiția „limbajului simplu și inteligibil”

Cu privire la îndeplinirea acestei condiții rămân valabile aspectele discutate anterior la punctul (b) de mai sus.

d) Condiția „suportului durabil”

Informația virtuală conținută de contractele electronice se poate pierde ușor dacă nu s-au luat suficiente măsuri pentru stocarea acesteia. Termenii și condițiile de pe site-uri se pot modifica oricând și se poate ajunge în situația în care consumatorul nu va ști ce anume a acceptat. Consumatorul are dreptul de a avea acces și ulterior la informația conținută de contractul la care a devenit parte. Contractul este cel în vigoare la data la care acordul de voințe dintre consumator și profesionist s-a împlinit, în cele mai multe cazuri, printr-o simplă acceptare a Termenilor de către consumator. Însă, acești Termeni pot fi modificați ulterior, iar consumatorul poate fi ajunge în situația de a nu mai avea acces la ce anume a acceptat. Pentru a preveni această situație, legea a prevăzut ca informația să fie stocată pe un „suport durabil” pentru a putea fi descărcatată sau accesată de consumator înainte, în timpul și după încheierea contractului.

În prezent, foarte puține site-uri din România respectă cerința suportului durabil.

 

Te-ar putea interesa și:

 

Această cerință a suportului durabil se poate respecta prin mai multe modalități. De exemplu, site-ul ar putea da posibilitatea consumatorului ca, prin logarea în contul de utilizator de pe site, să poată accesa versiunea termenilor și condițiilor și data la care au fost acceptați, precum și posibilitatea de a descărca aceste documente.

De asemenea, după încheierea contractului, profesionistul trebuie să trimită confirmarea încheierii contractului împreună cu informațiile conținute de Termeni și Condiții, cu excepția situației în care utilizatorul a primit anterior aceste informații pe un suport durabil. Pentru a înțelege mai bine acest aspect voi oferi un exemplu:

Exemplu #1: Maria dorește să cumpere o bicicletă de la un magazin online, abc.ro. Odată ce a adăugat produsul în coș și a ajuns pe pagina de plasare a comenzii, va trebui să accepte un document juridic, denumit „Termeni și condiții”, a cărei formă de la data acceptării va guverna relația contractuală dintre Maria și abc.ro. Înainte de a accepta, Maria ar trebui să aibă posibilitatea să descarce documentul pentru a avea acces la el și ulterior pentru a preveni situațiile în care acest document se va modifica. 

În funcție de decizia Mariei, respectiv dacă va descărca sau nu documentul, intervin două situații:

(1) Maria a descărcat documentul, iar abc.ro are posibilitatea să dovedească acest lucru.

În această situație, abc.ro va trebui doar să confirme încheierea contractului fără a trebui să trimită o copie a Termenilor pe e-mail Mariei.

(2) Maria nu a descărcat documentul

În această situația, abc.ro va trebui doar să confirme încheierea contractului și să trimită o copie a Termenilor pe e-mail Mariei.

Ca o scurtă paranteză, aspectele tehnice discutate anterior sunt orientative, legislația care prevede cerința suportului „durabil” permite orice alte soluții tehnice care să fie în spiritul legii. Exemplele și soluțiile prezentate în prezentul articol se află în acord cu know-how-ul meu tehnic pe care îl dețin în prezent. Cu toate acestea, oricât de multe eforturi aș depune ca avocat specializat în dreptul tehnologiei pentru a oferi cele mai bune soluții la intersecția dintre drept și tehnologie, mă bazez pe tehnic pentru a folosi informațiile prezentate într-o manieră care să fie în concordonța cu cele mai noi și eficiente soluții pentru tehnologie, pornind de la cele recomandate anterior. Doar printr-o comunicare eficientă între tehnic și juridic se poate ajunge la găsirea de soluții adecvate și eficiente la intersecția dintre drept și tehnologie. 

(Va urma)

Cum te putem ajuta noi?

  • Șablon Termeni și Condiții pentru magazine online în format Word scris de avocați specializați în dreptul tehnologiei care poate fi descărcat de aici;
  • Redactare Termeni și Condiții la cerere pentru magazine online și platforme online. Ne poți cere o ofertă aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Monitorizarea prin camere de supraveghere cu circuit închis (CCTV) face parte din activitatea majorității companiilor din România, însă pentru a supraveghea legal trebuie să respecți o serie de cerințe instituite de GDPR și de Legea 190/2018 privind măsurile de aplicare a GDPR. În acest articol îți vom explica pe scurt ce ai de făcut pentru a respecta legislația și îți vom furniza gratuit două modele de documente utile pentru conformare.

Potrivit Legii nr. 190/2018, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

Cu alte cuvinte, trebuie puse în balanță interesul companiei de a monitoriza prin CCTV și drepturile angajaților la viața privată. Dacă balanța va înclina în favoarea angajatorului, atunci supravegherea CCTV poate fi realizată. Orientările europene în materie spun că trebuie documentat un test de echilibrare (sau analiză a interesului legitim) pentru ca angajatorul să afle dacă poate monitoriza legal prin CCTV. Un model de analiză a interesului legitim pentru CCTV găsești aici. Template-ul este purtător de drepturi de autor și nu poate fi utilizat fără acordul nostru scris, dar cu siguranță te poți inspira și îți poți crea propriul document. (Descarcă document)

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

Poți descărca un model de informare pentru CCTV de aici.

Atenție! Informarea angajaților cu privire la CCTV nu exonerează compania de informarea angajaților cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal. Un model de notă de informare completă a angajaților găsești în KIT-ul nostru de implementare. 

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Te-ar putea interesa și: 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-4.png

Fiecare site care colectează date cu caracter personal trebuie să dețină o Politică de confidențialitate inclusiv site-urile de prezentare care colectează date (prin formulare de contact, de exemplu), trebuie să dețină o Politică de confidențialitate (sau Notă de informare). Prin intermediul acestui document, site-ul trebuie să explice persoanei fizice care utilizează sau doar vizitează site-ul modul în care îi prelucrează datele cu caracter personal. Să scrii o Politică de confidențialitate la standardele cerute poate fi un proces complicat dacă ai în față doar un document Word și nu deții instrumentele și informațiile potrivite. În prezentul articol, îți voi explica pas cu pas cum poți redacta o Politică de confidențialitate chiar fără a avea cunoștințe de specialitate juridică și/sau tehnică.

Pasul 1. Înțelege scopul acestei Politici de confidențialitate

Scopul principal al Politicii de confidențialitate este informarea persoanei fizice vizate cu privire la modalitatea în care îi prelucrezi datele. Politica de confidențialitate trebuie să existe pentru a respecta dreptul la informare în temeiul GDPR al fiecărei persoane fizice vizate. Destinatarul mesajului este o persoană fizică fără cunoștințe tehnice și fără cunoștințe juridice. Prin urmare, trebuie să te asiguri că folosești limbajul potrivit astfel încât persoana fizică să poată înțelege cum anume îi prelucrezi datele. 

Pasul 2. Folosește limbajul potrivit

Evită jargonul juridic și informațiile tehnice complicate și încearcă să explici persoanei, pe limbajul ei, cum anume îi prelucrezi datele. Nu da copy-paste de la alte site-uri deoarece documentele sunt protejate de drepturi de autor și este ilegal. În principiu, ar trebui să eviți să pasezi această sarcină către programator sau developer, deoarece majoritatea oamenilor tehnici nu sunt la curent cu legislația. Dacă ești jurist, evită jargonul juridic deoarece recomandările europene spun că limbajul trebuie să fie ușor de înțeles de către oricine. Atât noțiunile juridice (i.e. temeiul juridic), cât și noțiunile tehnice trebuie traduse într-un limbaj simplu, comun. 

Pasul 3. Identifică ce trebuie să scrii și schițează un plan

Politica de confidențialitate trebuie să cuprindă, în mod obligatoriu, elementele de la art. 13 și art. 14 din GDPR, respectiv:

  • identitatea și datele de contact ale operatorului;
  • datele de contact ale responsabilului cu protecția datelor;
  • categoriile de date;
  • scopurile prelucrării;
  • temeiurile juridice ale prelucrării;
  • dacă este cazul, interesele legitime;
  • destinatarii sau categoriile de destinatari;
  • intenția de a transfera;
  • perioada stocării;
  • drepturile persoanei vizate;
  • existența sau inexistența unui proces decizional automat.

Cel mai ușor este să creezi o secțiune pentru fiecare element de mai sus și să alegi un subtitlu potrivit. Imediat după ce ai tratat o secțiune, poți trece la următoarea. Dacă ți se pare deja prea complicat, recomandăm utilizarea șablonului nostru de Politică de confidențialitate ușor de completat de către oricine (click aici). 

Pasul 3. Redactarea propriu-zisă

Creează o introducere și tratează fiecare element separat, sub formă de subtitlu. Introducerea ar trebui să ofere câteva noțiuni preliminare despre site/companie, despre modalitatea de prelucrare și despre cuprinsul politicii de confidențialitate. Reține că recomandările europene sunt în sensul în care informația prezentată trebuie să fie stratificată, astfel încât utilizatorul să ajungă rapid la informația care îl interesează. Ai putea prezenta informația sub formă de acordeon. De exemplu, pe utilizator îl poate interesa doar modalitatea în care îpartajezi datele cu alte entități, de aceea ar trebui creată o secțiune specială dedicată fiecărei cerințe, ca de exemplu: „Cum și cu cine partajăm datele dvs?”. Ai grijă să nu omiți niciun element de la pct. 2. Dacă nu știi ce înseamnă vreun element de la punctul 2., poți căuta pe blogul nostru (utilizând funcția search) și vei afla mai multe informații.

Cu privire la categoriile de date cu caracter personal, ar trebui să ai grijă să acoperi o gamă cât mai largă de date prelucrate. Când îți pui întrebarea ce date prelucrez?”, ar trebui să ai în vedere că datele cu caracter personal înseamnă orice informație cu privire la o persoană fizică identificată sau identificabilă. 

O atenție deosebită trebuie să acorzi scopurilor prelucrării, care trebuie să fie prezentate specific persoanei fizice.

Exemple de informări greșite:

  • putem folosi datele dvs. să dezvoltăm noi servicii” (informarea este greșită deoarece nu este clar despre ce servicii este vorba);
  • „putem folosi datele dvs pentru a vă oferi servicii personalizate” (informarea este greșită deoarece nu este clar despre ce servicii personalizate este vorba);
  • „putem folosi datele dvs în scopuri de cercetare” (informarea este greșită deoarece nu este clar despre ce fel de cercetare este vorba);

Exemple de informări corecte:

  • „Vom analiza istoricul de cumpărături şi vom folosi detalii despre produsele pe care le-aţi achiziţionat anterior pentru a vă face sugestii pentru alte produse de care aţi putea fi interesat” (este clar ce tipuri de date vor fi prelucrate şi că datele vor fi prelucrate astfel încât reclamele personalizate să ajungă la persoana vizată);
  • „Vom păstra informaţiile privind vizitele tale recente pe site-ul nostru şi felul cum vă deplasaţi în diferite secţiuni ale site-ului pentru a analiza modul în care oamenii utilizează site-ul pentru a-l face mai intuitiv” (este clar ce tip de date vor fi procesate şi scopul).

 

 

Pasul 4. Implementarea politicii de confidențialitate pe site

Sunt foarte multe lucruri de discutat în privința acestui pas. În primul rând, trebuie să te asiguri că urci Politica într-un loc vizibil pe site pentru că, indiferent de cât de bine ar fi scrisă, dacă este ascunsă, nu își va îndeplini scopul. Politica ar trebui să existe în cât mai multe locuri pentru a fi cât mai aproape de conformitate, de exemplu:

  • în funcția de meniu de pe site;
  • în footer;
  • în semnătura din e-mail;
  • pe pagina de Facebook;
  • dacă vei comunica cu potențialii clienți inițial prin telefon, ar trebui să îi inviți să consulte politica de confidențialitate de pe site;
  • dacă vei comunica cu potențialii clienți inițial prin Facebook messenger, ar trebui să le furnizezi link-ul către Politica de confidențialitate, împreună cu invitația de a o lectura;
  • dacă utilizezi chatboți, trebuie să prezinți și această informație;

Te-ar putea interesa și:

Obligatoriu, la fiecare colectare de date (i.e. formulare de contact, formulare pentru înscriere la newsletter, formulare de comandă), trebuie să existe o căsuță nebifată prin care utilizatorul să își dea acordul că a citit și că este de acord cu Politica de confidențialitate. Această operațiune prin care utilizatorul își dă acordul trebuie stocată pentru a putea dovedi faptul că ai informat corespunzător și să te pui la adăpost în eventualitatea unui control sau al unui litigiu în instanță. Persoana fizică neinformată sau informată necorespunzător poate depune atât plângere la ANSPDCP, dar poate intenta și litigiu împotriva ta pentru a solicita despăgubiri.

Politica de confidențialitate trebuie separată în mod clar de Termeni și Condiții prin intermediul unor link-uri/pagini diferite. Termenii și Condițiile nu au legătură cu GDPR, existența lor pe site este cerută de legislația comerțului electronic.

La formularul de comandă, utilizatorul trebuie să accepte atât Termenii și Condițiile, dar și Politica de confidențialitate prin intermediul unor căsuțe/link-uri diferite.

Pentru aplicaţii, nota de informare ar trebui, de asemenea, să fie disponibilă înainte de download. Odată ce aplicaţia este instalată, informaţiile trebuie să fie uşor accesibile în interiorul aplicaţiei. O modalitate de a îndeplini această cerinţă este să se asigure că pentru accesarea informaţiilor nu se utilizează niciodată mai mult de două click-uri şi funcţia de meniu utilizată în aplicaţii ar trebui să includă întotdeauna o secţiune pentru protecţia datelor.

Pasul 5. Actualizarea și/sau modificarea

Politica de confidențialitate ar trebui revizuită cel puțin de două ori pe an pentru a fi actualizată dacă au intervenit ceva modificări în prelucrarea datelor. Este posibil ca în viitor o afacere să colecteze alte date, să transmită diferit datele sau să prelucreze datele în alte scopuri. Aceste modificări trebuie să se regăsească și în Politica de confidențialitate. Noile modificări trebuie aduse la cunoștința utilizatorilor (dacă aceștia au conturi create pe site) sau pot fi aduse la cunoștință prin afișare pe site.

Cum te putem ajuta?

Dacă ai nevoie de un șablon de Politică de confidențialitate la standardele GDPR, ușor de completat și adaptat la activitatea oricărui site/magazin online, cu instrucțiuni de completare, îți recomandăm șablonul nostru (click aici)

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-2.png

Prin hotărârea nr. 747/2019, Judecătoria Sectorului 5 București a obligat Compania Națională „Aeroporturi București” SA să achite reclamantei suma de 10.000 lei daune morale pentru publicarea pe pagina de internet (platforma http://www.bucharestairports.ro) a unei hotărâri societare care conținea datele personale ale reclamantei (CNP, adresă, număr și serie de buletin etc). Instanța a considerat că încălcarea confidențialității acestor date încalcă principiile prelucării datelor: limitarea la ceea ce este necesar (principiul minimizării). 

Ce s-a întâmplat?

Reclamanta a introdus acțiune împotriva pârâtei Compania Națională „Aeroporturi București” SA, solicitând:

  • înlăturarea (ștergerea) datelor personale constând în adresa de domiciliu, cod numeric personal,  data și locul eliberării cărții de identitate publicate și menținute de către societatea pârâtă în cadrul platformei online http://www.bucharestairports.ro;
  • obligarea acesteia la plata unor daune morale în cuantum de 60 000 lei pentru prejudiciul continuu cauzat, constând în lezarea drepturilor garantate privind protecția datelor cu caracter personal prin prelucrarea în cadrul platformei online indicate anterior a datelor cu caracter personal; și
  • obligarea acesteia la plata cheltuielilor de judecată ocazionate de acest proces.

În drept, reclamanta a invocat prevederile Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, prevederile Legii nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului nr. 679/2016, dispozițiile art. 70-77 C.civ., art. 252-253 C.civ., art. 1349 C.civ., art. 1357-1358 C.civ., art. 1382-1382 C.civ., art. 1385-1386 C.civ., art. 194 și următoarele C.proc.civ.

Ce a decis instanța?

Instanța a considerat că fapta ilicită de a publica datele cu caracter personal fără a avea un temei juridic atrage răspunderea civilă delictuală a societății și, în consecință:

  • a obligat pârâta să  inlature (stergerea) datelor personale ale reclamantei constand in adresa de domiciliu, cod numeric personal,  data si locul eliberarii cartii de identitate, publicate si mentinute de parata in cadrul platformei online http//www.bucharestairports.ro;
  • a obligat pârâta la plata către reclamantă a sumei de 10.000 lei – daune morale;
  • a obligat pârâta la plata catre reclamanta a sumei de 625 lei cheltuieli de judecata.

Pentru a decide în sensul celor precizate anterior, instanța a avut în vedere inexistența unui temei legal.

„Cu privire la fondul litigiul, instanța reține că art. 6 din Regulamentul nr. 679/2016 reglementează că prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una din următoarele condiții: persoana vizată și-a dat consimțământul (…), prelucrarea este necesară pentru executarea unui contract , prelucrarea este necesară în vederea îndeplinirii unei obligații legale ce revine operatorului, prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public  sau prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță”

Deși pârâta s-a apărat, invocând că a obținut consimțământul reclamantei, instanța a apreciat că „având în vedere lipsa unui consimțământ expres al reclamantei în sensul publicării datelor sale personale pe site-ul pârâtei și în lipsa unor elemente din care să se întrevadă existența unui consimțământ tacit în același sens, instanța reține inaplicabilitatea art. 6 alin. (1) lit. (a) din Regulamentul nr. 679/2016” .Dacă vrei să afli mai multe despre consimțământul GDPR, poți consulta ghidul nostru de aici, iar formulare de consimțământ la standardele GDPR găsești în pachetul nostru de formulare (click aici)

Recomandări. Concluzii

Decizia instanței întărește concluzia că protecția datelor cu caracter personal este un subiect de maximă importanță în actualul context economic și social. Se spune că datele sunt noua monedă de schimb, prin urmare companiile trebuie să întreprindă acțiuni concrete pentru a respecta drepturile persoanelor fizice cu privire la protecția și confidențialitatea datelor cu caracter personal. Pentru a evita litigiile, vă recomandăm următoarele:

Înțelegeți noile prevederi europene și naționale în materie de protecție a datelor. Externalizarea poate părea o soluție la îndemână, însă personalul companiei trebuie să fie instruit corespunzător pentru a proteja datele și a respecta drepturile persoanelor vizate. Vă recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. 

Înțelegeți că GDPR este despre protecția datelor persoanelor fizice, de aceea, aveți grijă să aveți focusul potrivit – către persoana fizică vizată. Clientul, angajatul, candidatul, colaboratorul, reprezentatul sau persoana de contact din cadrul unei companii sunt persoane vizate, iar datele lor trebuie protejate. Înțelegeți-le drepturile și respectați-le. 

Numiți un responsabil cu protecția datelor, chiar dacă nu este necesar. În mod ideal, ar trebui că responsabilul să fie un angajat care să fie la curent cu activitățile de zi cu zi ale companiei, însă, în măsura în care doriți să apelați la un responsabil extern, asigurați-vă că îl țineți la curent cu toate activitățile companiei care pot afecta viața privată a persoanelor fizice. De aemenea, responsabilul cu protecția datelor ar trebui verificat că își îndeplinește sarcinile, deoarece răspunderea este a companiei, indiferent că a numit sau nu un responsabuil cu protecția datelor. În situația unei amenzi sau a unor despăgubiri, compania se poate îndrepta împotriva responsabilului dacă prin acțiunea sau inacțiunea lui a declanșat premisele unei răspunderi.

Implementați juridic, tehnic și organizatoric prevederile GDPR și aveți grijă să documentați în scris toate procesele. Având în vedere că atât în instanță, cât și în fața ANSPDCP pot fi aduse înscrisuri care să ateste că v-ați respectat obligațiile, documentația nu este opțională, ci obligatorie. Vă recomandăm KIT-ul nostru de implementare, care conține documentația standard și adaptabilă oricărei companii (click aici).

 

Te-ar putea interesa și:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png

Informarea candidatului în temeiul GDPR ridică ceva probleme în practică. Cum ar trebui să arate nota de informare? Cum informăm când recrutăm prin companii și site-uri de recrutare? Când și cum informăm în mod adecvat candidatul? Ne propunem să răspundem la aceste întrebări și să găsim împreună soluții eficiente și practice pentru a respecta dreptul la informare al potențialului angajat.

📢 Context

Dimineața, când ajung la locul de muncă, angajații nu atârnă în cui dreptul la viață privată. Deși important în actualul context economic și social, dreptul la viață privată nu este un drept absolut deoarece se intersectează cu interesele comerciale ale companiilor și, prin urmare, trebuie căutat și găsit întotdeauna un echilibru între prelucrarea datelor cu caracter personal și celelalte interese.

În procesul de recrutare, companiile au nevoie de date cu caracter personal pentru a recruta candidatul potrivit. Recent, am participat la un eveniment în domeniul GDPR unde publicul majoritar era format de persoane care lucrau în HR și recrutare. Am întrebat câteva persoane din public cum se descurcă cu GDPR și mi s-a răspuns că nu s-a înțeles mare lucru, de aceea îmi propun să trec în revistă principiile-cheie de care ar trebui să țineți cont pentru a respecta GDPR atunci când recrutați.

În prezentul articol, voi explica cum respectăm dreptul la informare al unui potențial angajat, acest drept fiind deosebit de important și prin prisma faptului că cele mai multe plângeri și sancțiuni GDPR s-au legat de nerespectarea dreptului la informare de către companii.

Întrucât GDPR îşi propune să consolideze viaţa privată, să dea înapoi persoanelor vizate controlul asupra propriilor date şi să îmbunătăţească tratamentul responsabil al datelor cu caracter personal de către organizaţii, drepturile persoanelor vizate au fost consolidate în temeiul regulamentului, iar informarea persoanei vizate trebuie să respecte standarde mult mai ridicate față de vechea reglementare.

 

📚 Informarea candidatului printr-o notă de informare

Potrivit GDPR, candidatul trebuie să fie informat, înainte de prelucrarea datelor, cu privire la modalitatea în care compania îi prelucrează. Informarea ar trebui să se realizeze printr-o notă de informare de informare care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles. Un model de notă de informare la standardele cerute de GDPR găsiți în kitul nostru de implementare aici  împreună cu celelalte documente și proceduri GDPR.

 

📚 Ce trebuie să conțină nota de informare?

Nota de informare trebuie să conțină toate informațiile prevăzute de art. 13 și 14 din GDPR, așa cum am detaliat aici.  La un nivel minim, nota de informare trebuie să explice candidatului ce date sunt colectate, care sunt scopurile, temeiurile legale și ce se întâmplă efectiv cu aceste date.

 

📚 Când și cum furnizăm nota de informare?

Potrivit GDPR, dacă datele sunt obținute direct de potențialul angajat (de exemplu, prin transmiterea CV-ului), informarea trebuie să se realizeze la momentul colectării datelor.

🙂Exemplu #1 Candidatul aplică la un job pe LinkedIn. După ce compania primește CV-ul și/sau alte date ale candidatului, compania ar putea trimite un e-mail către potențialul angajat prin care îi confirmă primirea candidaturii și îi trimite în atașament nota de informare sau îi transmite link-ul pentru a fi consultată online. Site-ul companiei ar putea deține, din rațiuni practice, o notă de informare pentru candidați pentru a putea fi consultată cu ușurință în orice moment.

Important de menționat este și faptul că informarea trebuie să se realizeze la momentul colectării datelor, iar nu la momentul la care candidatul se prezintă la interviu. Dacă CV-ul ajunge pe 15 mai 2019 pe serverele unei companii, iar informarea se realizează abia pe 1 iunie 2019 (data interviului), compania nu respectă termenul prevăzut de GDPR.

 

 

Cu toate acestea, informarea fiecărui candidat poate avea costuri operaționale ridicate, de aceea companiile ar putea utiliza, cu ajutorul tehnologiei disponibile, soluții creative și eficiente pentru a informa candidații, ca de exemplu:

  • postarea notei de informare sau link-ului către nota de informare în interiorul anunțului de recrutare;
  • prin intermediul unei căsuțe la formularul de recrutare prin care candidatul bifează că a luat la cunoștință nota de informare;
  • prin intermediul includerii în textul e-mailului sau al mesajului trimis pe site-urile profesionale (i.e. LinkedIn), faptul că nota de informare poate fi accesată prin următorul link.

 

Te-ar putea interesa și: 

 

Semnătura nu este obligatorie, însă companiile trebuie să poată face dovada că au informat candidații la momentul colectării datelor. De aceea, în măsura în care se optează pentru una dintre soluțiile descrise mai sus, companiile trebuie să includă informația relevantă GDPR într-un format accesibil și care să se diferențieze în mod clar de alte informații. Ar putea fi utilizate în acest sens funcții precum bold, italic și/sau grafică, animații. De asemenea, companiile trebuie să păstreze dovezile că au informat persoanele pentru a fi la adăpost în eventualitatea unui control.

De asemenea, toți candidații trebuie informați, indiferent dacă vor corespunde criteriilor de selecție și indiferent dacă ajung în etapa interviului sau nu.

 

 

Totodată, potrivit GDPR, dacă datele nu sunt obținute de la candidat, ci din alte surse (de exemplu, recomandări), informarea candidatului trebuie să se realizeze:

  • într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună,
  • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu respectivul candidat, cel târziu în momentul primei comunicări;sau
  • dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

 

🙂 Exemplu #2 Compania ABC SRL are deschisă o poziție de designer UX/UI. ABC SRL primește de la un angajat datele de contact și CV-ul unui potențial angajat. În această situație, ABC SRL va informa candidatul (1) într-un termen nu mai mare de o lună; sau (2) la momentul la care  intră în legătură efectivă cu el; sau (3) la momentul la care trimite datele către un alt destinatar. Cu toate acestea, dacă ABC SRL va intra în contact cu potențialul angajat după ce va trece o lună de la data primirii datelor, din textul GDPR (art. 14) informarea trebuie să se realizeze înainte de împlinirea termenului de o lună.


Te-ar putea interesa și:

 

📚 Cine informează în situația firmelor și site-uri de recrutare? 

În măsura în care se folosesc site-uri (i.e. bestjobs) sau companii de recrutare, informarea trebuie să se realizeze atât direct către compania care recrutează prin aceste site-uri, dar și de către companiile și site-urile respective.  

Pentru a simplifica  procedura de informarea, companiile care angajează și site-urile sau companiile de recrutare, având calitatea de operatori asociați, ar putea încheia un contract care să prevadă că obligația de informare revine doar uneia dintre părți, în caz contrar, fiind două entități distincte, fiecare va trebui să informeze candidatul.

🙂 Exemplu #3: Compania XYZ SRL a postat un anunț de angajare pe un site de recrutare. Utilizatorul interesat de un loc de muncă își creează un cont, oferind datele sale (inclusiv CV-ul) platformei de recrutare. Înainte de crearea contului, utilizatorul este informat de către platformă, prin intermediul unei note de informare, cu privire la modalitatea în care această platformă îi prelucrează datele. Mai târziu, când candidatul aplică la un job postat de compania XYZ SRL, aceasta trebuie să informeze candidatul prin intermediul altei note de informare.

 

Te-ar putea interesa și: 

 

Este nevoie de o nouă informare atunci când candidatul devine angajat? 👓

Depinde de cum este formulată nota de informare. Dacă nota de informare este redactată într-o manieră care să acopere atât faza de selecție, cât și perioada de muncă, este suficientă o singură informare. Dacă nota de informare acoperă doar informațiile colectate în faza de selecție, va trebui să informăm din nou persoana atunci când aceasta devine angajat cu privire la felul în care îi prelucrăm datele în noua postură de angajat.

 

💡 Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Dezmoștenirea-în-Codul-Civil-3.png

Dreptul de a fi uitat sau dreptul la ștergerea datelor

GDPR introduce dreptul persoanelor fizice de a fi uitat sau de a  șterge datele cu caracter personal.

  • Dreptul la ștergere este, de asemenea, cunoscut ca “dreptul de a fi uitat”.
  • Persoanele fizice pot face o cerere de ștergere verbală sau în scris.
  • Aveți la dispoziție o lună să răspundeți la solicitare.
  • Dreptul nu este absolut și se aplică numai în anumite circumstanțe.
  • Acest drept nu este singurul mod în care GDPR vă obligă să vă hotărâți să ștergeți datele cu caracter personal.

Listă de verificare

Cum ne pregătim?

  • Știm cum să recunoaștem o cerere de ștergere și înțelegem când se aplică dreptul.
  • Avem o procedură pentru a ști concret cum să identificăm și cum să răspundem la o cerere de ștergere.
  • Avem un registru unde înregistrăm cererile. 
  • Înțelegem când putem refuza o cerere și suntem conștienți de informațiile pe care trebuie să le furnizăm persoanelor atunci când facem acest lucru.

Cum răspundem?

  • Există procese prin care ne asigurăm că răspundem la o cerere de ștergere fără întârzieri nejustificate și în termen de o lună de la primire.
  • Suntem conștienți de circumstanțele în care putem prelungi termenul pentru a răspunde la o solicitare.
  • Înțelegem că se pune un accent deosebit pe dreptul de a fi uitat dacă cererea se referă la datele colectate de la copii.
  • Avem proceduri pentru a informa destinatarii dacă ștergem orice date pe care le-am împărtășit cu ei.
  • Avem metode adecvate pentru a șterge informațiile.

 

 

Ce reprezintă dreptul de a fi uitat?

În conformitate cu articolul 17 din GDPR, persoanele fizice au dreptul de a șterge datele cu caracter personal. Acest lucru este, de asemenea, cunoscut ca “dreptul de a fi uitat”. Dreptul nu este absolut și se aplică doar în anumite circumstanțe.

 

Când se aplică dreptul de a fi uitat?

Persoanele fizice au dreptul de a șterge datele lor personale dacă:

  • datele nu mai sunt necesare pentru scopul pentru care le-ați colectat sau le-ați prelucrat inițial;
  • vă bazați pe consimțământ ca temei legal pentru păstrarea datelor și persoana își retrage consimțământul;
  • vă bazați pe interesul legitim ca temei pentru prelucrare, iar persoana obiectează la prelucrarea datelor și nu există niciun interes legitim pentru a continua această prelucrare;
  • prelucrați datele personale în scopuri de marketing direct și persoana obiectează la prelucrarea respectivă;
  • ați prelucrat datele cu caracter personal în mod ilegal;
  • trebuie să faceți acest lucru pentru a respecta o obligație legală; sau ați prelucrat datele pentru a oferi unui copil servicii ale societății informaționale.

 

Cum se aplică dreptul de ștergere datelor colectate de la copii?

Se pune accent pe dreptul de a șterge datele cu caracter personal dacă cererea se referă la datele colectate de la copii. Aceasta reflectă protecția sporită a informațiilor copiilor, în special în mediul online, în cadrul GDPR.

Prin urmare, dacă prelucrați datele colectate de la copii, trebuie să acordați o importanță deosebită oricărei solicitări de ștergere, dacă prelucrarea datelor se bazează pe consimțământul dat de un copil – în special orice prelucrare a datelor personale pe internet. Acest lucru este valabil și în cazul în care persoana vizată nu mai este copil, deoarece este posibil ca un copil să nu fi fost pe deplin conștient de riscurile implicate de prelucrare în momentul acordării consimțământului.

 

Te-ar putea interesa și: 

 

Trebuie să înștiințăm celelalte organizații despre ștergerea datelor cu caracter personal?

GDPR specifică două situații în care trebuie să comunicați altor organizații ștergerea datelor cu caracter personal:

  • datele cu caracter personal au fost divulgate; sau
  • datele personale au fost făcute publice într-un mediu online (de exemplu, pe rețelele sociale,forumuri sau site-uri web).

Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare destinatar și să îl informați despre ștergere, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.

GDPR definește un beneficiar ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia i se dezvăluie datele cu caracter personal. Definiția include operatoii, persoanele împuternicite și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite sunt autorizate să prelucreze date cu caracter personal.

În cazul în care datele cu caracter personal au fost făcute publice într-un mediu online, ar trebui luate măsuri rezonabile pentru a informa alți operatori care prelucrează datele cu caracter personal pentru a șterge legăturile, copiile sau replicarea acestor date. Atunci când decideți ce măsuri sunt rezonabile, trebuie să țineți cont de tehnologia disponibilă și costul implementării.

 

Trebuie să ștergem datele personale din sistemele backup?

Dacă se primește o solicitare valabilă de ștergere și nu se aplică nicio excepție, va trebui să luați măsuri pentru a asigura ștergerea din sistemele backup, precum și din sistemele live. Acești pași vor depinde de circumstanțele dvs. specifice, de programul dvs. de stocare (în special în contextul copierii de rezervă) și de mecanismele tehnice disponibile.

Trebuie să fiți absolut clari când înștiințați persoanele cu privire la ce se va întâmpla cu datele lor atunci când cererea lor de ștergere este îndeplinită, inclusiv în ceea ce privește sistemele backup. Este posibil ca cererea de ștergere să poată fi îndeplinită instantaneu în ceea ce privește sistemele live, dar ca datele să rămână în backup pentru o anumită perioadă de timp, până când va fi suprascris.

Problema cheie este de a pune datele de rezervă “dincolo de utilizare”, chiar dacă nu pot fi suprascrise imediat. Trebuie să vă asigurați că nu utilizați datele din copia de rezervă pentru niciun alt scop, ceea ce înseamnă că backup-ul este pur și simplu ținut pe sistemele dvs. până când este înlocuit în conformitate cu un program stabilit. Cu toate acestea, este puțin probabil ca păstrarea datelor cu caracter personal în rezervă să reprezinte un risc semnificativ, deși acest lucru va fi specific contextului.

 

 

 

Când nu se aplică dreptul de a fi uitat?

Dreptul de a fi uitat nu se aplică în cazul în care prelucrarea este necesară pentru persoana vizată în următoarele situații:

  • când exercită dreptul la libertatea de exprimare și de informare;
  • când trebuie să respecte o obligație legală;
  • pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității publice;
  • pentru scopuri de arhivare în interes public, cercetare științifică istorică sau scopuri statistice, în cazul în care ștergerea este de natură să facă imposibilă sau să afecteze în mod grav realizarea prelucrării respective; sau
  • pentru stabilirea, exercitarea sau apărarea unui drept în instanță

De asemenea, GDPR specifică două situații în care dreptul de a fi uitat nu se aplică datelor de categorie specială:

  • dacă prelucrarea este necesară în scopuri de sănătate publică în interesul public (de exemplu, protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau dispozitivelor medicale); sau
  • în cazul în care prelucrarea este necesară în scopurile medicinii preventive sau profesionale (de exemplu, în cazul în care prelucrarea este necesară pentru capacitatea de muncă a unui angajat, pentru diagnosticul medical, pentru furnizarea de asistență medicală sau socială sau pentru gestionarea sănătății sau sociale sisteme sau servicii de îngrijire). Aceasta se aplică numai în cazul în care datele sunt prelucrate de către sau sub responsabilitatea unui profesionist care face obiectul unei obligații legale privind secretul profesional (de exemplu, un profesionist în domeniul sănătății).

 

Te-ar putea interesa si:

 

Putem refuza să ne conformăm unei cereri din alte motive?

Puteți refuza să vă conformați unei solicitări de ștergere dacă este vădit nefondată sau excesivă, luând în considerare dacă cererea are un caracter repetitiv.

Dacă considerați că o cerere este vădit nefondată sau excesivă, puteți să:

  • solicitați o “taxă rezonabilă” pentru a răspunde cererii; sau
  • refuza să răspundeți la cerere.

În ambele cazuri, va trebui să vă justificați decizia.

 

Ce ar trebui să facem dacă refuzăm să dăm curs unei cereri de ștergere?

Trebuie să informați persoana respectivă fără întârzieri nejustificate și în termen de o lună de la primirea cererii.

Trebuie să informați persoana despre:

  • motivele pentru care nu acționați;
  • dreptul lor de a adresa o plângere autorității de supraveghere și posibilitatea de a-și exercita acest drept printr-o cale de atac judecătorească.

De asemenea, trebuie să furnizați aceste informații dacă solicitați o taxă rezonabilă sau aveți nevoie de informații suplimentare pentru a identifica persoana respectivă.

 

Sursa aici

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Regulamentul General privind Protecția Datelor (GDPR) ridică multe întrebări cu privire la impactul GDPR asupra relațiilor de muncă. Nu este o noutate faptul că în cadrul majorității organizațiilor, angajații au fiecare câte o adresă de e-mail de serviciu pe formatul nume.prenume@companie.ro. În prezentul articol voi aborda un subiect de actualitate și întâlnit frecvent în practică: poate un angajator să acceseze adresa de e-mail de serviciu a unui fost angajator?

Înainte de a răspunde la întrebare, vom discuta, cu titlu preliminar, câteva aspecte deosebit de importante pentru înțelegerea problematicii abordate.

Este adresa de e-mail o dată cu caracter personal?

Orientările europene sunt în sensul în care o adresă de e-mail pe formatul nume.prenume@companie.ro sau chiar pe formatul nume@companie.ro, este o dată cu caracter personal. Adresele de e-mail pe formatul office@companie.ro nu sunt date cu caracter personal, însă acest lucru nu înseamnă că acestea nu ar trebui protejate deoarece conțin informații sensibile. Conținutul e-mailurilor pot conține de asemenea, o multitudine de informații personale, precum datele de contact ale clienților, informații financiare, date medicale, iar în cazurile nefericite, inclusiv discuțiile private ale angajatului/fostului angajat.

De asemenea, Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul legislației privind protecția datelor.

În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.

 

Te-ar putea interesa și:

 

Conversații private pe e-mail-ul de serviciu…

Comoditatea îi determină pe unii angajați să folosească adrese de e-mail de serviciu pentru activități domestice, precum achiziții online sau chiar discuții personale. Cât de permis este acest lucru de GDPR? În primul rând, e lesne de înțeles că angajatorul nu poate controla cum folosește un angajat e-mailul de serviciu. Însă, având în vedere că (1) GDPR impune angajaților să nu colecteze mai multe date decât sunt necesare și (2) orice operator (în speță, angajatorul) trebuie să implementeze măsuri tehnice și organizatorice adecvate, aș spune că angajatorii ar trebui să cunoască faptul că… nu ar trebui să amestece viața personală cu atribuțiile de serviciu. Organizația ar trebui să aibă politici adecvate prin care angajaților li se aduce la cunoștință nu doar cum să protejeze datele personale ale organizației, ci cum să își protejeze datele lor personale. Compania ar trebui să explice angajaților că nu ar trebui să folosească e-mail-ul de serviciu în scop personal atât prin training-uri și ar trebui să aibă proceduri implementate (actualizarea ROI cu un capitol privind protecția datelor, acorduri de confidențialitate, politici de confidentialitate/securitate etc) pentru protecția datelor personale, inclusiv protecția propriilor informații personale.

Cu alte cuvinte, conversațiile private pe e-mailul de serviciu nu sunt interzise per se de Regulament, însă angajatorii ar trebui să depună diligențe pentru a atrage atenția angajaților asupra riscurilor la care se pot expune, mai ales în situația în care e-mailurile de serviciu sunt monitorizate 🙂

 

 

E-mail-uri de serviciu monitorizate

Vă amintiți de celebru caz de la CEDO Bărbulescu vs România? Pe scurt, domnul Bărbulescu a fost obligat de către angajator să își creeze o adresă de yahoo messenger pentru a ține legătura cu clienții, însă conversațiile de pe yahoo messenger cu logodnica și fratele său au fost monitorizate de către companie, fără ca dnul Bărbulescu să aibă cunoștință de acest lucru. Peste ceva timp, domnul Bărbulescu a fost concediat deoarece încălcase regulamentul intern care îl obliga să nu folosească internetul în scop personal. A contestat fără succes decizia la instanțele din România invocând violarea secretului corespondenței. În cele din urmă, CEDO (Marea Camera) a dat o decizie cel puțin interesantă, prin care statuat, printre altele, că monitorizarea conversațiilor electronice la locul de muncă este permisă dacă se îndeplinesc cumulativ următoarele condiții:

  • există un interes legitim al companiei de a monitoriza (supravegherea îndeplinirii sarcinilor de serviciu, securitate etc);
  • nu au fost găsite metode mai puțin intruzive pentru atingerea scopului;
  • angajatul a fost informat în prealabil cu privire la faptul că e-mailul este supravegheat.

În această situație, temeiul juridic nu este consimțământul angajatului (care, conform opiniei WP29, în majoritatea cazurilor, este invalid, existând un dezechilibru de putere), ci interesul legitim.

Cu privire la monitorizare ar trebui să ne amintim că Legea 190/2018 privind măsurile de punere în aplicare al GDPR impune următoarele condiții:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate – prin urmare trebuie documentată o analiză a interesului legitim și păstrată pentru un eventual control. 

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;- notele de informare către angajați trebuie să prevadă că se utilizează mijloace de monitorizare.

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

 

 

Putem accesa e-mailul fostului angajat? 

Pe scurt, da, însă doar dacă sunt respectate anumite condiții pe care le vom indica mai jos.

„Atunci când un angajat părăsește organizația, angajatorul ar trebui să ia măsurile tehnice și organizatorice necesare, astfel încât poșta electronică a angajatului să fie dezactivată în mod automat. În cazul în care, pentru buna funcționare a organizației, este necesar să fie recuperat conținutul poștei electronice a unui angajat, angajatorul ar trebui să adopte măsurile adecvate pentru recuperarea conținutul acesteia înainte de plecarea angajatului și, dacă este posibil, în prezența lui.” – CEDO, Cauza Bărbulescu vs România.

Așadar, atunci când un angajat părăsește compania, e-mailul trebuie dezactivat și redirecționat către o nouă adresă, iar conținutul ar trebui recuperat înainte de plecarea angajatului. Dacă totuși, angajatul e plecat deja, iar compania nu avea cunoștință de acest lucru, va trebui să recupereze și să dezactiveze în cel mai scurt timp, deoarece un timp îndelungat poate conduce către un cuantum al amenzii mai mare. 

În cursul anului 2016, o societate din România a fost amendată de ANSPDCP deoarece a păstrat mai mult decât era cazul (aproximativ un an) un e-mail al unui fost colaborator, invocând, printre altele, că a trebuit să păstreze adresa de e-mail deoarece clienții societății erau obișnuiți să contacteze această adresă de e-mail. Procesul-verbal a fost contestat la Tribunalul București. S-a pierdut în fond și s-a făcut apel la Curtea de Apel București.

Prin Decizia Civilă nr. 34/09.03.2017, Curtea de Apel București a statuat, printre altele, că:

există un interes legitim („Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă.”)

nu este nevoie consimțământ, angajatorul se poate baza pe interes legitim („Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.”)

angajatorii ar trebui să nu acceseze niciodată discuții personale și să le șteargă în cel mai scurt timp („Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.”)

La o primă lectură, apare un paradox. CEDO spune că angajatorul ar trebui să recupereze e-mailurile înainte de plecarea angajatului, iar Curtea de Apel București spune că recuperarea se poate face și după plecare, însă, în cel mai scurt timp. Luând în calcul (1) formularea „ar trebui” în loc de „trebuie” a CEDO și (2) faptul că accesul la conținutul e-mailului poate fi extrem de important, de la caz la caz, se poate aprecia dacă există un interes legitim de a accesa adresa de e-mail a fostului angajat.

 

Recomandări. Soluții. 

Având în vedere cele expuse mai sus putem concluziona și putem emite chiar o soluție care poate fi utilă companiilor aflate în această situație:

  1. Pe viitor, companiile ar trebui să aibă grijă să recupereze conținutul e-mailului înainte de plecare și, dacă se poate, în prezența angajatului.
  2. Dacă nu s-a respectat punctul 2., companiile ar trebui să recupereze în cel mai scurt timp conținutul necesar, să redirecționeze și să șteargă e-mailul. Poate fi util să informeze în acest sens angajatul și să îi propună ștergerea conținutului confidențial.
  3. În toate cazurile în care se merge pe interes legitim pentru monitorizarea și/sau accesarea e-mail-urilor după plecarea angajatului, trebuie documentată o analiză a interesului legitim care să îi permită angajatorului să aibă acces.

Rețineți faptul că GDPR nu cere perfecțiune, ci o abordare bazată pe risc, și, atâta timp cât compania depune eforturi constante pentru respectarea Regulamentului, nu ar trebui să existe probleme. Iar când e vorba despre protecția datelor cu caracter personal, ar trebui să ne punem mai des întrebări.

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (politici, proceduri, acorduri, note de informare – șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


jbareham_180405_1777_facebook_0003.0-1200x800.jpg

Pe data de 6 februarie, Bundeskartellamt („Biroul Federal pentru Concurență” din Germania, German Federal Cartel Office – “FCO”) a decis că Facebook a abuzat de poziția sa dominantă prin exploatarea datelor personale și combinarea neconformă a datelor cu caracter personal colectate de la utilizatori.  FCO a impus restricții de amploare asupra prelucrării datelor utilizatorilor Facebook, inclusiv cerința ca Facebook să obțină „consimțământul voluntar” de la utilizatori înainte de a utiliza astfel de date. Pe de o parte, decizia este văzută ca o abordare inovativă pentru protecția consumatorului, însă unele voci se întreabă dacă nu cumva hotărârea depășește limitele dreptului concurenței.

 

Situația premisă

Utilizatorii care doresc să se alăture Facebook trebuie să accepte termenii și condițiile. Printre altele, acești Termeni și Condiții permit Facebook să colecteze date despre utilizatorii săi, inclusiv colectarea de date despre utilizatori atunci când aceștia nu se află pe Facebook, ci pe alte site-uri. Facebook colectează, de asemenea, date prin intermediul serviciilor deținute de Facebook, precum WhatsApp și Instagram, precum și prin intermediul unor site-uri terțe care au încorporate instrumente de afaceri Facebook (diverse pluginuri, API, extensii). Atunci când un utilizator interacționează cu aceste servicii, datele sunt transmise către Facebook și combinate cu celelalte date din contul de utilizator al utilizatorului Facebook pentru crearea unui profil. Este posibil ca mulți utilizatori să nu fie conștienți de acest lucru.

 

Context

Ancheta a fost începută de FCO în martie 2016. Înainte de anchetă, în Germania au existat nemulțumiri cu privier la faptul că Facebook a ignorat de facto o hotărâre a unei instanțe de apel și nu a adus Termenii și Condițiile în conformitate cu legislația privind protecția datelor. Mai multe autorități pentru protecția datelor și grupuri pentru drepturile consumatorilor au contestat Termenii și Condițiile Facebook. Nicio inițiativă nu a avut succes în cele din urmă. În plus, în acest moment, sancțiunile prevăzute de GDPR nu au motivat în mod suficient Facebook să-și adapteze termenii și condițiile. În consecință, a existat o presiune politică imensă care a impulsionat FCO să utilizeze arsenalul său puternic de sancțiuni în temeiul legii concurenței împotriva Facebook. Rezultatul a fost decizia din 6 februarie a FCO. În decizia sa, FCO a hotărât că măsura în care Facebook colectează și combină datele utilizatorilor constituie un abuz de poziție dominantă în conformitate cu articolul 19 din Legea privind concurența în Germania. S-a constatat că Facebook are o poziție dominantă pe piața germană a rețelelor sociale. Conform FCO, această piață exclude alte rețele de socializare, cum ar fi LinkedIn, Snapchat, YouTube și Twitter, deoarece acestea oferă doar bucăți din serviciile unei rețele sociale private precum Facebook. Pentru slabilirea poziției dominante s-au luat în calcul barierele considerabile la intrarea pe piață a unei noi rețele de socializare, precum și cota de piață de peste 80% a rețelei de socializere Facebook.

 

Te-ar putea interesa și:

 

Potrivit FCO, folosirea și punerea în aplicare de către Facebook a Termenilor și Condițiilor sale încalcă legile germane privind protecția datelor și reprezintă un abuz de poziție dominantă în legislației concurenței. Având în vedere legislația privind protecția datelor, acești Termeni sunt considerați ca exploatând utilizatorilor. FCO și-a întemeiat această aprecieze analizând două decizii ale Curții Federale de Justiție din Germania. Aceste decizii au stabilit că nu numai prețurile excesive, dar și clauzele contractuale necorespunzătoare pot constitui un abuz de poziție dominantă. Curtea de Justiție a hotărât, de asemenea, că clauzele generale de drept civil ar trebui aplicate pentru a elimina dezechilibrul puterilor de negociere în cazurile în care o parte contractantă este atât de puternică încât poate să dicteze condițiile contractului, celeilalte părți lipsindu-i autonomia contractuală. Potrivit FCO, Termenii și condițiile Facebook nu au cauzat daune financiare utilizatorilor. În schimb, prejudiciul a fost clasificat drept „pierderea controlului” de către utilizatori. Utilizatorii nu au putut să determine, să conștientizeze și să controleze în mod liber modul în care datele lor personale sunt utilizate și combinate din diferite surse de către Facebook.

 

 

 

Evaluare generală

În mai multe documente de lucru, FCO, în ultimii 5 ani, a evidențiat problematicile piețelor digitale online, observând, printer altele, că Facebook deține o poziție dominantă pe piața online a rețelelor de socializare. FCO consider că datele cu caracter personal sunt relevante pentru dobândirea unui avantaj economic și, în consecință, a unei poziții dominante, deoarece datele cu caracter personal permit monetizarea platformei prin vânzarea de publicitate online. Internetul funcționează prin publicitate targhetată, care funcționează pe procesarea datelor cu caracter personal. FCO a menționat în trecere că abuzul Facebook ar împiedica  concurenții care nu reușesc să dețină o bază de date asemănătoare, subliniind faptul că datele cu caracter personal sunt un factor decisiv în concurență.

 

Te-ar putea interesa și:

 

Exploatare sau o situație win-win?

FCO a statuat în decizia sa din 6 februarie că colectarea, combinarea și utilizarea datelor de către Facebook exploatează utilizatorii privați, deoarece această utilizare depășește ceea ce este necesar pentru ca Facebook să opereze platforma.  Facebook este oferit gratuit utilizatorilor privați. Întreaga platformă este finanțată de reclame. Este îndeobște cunoscut faptul că utilizatorii de internet detestă reclamele cu excepția situațiilor în care este deosebit de relevantă în momentul în care este afișată. De exemplu, o persoană care planifică o primă excursie la schi poate aprecia un anunț pentru anvelope de zăpadă la acel moment, dar nu va aprecia un anunț pentru costume de înot. Pentru a genera valoare reclamei pentru consumatori  (costuri mai mici de căutare și de livitare), o platformă trebuie să știe cât mai multe despre utilizatori pentru a oferi acestora reclame relevante intereselor. Prin urmare, colectarea și combinarea datelor de către Facebook prin intermediul serviciilor externe atinge acest scop: cunoașterea utilizatorilor, profilarea și targhetarea prin reclame. Cu cât este mai relevant un anunț pentru un utilizator, cu atât este mai probabil să se convertească într-o tranzacție, iar agenții de publicitate, în consecință, sunt dispuși să plătească mai mult. Calitatea anunțurilor permite astfel platformei să afișeze mai puține anunțuri și să extindă platforma. Având în vedere aceste considerente, o întrebare apare: exploatează Facebook utilizatorii sau îi ajută, prin intermediul reclamelor, să ajungă la informația pe care o caută?

 

Care este legătura dintre poziția dominant și abuz?

FCO a încercat să stabilească o astfel de legătură între poziția dominantă pe piață și un eventual abuz, susținând că, în virtutea poziției sale dominante, Facebook a forțat utilizatorii să accepte colectarea și transferul de date din surse externe către profilurile lor de Facebook. FCO a subliniat, de asemenea, că utilizatorii nu sunt conștienți de faptul că Facebook colectează și combină date din mai multe surse. Combinarea datelor conduce la efecte pe care utilizatorii de Facebook nu le pot prevedea și datorită dezechilibrului de putere dintre Facebook și utilizatori, aceștia din urmă nu pot au opțiunea de a evita combinarea datelor. Pentru Facebook, datele au o valoare economică imensă. Din punctul de vedere al FCO, abuzul de poziție dominantă constă în utilizarea prin încălcarea legislației privind protecția datelor a acestor date cu caracter personal în vederea obținerii unui avantaj economic prin creșterea popularității platformei, a dependenței față de ea, clientul final (agentul de publicitate) devenind dependent de acest serviciu. Potrivit FCO, acest lucru lucru se reflectă și în creșterea rapidă a cifrei de afaceri pe care Facebook a reușit să o genereze în ultimii ani în dauna concurenților.


[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]

Surse: https://www.bundeskartellamt.de

Lexology



facebook-users-people-diversity1-ss-1920-1200x675.jpg

Instanța: Tribunalul București

Sentința nr. 313/21.02.2018

Ce s-a întâmplat?

Reclamanta a arătat că , în fapt, este artist interpret recunoscut la nivel național sub numele de scenă _____. Imaginea și modalitatea în care înțelege să își exercite drepturile la imagine au o importanță deosebită, în condițiile în care deciziile pot influența într-o manieră pozitivă sau egativă percepția publicului cu privire la persoana sa și prestațiile sale ca artist. Deseori imaginea sa este folosită în mod abuziv de persoane sau entități juridice, în scopul de a promova interese proprii sau pentru a-și face publicitate în scopuri comerciale, fără a ține cont de faptul că îi pot aduce atingere reputației și imaginii față de public, provocând însemnate prejudicii materiale și morale care cu greu pot fi reparate.

La începutul lunii martie 2017 re clamantei i s-a adus la cunoștință faptul că pârâții O____ I____ și societatea A___ M___ S____ S.R.L., în cadrul căreia asociat unic și administrator este O____ I____, se folosesc de imaginea sa pe pagina Facebook „Atelier Faiblesse”, unde își promovează produse vestimetare și de încălțăminte, existând poze ale relamantei purtând unul dintre respectivele produse (cizme). Reclamanta nu a cumpărat acest produs de la vreunul din magazinele A___ M___ S____ S.R.L., ci de la alt distribuitor, și în niciun caz nu și-a dat acordul ca pârâții să utilizeze imaginea în scopuri publicitare.

 

Te-ar putea interesa și:

 

Scopul urmărit de pârâți a fost în mod evident acela de a crea impresia că reclamantă promovează produsele Atelier Faiblesse, comercializate de A___ M___ S____ S.R.L., și de a influența clienții să le cumpere. Se poate observa de către orice persoană care accesează această pagină de Facebook faptul că există postări ale clienților alăturate fotografiilor reclamantei, prin care solicită informații de la Atelier Faiblesse referitoare la prețul produsului pe care îl poartă în fotografie și modalitatea de livrare folosită, precum și răspunsuri la aceste întrebări din partea administratorului contului.

Reclamanta a solicitat inițal telefonic pârâtei O____ I____ să înceteze să mai folosească numele și imaginea sa pentru a-și promova produsele, să înlăture fotografiile personale de pe site-ul și de pe pagina de Facebook aflată în administrarea sa și a societății A___ M___ S____, însă  pârâta O____ I____ a refuzat categoric să se conformeze solicitării reclamantei.

În data de 13.03.2017 reclamanta a notificat prin intermediul B.E.J. C_________, N______ și Asociații pe A___ M___ S____ S.R.L. și pe administratorul O____ I____, că folosesc fără acordul său fotografii pe internet în scopuri comerciale inducând în eroare clienții, că i-a fost prejudiciat dreptul la imagine și a solicitat repararea acestui prejudiciu. Notificările înregistrate sub nr. 54N/10.03.2017 au fost comunicate de executorul judecătoresc la toate cele 3 spații comerciale deținute de societatea A___ M___ S____, în București și Voluntari, însă până până în prezent pârâții nu s-au conformat solicitării și continuă să se folosească în mod abuziv de numele de scenă și de imaginea reclamantei în scopuri comerciale, aducându-i în fiecare zi prejudicii patrimoniale și morale prin conduita lor ilicită.

Pretențiile reclamantei

Prin cererea înregistrată pe rolul Tribunalului București-Secția a III-a civilă sub nr.XXXXXXXXXXXX la data de 20.04.2017, reclamanta G______ A__-C______ în contradictoriu cu pârâta O____ I____, A___ M___ S____ S.R.L., a solicitat ca prin hotărârea ce se va pronunța:

1.    să se constate încălcarea de către pârâți a dreptului la imagine și a drepturilor reclamantei de a autoriza utilizarea portretului, prin folosirea fără drept de fotografii pe pagina publică de Facebook „Atelier Faiblesse” în scopul de a obține profit prin comercializarea de produse, asociind imaginea relamantei cu respectiva marcă de produse;

2. să se dispună înlăturarea tuturor fotografiilor sau imaginilor care conțin portretul reclamantei publicate pe pagina publică de Facebook „Atelier Faiblesse” și de pe site-urile de promovare a produselor comercializate de A___ M___ S____ S.R.L.;

3. să se dispună obligarea pârâților la plata despăgubirilor estimate provizoriu la valoarea de 5.000 euro, reprezentând prejudiciul cauzat reclamantei prin încălcarea dreptului la imagine prevăzut de dispozițiile art. 88 din Legea nr. 8/1996 privind drepturile de autor si drepturile conexe și folosirea ilicită a fotografiilor reclamantei, fără acordul său, în scopuri comerciale;

4. să se dispună obligarea pârâților la plata daunelor moratorii în valoare de 1000 RON/zi începând cu data de 13.03.2017, când au fost notificați cu privire la folosirea fără autorizare a fotografiilor reclamantei, până la înlăturarea efectivă a acestora de pe pagina Facebook și de pe site-urile aflate în proprietatea sau administrarea pârâților, valoarea acestora fiind de 3.800 RON la data formulării prëzentei cereri, 20.04.2016 (38 zile x 1.000 RON)

5. să se dispună obligarea pârâților la publicarea în trei ziare de largă circulație, pe cheltuiala proprie, a hotărârii pronunțată de instanță în cazul admiterii acțiunii.

6. obligarea la plata cheltuielilor de judecată.

 

Te-ar putea interesa și:

Ce a decis instanța?

Față de susținerile reclamantei și apărările pârâtelor, tribunalul constată că în mod întemeiat reclamanta a arătat că îi sunt încălcate derpturile cu privire la imagine și la utilizarea portretului, întrucât, contrar susținerilor pârâtelor în sensul că nu au nicio legătură cu pagina Facebook „Atelier Faiblesse”, se poate constatata din înscrisurile extrase internet depuse la dosar de către reclamantă, că pe pagina principală a site-ului atelier-faiblesse.ro există un link care face trimitere la pagina Facebook „Atelier Faiblesse”, pagină pe care sunt promovate produse ale pârâtelor, iar pe pagina de facebook se folosește aceeași siglă a societății pârâte. De asemenea, informațiile de pe Facebook privind utilizatorul si administratorul paginii sunt identice cu cele de pe site-ul oficial al pârâtei A___ M___ S____ S.R.L.: numere de telefon, adrese de e-mail pentru contact clienți, sunt indicate inclusiv sediile și showroom- urile acestei societăți ( f. 21- 30).

Tribunalul constată astfel că pârâta A___ M___ S____, având ca administrator pe pârâta O____ I____, au publicat fotografia reclamantei, cu nume de scenă ______, pe pagina de Facebook „Atelier Faiblesse” (f. 26) prin care promovează online produse vestimentare, fără a cere acordul reclamantei. Acest fapt atrage incidența dispozițiilor legale de la 88 alin.l din Legea nr.8/1996, modificată, privind dreptul de autor și drepturile conexe, text de lege care interzice publicarea imaginii unei persoane fără consimțământul său, neexistând niciuna dintre situațiile de excepție, când nu este necesar consimțământul (alin.2), deoarece persoana reprezentată nu este de profesie model și nu a primit o remunerație pentru a poza. Deși reclamanta este o persoană cunoscută, portretul său nu a fost executat cu ocazia activităților sale publice, ci într-un cadru privat. De asemenea, nu se poate prezuma acordarea consimțământului pentru utilizarea fotografiilor de către pârâți, întrucât portretul reclamantei nu a fost prezentat într-o fotografie de grup, pentru a fi considerat un detaliu al unei opere ce prezintă o adunare, un peisaj sau o manifestare publică, ci este singular.

Refuzul reclamantei este clar, de vreme ce s-au trimis notificări pârâtelor în sensul de a înlătura portretul reclamantei de pagina de facebook, fapt care nu s-a întâmplat, pârâtele menținând-ul, probabil pentru  a profita de asocierea numelui de scenă și imaginii artistei cu produsele comercializate de A___ M___ S____ si cu brandul Atelier Faiblesse.

În cauză sunt incidente și dispozițille de la art. 73 C.civ., privind dreptul la propria imagine: orice persoană are dreptul la propria imagine, iar în exercitarea acestui drept, persoana poate să interzică ori să împiedice reproducerea, în orice mod, a înfățișării sale fizice ori a vocii sale sau, după caz, precum și utilizarea unei asemenea reproduceri, nefiind cazul vreunei  excepții, când atingerile sunt permise de lege sau de convențiile și pactele internaționale privitoare la drepturile omului. Totodată, potrivit art. 74 alin. 1 lit. c) C.civ., captarea ori utilizarea imaginii sau a vocii unei persoane aflate într-un spațiu privat, fără acordul acesteia, constituie atingere adusă vieții private, iar conform lit. h) utilizarea cu rea-credință a numelui sau imaginii unei persoane reprezintă tot o atingere adusă vieții private. Aceste dispoziții sunt de asemenea incidente în cauză, prin folosirea fără drept a imaginii reclamantei pe pagina de facebook a pârâtelor, așa cum s-a reținut, astfel că tribunalul va admite cererea reclamantei sub acest aspect și va dispune înlăturarea fotografiilor sau imaginilor care conțin portretul reclamantei G______ A__ C______, publicate pe pagina de Facebook “Atelier Faiblesse” și pe site-urile de promovare comercializate de pârâtele O____ I____ și A___ M___ S____.

Tribunalul constată că sunt întrunite în cauză elementele răspunderii civile delictuale în persoana pârâtelor, respectiv existența faptei ilicite, așa cum s-a arătat mai înainte, existența culpei acestora, existența prejudiciului, respectiv afectarea imaginea reclamantei și legătura de cauzalitate între fapta ilicită și prejudiciu, așa încât tribunalul va obliga pârâtele din cauză la  plata despăgubirilor către reclamantă, în sumă de 500 euro, în echivalent lei la data plății, pentru prejudiciul cauzat, apreciind că această sumă este rezonabilă în raport cu faptul publicări unei singure fotografii a reclamantei  de către pârâte.

În ce privește obligarea pârâtelor la plata de daune moratorii, așa cum s-a solicitat de către reclamantă, această cerere nu este întemeiată, având în vedere natura juridică a daunelor moratorii, respectiv faptul că reprezintă sume de bani care se datorează pentru întârzierea în executarea obligațiillor, ceea ce nu este cazul în speța de față.

Tribunalul va respinge ca neîntemeiată și cererea de obligare a pârâtelor la publicarea în trei ziare de largă circulație a hotărârii instanței, iar în aplicarea disp. art. 453 C.pr.civ. va obliga pârâtele la plata cheltuielilor de judecată, reduse proproțio0nal cu admiterea acțiunii, în sumă de 1.382 lei, reprezentând taxa judiciară de timbru de 100 lei și 1.282 lei onorariu de avocat.

 

Pe scurt, instanța a dispus înlăturarea fotografiilor sau imaginilor care conțin portretul reclamantei G______ A__ C______, publicate pe pagina de Facebook “Atelier Faiblesse” și pe site-urile de promovare comercializate de pârâtele O____ I____ și A___ M___ S____.

A obligat pârâtele la plata despăgubirilor către reclamantă, de 500 euro, în echivalent lei la data plății, pentru prejudiciul cauzat.

 

Te-ar putea interesa și:

 

 


arhive-drepturile-persoanei-vizate-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord