Aici descoperim
dreptul tehnologiei

paper-cut-outs-social-networking-icons-with-like-icon-wooden-table_23-2147841366.jpg

Utilizarea rețelelor de socializare a devenit o obișnuință pentru fiecare persoană în parte. De la verificarea notificărilor primite, până la conversațiile în sfera virtuală, internetul a început să acapareze întru totul mintea umană. O astfel de practică a început să fie sancționată de către angajatori, inclusiv prin decizii de concediere. Dar poate o astfel de decizie să fie una legitimă?

Monitorizare sau viață privată?

În raportul drept la monitorizare – drept la viață privată trebuie să primeze dreptul la viața privată. Cel puțin, astfel este receptată această situație în jurisprudența Curții Europene a Drepturilor Omului. Prin Hotărârea nr. 61496/08 din septembrie 2017, în cauza Bărbulescu contra României, Curtea Europeană a Drepturilor Omului a constatat că acțiunea de monitorizare a comunicărilor angajatului, alături de consultarea conținutului, care au avut ca scop justificativ concedierea angajatului, au adus atingere vieții private (a se vedea Hotărârea nr. 61496/08 din 2 septembrie 2017 a Curții Europene a Drepturilor Omului, platformă online hudoc.echr.coe.int).

Situația faptică este următoarea:

  • Angajatul unei societăți din România a utilizat contul de Yahoo Messenger în timpul serviciului;
  • Contul a fost utilizat în scopul de a răspunde întrebărilor primite de la clienții societății comerciale în cadrul căruia era angajat, dar și în purtarea de conversații cu fratele și logodnica acestuia;
  • Asupra acțiunilor sale s-a început monitorizarea de către societatea comercială în cauză;
  • Angajatul a fost anunțat cu privire la monitorizarea sa;
  • Angajatului i s-a pus în vedere și faptul că utiliza internetul în scopuri personale;
  • Regulamentul intern al societății comerciale prevedea faptul că este interzisă utilizarea internetului în timpul serviciului în scopuri personale;
  • Angajatului i s-a aplicat sancțiunea concedierii.

Te-ar putea interesa și:

Ulterior, adresându-se Curții Europene a Drepturilor Omului (CEDO), s-a constatat faptul că înregistrările conversațiilor angajatului le includeau și pe cele pe care acesta le efectuase cu fratele sau logodnica sa, deci intrau în sfera conversațiilor private. Cu toate acestea, CEDO a constatat că nu a existat nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO) privind dreptul la respectarea vieții private și de familie. Conform art. 8 din prezenta Convenție, orice persoană are:

  • Dreptul la respectarea vieții sale private și de familie;
  • Dreptul la respectarea domiciliului său;
  • Dreptul la respectarea corespondenței sale.

De asemenea, amestecul autorităților publice în exercitarea dreptului la viață privată și de familie nu este admis. Derogarea se face numai în situația în care:

  • Amestecul autorităților publice în exercitarea dreptului este prevăzut de lege;
  • Amestecul constituie o măsură necesară (într-o societate democratică) pentru subdomenii precum: securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii, prevenirea faptelor de natură penală, protecția sănătății, protecția drepturilor și a libertăților altor persoane (a se vedea Convenția Europeană a Dreptuilor Omului, platformă online echr.coe.int).

Folosești supraveghere CCTV pentru a supraveghea angajații la locul de muncă, dar nu ai implementat încă GDPR? Află mai multe despre soluția noastră aici. 

 

Care a fost motivarea Curții Europene a Drepturilor Omului?

Curtea Europeană a Drepturilor Omului a constatat că autoritățile naționale nu au acordat protecția adecvată drepturilor reclamantului (ale angajatului) la respectarea vieții private. S-a constatat astfel că a existat o încălcare a art. 8 din Convenția Europeană a Drepturilor Omului. Cu privire la această soluție a Curții au existat și opinii divergente, distincte.

Prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului s-a constatat în primă etapă că, deși solicitantul (angajat al societății comerciale) a cerut instanțelor naționale desființarea deciziei de concediere – fără a se materializa într-o soluție favorabilă acestuia, nici la nivel internațional nu s-a putut constata o încălcare a vieții private prin accesul și monitorizarea de către societatea comercială în cauză a conversațiilor sale.

 

Raționamentul ,,divergent” al Curții Europene a Drepturilor Omului a fost următorul:

  • Monitorizarea angajatului de către angajator s-a desfășurat pe o perioadă limitată în timp;
  • Monitorizarea a avut ca obiect strict activitățile de comunicare electronică și internet ale angajatului;
  • Rezultatele obținute din operațiunea de monitorizare au fost utilizat exclusiv în scopul procedurii disciplinare;
  • Numai angajatorul a avut acces la conținutul comunicărilor angajatului, nicio altă persoană din cadrul societății nu a luat cunoștință de conținutul lor;
  • Nu s-a făcut nicio dovadă în sensul că acel conținut al comunicărilor angajatului a fost dezvăluit altor persoane (colegilor acestuia);
  • Angajatul a încălcat regulamentul intern al societății comerciale în cauză, care prevedea că este interzisă utilizarea calculatoarelor în scopuri personale;
  • Angajatul a fost informat cu privire la monitorizarea sa;
  • Angajatul a afirmat în fața Curții Europene a Drepturilor Omului că știa faptul că utilizarea calculatorului în scopuri private, personale, era interzisă;
  • Instanțele naționale au constatat corect că obiectul legal pe care angajatorul l-a urmărit în monitorizarea comunicărilor angajatului a fost reprezentat de exercitarea dreptului și a datoriei de a asigura buna conducere a companiei (a se vedea integral la hudoc.echr.coe.int, Cauza Bărbulescu contra României).

O parte dintre judecătorii Curții a decis (în opinie divergentă), având în vedere raportul prioritate a intereselor angajatorului – prioritate a intereselor salariatului, faptul că instanțele naționale au acționat în marja de apreciere a statului român, instanțele naționale considerând legală decizia de concediere. Prin urmare, prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului (CEDO) s-a concluzionat faptul că nu s-a produs nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO).

Curtea s-a pronunțat în favoarea încălcării dreptului la viață privată și familială cu 11 voturi contra 6. De asemenea, a hotărât cu 16 voturi la 1 că satisfacția justă pentru prejudiciul moral cauzat angajatului (reclamant)  este reprezentată de constatarea încălcării art. 8 din Convenție. Cu 14 voturi la 3 a reținut că statul pârât va plăti reclamantului suma de 1365 de euro pentru costuri și cheltuieli , în termen de 3 luni (a se consulta hudoc.echr.coe.int, Case of Bărbulescu v. Romania).

Te-ar putea interesa și:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul meidcal? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



building-1839464_1280-1200x800.jpg

Autor Roxana Constantinescu, Avocat Baroul Cluj

Supravegherea video a angajaților și a altor persoane vizate necesită implementarea unor procese tehnice și organizatorice adecvate pentru a respecta GDPR. În prezentul articol vom explica ce anume trebuie să facă operatorii pentru a respecta GDPR atunci când utilizează sisteme de supraveghere CCTV.

1.Introducere – despre monitorizarea CCTV

CCTV înseamnă televiziune cu circuit închis, cunoscută și sub denumirea de supraveghere video. Sistemele de supraveghere video monitorizează comportamentul, activitățile sau alte informații ale persoanelor prin intermediul unui echipament electronic.

Supravegherea video poate include orice, de la sistem de supraveghere cu circuit închis sau sisteme automate de recunoaștere, la orice alt sistem pentru înregistrarea, stocarea, primirea sau vizualizarea imaginilor vizuale în scopuri de supraveghere.

În conformitate cu GDPR, angajatorii au dreptul să monitorizeze activitatea angajaților dacă au o bază legală pentru a face acest lucru, iar scopul monitorizării lor este clar comunicat angajaților în avans prin intermediul unei note de informare.

2.Temeiul legal – Interes legitim. Consimțământ

Din cauza dezechilibrului de putere în relația angajator-angajat, angajatorii nu se pot baza în decât în cazuri excepționale pe consimțământ pentru prelucrarea datelor angajaților. Pentru întreprinderi, cel mai potrivit temei legal este interesul legitim al angajatorului.

Există multe motive de interes legitim pentru care angajatorii monitorizează angajații folosind CCTV. Bazele legale ale monitorizării includ securitatea, sănătatea și siguranța angajaților prin prevenirea infracțiunilor, prevenirea comportamentului incorect al angajaților, asigurarea respectării procedurilor de sănătate și siguranță, monitorizarea și îmbunătățirea productivității etc.

Angajatorii se bazează în general pe interesele legitime ca bază legală adecvată pentru prelucrarea datelor cu caracter personal – implică responsabilitatea organizațională și permite utilizarea responsabilă a datelor cu caracter personal, protejând în același timp drepturile angajaților.

Angajatorii care se bazează pe interese legitime ca bază legală pentru prelucrare trebuie să ia în considerare legitimitatea interesului lor declarat (și potențial interesele terților) și trebuie să echilibreze acel interes cu interesele, drepturile și libertățile angajaților lor. Cu alte cuvinte, angajatorii trebuie să realizeze o analiză a interesul legitim, prin intermediul căreia să pună în balanță interesele companiei și interesele și drepturile persoanelor fizice vizate. Dacă în urma analizei, rezultă că primează interesele companiei, supravegherea CCTV se va putea realiza. Dacă în urma analizei rezultă că primează drepturile și interesele persoanelor fizice vizate, atunci supravegherea CCTV nu va putea fi realizată pe temeiul interesului legitim.

Exemplu #1: O companie care deține o parcare a identificat probleme cu furturile în mașinile parcate. Parcarea este deschisă publicului și poate fi accesată cu ușurință de către oricine. Compania are un interes legitim (prevenirea furturilor) să monitorizeze zona expusă riscului. Persoanele vizate sunt monitorizate pe o perioadă limitată de timp, nu se află în timpul unor activități recreaționale și este, de asemenea, în interesul lor ca furturile să fie prevenite. În acest caz, interesul legitim al companiei depășește dreptul la viață privată.[1]

Exemplu #2: Un restaurant decide să instaleze camere video în toalete pentru a supraveghea efectuarea curățeniei. În acest caz, drepturile persoanelor vizate depășesc în mod clar interesul legitim, iar supravegherea video nu poate avea loc.[2]

În plus, angajatorii trebuie să aplice, de asemenea, măsuri de protecție și de conformitate pentru a se asigura că drepturile angajaților nu sunt prejudiciate în niciun caz.

 

 

În cazul în care un angajat se opune utilizării camerelor de televiziune CCTV într-o anumită zonă, GDPR pune în sarcina angajatorului de a demonstra că are „motive legitime convingătoare” pentru prelucrare.

Monitorizarea angajaților prin supraveghere CCTV ar trebui să se limiteze la zonele în care riscul de a încălca drepturile angajaților este scăzut. Utilizarea camerelor CCTV care monitorizează în mod constant un grup specific de angajați dintr-o anumită zonă este mai probabil să fie considerat intruziv și abuziv decât cele care monitorizează toți angajații dintr-o zonă de intrare generală.

Scopul CCTV ar trebui să fie clar transmis angajaților prin intermediul unei notificări. În conformitate cu cerințele GDPR, angajatorii au obligația angajaților de a face acest lucru într-un mod clar și fără ambiguitate. Află mai multe despre pachetul nostru GDPR pentru supraveghere video aici. 

Simpla presupunere generală că utilizarea CCTV la locul de muncă se realizează în scopuri de securitate, dar este utilizat și pentru monitorizarea performanței sau conduitei angajaților nu este conformă. Prin urmare, angajații trebuie să fie anunțați clar înainte de a folosirea datele lor personale în acest scop. Aceeași abordare a notificării trebuie adoptată și dacă scopul supravegherii CCTV este și din motive de sănătate și siguranță.

Conform articolului 35 GDPR, orice utilizare excesivă a monitorizării CCTV pentru angajații este considerată profilare „cu risc ridicat”, în conformitate cu orientările emise de Grupul de Lucru Art. 29. Aceasta necesită o evaluare a impactului privind protecția datelor („DPIA”). O DPIA ia în considerare dacă supravegherea este necesară și proporțională cu ceea ce un angajator încearcă să obțină, având în vedere riscurile pentru drepturile persoanelor vizate, inclusiv luarea în considerare a oricăror garanții sau măsuri de securitate pe care operatorul le va pune în aplicare.

3. Informarea angajatului. Cum o facem, ce trebuie să cuprindă

Angajatorii ar trebui să țină seama de noile cerințe GDPR dacă intenționează să instaleze camere CCTV, oricare ar fi scopul acestora. Angajatorii trebuie să rețină faptul că toate datele personale colectate trebuie utilizate și păstrate numai pentru a-și îndeplini scopul inițial, iar notificarea conformă cu GDPR trebuie să fie afișată în locuri vizibile. Un model de notificare, împreună cu celalalte documente necesare GDPR pentru utilizarea camerelor de supraveghere găsiți aici. 

Este recomandabil ca angajatorii să elaboreze o serie de politici de protecție a datelor referitoare la utilizarea camerelor CCTV. Aceste politici ar trebui să abordeze scopurile pentru care se realizează supravegherea CCTV, condițiile în care va avea loc monitorizarea, natura monitorizării, modul în care vor fi utilizate datele personale ale persoanelor obținute, cât timp va fi păstrat materialul, precum și impactul asupra drepturilor persoanelor.

Angajatorii ar trebui să se asigure că semnalizează proeminent și adecvat zonele în care sunt instalate camere CCTV. Angajatorii ar trebui de asemenea, să pună la dispoziție măsuri tehnice și organizatorice adecvate pentru atenuarea oricăror riscuri pentru drepturile unui angajat în cazul unei încălcări a datelor, conform cerințelor GDPR.

Sistemele CCTV sunt, în mod inerent, vulnerabile la atacurile cibernetice atunci când sunt conectate la internet sau la cloud, iar securitatea și confidențialitatea datelor deținute este asigurată cel mai bine prin restricționarea accesului la ele și dispunerea de sisteme solide pentru a preveni atacurile transmise prin internet. Să nu uităm că utilizarea de către angajator a CCTV la locul de muncă poate ridica probleme juridice complexe, în funcție de noile cerințe GDPR și în funcție de scopul supravegherii.

Există o serie de întrebări de verificare pe care le puteți pune:

  • Dacă supravegheați video angajații, care este motivul/temeiul luat în considerare pentru a avea un sistem CCTV?
  • Ați afișat o notificare pentru a anunța că sunt monitorizați?
  • Cât timp păstrați imaginile și de ce? Ați efectuat o evaluare a riscurilor pentru a stabili și documenta aceste motive?
  • Unde sunt stocate datele (imaginile)? Sunteți sigur că nu vor fi distribuite terților, v-ați luat măsuri în acest sens?
  • Dacă există o încălcare, care este planul de acțiune?

4. Transparența și poziționarea semnului

Persoanele vizate trebuie să fie informate cu privire la faptul că supravegherea video este în funcțiune într-o manieră detaliată cu privire la locurile monitorizate.

În ceea ce privește supravegherea video, informațiile cele mai importante ar trebui să fie afișate pe semnul de avertizare în sine,  în timp ce alte detalii pot fi furnizate prin alte mijloace.

Semnul ar trebui să fie poziționat la o distanță rezonabilă de locurile monitorizate  în așa fel încât persoana vizată să poată recunoaște cu ușurință circumstanțele supravegherii anterior intrării în zona monitorizată (aproximativ la nivelul ochilor). Nu este necesar să se precizeze exact amplasarea echipamentului de supraveghere, atâta timp cât nu există niciun dubiu. Subiectul trebuie să fie capabil să estimeze ce zonă este capturată de o cameră, astfel încât el sau ea să poată evita supraveghează sau adaptează comportamentul, dacă este necesar. Informațiile din cadrul semnului de avertizare ar trebui să transmită cele mai importante informații, de exemplu detaliile scopurilor prelucrării, identitatea operatorului și existența drepturilor persoanei vizate. Trebuie, de asemenea, să se refere la celelalte informații obligatorii și unde pot fi găsite. Un model de semn de avertizare conform GDPR găsiți aici. 

5. Ce aduce nou legislația română prin Legea 190/2018?

Legea nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului GDPR nr. 679/2016 prevede anumite condiţii în care se va putea realiza supravegherea video a angajaților la locul de muncă de către angajator.

Mai exact, articolul 5 (“Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă”) stabilește că atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, pentru a realiza interesele legitime urmărite de angajator, este posibilă numai dacă:

”a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;

d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi

e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În concluzie, conform Legii nr. 190/2018, supravegherea video poate fi realizată de către angajator numai dacă acesta poate demonstra ca interesele sale legitime sunt temeinic justificate și prevalează drepturilor și libertăților persoanelor. Totodată, angajatorul trebuie să facă dovada faptului ca alte metode prin care și-ar fi putut atinge scopul au eșuat anterior și astfel, singura soluție rămâne supravegherea video. În egală măsură, trebuie să asigura informarea angajaților și să se consulte cu sindicatul salariaților (dacă acesta există) sau cu reprezentanții acestora. Perioada de stocare nu poate depăși 30 de zile.

Implementarea și respectarea obligațiilor în materie de supraveghere video cu siguranță nu e floare-la-ureche, piece of cake sau alte formulări care vă plac, însă pachetul nostru monitorizare CCTV vă ia o grijă de pe umeri.

[1] Sursa aici

 

[2] Idem.

 

 


 

Te-ar putea interesa și:

 


corporate-suit-white-man-background_1150-1776.jpg

Autor Elena Marc – Specialist Protecția Datelor, Consultant EMPIRE LOGISTICS SRL

Dreptul persoanelor fizice la despagubire pentru prejudiciul cauzat

Cu toate că amenzile din GDPR sunt semnificative, companiile trebuie să fie preocupate de încă două lucruri.

  1. faptul că persoanele vizate pot să aibă opțiunea de a solicita despăgubiri în cazul în care acțiunile operatorului sau ale operatorului împuternicit duc la daune. 
  2. amenzile sunt, de asemenea, susceptibile de a crea daune reputaționale, care nu pot fi cuantificate cu ușurință.

Deocamdată nu se sție ce nivel de compensare va fi  acordat  victimelor  unei încălcări a datelor. GDPR afirmă că persoanele fizice pot solicita despăgubiri (fie de la operatorul  de date, fie de la persoana împuternicită de operatorul de date) dacă au suferit daune ca rezultat al încălcării GDPR. Considerentul 146 afirmă că există o obligație de răspundere:

”Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament.”  Ceea ce înseamnă  că este probabil ca o organizație să fie, de asemenea, răspunzătoare pentru cererile de despăgubire, în cazul în care aceasta va fi amendată de autoritate.

În schimb, pretenția persoanelor vizate ar putea fi bazată pe daune nefinanciare, cunoscute sub denumirea de daune morale, un exemplu ar putea fi epuizare emoțională. Cu toate acestea, nu există încă exemple privind cât de mult ar putea fi acordat astfel în cazul unei încălcări a datelor.

Citește mai multe despre daunele morale în temeiul GDPR în articolul nostru: 10.000 lei- daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

GDPR face obligatorie, în unele cazuri, notificarea încălcării, ceea ce va spori gradul de conștientizare al clientului și, astfel, ar putea să complice probabilitatea creanțelor. Unii dintre cei afectați au fost ulterior victime ale fraudei și astfel au suferit o pierdere financiară care ar putea fi evaluată separat. Cei care nu au suferit o pierdere financiară ar fi putut fi totuși extrem de îngrijorați de ceea ce sa întâmplat. Unii ar putea fi  îngrijorați că vor fi victime în viitor sau că ar fi putut fi furați banii din conturile lor. Acest lucru poate însemna că au avut un caz de daune morale.

În timp ce unele companii încalcă în mod intenționat legea, putem supune că majoritatea încălcărilor se datoreze lipsei de pregătire.

Articolul 83 din GDPR prevede 11 considerente diferite de care se ține cont  la stabilirea mărimii amenzii.Vezi: http://www.privacy-regulation.eu/ro/83.htm

Acestea includ factori precum:

  • natura, gravitatea și durata încălcării
  • încălcarea intenționată sau din neglijență
  • categoriile de date cu caracter personal afectate
  • numărul de persoane vizate și impactul asupra acestora
  • măsurile care au fost în vigoare pentru a proteja datele
  • nivelul de cooperare cu autoritatea de supraveghere
  • respectarea standardelor din industrie
  • istoric al încălcărilor anterioare

Există o mulțime de discuții despre amenzi, dar cel mai bine este să învățăm o lecție din acestea și să începem să ne pregătim  de conformare. Deci, nu așteptați și acționați înainte de a fi prea târziu.

Mai jos găsiți o lista de verificare, sub forma de întrebări care vă vor ajuta să evaluați dacă sunteți OBLIGAT să respectați GDPR sau nu.

Dacă toate răspunsurile dvs. sunt DA, nu există nici o îndoială că trebuie să vă conformați. Dacă majoritatea răspunsurilor dvs. sunt NU, dar câteva sunt DA, vă rugăm să consultați un specialist.

  1. Compania dvs. colectează date personale?
  2. În mod regulat, vă ocupați de activități cum ar fi salarizarea lunară, pregătirea și trimiterea de facturi, trimiterea de e-mailuri promoționale, prelucrarea și colectarea cererilor de la solicitanții de locuri de muncă, administrarea pacienților?
  3. Firma dvs. procesează orice tip de date speciale (cum ar fi date privind sănătatea, date generice sau biometrice, date care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase, calitatea de membru al sindicatelor, datele privind viața sexuală a unei persoane fizice sau orientarea sexuală )?
  4. Firma dvs. prelucrează date cu caracter personal privind condamnările penale și infracțiunile sau măsurile de securitate aferente?
  5. Este probabil ca prelucrarea datelor să ducă la un risc pentru drepturile și libertățile persoanelor vizate (adică supravegherea video, procedurile de evaluare a creditului și de prevenire a fraudei, localizarea angajaților)?

 

Te-ar putea interesa și:

 

 

 

 


people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Monitorizarea prin camere de supraveghere cu circuit închis (CCTV) face parte din activitatea majorității companiilor din România, însă pentru a supraveghea legal trebuie să respecți o serie de cerințe instituite de GDPR și de Legea 190/2018 privind măsurile de aplicare a GDPR. În acest articol îți vom explica pe scurt ce ai de făcut pentru a respecta legislația și îți vom furniza gratuit două modele de documente utile pentru conformare.

Potrivit Legii nr. 190/2018, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

Cu alte cuvinte, trebuie puse în balanță interesul companiei de a monitoriza prin CCTV și drepturile angajaților la viața privată. Dacă balanța va înclina în favoarea angajatorului, atunci supravegherea CCTV poate fi realizată. Orientările europene în materie spun că trebuie documentat un test de echilibrare (sau analiză a interesului legitim) pentru ca angajatorul să afle dacă poate monitoriza legal prin CCTV. Un model de analiză a interesului legitim pentru CCTV găsești aici.

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

Poți descărca un model de informare pentru CCTV de aici.

Atenție! Informarea angajaților cu privire la CCTV nu exonerează compania de informarea angajaților cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal. Un model de notă de informare completă a angajaților găsești în KIT-ul nostru de implementare. 

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Te-ar putea interesa și: 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-4.png

Fiecare site care colectează date cu caracter personal trebuie să dețină o Politică de confidențialitate inclusiv site-urile de prezentare care colectează date (prin formulare de contact, de exemplu), trebuie să dețină o Politică de confidențialitate (sau Notă de informare). Prin intermediul acestui document, site-ul trebuie să explice persoanei fizice care utilizează sau doar vizitează site-ul modul în care îi prelucrează datele cu caracter personal. Să scrii o Politică de confidențialitate la standardele cerute poate fi un proces complicat dacă ai în față doar un document Word și nu deții instrumentele și informațiile potrivite. În prezentul articol, îți voi explica pas cu pas cum poți redacta o Politică de confidențialitate chiar fără a avea cunoștințe de specialitate juridică și/sau tehnică.

Pasul 1. Înțelege scopul acestei Politici de confidențialitate

Scopul principal al Politicii de confidențialitate este informarea persoanei fizice vizate cu privire la modalitatea în care îi prelucrezi datele. Politica de confidențialitate trebuie să existe pentru a respecta dreptul la informare în temeiul GDPR al fiecărei persoane fizice vizate. Destinatarul mesajului este o persoană fizică fără cunoștințe tehnice și fără cunoștințe juridice. Prin urmare, trebuie să te asiguri că folosești limbajul potrivit astfel încât persoana fizică să poată înțelege cum anume îi prelucrezi datele. 

Pasul 2. Folosește limbajul potrivit

Evită jargonul juridic și informațiile tehnice complicate și încearcă să explici persoanei, pe limbajul ei, cum anume îi prelucrezi datele. Nu da copy-paste de la alte site-uri deoarece documentele sunt protejate de drepturi de autor și este ilegal. În principiu, ar trebui să eviți să pasezi această sarcină către programator sau developer, deoarece majoritatea oamenilor tehnici nu sunt la curent cu legislația. Dacă ești jurist, evită jargonul juridic deoarece recomandările europene spun că limbajul trebuie să fie ușor de înțeles de către oricine. Atât noțiunile juridice (i.e. temeiul juridic), cât și noțiunile tehnice trebuie traduse într-un limbaj simplu, comun. 

Pasul 3. Identifică ce trebuie să scrii și schițează un plan

Politica de confidențialitate trebuie să cuprindă, în mod obligatoriu, elementele de la art. 13 și art. 14 din GDPR, respectiv:

  • identitatea și datele de contact ale operatorului;
  • datele de contact ale responsabilului cu protecția datelor;
  • categoriile de date;
  • scopurile prelucrării;
  • temeiurile juridice ale prelucrării;
  • dacă este cazul, interesele legitime;
  • destinatarii sau categoriile de destinatari;
  • intenția de a transfera;
  • perioada stocării;
  • drepturile persoanei vizate;
  • existența sau inexistența unui proces decizional automat.

Cel mai ușor este să creezi o secțiune pentru fiecare element de mai sus și să alegi un subtitlu potrivit. Imediat după ce ai tratat o secțiune, poți trece la următoarea. Dacă ți se pare deja prea complicat, recomandăm utilizarea șablonului nostru de Politică de confidențialitate ușor de completat de către oricine (click aici). 

Pasul 3. Redactarea propriu-zisă

Creează o introducere și tratează fiecare element separat, sub formă de subtitlu. Introducerea ar trebui să ofere câteva noțiuni preliminare despre site/companie, despre modalitatea de prelucrare și despre cuprinsul politicii de confidențialitate. Reține că recomandările europene sunt în sensul în care informația prezentată trebuie să fie stratificată, astfel încât utilizatorul să ajungă rapid la informația care îl interesează. Ai putea prezenta informația sub formă de acordeon. De exemplu, pe utilizator îl poate interesa doar modalitatea în care îpartajezi datele cu alte entități, de aceea ar trebui creată o secțiune specială dedicată fiecărei cerințe, ca de exemplu: „Cum și cu cine partajăm datele dvs?”. Ai grijă să nu omiți niciun element de la pct. 2. Dacă nu știi ce înseamnă vreun element de la punctul 2., poți căuta pe blogul nostru (utilizând funcția search) și vei afla mai multe informații.

Cu privire la categoriile de date cu caracter personal, ar trebui să ai grijă să acoperi o gamă cât mai largă de date prelucrate. Când îți pui întrebarea ce date prelucrez?”, ar trebui să ai în vedere că datele cu caracter personal înseamnă orice informație cu privire la o persoană fizică identificată sau identificabilă. 

O atenție deosebită trebuie să acorzi scopurilor prelucrării, care trebuie să fie prezentate specific persoanei fizice.

Exemple de informări greșite:

  • putem folosi datele dvs. să dezvoltăm noi servicii” (informarea este greșită deoarece nu este clar despre ce servicii este vorba);
  • „putem folosi datele dvs pentru a vă oferi servicii personalizate” (informarea este greșită deoarece nu este clar despre ce servicii personalizate este vorba);
  • „putem folosi datele dvs în scopuri de cercetare” (informarea este greșită deoarece nu este clar despre ce fel de cercetare este vorba);

Exemple de informări corecte:

  • „Vom analiza istoricul de cumpărături şi vom folosi detalii despre produsele pe care le-aţi achiziţionat anterior pentru a vă face sugestii pentru alte produse de care aţi putea fi interesat” (este clar ce tipuri de date vor fi prelucrate şi că datele vor fi prelucrate astfel încât reclamele personalizate să ajungă la persoana vizată);
  • „Vom păstra informaţiile privind vizitele tale recente pe site-ul nostru şi felul cum vă deplasaţi în diferite secţiuni ale site-ului pentru a analiza modul în care oamenii utilizează site-ul pentru a-l face mai intuitiv” (este clar ce tip de date vor fi procesate şi scopul).

 

 

Pasul 4. Implementarea politicii de confidențialitate pe site

Sunt foarte multe lucruri de discutat în privința acestui pas. În primul rând, trebuie să te asiguri că urci Politica într-un loc vizibil pe site pentru că, indiferent de cât de bine ar fi scrisă, dacă este ascunsă, nu își va îndeplini scopul. Politica ar trebui să existe în cât mai multe locuri pentru a fi cât mai aproape de conformitate, de exemplu:

  • în funcția de meniu de pe site;
  • în footer;
  • în semnătura din e-mail;
  • pe pagina de Facebook;
  • dacă vei comunica cu potențialii clienți inițial prin telefon, ar trebui să îi inviți să consulte politica de confidențialitate de pe site;
  • dacă vei comunica cu potențialii clienți inițial prin Facebook messenger, ar trebui să le furnizezi link-ul către Politica de confidențialitate, împreună cu invitația de a o lectura;
  • dacă utilizezi chatboți, trebuie să prezinți și această informație;

Te-ar putea interesa și:

Obligatoriu, la fiecare colectare de date (i.e. formulare de contact, formulare pentru înscriere la newsletter, formulare de comandă), trebuie să existe o căsuță nebifată prin care utilizatorul să își dea acordul că a citit și că este de acord cu Politica de confidențialitate. Această operațiune prin care utilizatorul își dă acordul trebuie stocată pentru a putea dovedi faptul că ai informat corespunzător și să te pui la adăpost în eventualitatea unui control sau al unui litigiu în instanță. Persoana fizică neinformată sau informată necorespunzător poate depune atât plângere la ANSPDCP, dar poate intenta și litigiu împotriva ta pentru a solicita despăgubiri.

Politica de confidențialitate trebuie separată în mod clar de Termeni și Condiții prin intermediul unor link-uri/pagini diferite. Termenii și Condițiile nu au legătură cu GDPR, existența lor pe site este cerută de legislația comerțului electronic.

La formularul de comandă, utilizatorul trebuie să accepte atât Termenii și Condițiile, dar și Politica de confidențialitate prin intermediul unor căsuțe/link-uri diferite.

Pentru aplicaţii, nota de informare ar trebui, de asemenea, să fie disponibilă înainte de download. Odată ce aplicaţia este instalată, informaţiile trebuie să fie uşor accesibile în interiorul aplicaţiei. O modalitate de a îndeplini această cerinţă este să se asigure că pentru accesarea informaţiilor nu se utilizează niciodată mai mult de două click-uri şi funcţia de meniu utilizată în aplicaţii ar trebui să includă întotdeauna o secţiune pentru protecţia datelor.

Pasul 5. Actualizarea și/sau modificarea

Politica de confidențialitate ar trebui revizuită cel puțin de două ori pe an pentru a fi actualizată dacă au intervenit ceva modificări în prelucrarea datelor. Este posibil ca în viitor o afacere să colecteze alte date, să transmită diferit datele sau să prelucreze datele în alte scopuri. Aceste modificări trebuie să se regăsească și în Politica de confidențialitate. Noile modificări trebuie aduse la cunoștința utilizatorilor (dacă aceștia au conturi create pe site) sau pot fi aduse la cunoștință prin afișare pe site.

Cum te putem ajuta?

Dacă ai nevoie de un șablon de Politică de confidențialitate la standardele GDPR, ușor de completat și adaptat la activitatea oricărui site/magazin online, cu instrucțiuni de completare, îți recomandăm șablonul nostru (click aici)

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-2.png

Prin hotărârea nr. 747/2019, Judecătoria Sectorului 5 București a obligat Compania Națională „Aeroporturi București” SA să achite reclamantei suma de 10.000 lei daune morale pentru publicarea pe pagina de internet (platforma http://www.bucharestairports.ro) a unei hotărâri societare care conținea datele personale ale reclamantei (CNP, adresă, număr și serie de buletin etc). Instanța a considerat că încălcarea confidențialității acestor date încalcă principiile prelucării datelor: limitarea la ceea ce este necesar (principiul minimizării). 

Ce s-a întâmplat?

Reclamanta a introdus acțiune împotriva pârâtei Compania Națională „Aeroporturi București” SA, solicitând:

  • înlăturarea (ștergerea) datelor personale constând în adresa de domiciliu, cod numeric personal,  data și locul eliberării cărții de identitate publicate și menținute de către societatea pârâtă în cadrul platformei online http://www.bucharestairports.ro;
  • obligarea acesteia la plata unor daune morale în cuantum de 60 000 lei pentru prejudiciul continuu cauzat, constând în lezarea drepturilor garantate privind protecția datelor cu caracter personal prin prelucrarea în cadrul platformei online indicate anterior a datelor cu caracter personal; și
  • obligarea acesteia la plata cheltuielilor de judecată ocazionate de acest proces.

În drept, reclamanta a invocat prevederile Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, prevederile Legii nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului nr. 679/2016, dispozițiile art. 70-77 C.civ., art. 252-253 C.civ., art. 1349 C.civ., art. 1357-1358 C.civ., art. 1382-1382 C.civ., art. 1385-1386 C.civ., art. 194 și următoarele C.proc.civ.

Ce a decis instanța?

Instanța a considerat că fapta ilicită de a publica datele cu caracter personal fără a avea un temei juridic atrage răspunderea civilă delictuală a societății și, în consecință:

  • a obligat pârâta să  inlature (stergerea) datelor personale ale reclamantei constand in adresa de domiciliu, cod numeric personal,  data si locul eliberarii cartii de identitate, publicate si mentinute de parata in cadrul platformei online http//www.bucharestairports.ro;
  • a obligat pârâta la plata către reclamantă a sumei de 10.000 lei – daune morale;
  • a obligat pârâta la plata catre reclamanta a sumei de 625 lei cheltuieli de judecata.

Pentru a decide în sensul celor precizate anterior, instanța a avut în vedere inexistența unui temei legal.

„Cu privire la fondul litigiul, instanța reține că art. 6 din Regulamentul nr. 679/2016 reglementează că prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una din următoarele condiții: persoana vizată și-a dat consimțământul (…), prelucrarea este necesară pentru executarea unui contract , prelucrarea este necesară în vederea îndeplinirii unei obligații legale ce revine operatorului, prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public  sau prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță”

Deși pârâta s-a apărat, invocând că a obținut consimțământul reclamantei, instanța a apreciat că „având în vedere lipsa unui consimțământ expres al reclamantei în sensul publicării datelor sale personale pe site-ul pârâtei și în lipsa unor elemente din care să se întrevadă existența unui consimțământ tacit în același sens, instanța reține inaplicabilitatea art. 6 alin. (1) lit. (a) din Regulamentul nr. 679/2016” .Dacă vrei să afli mai multe despre consimțământul GDPR, poți consulta ghidul nostru de aici, iar formulare de consimțământ la standardele GDPR găsești în pachetul nostru de formulare (click aici)

Recomandări. Concluzii

Decizia instanței întărește concluzia că protecția datelor cu caracter personal este un subiect de maximă importanță în actualul context economic și social. Se spune că datele sunt noua monedă de schimb, prin urmare companiile trebuie să întreprindă acțiuni concrete pentru a respecta drepturile persoanelor fizice cu privire la protecția și confidențialitatea datelor cu caracter personal. Pentru a evita litigiile, vă recomandăm următoarele:

Înțelegeți noile prevederi europene și naționale în materie de protecție a datelor. Externalizarea poate părea o soluție la îndemână, însă personalul companiei trebuie să fie instruit corespunzător pentru a proteja datele și a respecta drepturile persoanelor vizate. Vă recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. 

Înțelegeți că GDPR este despre protecția datelor persoanelor fizice, de aceea, aveți grijă să aveți focusul potrivit – către persoana fizică vizată. Clientul, angajatul, candidatul, colaboratorul, reprezentatul sau persoana de contact din cadrul unei companii sunt persoane vizate, iar datele lor trebuie protejate. Înțelegeți-le drepturile și respectați-le. 

Numiți un responsabil cu protecția datelor, chiar dacă nu este necesar. În mod ideal, ar trebui că responsabilul să fie un angajat care să fie la curent cu activitățile de zi cu zi ale companiei, însă, în măsura în care doriți să apelați la un responsabil extern, asigurați-vă că îl țineți la curent cu toate activitățile companiei care pot afecta viața privată a persoanelor fizice. De aemenea, responsabilul cu protecția datelor ar trebui verificat că își îndeplinește sarcinile, deoarece răspunderea este a companiei, indiferent că a numit sau nu un responsabuil cu protecția datelor. În situația unei amenzi sau a unor despăgubiri, compania se poate îndrepta împotriva responsabilului dacă prin acțiunea sau inacțiunea lui a declanșat premisele unei răspunderi.

Implementați juridic, tehnic și organizatoric prevederile GDPR și aveți grijă să documentați în scris toate procesele. Având în vedere că atât în instanță, cât și în fața ANSPDCP pot fi aduse înscrisuri care să ateste că v-ați respectat obligațiile, documentația nu este opțională, ci obligatorie. Vă recomandăm KIT-ul nostru de implementare, care conține documentația standard și adaptabilă oricărei companii (click aici).

 

Te-ar putea interesa și:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png

Informarea candidatului în temeiul GDPR ridică ceva probleme în practică. Cum ar trebui să arate nota de informare? Cum informăm când recrutăm prin companii și site-uri de recrutare? Când și cum informăm în mod adecvat candidatul? Ne propunem să răspundem la aceste întrebări și să găsim împreună soluții eficiente și practice pentru a respecta dreptul la informare al potențialului angajat.

📢 Context

Dimineața, când ajung la locul de muncă, angajații nu atârnă în cui dreptul la viață privată. Deși important în actualul context economic și social, dreptul la viață privată nu este un drept absolut deoarece se intersectează cu interesele comerciale ale companiilor și, prin urmare, trebuie căutat și găsit întotdeauna un echilibru între prelucrarea datelor cu caracter personal și celelalte interese.

În procesul de recrutare, companiile au nevoie de date cu caracter personal pentru a recruta candidatul potrivit. Recent, am participat la un eveniment în domeniul GDPR unde publicul majoritar era format de persoane care lucrau în HR și recrutare. Am întrebat câteva persoane din public cum se descurcă cu GDPR și mi s-a răspuns că nu s-a înțeles mare lucru, de aceea îmi propun să trec în revistă principiile-cheie de care ar trebui să țineți cont pentru a respecta GDPR atunci când recrutați.

În prezentul articol, voi explica cum respectăm dreptul la informare al unui potențial angajat, acest drept fiind deosebit de important și prin prisma faptului că cele mai multe plângeri și sancțiuni GDPR s-au legat de nerespectarea dreptului la informare de către companii.

Întrucât GDPR îşi propune să consolideze viaţa privată, să dea înapoi persoanelor vizate controlul asupra propriilor date şi să îmbunătăţească tratamentul responsabil al datelor cu caracter personal de către organizaţii, drepturile persoanelor vizate au fost consolidate în temeiul regulamentului, iar informarea persoanei vizate trebuie să respecte standarde mult mai ridicate față de vechea reglementare.

 

📚 Informarea candidatului printr-o notă de informare

Potrivit GDPR, candidatul trebuie să fie informat, înainte de prelucrarea datelor, cu privire la modalitatea în care compania îi prelucrează. Informarea ar trebui să se realizeze printr-o notă de informare de informare care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles. Un model de notă de informare la standardele cerute de GDPR găsiți în kitul nostru de implementare aici  împreună cu celelalte documente și proceduri GDPR.

 

📚 Ce trebuie să conțină nota de informare?

Nota de informare trebuie să conțină toate informațiile prevăzute de art. 13 și 14 din GDPR, așa cum am detaliat aici.  La un nivel minim, nota de informare trebuie să explice candidatului ce date sunt colectate, care sunt scopurile, temeiurile legale și ce se întâmplă efectiv cu aceste date.

 

📚 Când și cum furnizăm nota de informare?

Potrivit GDPR, dacă datele sunt obținute direct de potențialul angajat (de exemplu, prin transmiterea CV-ului), informarea trebuie să se realizeze la momentul colectării datelor.

🙂Exemplu #1 Candidatul aplică la un job pe LinkedIn. După ce compania primește CV-ul și/sau alte date ale candidatului, compania ar putea trimite un e-mail către potențialul angajat prin care îi confirmă primirea candidaturii și îi trimite în atașament nota de informare sau îi transmite link-ul pentru a fi consultată online. Site-ul companiei ar putea deține, din rațiuni practice, o notă de informare pentru candidați pentru a putea fi consultată cu ușurință în orice moment.

Important de menționat este și faptul că informarea trebuie să se realizeze la momentul colectării datelor, iar nu la momentul la care candidatul se prezintă la interviu. Dacă CV-ul ajunge pe 15 mai 2019 pe serverele unei companii, iar informarea se realizează abia pe 1 iunie 2019 (data interviului), compania nu respectă termenul prevăzut de GDPR.

 

 

Cu toate acestea, informarea fiecărui candidat poate avea costuri operaționale ridicate, de aceea companiile ar putea utiliza, cu ajutorul tehnologiei disponibile, soluții creative și eficiente pentru a informa candidații, ca de exemplu:

  • postarea notei de informare sau link-ului către nota de informare în interiorul anunțului de recrutare;
  • prin intermediul unei căsuțe la formularul de recrutare prin care candidatul bifează că a luat la cunoștință nota de informare;
  • prin intermediul includerii în textul e-mailului sau al mesajului trimis pe site-urile profesionale (i.e. LinkedIn), faptul că nota de informare poate fi accesată prin următorul link.

 

Te-ar putea interesa și: 

 

Semnătura nu este obligatorie, însă companiile trebuie să poată face dovada că au informat candidații la momentul colectării datelor. De aceea, în măsura în care se optează pentru una dintre soluțiile descrise mai sus, companiile trebuie să includă informația relevantă GDPR într-un format accesibil și care să se diferențieze în mod clar de alte informații. Ar putea fi utilizate în acest sens funcții precum bold, italic și/sau grafică, animații. De asemenea, companiile trebuie să păstreze dovezile că au informat persoanele pentru a fi la adăpost în eventualitatea unui control.

De asemenea, toți candidații trebuie informați, indiferent dacă vor corespunde criteriilor de selecție și indiferent dacă ajung în etapa interviului sau nu.

 

 

Totodată, potrivit GDPR, dacă datele nu sunt obținute de la candidat, ci din alte surse (de exemplu, recomandări), informarea candidatului trebuie să se realizeze:

  • într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună,
  • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu respectivul candidat, cel târziu în momentul primei comunicări;sau
  • dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

 

🙂 Exemplu #2 Compania ABC SRL are deschisă o poziție de designer UX/UI. ABC SRL primește de la un angajat datele de contact și CV-ul unui potențial angajat. În această situație, ABC SRL va informa candidatul (1) într-un termen nu mai mare de o lună; sau (2) la momentul la care  intră în legătură efectivă cu el; sau (3) la momentul la care trimite datele către un alt destinatar. Cu toate acestea, dacă ABC SRL va intra în contact cu potențialul angajat după ce va trece o lună de la data primirii datelor, din textul GDPR (art. 14) informarea trebuie să se realizeze înainte de împlinirea termenului de o lună.


Te-ar putea interesa și:

 

📚 Cine informează în situația firmelor și site-uri de recrutare? 

În măsura în care se folosesc site-uri (i.e. bestjobs) sau companii de recrutare, informarea trebuie să se realizeze atât direct către compania care recrutează prin aceste site-uri, dar și de către companiile și site-urile respective.  

Pentru a simplifica  procedura de informarea, companiile care angajează și site-urile sau companiile de recrutare, având calitatea de operatori asociați, ar putea încheia un contract care să prevadă că obligația de informare revine doar uneia dintre părți, în caz contrar, fiind două entități distincte, fiecare va trebui să informeze candidatul.

🙂 Exemplu #3: Compania XYZ SRL a postat un anunț de angajare pe un site de recrutare. Utilizatorul interesat de un loc de muncă își creează un cont, oferind datele sale (inclusiv CV-ul) platformei de recrutare. Înainte de crearea contului, utilizatorul este informat de către platformă, prin intermediul unei note de informare, cu privire la modalitatea în care această platformă îi prelucrează datele. Mai târziu, când candidatul aplică la un job postat de compania XYZ SRL, aceasta trebuie să informeze candidatul prin intermediul altei note de informare.

 

Te-ar putea interesa și: 

 

Este nevoie de o nouă informare atunci când candidatul devine angajat? 👓

Depinde de cum este formulată nota de informare. Dacă nota de informare este redactată într-o manieră care să acopere atât faza de selecție, cât și perioada de muncă, este suficientă o singură informare. Dacă nota de informare acoperă doar informațiile colectate în faza de selecție, va trebui să informăm din nou persoana atunci când aceasta devine angajat cu privire la felul în care îi prelucrăm datele în noua postură de angajat.

 

💡 Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


Dezmoștenirea-în-Codul-Civil-3.png

Dreptul de a fi uitat sau dreptul la ștergerea datelor

GDPR introduce dreptul persoanelor fizice de a fi uitat sau de a  șterge datele cu caracter personal.

  • Dreptul la ștergere este, de asemenea, cunoscut ca “dreptul de a fi uitat”.
  • Persoanele fizice pot face o cerere de ștergere verbală sau în scris.
  • Aveți la dispoziție o lună să răspundeți la solicitare.
  • Dreptul nu este absolut și se aplică numai în anumite circumstanțe.
  • Acest drept nu este singurul mod în care GDPR vă obligă să vă hotărâți să ștergeți datele cu caracter personal.

Listă de verificare

Cum ne pregătim?

  • Știm cum să recunoaștem o cerere de ștergere și înțelegem când se aplică dreptul.
  • Avem o procedură pentru a ști concret cum să identificăm și cum să răspundem la o cerere de ștergere.
  • Avem un registru unde înregistrăm cererile. 
  • Înțelegem când putem refuza o cerere și suntem conștienți de informațiile pe care trebuie să le furnizăm persoanelor atunci când facem acest lucru.

Cum răspundem?

  • Există procese prin care ne asigurăm că răspundem la o cerere de ștergere fără întârzieri nejustificate și în termen de o lună de la primire.
  • Suntem conștienți de circumstanțele în care putem prelungi termenul pentru a răspunde la o solicitare.
  • Înțelegem că se pune un accent deosebit pe dreptul de a fi uitat dacă cererea se referă la datele colectate de la copii.
  • Avem proceduri pentru a informa destinatarii dacă ștergem orice date pe care le-am împărtășit cu ei.
  • Avem metode adecvate pentru a șterge informațiile.

 

 

Ce reprezintă dreptul de a fi uitat?

În conformitate cu articolul 17 din GDPR, persoanele fizice au dreptul de a șterge datele cu caracter personal. Acest lucru este, de asemenea, cunoscut ca “dreptul de a fi uitat”. Dreptul nu este absolut și se aplică doar în anumite circumstanțe.

 

Când se aplică dreptul de a fi uitat?

Persoanele fizice au dreptul de a șterge datele lor personale dacă:

  • datele nu mai sunt necesare pentru scopul pentru care le-ați colectat sau le-ați prelucrat inițial;
  • vă bazați pe consimțământ ca temei legal pentru păstrarea datelor și persoana își retrage consimțământul;
  • vă bazați pe interesul legitim ca temei pentru prelucrare, iar persoana obiectează la prelucrarea datelor și nu există niciun interes legitim pentru a continua această prelucrare;
  • prelucrați datele personale în scopuri de marketing direct și persoana obiectează la prelucrarea respectivă;
  • ați prelucrat datele cu caracter personal în mod ilegal;
  • trebuie să faceți acest lucru pentru a respecta o obligație legală; sau ați prelucrat datele pentru a oferi unui copil servicii ale societății informaționale.

 

Cum se aplică dreptul de ștergere datelor colectate de la copii?

Se pune accent pe dreptul de a șterge datele cu caracter personal dacă cererea se referă la datele colectate de la copii. Aceasta reflectă protecția sporită a informațiilor copiilor, în special în mediul online, în cadrul GDPR.

Prin urmare, dacă prelucrați datele colectate de la copii, trebuie să acordați o importanță deosebită oricărei solicitări de ștergere, dacă prelucrarea datelor se bazează pe consimțământul dat de un copil – în special orice prelucrare a datelor personale pe internet. Acest lucru este valabil și în cazul în care persoana vizată nu mai este copil, deoarece este posibil ca un copil să nu fi fost pe deplin conștient de riscurile implicate de prelucrare în momentul acordării consimțământului.

 

Te-ar putea interesa și: 

 

Trebuie să înștiințăm celelalte organizații despre ștergerea datelor cu caracter personal?

GDPR specifică două situații în care trebuie să comunicați altor organizații ștergerea datelor cu caracter personal:

  • datele cu caracter personal au fost divulgate; sau
  • datele personale au fost făcute publice într-un mediu online (de exemplu, pe rețelele sociale,forumuri sau site-uri web).

Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare destinatar și să îl informați despre ștergere, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.

GDPR definește un beneficiar ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia i se dezvăluie datele cu caracter personal. Definiția include operatoii, persoanele împuternicite și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite sunt autorizate să prelucreze date cu caracter personal.

În cazul în care datele cu caracter personal au fost făcute publice într-un mediu online, ar trebui luate măsuri rezonabile pentru a informa alți operatori care prelucrează datele cu caracter personal pentru a șterge legăturile, copiile sau replicarea acestor date. Atunci când decideți ce măsuri sunt rezonabile, trebuie să țineți cont de tehnologia disponibilă și costul implementării.

 

Trebuie să ștergem datele personale din sistemele backup?

Dacă se primește o solicitare valabilă de ștergere și nu se aplică nicio excepție, va trebui să luați măsuri pentru a asigura ștergerea din sistemele backup, precum și din sistemele live. Acești pași vor depinde de circumstanțele dvs. specifice, de programul dvs. de stocare (în special în contextul copierii de rezervă) și de mecanismele tehnice disponibile.

Trebuie să fiți absolut clari când înștiințați persoanele cu privire la ce se va întâmpla cu datele lor atunci când cererea lor de ștergere este îndeplinită, inclusiv în ceea ce privește sistemele backup. Este posibil ca cererea de ștergere să poată fi îndeplinită instantaneu în ceea ce privește sistemele live, dar ca datele să rămână în backup pentru o anumită perioadă de timp, până când va fi suprascris.

Problema cheie este de a pune datele de rezervă “dincolo de utilizare”, chiar dacă nu pot fi suprascrise imediat. Trebuie să vă asigurați că nu utilizați datele din copia de rezervă pentru niciun alt scop, ceea ce înseamnă că backup-ul este pur și simplu ținut pe sistemele dvs. până când este înlocuit în conformitate cu un program stabilit. Cu toate acestea, este puțin probabil ca păstrarea datelor cu caracter personal în rezervă să reprezinte un risc semnificativ, deși acest lucru va fi specific contextului.

 

 

 

Când nu se aplică dreptul de a fi uitat?

Dreptul de a fi uitat nu se aplică în cazul în care prelucrarea este necesară pentru persoana vizată în următoarele situații:

  • când exercită dreptul la libertatea de exprimare și de informare;
  • când trebuie să respecte o obligație legală;
  • pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității publice;
  • pentru scopuri de arhivare în interes public, cercetare științifică istorică sau scopuri statistice, în cazul în care ștergerea este de natură să facă imposibilă sau să afecteze în mod grav realizarea prelucrării respective; sau
  • pentru stabilirea, exercitarea sau apărarea unui drept în instanță

De asemenea, GDPR specifică două situații în care dreptul de a fi uitat nu se aplică datelor de categorie specială:

  • dacă prelucrarea este necesară în scopuri de sănătate publică în interesul public (de exemplu, protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau dispozitivelor medicale); sau
  • în cazul în care prelucrarea este necesară în scopurile medicinii preventive sau profesionale (de exemplu, în cazul în care prelucrarea este necesară pentru capacitatea de muncă a unui angajat, pentru diagnosticul medical, pentru furnizarea de asistență medicală sau socială sau pentru gestionarea sănătății sau sociale sisteme sau servicii de îngrijire). Aceasta se aplică numai în cazul în care datele sunt prelucrate de către sau sub responsabilitatea unui profesionist care face obiectul unei obligații legale privind secretul profesional (de exemplu, un profesionist în domeniul sănătății).

 

Te-ar putea interesa si:

 

Putem refuza să ne conformăm unei cereri din alte motive?

Puteți refuza să vă conformați unei solicitări de ștergere dacă este vădit nefondată sau excesivă, luând în considerare dacă cererea are un caracter repetitiv.

Dacă considerați că o cerere este vădit nefondată sau excesivă, puteți să:

  • solicitați o “taxă rezonabilă” pentru a răspunde cererii; sau
  • refuza să răspundeți la cerere.

În ambele cazuri, va trebui să vă justificați decizia.

 

Ce ar trebui să facem dacă refuzăm să dăm curs unei cereri de ștergere?

Trebuie să informați persoana respectivă fără întârzieri nejustificate și în termen de o lună de la primirea cererii.

Trebuie să informați persoana despre:

  • motivele pentru care nu acționați;
  • dreptul lor de a adresa o plângere autorității de supraveghere și posibilitatea de a-și exercita acest drept printr-o cale de atac judecătorească.

De asemenea, trebuie să furnizați aceste informații dacă solicitați o taxă rezonabilă sau aveți nevoie de informații suplimentare pentru a identifica persoana respectivă.

 

Sursa aici

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



arhive-drepturile-persoanei-vizate-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord