Aici descoperim
dreptul tehnologiei

collection-people-wearing-medical-masks_52683-35394.jpg

Pandemia de Coronavirus, COVID 19 și declararea stării de urgență a generat provocări fără precedent în toate domeniile, inclusiv în domeniul muncii și al relației dintre angajatori și angajați.

Pentru a opri răspândirea virusului, numeroși angajatori implementează politici și proceduri de prevenire menite să limiteze gradul de contaminare a personalului și solicită angajaților să completeze periodic chestionare în vederea monitorizării stării de sănătate a angajaților lor, a planurilor lor de călătorie în cadrul muncii și în afara acesteia, precum și a posibilelor lor contacte cu persoane infectate din afara locului de muncă.

Însă, orice prelucrare a datelor privind sănătatea salariaților, care reprezintă o categorie specială de date cu caracter personal și beneficiază de o protecție ridicată potrivit GDPR și legislației naționale, în contextul COVID-19, trebuie efectuată, în continuare, într-o manieră responsabilă și eficientă.

În acest sens, Andrea Jelinek, președintele Comitetului European pentru Protecția Datelor (EDPB), a declarat că: „Normele de protecție a datelor (precum GDPR) nu împiedică măsurile luate în lupta împotriva pandemiei coronavirusului. Cu toate acestea, aș dori să subliniez faptul că, chiar și în aceste perioade excepționale, operatorul de date trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate. Prin urmare, trebuie luate în considerare o serie de considerații pentru a garanta prelucrarea legală a datelor cu caracter personal.

La nivel național, Autoritatea Naționala de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a publicat pe 18.03.2020 un comunicat cuprinzând informații clare cu privire la folosirea corectă a datelor personale ale angajaților, care cuprind starea de sănătate a acestora, în legătura cu următoarele aspecte:

Condițiile în care pot fi prelucrate datele privind starea de sănătate de către un operator în conformitate cu Art. 9 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, după cum urmează:

  • prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale,
  • prelucrarea este necesară în scopuri legate de medicina preventivă (…), de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical” şi sub rezerva respectării anumitor condiţii şi garanţii,
  • prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale,
  • persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicţia prelucrării acestor date să nu poată fi ridicată prin consimţământul persoanei vizate.

Te-ar putea interesa și:

 

Obligația de informare a persoanei vizate, care trebuie să fie într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu și să conțină informaţiile menţionate la articolele 13 şi 14 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.

 

 

 

Măsurile de securitate care trebuie adoptate de către operatori în conformitate cu 32 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, care reglementează ”Securitatea prelucrării” și stabilește obligația operatorilor și persoanelor împuternicite de aceștia pentru implementarea măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător.

Garanția că prelucrarea se efectuează în conformitate cu Regulamentul care trebuie oferita si demonstrata de către operatori, care trebuie să ia masurile tehnice măsuri tehnice și organizatorice adecvate în conformitate cu 24 alin. (1) din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.

!Dezvăluirea în spațiul public a numelui și stării de sănătate a unei persoane fizice, care se poate realiza doar cu consimțământul persoanei în cauză.

KIT GDPR Premium

 

Deși nu conține referiri la activități specifice de prelucrare de date, comunicatul atrage atenția asupra aplicării cadrului GDPR, chiar și în actuala situație de urgență, cel puțin până când o măsură legislativă va restricționa drepturile prevăzute de GDPR.

Având în vedere balanța delicată care se constituie între protecția sănătății publice și protecția datelor, în ultimele săptămâni autoritățile pentru protecția datelor din mai multe țări europene au întocmit ghiduri cu drepturile angajaților în legătura cu epidemia de Coronavirus, din punct de vedere GDPR, are au servit ca linii directoare de aplicare a prevederilor legale in acest context.

Ce nu au voie să facă angajatorii:

În conformitate cu aceste ghiduri, angajatorilor nu le este permis:

  • Să colecteze informații referitoare la temperatura corporală a angajaților.
  • Să solicite angajaților să completeze chestionare zilnice referitoare la sănătatea lor (cum ar fi simptome, tuse, temperatura, etc.).
  • Să dezvăluie public identitatea unui angajat suspectat ca are simptomele corespunzătoare COVID-19 si care sunt masurile luate de companie în acest caz, cum ar fi izolarea, lucrul de acasă, menținerea contactului cu medicul etc.).
  • Să facă investigații referitoare la călătoriile individuale ale angajaților, la contactele angajaților si sănătatea acestora. Angajatorii pot implementa proceduri de informare, conștientizare si responsabilizare a salariaților prin care aceștia sunt invitați să declare dacă au călătorit în zone de risc sau dacă prezintă simptome specifice COVID-19.
  • Să solicite informații cu privire la diagnosticarea salariaților cu COVID-19. Înregistrările referitoare la sănătatea salariaților trebuie sa se limiteze la ceea ce este necesar pentru a permite angajatorului sa pună in aplicare masuri de sănătate si securitate în muncă.
  • Să monteze dispozitive sau să instaleze aplicații de localizare a angajaților. Introducerea unor modalități de supraveghere a salariaților în contextul raporturilor de muncă se poate face numai cu respectarea condițiilor speciale prevăzute de Legea nr. 190/2018. Pandemia nu poate constitui, însă, conform legii, o justificare temeinică pentru montarea de dispozitive sau instalarea unor astfel aplicații de localizare a angajaților.

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



privacy.png

Drepturile persoanelor fizice conferite de Regulamentul GDPR. Secolul XXI, denumit și secolul vitezei a adus schimbări fundamentale în societatea noastră. Dacă în trecut era de neconceput să existe telefoane fără fir și tot felul de dispozitive ce funcționează datorită inteligenței artificiale și care vin în ajutorul omului modern, azi nu doar că acest lucru este posibil, ci chiar este îmbunătățit mereu.

Evoluția tehnologiei, uimitoare de altfel,  reprezintă nu doar un ajutor ci și o mare responsabilitate pentru oameni. Aceștia trebuie să găsească soluții eficace pentru a prezerva lucrurile de care se bucură în prezent și generațiilor viitoare. În fiecare zi, ne  trezim și fie că vrem sau nu intrăm în contact cu tehnologia. 

Cu toate acestea, nu foarte mulți indivizi observă sau își pun întrebări în legătură cu datele introduse în diverse sisteme informatice de pe calculator, telefon, tabletă etc. Să luăm un exemplu banal: dorim să ne facem abonament la internet.  Care este primul pas? Alegem un furnizor de servicii care să corespundă necesităților și așteptărilor noastre. 

După vom merge la sediul acestuia pentru a încheia contractul. Odată ajunși aici vom da cartea de identitate pentru introducerea datelor în contract, iar acest lucru se realizează de către operatori folosind un computer. Întrebările care perindă în mintea noastră sunt: ce se întâmplă cu datele mele personale? Sunt ele în siguranță? 

Răspunsul este unul relativ simplu dar care necesită câteva nuanțări. Datele furnizate vor fi prelucrate de către acel furnizor iar acesta este obligat să asigure o bună protecție a acestora. În plus există și reglementări care garantează acest lucru. Astfel, în anul 2016 Uniunea Europeană a adoptat Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date. În cadrul acestui Regulament sunt prevăzute o serie de drepturi de care poate dispune orice persoană fizică. Care sunt aceste drepturi?

1.Dreptul la informare

Regulamentul GDPR oferă posibilitatea oricărui individ de a se informa asupra datelor sale personale. Acesta are  dreptul să solicite informații privind scopul, temeiul legal pentru care datele sale personale sunt prelucrate, destinatarii acestor date, perioada de  stocare, dacă sunt transferate către țări terțe, precum și datele de contact ale operatorului. Operatorul este definit de Regulamentul GDPR drept „persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal.” Cu alte cuvinte, el stabilește destinația datelor dar și modul de gestionare al acestora. 

Operator poate fi un furnizor de servicii și chiar în mod surprinzător un administrator al unei pagini de facebook. Astfel, în cauza C‑210/16, firma Wirtschaftsakademie oferea  servicii de formare prin intermediul unei pagini pentru fani găzduite de Facebook. Aceasta a fost sancționată de ULD (autoritatea de supraveghere de pe teritoriul landului Schleswig‑Holstein) pentru că nici ea și nici Facebook nu informau vizitatorii paginii că colectau informații cu caracter personal ce ulterior erau prelucrate. Curtea de Justiție a Uniunii Europene a decis că  noțiunea „operator” înglobează și administratorul unei pagini pentru fani găzduite pe o rețea socială.  Beneficiază de dreptul la informare atât persoanele care au furnizat direct informațiile cât și indivizii de la care nu au fost obținute personal.

Te-ar putea interesa și: Informarea persoanei vizate. Cum facem să corespundă prevederilor GDPR?

 

2.Dreptul  de acces

Persoanele a căror date sunt procesate au dreptul de a primi o confirmare din partea operatorilor de date cu caracter personal, un drept de acces la informațiile respective dar și despre modul în care vor fi prelucrate. În acest sens, operatorul va furniza informații despre scopul prelucrării, destinatarii datelor, dreptul de a depune o plângere în fața autorității competente, transferul lor către țări terțe și garanțiile oferite pentru un transfer cât mai sigur. 

În plus, persoanele vizate pot obține o copie a datelor cu caracter personal. Art. 15 al. (3) din Regulamentul GDPR vine în completarea acestei prevederi legale dispunând că „pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă, bazată pe costurile administrative.” Un exemplu destul de simplu pentru a înțelege cât mai bine mecanismul acestui drept este conferit chiar de raporturile de muncă. Între angajator și angajat se încheie un contract de muncă; ulterior salariatul poate cere oricând accesul la dosarul personal. Cu toate acestea dreptul de acces conține și anumite limite. 

Te-ar putea interesa și:

 

Operatorul poate să refuze să răspundă unei cereri ce are caracter abuziv sau repetitiv. De asemenea, poate refuza accesul la date, motivat și informând persoanele despre termenele și posibilitatea de a contesta decizia. Așadar, fiecare dintre noi beneficiem de acest drept și trebuie să ne asigurăm că îl exercităm fără a aduce atingere drepturilor celorlalți. Astfel, în exemplu precedent cu raportul de muncă salariatul nu poate obține dosarul cu datele personale ale altui angajat.

3.Dreptul la rectificare 

Acest drept poate fi exercitat în cazul în care datele sunt inexacte, incomplete, echivoce sau perimate.  Persoana vizată va aduce la cunoștința operatorului aceste nereguli, iar acesta le va rectifica în cel mai scurt timp. Totodată operatorul este obligat să transmită rectificările destinatarilor datelor cu caracter personal. Mai multe despre dreptul la rectificare poți afla aici. 

 

 

4.Dreptul la ştergerea datelor (dreptul de a fi uitat”)

Acest drept este unul fundamental deoarece dă persoanelor vizate un drept de dispoziție asupra datelor cu caracter personal. Astfel, orice persoană poate cere ștergerea datelor pentru următoarele motive:

  • scopul pentru care au fost colectate sau procesate a fost atins;
  • persoana vizată „îşi retrage consimţământul pe baza căruia are loc prelucrarea  şi nu există niciun alt temei juridic pentru prelucrarea;”
  • persoana se opune prelucrării datelor ( dreptul de opoziție prevăzut de Regulamentul GDPR în art. 21)
  • datele au fost ilegal procesate;
  • există o obligație legală a operatorului prevăzută de dreptul Uniunii Europene sau de dreptul intern de a șterge aceste date;
  • datele cu caracter personal au fost „colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la articolul 8 alineatul (1).” Articolul 8 alin. 1 se referă la prelucrarea datelor copiilor cu vârsta de 16 ani ( prelucrare legală) și a celor sub 16 ani ( prelucrarea este legală dacă titularul autorității părintești își dă consimțământul, în caz contrar, este ilegală).

Operatorul într-un termen rezonabil va șterge datele cu caracter personal și va informa și destinatarii acestor date despre solicitarea făcută de persoana vizată. Acesta nu este responsabil, dacă ulterior aceste date sunt reutilizate de către alți operatori, întrucât el are doar o obligație de mijloace. Operatorul va șterge datele cu caracter personal precum și orice copii ale acestora. Deși acest drept poate fi exercitat oricând, el conține anumite limitări. Astfel, prelucrarea este necesară în următoarele cazuri:

  • pentru exercitarea dreptului la liberă exprimare şi la informare; 
  • pentru constatarea, exercitarea sau apărarea unui drept în instanţă;
  • din motive de interes public în domeniul sănătăţii publice;
  • în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice;
  • pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul.

Mai multe despre dreptul la ștergere poți afla aici. 

KIT GDPR Premium

 

5.Dreptul la restricţionarea prelucrării

Prin intermediul acestui drept o persoană poate limita modul în care un operator îi folosește datele cu caracter personal. Cu toate acestea, dreptul nu este unul discreționar, fiind exercitat în anumite circumstanțe prevăzute de articolul 18 din Regulamentul GDPR:

  • persoana vizată contestă exactitatea datelor personale- este o restricționare temporară operatorul făcând toate verificările necesare
  • datele au fost prelucrate ilegal, iar persoana vizată se opune ștergerii și solicită restricția în schimb;
  • operatorul nu mai are nevoie de datele personale dar persoana i le solicită pentru exercitarea sau apărarea dreptului în instanță;
  • persoana vizată s-a opus prelucrării datelor în conformitate cu articolul 21 alineatul (1)- operatorul va verifica dacă interesul său legitim prevalează asupra interesului personal.

Operatorul poate refuza cererea de restricționare a persoanei vizate dacă este nefondată sau are caracter repetitiv. 

Mai multe despre acest drept poți afla aici. 

6. Dreptul la portabilitatea datelor

Acest drept a fost introdus prin Regulamentul GDPR și oferă posibilitatea persoanelor vizate de a primi datele personale într-o manieră cât mai clară și structurată. În plus ele pot fi stocate și transmise ușor de la un operator la altul.  Orice date furnizate pot face obiectul dreptului la portabilitate? Răspunsul este nu. Doar datele prelucrate pe bază de consimțământ dat în mod legal conform articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a)-adică consimțământul dat pentru scopuri specifice și cel dat pentru executarea unui contract.

O graniță destul de fină în cazul acestui drept există atunci când datele altei persoane fac obiectul unei cereri de portabilitate. Un exemplu elocvent în acest caz ar fi e-mailul prin care cerem datele bancare ale unei altei persoane în scopul efectuării unui transfer bancar. Ar trebui furnizate aceste date sau nu? Răspunsul este că depinde de situație. S-a susținut că datele unei alte persoane pot fi furnizate persoanei care formulează o cerere și transmise unui alt organism dacă se face în scop strict personal iar persoana face parte din anturajul persoanei vizate.

7. Dreptul la opoziţie

Dreptul la opoziție constă din refuzul de a permite prelucrarea datelor pentru motive ce țin de „situația particulară”a oamenilor. Astfel, se va analiza fiecare caz în parte înainte de a se da curs unei cereri privind acest drept. Totodată dreptul nu este limitat în timp, persoana vizată având posibilitatea de a se opune în orice moment prelucrării. La fel se întâmplă și în cazul colectării de date în scop de marketing direct.

Dacă datele au început deja să fie prelucrate se poate solicita ștergerea lor (dreptul de a fi uitat). Operatorul are totuși o pârghie de salvare dacă dovedește că are motive legitime justifică prelucrarea şi care prevalează asupra drepturilor persoanei vizate sau dacă aceste date au ca scop constatarea, exercitarea sau apărarea unui drept în instanţă. 

 

Regulamentul conține și anumite derogări de la aceste drepturi fundamentale prevăzute de articolul 89. Derogările privesc activitățile de cercetare ştiinţifică sau istorică, prelucrarea în scopuri de arhivare în interes public ori în scopuri statistice. 

La nivel național, legiuitorul român a stabilit măsurile de punere în aplicare a RGPD prin Legea nr 190/2018. Acesta a instituit chiar și o nouă derogare de la Regulament în legătură cu prelucrarea datelor cu caracter personal în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare ( articolul 7 din lege). În plus, pentru garantarea   respectării drepturilor fundamentale la viaţă privată și la protecţia datelor personale, a fost desemnată drept apărător Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

În contextul pandemiei cu COVID-19 este necesar să respectăm Regulamentul GDPR? DA, chiar și în contextul instituirii stării de urgență operatorul trebuie să asigure o prelucrare legală a datelor cu caracter persoanal. Acest lucru este susținut și de Andrea Jelinek, președintele European Data Protection Board „Normele de protecție a datelor (precum este GDPR) nu împiedică măsurile luate în lupta împotriva pandemiei coronavirusului. Cu toate acestea, aș dori să subliniez faptul că, chiar și în aceste momente excepționale, operatorul de date trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate.” 

                                                                  Articol realizat de Guță Mădălina-Gabriela Master, Universitatea „Alexandru Ioan Cuza” din Iași

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Bibliografie:

Alatis, Quels sont les nouveaux droits des personnes dont les données sont traitées?, disponibil online:http://alatis.eu/actualites/rgpd-quels-sont-les-nouveaux-droits-des-personnes-concernees-par-le-traitement-de-leurs-donnees/

Aurélien Bamdé, RGPD: le droit de rectification, disponibil online la: https://aurelienbamde.com/2018/12/23/rgpd-le-droit-de-rectification/

CNIL, Le droit à la portabilité en questions, disponibil online: https://www.cnil.fr/fr/le-droit-la-portabilite-en-questions

Hotărârea Curții de Justiție a Uniunii Europene (cauza C‑210/16) disponibilă online la: http://curia.europa.eu/juris/document/document.jsf;jsessionid=98E3B8C53A43F8D41070907AA4C48B3E?text=&docid=202543&pageIndex=0&doclang=RO&mode=lst&dir=&occ=first&part=1&cid=962998

Lege nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE disponibilă online la:https://www.dataprotection.ro/servlet/ViewDocument?id=1520

Prelucrarea datelor în contextul COVID-19,disponibil la: https://gdprcomplet.ro/prelucrarea-datelor-covid-19/

Regulament nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) disponibil online la:https://www.dataprotection.ro/servlet/ViewDocument?id=1262

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



bangkok-thailand-october-07-2019-hand-is-pressing-facebook-screen-apple-iphone-social-media-are-using-information-sharing-networking_2034-1741.jpg

„Informaţia este sufletul tuturor afacerilor publice” – Daniel Defoe.

Acest citat este edificator pentru situația actuală a informațiilor. Omenirea a fost preocupată constant de modalități de exploatare a resurselor, cele mai mari industrii din lume activând în domenii precum cel al energiei electrice sau al petrolului.

Astăzi putem spune cu certitudine că „informația” a devenit una dintre cele mai importante resurse ale omenirii. Ea poate fi cuantificată și cel mai important, ea a căpătat o valoare economică. Din aceste considerente, a fost necesar ca dobândirea și folosirea ei să capete o reglementare juridică amplă, cu titlu de exemplu în acest sens menționăm Regulamentul (UE) 679/2016 („Regulamentul General privind protecția datelor” sau „GDPR”) și Scutul de confidențialitate UE – SUA (Privacy Shield). 

Informațiile tale de la Facebook

Facebook a devenit unul dintre actorii principali ai internetului și conform Deciziei nr. 4546/2014 pronunțată de Înalta Curte de Casație și Justiție din România acesta a căpătat astfel și înțelesul de „spațiu public” . A devenit necesar ca fiecare dintre noi să poată să acceseze informațiile personale și să fie în controlul acestora. Facebook a venit cu o serie de lămuriri în acest sens și explicații pentru fiecare procedură.

În ceea ce privește Politica de utilizare a datelor, Facebook definește principalele categorii de date ce pot fi prelucrate atât de aplicație (inclusiv Messenger, Instagram) și alte produse și funcții oferite de facebook. Conform acesteia Facebook prelucrează următoarele categorii de date: „Lucruri pe care le faceți și informații pe care le furnizați dvs. și alte persoane”, „Informații despre dispozitiv” și „Informații de la parteneri”.Aceasta se poate regăsi în integralitate prin accesarea următorului link: https://www.facebook.com/privacy/explanation.

De asemenea, pentru o analiză mai atentă a informațiilor prelucrate de Facebook și a celor ce pot fi descărcate din aplicație există și o secțiune dedicată special acestora: https://www.facebook.com/help/930396167085762.

Informațiile personale pot fi descărcate prin intermediul aplicației prin folosirea instrumentului „Descarcă informațiile”. Astfel, după accesarea panoului „Setări”, se va alege opțiunea „Informațiile tale de pe Facebook”, iar în cadrul acesteia se va regăsi instrumentul „Descarcă informațiile”. Facebook oferă câteva posibilități diferite de obținere a informațiilor, în sensul că se pot obține în integralitate sau parțial, dar și sub diferite formate. Pentru mai multe detalii puteți accesa descrierea procedeului realizată de către Facebook: https://www.facebook.com/help/212802592074644?helpref=related&ref=related&source_cms_id=930396167085762.

Având în vedere contextul actual în care latura de marketing a Facebook-ului a căpătat amploare, este de o deosebită importanță să ne informăm și despre reclamele care ne sunt adresate. Facebook oferă o explicație a modului în care putem controla reclamele pe care le vedem în funcție de activitățile în afara acestuia: https://www.facebook.com/help/568137493302217?helpref=related&ref=related&source_cms_id=930396167085762.

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

Informațiile tale de la Google

Astăzi cel mai mare motor de căutare din lume, Google a fost mereu preocupat de protecția datelor utilizatorilor săi și facilitarea accesului acestora la datele prelucrate. În acest sens, în cadrul companiei activează și Google Data Liberation Front, care a dezvoltat o interfață user-friendly denumită Google Takeout, logarea în cadrul acesteia având loc prin contul personal de Google. Prin intermediul acesteia se pot descărca următoarele informații și date : contactele din agendă, fișierele din Google Drive, cercurile Google Plus, toate fotografiile din Picasa Web Albums, informațiile de profil ale contului Google Plus, toate clipurile încărcate pe YouTube, blogurile Blogger, BuzZ-urile postate, feed-urile la care ne-am abonat în Google Reader, +1 pe care le-am acordat și postările din stream-ul Google Plus și multe alte informații ce pot fi regăsite prin accesarea linkului următor: https://takeout.google.com/settings/takeout?pli=1.

De asemenea, Google oferă posibilitatea descărcării informațiilor personale și prin intermediul secțiunii următoare: https://support.google.com/accounts/answer/3024190, având de asemenea numeroase posibilități în ceea ce privește formatul în care informațiile urmează să fie puse la dispoziția utilizatorului și care dintre aceste informații urmează să fie preluate de către utilizator.

În cadrul Google Account Help utilizatorul mai poate lua și alte decizii în privința informațiilor personale, gestionarea acestora fiind facilitată prin interfața accesibilă la următorul link: https://support.google.com/accounts/answer/7660719?hl=en.

Pentru vizualizarea unui raport al modului în care informațiile personale sunt utilizate de către Google în funcție de fiecare aplicație din cadrul acesteia se pot urma pașii de la următorul link: https://support.google.com/accounts/answer/162744?hl=en.

Politica de confidențialitate Google explică ce informații poate culege acesta și din ce motiv, modul în care sunt folosite și cum pot fi examinate și actualizate de către utilizator: https://policies.google.com/?hl=ro.

Cu titlu de regulă generală, actualele prevederi legale la nivelul UE prevăd faptul că utilizatorii pot solicita acces la datele cu caracter personal pe care o companie sau o organizație le deține și aveți dreptul de a obține gratuit o copie a acestor date, într-un format accesibil. Compania sau organizația ar trebui să vă răspundă în termen de o lună și este obligată să vă transmită o copie a datelor personale și orice alte informații relevante despre modul în care au fost sau sunt utilizate datele dumneavoastră.

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



GDPR.jpg

Ieri, 25 martie 2020, Autoritatea Națională de Supraveghere a Prelucării Datelor cu Caracter Personal (ANSPDCP) a dat publicității patru noi amenzi date pentru nerespectarea prevederilor GDPR. Relatăm mai jos comunicatele de presă (sursa dataprotection.ro).

1. Amendă GDPR Emag

În data de 27.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Dante Internațional S.A., deținătorul e-MAG.ro și a constatat că acesta a încălcat prevederile art. 6 din Regulamentul General privind Protecția Datelor, prin raportare la dispozițiile art. 21 alin. (3) din Regulament.

Operatorul Dante Internațional SA a fost sancționat contravențional cu amendă în cuantum de 14.420,4 lei, echivalentul sumei de 3000 EURO.

Sancțiunea a fost aplicată operatorului întrucât la sfârsitul anului 2019 a transmis unei persoane fizice un mesaj comercial, deși la începutul anului 2019 operatorul ii confirmase acesteia dezabonarea de la comunicările comerciale.

Totodată, operatorului Dante Internațional SA i s-au aplicat și două măsuri corective, în temeiul prevederilor art. 58 alin. (2) lit. c) și d) din Regulamentul General privind Protecția Datelor.

Astfel, operatorul a fost obligat să implementeze solicitarea persoanei fizice de a-i fi dezactivată din baza de date setarea privind transmiterea pe adresa de sa de e-mail a mesajelor comerciale, în termen de 3 zile lucrătoare de la comunicarea procesului-verbal. Totodată, operatorul a fost obligat să ia măsuri astfel încât să fie respectate prevederile art. 21 din Regulament, în termen de 20 zile de la data comunicării procesului-verbal.

În acest context menționăm că art. 21 alin. (3) din Regulamentul General privind Protecția Datelor, prevede că ”în cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.”

Vrei să faci e-mail marketing și să respecți GDPR? Ai putea avea nevoie de o Politică Anti-Spam și de marketing legal. O astfel de politică se regăsește aici. 

Te-ar putea interesa și: Comunicare comercială pe e-mail sau SPAM? Ce spune legea?

 

 

2. Amendă GDPR Vodafone România

În data de 13.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Vodafone România SA și a constatat că acesta a încălcat dispozițiile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările și completările ulterioare.

Operatorul Vodafone România SA a fost sancționat contravențional cu două amenzi în cuantum total de 20.000 lei.

Sancțiunile au fost aplicate operatorului ca urmare a unei sesizări cu privire la faptul că Vodafone România SA a încălcat securitatea și confidențialitatea datelor cu caracter personal.

Astfel, o petentă a Autorității a susținut că a solicitat o ofertă pe telefon, prin intermediul site-ului operatorului Vodafone România SA și că, ulterior, a primit pe adresa sa de e-mail, un contract încheiat de operator cu o altă persoană fizică, petenta având suspiciuni că datele sale cu caracter personal ar fi putut fi dezvăluite acestei persoane.

 

Te-ar putea interesa și:

 

Ca urmare a investigației efectuate la operator, Autoritatea a constatat că Vodafone România SA nu a respectat dispozițiile art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, potrivit cărora furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal, că acestea trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri și să respecte cel puţin următoarele condiţii:

a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;

b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;

c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal

De asemenea, s-a constatat faptul că nu au fost respectate dispozițiile art. 3 alin.  (6) din Legea nr. 506/2004, cu modificările și completările ulterioare, conform cărora ”În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.”

Pe lângă sancțiunile cu amenda aplicate operatorului Vodafone România SA, Autoritatea Națională de Supraveghere a recomandat acestuia ca, în termen de 30 zile de la data comunicării procesului-verbal, să ia măsurile necesare respectării prevederilor art. 3 alin. (1) – (3) din Legea nr. 506/2004, cu modificările și completările ulterioare, în vederea implementării unor măsuri adecvate de securitate a prelucrării datelor personale, inclusiv sub aspectul asigurării confidenţialității și protejării datelor cu caracter personal împotriva divulgării ilicite

De asemenea, s-a recomandat operatorului Vodafone România SA ca, pe viitor, să notifice breșele de securitate, fără întârzieri, Autorităţii Naționale de Supraveghere.

 

KIT GDPR Premium

 

3. Amendă GDPR Enel Energie Muntenia SA

În data de 25.02.2020, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Enel Energie Muntenia SA și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Operatorul Enel Energie Muntenia SA a fost sancționat contravențional cu amendă în cuantum de 14.423,7 lei, echivalentul sumei de 3000 EURO.

Încălcarea securității și confidențialității datelor cu caracter personal a constat în faptul că operatorul Enel Energie Muntenia SA a transmis pe adresa de e-mail a unui client persoană fizică, date personale (nume și prenume, adresă, adresă de e-mail, cod client, cod eneltel) ale unui alt client.

Operatorul Enel Energie Muntenia SA a fost sancționat deoarece nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a unei sesizări transmise de un client al operatorului, aceasta fiind însoțită de dovezi concludente cu privire la cele sesizate.

Totodată, operatorului Enel Energie Muntenia SA i s-a aplicat și o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. i) din Regulamentul General privind Protecția Datelor.

Astfel, operatorul a fost obligat să asigure conformitatea cu Regulamentul General privind Protecția Datelor prin implementarea unor măsuri adecvate și eficiente de securitate, atât din punct de vedere tehnic, cât și din punct de vedere organizatoric, în termen de 30 de zile lucrătoare de la comunicării procesului-verbal.

 

4. Amendă GDPR Asociația „SOS Infertilitatea”

Autoritatea Națională de Supraveghere a finalizat în data de 13.02.2020 o investigație la operatorul Asociația „SOS Infertilitatea” și a constatat că acesta nu a transmis informațiile solicitate de Autoritatea de supraveghere în temeiul art. 58 alin. (1) lit. a) și lit. e) din Regulamentul General privind Protecția Datelor.

Operatorul a fost sancționat contravențional cu amendă în cuantum de 9529,2 lei, echivalentul sumei de 2000 EURO, în temeiul art. 83 alin. (5) lit. e) din Regulamentul (UE) 679/2016.

Autoritatea Naţională de Supraveghere a fost sesizată cu privire la faptul că Asociația „SOS Infertilitatea” a dezvăluit date cu caracter personal fără consimțământul persoanei vizate.

Autoritatea de supraveghere a solicitat Asociației mai multe informații referitoare la aspectele sesizate, dar operatorul nu a răspuns solicitărilor instituției noastre. În urma contactării telefonice a operatorului, președintele asociației și-a exprimat opțiunea de a i se transmite solicitarea Autorității de supraveghere prin e-mail la o adresă indicată de acesta.

Întrucât Asociația „SOS Infertilitatea” nu a transmis informațiile solicitate până la data încheierii procesului-verbal de constatare/sancționare, aceasta a fost sancționată cu amendă.

Totodată, operatorului i s-a aplicat și măsura corectivă de a transmite Autorității, în scris, toate informațiile solicitate, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



coronavirus-low-poly-abstract-concept-microscopic-view-virus-cell-close-up_127544-525.jpg

Declarație privind prelucrarea datelor cu caracter personal
în contextul pandemiei COVID-19.
Adoptată la 19 martie 2020

 

Comitetul European pentru Protecția Datelor a adoptat următoarea declarație:

Guvernele, organizațiile publice și private din toată Europa iau măsuri pentru a menține și reduce COVID-19. Aceasta poate implica prelucrarea diferitelor tipuri de date cu caracter personal. Regulile de protecție a datelor (precum RGPD) nu împiedică măsurile luate în lupta împotriva pandemiei coronavirusului. Lupta împotriva bolilor transmisibile reprezintă un obiectiv valoros împărtășit de toate națiunile și, prin urmare, ar trebui susținută în cel mai bun mod posibil. Este în interesul umanității să se reducă răspândirea bolilor și să se utilizeze tehnici moderne în lupta împotriva flagelurilor care afectează marile părți ale lumii. Chiar și așa, CEPD ar dori să sublinieze că, chiar și în aceste momente excepționale, operatorul și împuternicitul trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate. Prin urmare, trebuie avute în vedere o serie deconsiderații pentru a garanta prelucrarea legală a datelor cu caracter personal și, în toate cazurile, trebuie amintit faptul că orice măsură luată în acest context trebuie să respecte principiile generale ale dreptului și nu trebuie să fie ireversibilă. Situația de urgență este o condiție legală care poate legitima restricțiile de libertate, cu condiția ca aceste restricții să fie proporționale și limitate la perioada de urgență.

1. Legalitatea prelucrării

RGPD reprezintă o legislație largă și prevede reguli care se aplică și prelucrării datelor cu caracter personal într-un context precum cel referitor la COVID-19. RGPD permite autorităților competente de sănătate publică și angajatorilor să prelucreze datele cu caracter personal în contextul unei epidemii, în conformitate cu legislația națională și în condițiile prevăzute de aceasta. De exemplu, atunci când prelucrarea este necesară din motive de interespublic important în domeniul sănătății publice. În aceste condiții, nu este necesar să vă bazați pe consimțământul persoanelor.

1.1 În ceea ce privește prelucrarea datelor cu caracter personal, inclusiv categorii speciale de date de către autoritățile publice competente (de exemplu, autoritățile de sănătate publică), CEPD consideră că articolele 6 și 9 din RGPD permit prelucrarea datelor cu caracter personal, în special atunci când acestea se încadrează în mandatul legal al autorității publice prevăzut de legislația națională și condițiile consacrate în RGPD.

1.2 În contextul ocupării forței de muncă, prelucrarea datelor cu caracter personal poate fi necesară pentru respectarea unei obligații legale la care angajatorul este supus, cum ar fi obligații referitoare la sănătate și securitate la locul de muncă sau la interesul public, precum controlul bolilor și alte amenințări la adresa sănătății.
RGPD prevede, de asemenea, derogări de la interzicerea prelucrării anumitor categorii speciale dedate cu caracter personal, cum ar fi datele referitoare la starea de sănătate, unde este necesar din motive de interes public important în domeniul sănătății publice (art. 9 alin. (2) lit.i)), în temeiul dreptului Uniunii sau dreptului național sau acolo unde este necesară protejarea intereselor vitaleale persoanei vizate (art.9 alin (2) lit.c)), așa cum Considerentul (46) se referă în mod explicit la controlul unei epidemii.

În ceea ce privește prelucrarea datelor de telecomunicații, cum ar fi datele privind locația, trebuie respectate și legile naționale care pun în aplicare Directiva privind viața privată și comunicațiile electronice. În principiu, datele privind locația pot fi utilizate numai de operator atunci când sunt făcute anonime sau cu acordul persoanelor fizice. Cu toate acestea, art. 15 din Directiva privind viața privată și comunicațiile electronice permite statelor membre să introducă măsuri legislative pentru a proteja securitatea publică. O astfel de legislație excepțională este posibilă numai dacă constituie o măsură necesară, adecvată și proporțională în cadrul unei societăți democratice. Aceste măsuri trebuie să fie în conformitate cu Carta Drepturilor Fundamentale și Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale. Mai mult, aceasta este supusă controlului judiciar al Curții Europene de Justiție și al Curții Europene a Drepturilor Omului. În cazul unei situații deurgență, aceasta ar trebui, de asemenea, să fie strict limitată la durata de urgență.

 

KIT GDPR Premium

 

2. Principiile de bază referitoare la prelucrarea datelor cu caracter personal

Datele cu caracter personal necesare pentru atingerea obiectivelor urmărite trebuie prelucrate în scopuri determinate și explicite.
În plus, persoanele vizate ar trebui să primească o informare transparentă cu privire la activitățile de prelucrare care se desfășoară și principalele lor caracteristici, inclusiv perioada de păstrare a datelor colectate și scopurile prelucrării. Informațiile furnizate ar trebui să fie ușor accesibile și furnizate într-un limbaj clar și simplu. Este important să se adopte măsuri adecvate de securitate și confidențialitate care să asigure cădatele personale nu sunt dezvăluite părților neautorizate. Măsurile puse în aplicare pentrugestionarea situațiilor de urgență actuale și procesul de luare a deciziilor de bază ar trebui documentate în mod corespunzător.

3. Utilizarea datelor de localizare mobilă

  • Guvernele statelor membre pot să utilizeze date cu caracter personal legate de telefoanele mobile ale persoanelor fizice în eforturile lor de a monitoriza, păstra sau atenua răspândirea COVID-19?

În unele state membre, guvernele au în vedere utilizarea datelor despre locația mobilă ca o modalitate posibilă de monitorizare, păstrare sau atenuare a răspândirii COVID-19. Acest lucru ar presupune, de exemplu, posibilitatea de geolocalizare a persoanelor sau de a trimite mesaje de sănătate publică persoanelor dintr-o anumită zonă prin telefon sau mesaj text. Autoritățile publice ar trebui să înceapă mai întâi să prelucreze datele locației într-un mod anonim (adică prelucrarea datelor agregate într-un mod în care persoanele nu pot fi reidentificate), ceea ce ar putea permite generarea de rapoarte privind concentrarea dispozitivelor mobile într-o anumită locație („cartografie”)).

Regulile de protecție a datelor cu caracter personal nu se aplică datelor care au fost anonimizate în mod corespunzător.
Atunci când nu este posibilă doar prelucrarea datelor anonime, Directiva privind viața privată și comunicațiile electronice permite statelor membre să introducă măsuri legislative pentru salvgardarea securității publice (art. 15).

Dacă sunt introduse măsuri care permit prelucrarea datelor privind locațiile neanonimizate, un stat membru este obligat să pună la dispoziție garanții adecvate, cum ar fi furnizarea persoanelor fizice ale serviciilor de comunicații electronice dreptul la o cale de atac judiciară. Se aplică și principiul proporționalității. Soluțiile cele mai puțin intruzive ar trebui să fie întotdeauna preferate, ținând cont de scopul specific care trebuie atins. Măsurile invazive, cum ar fi „urmărirea” persoanelor (adică prelucrarea datelor istorice despre locațiile ne-anonimizate) ar putea fi considerate proporționale în circumstanțe excepționale și în funcție de modalitățile concrete ale prelucrării. Cu toate acestea, ar trebui să se supună unui control și unor garanții îmbunătățite pentru a asigura respectarea principiilor de protecție a datelor (proporționalitatea măsurii în ceea ce privește durata și domeniul de aplicare, păstrarea datelor limitate și limitarea scopului).

Obține certificat de urgență!

 

4. Ocuparea forței de muncă

  • Un angajator poate să solicite vizitatorilor sau angajaților să furnizeze informații specifice de sănătate în contextul COVID-19

Aplicarea principiului proporționalității și reducerii la minimum a datelor este deosebit de relevantă aici. Angajatorul trebuie să solicite informații despre starea de sănătate numai în măsura în care legislația națională o permite.

  •  Este permis unui angajator să efectueze controale medicale asupra angajaților?

Răspunsul se bazează pe legile naționale referitoare la ocuparea forței de muncă sau la sănătate și siguranță. Angajatorii ar trebui să acceseze și să prelucreze datele de sănătate numai dacă propriile lor obligații legale o impun.

  • Un angajator poate să dezvăluie colegilor sau celor externi faptul că un angajat este infectat cu COVID-19?

Angajatorii ar trebui să informeze personalul despre cazurile COVID-19 și să ia măsuri de protecție, dar nu ar trebui să comunice mai multe informații decât este necesar. În cazurile în care este necesar să se dezvăluie numele angajatului (angajaților) care au contactat virusul (de exemplu, într-un context preventiv) și legislația națională îl permite, angajații în cauză sunt informați în avans, iar demnitatea și integritatea lor sunt protejate.

  • Ce informații prelucrate în contextul COVID-19 pot fi obținute de către angajatori?

Angajatorii pot obține informații personale pentru a-și îndeplini sarcinile și pentru a organiza munca în conformitate cu legislația națională.

 

Pentru Comitetul European pentru Protectia Datelor
Presedinte
(Andrea Jelinek)

sursa: dataprotection.ro

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



smiling-person-crowd_23-2148402709.jpg

Conceptul din spatele acestui titlu este unul relativ simplu, și anume stabilirea unui echilibru între interesul public, concretizat prin dreptul de acces al persoanelor la informații care privesc activitățile sau rezultă din activitățile unei autorități sau instituții publice (informații de interes public), pe de-o parte, și interesul privat al persoanei, reflectat în dreptul acesteia la viață, alcătuit din elemente precum viața intimă, personală sau de familie, domiciuliul, reședința sau corespondența acesteia[1], pe de altă parte.

Dreptul de acces la informații de interes public reprezintă unul dintre principiile fundamentale ce stau la baza relației dintre persoane și autorități publice, asigurând transparența și răspunderea acestora din urmă în fața cetățenilor, aspecte vitale într-o societate democratică. Sediul materiei acestui drept este reprezentat de Legea nr.544/2001 privind liberul acces la informatiile de interes public, lege ce a fost inspirată din abordarea aceleiași probleme pe planul Uniunii Europene. În mod concret, acest acces liber la documentele de interes public ale instituțiilor și agențiilor UE este atât de important încât este ridicat la rangul de drept primar, fiind menționat în Art. 15 TFUE. De asemenea, acest principiu este dezvoltat prin Regulamentul nr. 1049/2001 al Parlamentului European și al Consiliului privind accesul public la documentele instituțiilor UE.  Totuși, oricât de temeinic ar fi reglementată, este predictibil faptul că prin această liberalizare a accesului la informații de interes public, se poate aduce atingere cu ușurință dreptului la viață privată al persoanelor vizate. De menționat este faptul că, potrivit RGPD[2], prin date personale se înțelege orice informație privitoare la o persoană fizică identificată sau identificabilă.

În mod similar, și dreptului la viață privată i se acordă același rang, atât pe plan național, cât și european. Pe plan național, așa cum am arătat deja, este prevăzut de Noul Cod Civil, dar și de însăși Constituția României (art.26), care obligă autoritățile publice să nu aducă atingere acestui drept. Bineînțeles, acest concept își are rădăcinile tot în tratatele constitutive ale UE (art. 16 TFUE), în Carta drepturilor fundamentale (art.7 și 8), precum și în Convenția Europeană a Drepturilor Omului (art.8). Astfel, importanța acestui principiu este de necontestat. Ceea ce se poate observa este precuparea UE pentru protecția datelor cu caracter personal ale persoanelor fizice, ca dimensiune a dreptului la viață privată; este cunoscut faptul că instrumentul legal principal în acest context este reprezentat de RGPD.

Te-ar putea interesa și:

 

Așadar, cum se poate proceda când se ivește un conflict între aceste două principii, având același rang din punct de vedere legal, dar și o importanță deosebită într-o societate democratică?

Pentru a răspunde la această întrebare, voi aborda problema din perspectiva UE.

În primul rând, acest conflict se poate ivi în ipoteza în care documentele de interes public la care un cetățean dorește să obțină acces conține date cu caracter personal ale unei alte persoane.

Dreptul UE prevede posibilitatea oricărui cetățean de a solicita acces la orice document deținut de instituțiile sau agențiile UE, în orice format, cu privire la orice aspect legat de politica, activitatea sau deciziile acestora. De regulă, cetățeanul ce se adresează autorităților publice cu o asemenea cerere nu trebuie să justifice niciun interes, cu excepția situației în care dorește să acceseze documente care conțin date cu caracter personal. De asemenea, autoritățile pot refuza acest acces dacă aceasta ar încălca dreptul unor terți la viață privată, în special cu privire la protecția datelor cu caracter personal.[3] Totuși, dacă persoana care a înaintat cererea consideră că autoritățile i-au refuzat acest acces în mod arbitrar, se poate adresa Ombudsmanului European sau Curții de Justiție a Uniunii Eurpene.[4] Deci, accesul unui cetățean la documente care conțin date cu caracter personal despre alte persoane nu este interzis, ci poate fi restricționat de instituția sau agenția deținătoare.

 

 

În ceea ce privește stabilirea unui echilibru între cele două drepturi fundamentale (dreptul la viață privată și la protecția datelor cu caracter personal, respectiv dreptul de acces la informații de interes public), CJUE vine în sprijinul nostru prin hotărârea din Cauza ”Bavarian Lager”[5]. Potrivit acesteia, punerea documentelor care conțin date cu caracter personal la dispoziția unui cetățean de către o autoritate publică se poate realiza:

  • Dacă există consimțământul persoanei despre ale cărei date cu caracter personal este vorba sau alt motiv legitim;
  • Dacă aceasta este necesară și proporționată (s-a apreciat că de regulă nu este cazul în ceea ce privește documentele care conțin date considerate sensibile, precum viața sau orientarea sexuală, sănătatea persoanei, confesiunea religioasă etc.)
  • dacă persoana despre ale cărei date personale este vorba este înștiințată despre aceasta în prealabil, fapt ce îi va permite acesteia să își exercite drepturile conferite prin RGPD, precum dreptul de a se opune la diseminarea acelor informații;
  • Dacă persoana care solicită acces la documentele ce conțin informații personale justifică un interes. Accesul va fi conferit numai dacă se apreciază că acest interes nu lezează dreptul persoanei ale cărei informații personale sunt cuprinse în acel document; este posibil ca accesul să fie conferit numai după ce aceste informații personale au fost îndepărtate din document.

De asemenea, un alt organism preocupat de protecția dreptului la viață privată și a datelor cu caracter personal este Autoritatea Europeană pentru Protecția Datelor (AEPD), care oferă orientări suplimentare în vederea stabilirii echilibrului între cele două drepturi fundamentale amintite. În acest sens, AEPD încurajează instituțiile și agențiile UE:

  1. Să adopte o abordare proactivă, analizând implicațiile pe care publicarea unor documente care conțin informații personale le-ar avea asupra dreptului persoanei vizate la viață privată și la protecția datelor cu caracter personal. În mod concret, aceste autorități ar trebui să stabilească dacă un anumit set de informații personale ar putea fi făcute publice ulterior, încă din momentul colecării acestora. De exemplu, pot solicita consimțământul persoanei vizate.
  2. Să își dezvolte politici interne clare în ceea ce privește cererile de acces la documente de interes public.

Un alt element interesant ce se poate ivi în acest context este o cerere de acces la un document deținut de o autoritate publică ce conține date cu caracter personal despre însuși titularul cererii. În această situație, s-a apreciat că[6] dreptul unei persoane fizice de a accesa datele sale cu caracter personal deținute de un operator nu poate fi îngrădit, potrivit RGPD.[7]. De asemenea, exercitarea acestui drept are prioritate față de dreptul de a accesa informații de interes public.

KIT GDPR Premium

 

Ce se întâmplă după obținerea accesului la un document ce conține informații personale?

Recomandabil ar fi ca acele informații să nu fie utilizate în afara scopului pentru care au fost obținute, întrucât utilizarea lor va intra sub incidența legislației naționale în materiei protecției datelor cu caracter personal, respectiv Legea nr. 190/2018 privind măsuri de punere în aplicare a RGPD, în cazul României. Folosirea abuzivă a datelor cu caracter personal de care o persoană a luat cunoștință prin exercitarea dreptului său de acces la informații de interes public se poate manifesta prin diseminarea informațiilor prin intermediul presei sau a altor mijloace de comunicare in masă, prin utilizarea acestora în scopuri comerciale, prin contactarea directă a persoanei despre ale cărei date personale este vorba, aducând atingere dreptului acesteia la viață privată.

Pentru a concluziona, deși nu se poate instaura un echilibru perfect între dreptul la viață privată și la protecția datelor cu caracter personal, pe de-o parte, și dreptul de acces liber la informații de interes public, pe de altă parte, instituții ale UE, precum CJUE sau AEPD vin în sprijinul cetățenilor și al autorităților publice care se confruntă cu această problemă. În prezent, atât RGPD, cât și Regulamentul privind accesul public la documentele instituțiilor UE sunt examinate; să sperăm că legiuitorul european va găsi o soluție mai adecvată în vederea stabilirii unui asemenea echilibru.

 

Te-ar putea interesa și:

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



close-up-dangerous-virus-samples-tablets_23-2148454326.jpg

Redăm comunicatul de presă al ANSPDCP publicat azi, 18 martie 2020, mai jos:

În contextul pandemiei de coronavirus, precum și a declarării stării de urgență, în ceea ce privește prelucrarea datelor privind starea de sănătate care reprezintă date cu caracter special, recomandăm operatorilor să aibă în vedere următoarele:

Art. 9 din Regulamentul (UE) 679/2016 (Regulamentul general privind protecția datelor – RGPD) stabilește că datele privind starea de sănătate pot fi prelucrate de un operator în anumite condiții, cum ar fi:

  • lit. b) prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate; (…) sau
  • lit. h) prelucrarea este necesară în scopuri legate de medicina preventivă (…), de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical” şi sub rezerva respectării anumitor condiţii şi garanţii (datele să fie prelucrate de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale competente sau de o altă persoană supusă, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale competente); sau
  • lit. i) prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesionalsau
  • lit. a) persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicţia prelucrării acestor date să nu poată fi ridicată prin consimţământul persoanei vizate;

 

 

Precizăm că alte date personale decât cele cu caracter special se pot prelucra cu respectarea art. 6 din Regulamentul (UE) 2016/679.

De asemenea, referitor la obligația de informare a persoanei vizate, subliniem că operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informaţiile menţionate la articolele 13 şi 14, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Aceasta informare se poate realiza pe site-ul operatorului.

În ceea ce priveste măsurile de securitate adoptate operatori, precizăm că art. 32 din Regulamentul (UE) 2016/679 care reglementează ”Securitatea prelucrării”, stabilește obligația operatorilor și persoanelor împuternicite de aceștia implementarea măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător.

 

Te-ar putea interesa și:

 

Totodată, art. 24 alin. (1) din Regulamentul (UE) 2016/679 prevede faptul că, operatorii pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu Regulamentul.

În ceea ce privește dezvăluirea în spațiul public a numelui și stării de sănătate a unei persoane fizice, subliniem că prelucrarea (dezvăluirea) acestor date se poate realiza cu consimțământul persoanei în cauză.

Pe de altă parte, referitor la restricțiile ce pot fi aplicate, art. 23 alin (1) lit. e) din Regulamentul (UE) 2016/679 prevede că ”Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricţiona printr-o măsură legislativă domeniul de aplicare al obligaţiilor şi al drepturilor prevăzute la articolele 12-22 şi 34, precum şi la articolul 5 în măsura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevăzute la articolele 12-22, atunci când o astfel de restricţie respectă esenţa drepturilor şi libertăţilor fundamentale şi constituie o măsură necesară şi proporţională într-o societate democratică, pentru a asigura:

KIT GDPR Premium

 

e)alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar şi fiscal şi în domeniul sănătăţii publice şi al securităţii sociale;”

În ceea ce privește activitatea de prevenire, descoperire, cercetare, urmărire penală şi combaterea infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, sunt aplicabile dispozițiile Legii nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date.

 

Sursa: dataprotection.ro

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Coronavirus_ChBAkDp.jpg

Guvernele, precum și organizațiile publice, private și ONG-urile iau măsurile necesare pentru a opri răspândirea și pentru a atenua efectele COVID-19.  O parte din aceste măsuri implică prelucrarea datelor cu caracter personal (cum ar fi numele, adresa, locul de muncă, detaliile călătoriei) ale persoanelor, inclusiv în multe cazuri datele personale speciale – „sensibile” (cum ar fi datele referitoare la sănătate).

GDPR nu oprește măsurile necesare prevenirii răspândirii virusului și furnizării asistenței medicale, cu toate acestea,  există considerente importante care ar trebui luate în considerare la prelucrarea datelor cu caracter personal în aceste contexte, în special datelor cu privire cu sănătate, considerate de GDPR date cu caracter special care pot fi prelucrate doar într-un regim foarte strict.

Măsurile luate ca răspuns la Coronavirus care implică utilizarea datelor cu caracter personal, inclusiv datele privind sănătatea, ar trebui să fie necesare și proporționale.

Organizațiile ar trebui să respecte și următoarele obligații:

1. Legalitatea prelucării

Există suficiente temeiuri legale prevăzute de GDPR care pot fi utilizate pentru prelucrarea legală a datelor cu caracter personal, inclusiv a datelor cu privire la starea de sănătate. Pentru categoria datelor medicale, aplicabil este art. 9 din GDPR.

În acest sens art. 9 alin. 2 lit. b din GDPR prevede că „prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sauale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;”

Te-ar putea interesa și:

Acest articol împreună cu legislația privind securitatea și sănătatea în muncă oferă angajatorului o bază legală pentru prelucrarea datelor cu caracter personal, inclusiv datele referitoare la sănătate, în cazul în care se consideră necesar și proporțional în acest sens. Orice date care sunt prelucrate trebuie să fie tratate într-o manieră confidențială, adică orice comunicare către personal despre posibila prezență a coronavirusului la locul de muncă nu ar trebui să identifice angajatul care este afectat.

De asemenea, este permis prelucrarea datelor cu caracter personal pentru a proteja interesele vitale ale unei persoane fizice sau a altor persoane, dacă este necesar. Datele de sănătate ale unei persoane pot fi prelucrate în acest sens atunci când sunt incapabile fizic sau legal de a-și da consimțământul. Acest temei se aplica de obicei numai în situații de urgență, unde nu poate fi identificată nicio altă bază legală.

 

 

2. Transparența

Organizațiile care prelucrează datele cu caracter personal trebuie să fie transparente în ceea ce privește măsurile pe care le pun în aplicare în acest context, inclusiv scopul colectării datelor cu caracter personal și cât timp acestea vor fi păstrate. Aceștia trebuie să ofere persoanelor informații cu privire la prelucrarea datelor lor personale într-un format concis, ușor accesibil, ușor de înțeles și într-un limbaj clar și simplu. Mai multe despre informarea persoanelor puteți afla din acest articol. 

3. Confidențialitatea

Orice prelucrare a datelor în contextul prevenirii răspândirii COVID-19 trebuie efectuată într-o manieră care să asigure securitatea și confidențialitatea datelor, în special în cazul datelor privind sănătatea. Identitatea persoanelor afectate nu trebuie divulgată niciunui terț sau colegilor lor fără o justificare clară.

4. Reducerea la minimum a datelor

Ca în cazul oricărei prelucrări de date, trebuie colectate doar informațiile absolut necesare pentru prevenirea răspândirii COVID-19. De exemplu, angajatorii nu ar putea colecta informații despre deplasările în străinătate ale rudelor angajaților.

5. Responsabilitatea

Organizațiile ar trebui, de asemenea, să se asigure că documentează orice proces de luare a deciziilor cu privire la măsurile implementate pentru gestionarea situației COVID-19, care implică prelucrarea datelor cu caracter personal. Informațiile colectate ar trebui incluse în registrul activităților de prelucrare. 

KIT GDPR Premium

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



close-up-hands-holding-phone-with-mock-up_23-2148264015.jpg

Tot mai mulți români folosesc transportul alternativ în România, precum Uber, Bolt, Go Clever (și a altor servicii de ridesharing), fiind o modalitate utilă și la îndemână de transport alternativ. Aceste servicii de ridesharing, dat fiind impactul lor în societate, au cunoscut reglementare la nivel juridic. Este însă folosirea acestor servicii una legală? Există răspundere la nivel juridic pentru folosirea serviciului de ridesharing atât de cunoscut? Aceste aspecte urmează să le detaliem și să le lămurim în prezentul articol.

Reglementarea transportului alternativ prin intermediul Ordonanței de Urgență nr. 49/2019

Ordonanța de Urgență nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto reprezintă un element de noutate în domeniul serviciilor de ridesharing. Acest fapt presupune ralierea la prevederile legale de către societățile de ridesharing și necesitatea respectării prevederilor în vigoare, în caz contrar aplicându-se și sancțiunea.

Prezenta ordonanță face trimitere în etapă incipientă la hotărârile Curții de Justiție, în sensul că s-a apreciat faptul că activitățile de transport de tip urban care se desfășoară prin intermediul platformelor digitale nu sunt asimilate serviciilor de comerț online, ci serviciilor de transport, astfel:

  • Luând în considerare că hotărârea Curții Europene de Justiție a apreciat că activitățile de transport de tip urban desfășurate prin intermediul platformelor digitale sunt asimilate serviciilor de transport și nu serviciilor de comerț online, iar statele membre sunt obligate la adoptarea unor soluții legislative care să asigure reglementarea tuturor operațiunilor de transport de tip urban pentru care se utilizează platforme digitale;
  • Pentru asigurarea unui mediu concurențial echilibrat și stabilirea unui regim nediscriminatoriu a modurilor de transport utilizate pentru transportul persoanelor în mediul urban se impune în regim de urgență reglementarea transportului alternativ de persoane, intermediat prin platforme digitale.

De asemenea, în adoptarea prezentei ordonanțe s-a avut în vedere necesitatea asigurării unui mediu concurențial care să fie echilibrat și care să nu producă discriminare în raport de celelalte modalități și mijloace de transport existente în societate.

 

Te-ar putea interesa și: 

 

 

Ce înțelegem prin ,,activitate de transport alternativ”? Cine are calitatea de ,,operator al platformei digitale” și de ,,manager de transport alternativ”?

Prevederile în vigoare definesc noțiuni precum ,,activitate de transport alternativ intermediată prin platformă digitală”, ,,operator al platformei digitale”, ,,manager de transport alternativ”, pe care le redăm în cele ce urmează, cu titlu exemplificativ:

  • prin activitate de transport alternativ cu autoturism și conducător auto intermediată printr-o platformă digitală, denumită în continuare transport alternativ, vom înțelege deplasarea persoanelor, cu ajutorul unui autoturism, în baza unui contract de transport alternativ încheiat între pasager și operatorul de transport alternativ deținător al autoturismului, care este intermediat de un operator al platformei digitale conform prezentei ordonanțe de urgență printr-o platformă digitală;
  • prin manager de transport alternativ vom înțelege persoana fizică angajată a unui operator de transport alternativ – care este persoană juridică și care conduce permanent și efectiv activitățile de transport alternativ ale acestuia și deține certificatul de competență profesională, prevăzut de Hotărârea Guvernului nr. 879/2016 pentru aprobarea Normelor privind pregătirea și atestarea profesională a managerilor de transport în regim de taxi și închiriere;
  • prin operator al platformei digitale vom înțelege persoana juridică pe numele căreia se emite avizul tehnic pentru platforma digitală prin care se intermediază transportul alternativ.

 

Te-ar putea interesa și:

 

Cum se poate efectua transportul alternativ în condițiile legii ?

Conform art. 4 din prezenta ordonanță, transportul alternativ se poate efectua numai prin intermediul unei platforme digitale, care a fost avizată tehnic de Ministerul Comunicațiilor și Societății Informaționale. Avizul astfel eliberat are valabilitate pe întreg teritoriul României.

Ce se întâmplă dacă operatorul platformei digitale este o persoană juridică nerezidentă?

În această situație, conform prevederilor art. 6 din Ordonanța de Guvern nr. 49/2019, persoana juridică nerezidentă – operator al platformei digitale – este obligată să aibă pe toată perioada în care își desfășoară activitatea de intermediere a transportului alternativ pe teritoriul României o sucursală înregistrată, care să o reprezinte în fața autorităților statului.

Ce condiții trebuie îndeplinite pentru obținerea avizului tehnic ?

În conformitate cu prevederile art. 7 din prezenta ordonanță, pentru obținerea avizului tehnic, platforma digitală pentru intermedierea transportului alternativ trebuie să îndeplinească (în mod cumulativ) condiții precum:

  • ținerea evidenței datelor de expirare a permiselor de conducere și a documentelor necesare efecutării operațiunilor de transport alternativ și notificarea automată a operatorului de transport alternativ în scopul actualizării documentelor încărcate pe platforma digitală;
  • propunerea, afișarea, înregistrarea traseului parcurs, prin utilizarea tehnologiilor de localizare, respectând legislația comunitară;
  • furnizarea datelor cu privire la tariful pentru efectuarea unei curse pe traseul stabilit;
  • furnizarea datelor despre numărul de înmatriculare al autoturismului cu care se efectuează cursa;
  • monitorizarea tuturor curselor prin sisteme de localizare;
  • asigurarea pasagerilor cu privire la opțiunea de a comunica informații despre dizabilitatea sau mobilitatea redusă;
  • prelucrarea datelor cu caracter personal cu respectarea legislației în vigoare și a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor.

KIT GDPR Premium

 

În ce termen și în ce condiții se emite avizul tehnic pentru platforma digitală?

Prin raportare la art. 9 din ordonanța în cauză, Ministerul Comunicațiilor și Societății Informaționale va emite avizul tehnic pentru platforma digitală în termen de 30 de zile lucrătoare de la depunerea documentației complete. Avizul emis are o valabilitate de 12 luni. Eliberarea avizului tehnic pentru platformele digitale se va face numai după ce operatorul prezintă dovada achitării unei taxe anuale în valoare de 50.000 lei.

 

Care sunt obligațiile operatorului platformei digitale?

Art. 25 din prezenta ordonanță reflectă obligațiile operatorului platformei digitale, dintre care vom reda următoarele:

  • să informeze complet și cuprinzător toți utilizatorii, la înregistrarea acestora pe platforma digitală, cu privire la termenii și condițiile de funcționare a platformei digitale, la drepturile și obligațiile lor în cursul și după utilizarea platformei digitale, precum și cu privire la prelucrarea datelor lor cu caracter personal;
  • să păstreze datele fiecărei curse efectuate prin intermediul platformei digitale pentru o perioadă de cel puțin 5 ani. Aceste date se comunică și sucursalei operatorului nerezident al platformei digitale și se păstrează de aceasta din urmă pe aceeași perioadă de timp;
  • să asigure securitatea cibernetică a platformei digitale și a tuturor datelor încărcate de utilizatori;
  • să înregistreze pe platforma digitală doar solicitanții care sunt de acord în mod expres cu termenii și condițiile prelucrării datelor cu caracter personal.

 

De când sunt aplicabile dispozițiile Ordonanței de Urgență nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto?

Legea nr. 204/2019 pentru aprobarea Ordonanței de Urgență a Guvernului nr. 49/2019 cuprinde în cadrul art. 5 faptul că persoanele fizice și juridice care derulează operațiuni ce intră sub incidența ordonanței de urgență în cauză vor beneficia de o perioadă de tranziție, în speță până la data de 1 februarie 2020. Dacă această conformare s-a realizat sau nu, aspectele se vor putea reflecta numai la nivel practic.

Care sunt modificările esențiale privind transportul alternativ, introduse prin intermediul Legii nr. 204/2019?

Modificările realiza prin intermediul legii precizate le vom reflecta în cele ce urmează, astfel:

  • Modificarea art. 6:

În situația în care operatorul platformei digitale este o persoană juridică nerezidentă, acesta este obligat să aibă pe toată perioada în care își desfășoară activitatea de intermediere a transportului alternativ pe teritoriul României o filială înregistrată la Oficiul Național al Registrului Comerțului, prin care se derulează activitățile comerciale în România.

  • Modificarea art. 9, alin. (2):

Avizul tehnic pentru platformele digitale va avea o valabilitate de 24 de luni.

  • Modificarea art. 13, alin. (2):

Copia conformă a autorizației pentru transportul alternativ se eliberează operatorului de transport alternativ autorizat numai pentru autoturismele deținute în proprietate, închiriere sau comodat.

  • Modificarea art. 25, lit. p):

Să achite la bugetul de stat o taxă în valoare de 100.000 lei la fiecare 24 de luni.

 

Care sunt contravențiile în materie de transport alternativ și cum sunt sancționate acestea?

În temeiul Ordonanței nr. 49/2019 privind transportul alternativ, conform art. 34, constituie contravenție și se sancționează cu amendă de la 1.000 la 5.000 de lei faptele următoare ale conducătorului auto:

  • efectuarea unei curse fără deținerea unui certificat de atestare profesională;
  • efectuarea unei curse fără respectarea prevederilor legale;
  • lipsa de la bordul autoturismului, în timpul efectuării transportului alternativ, a ecusoanelor pentru transportul alternativ prevăzute de lege;
  • lipsa de la bordul autoturismului, în timpul efectuării transportului alternativ, a documentelor prevăzute de lege;
  • efectuarea transportului alternativ prin intermediul unei platforme digitale neavizate tehnic de către Ministerul Comunicațiilor și Societății Informaționale.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Global-Legal-Hackathon-2020-1.png

Când vorbim despre transferul de date cu caracter personal în afara Uniunii Europene, ar trebui să știm că acesta nu este interzis întotdeauna, ci este permis în anumite condiții. Vom discuta despre aceste condiții în prezentul articol și despre cum puteți afla dacă transferul de date cu caracter personal în afara UE este legal.

Aspecte teoretice

Scopul Regulamentului GDPR este de a proteja datele personale ale cetățenilor UE indiferent de unde acestea sunt stocate; există cerințe stricte care reglementează locul în care datele personale pot fi transferate și măsurile ce trebuie luate pentru ca un asemenea transfer să fie legal. Sancțiunile pentru nerespectarea Regulamentului GDPR sunt semnificative, iar organizațiile trebuie să se asigure că vor respecta rigorile legale în mod constant.

Concret, transferul de date cu caracter personal în afara SEE nu este interzis, ci este permis în măsura în care există un temei legal. Potrivit RGPD, un transfer de date cu caracter personal în afara SEE este posibil dacă:

  • țara terță asigură un nivel adecvat de protecție a datelor cu caracter personal, stabilit de Comisia Europeană („Comisia”); Art. 45 alin. (1) din GDPR prevede că: ”(1) Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.”

    Până în prezent Comisia a stabilit că următoarele țări prezintă un nivel adecvat de protecție a datelor: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Suedia, Uruguay,  Guernsey și SUA (limitat doar pentru organizațiile care se află în Privacy Shield.) Lista organizațiilor care se află în Privacy Shield poate fi consultată aici: https://www.privacyshield.gov/list

 

Te-ar putea interesa și:

 

  • În absența unei decizii a Comisiei privind nivelul adecvat de protecție a datelor, datele pot fi transferate dacă operatorul .și persoana împuternicită au oferit garanții adecvate. Mai multe informații despre garanțiile adecvate pot fi aflate consultând art. 46 din GDPR. 

 

  • Există anumite derogări pentru situații specifice, respectiv:

(a) persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul de date cu caracter personal în afara SEE, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;

(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;

(d) transferul este necesar din considerente importante de interes public;

(e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;

(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul;

(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informații publicului și care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.

KIT GDPR Premium

Ghid practic pentru transferul de date cu caracter personal în afara UE:

Pasul 1. Identificați transferurile de date internaționale și către ce organizații sunt transmise acestea

Identificați dacă există transferuri internaționale de date (conform RGPD, prin transfer international de date se înțelege un transfer de date în afara Spațiului Economic European), organizațiile care care se realizează transferurile și faceți o listă în acest sens.

Pasul 2. Verificați dacă există o Decizie a Comisiei privind transferul de date în afara SEE

Până în prezent Comisia a stabilit că următoarele țări prezintă un nivel adecvat de protecție a datelor: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Suedia, Uruguay,  Guernsey și SUA (limitat doar pentru organizațiile care se află în Privacy Shield). Prin urmare dacă organizații nu se află în țările de mai sus sau dacă se află în SUA nu se află și în Privacy Shield, nu există un nivel adecvat de protecție și treceți la Pasul 3.

Dacă organizațiile către transmiteți datele se află în aceste țări, atunci transferul este legal, dar trebui urmărit în mod continuu site-ul Uniunii Europene pentru a nu interveni modificări.

 

Te-ar putea interesa și:

 

Pasul 3. Verificați dacă există o derogare pentru situații specifice

 

Situație: imposibilitatea de a identifica un temei legal pentru tranfer

În situația în care desi s-au parcurs pașii  1-4 de mai sus, nu a putut fi identificar un temei legal, transferul de date cu caracter personal în afara Uniunii Europene trebuie să înceteze. În orice caz, o procedură operațională privind transferul de date cu caracter personal ar trebui implementată. Noi am inclus o astfel de procedură în KIT GDPR Premium. 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



arhive-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord