Aici descoperim
dreptul tehnologiei

date-14.png

Evoluția tehnologică face din ce în ce mai dificilă separarea vieții profesionale de cea personală. O simțim pe pielea noastră, zi de zi, atunci când primim, în afara programului de lucru, e-mail-uri, mesaje și notificări de la diverse aplicații în interes de serviciu.

Spania a venit cu o soluție interesantă pentru problema oboselii excesive a angajaților provocate de calculator și a stipulat, pentru prima dată, dreptul angajatului de a se deconecta, odată cu adoptarea noii legi privind protecția datelor cu caracter personal.

Angajații din sectorul privat și cel public din Spania vor avea dreptul să deconecteze orice dispozitive digitale pentru a asigura, în afara timpului de lucru aplicabil, respectarea perioadelor de odihnă și a concediilor.

Companiile din Spania vor trebui să pună în practică o politică de utilizare responsabilă a dispozitivelor pentru a asigura acest drept de deconectare în acele cazuri în care angajații lucrează total sau parțial în afara locului de muncă, și anume atunci când o fac de la domiciliu prin intermediul dispozitivelor digitale.

Deși în legislația română nu există încă stipulat expres dreptul la deconectare, angajații ar trebui să știe că în afara programului e lucru au dreptul de a se deconecta total de la dispozitive astfel încât să se poată odihni corespunzător în week-end-uri și vacanțe. Cu toate acestea, un contact de urgență (ca de exemplu, numărul personal de telefon) trebuie să existe pentru a se putea lua măsurile necesare în cazul unei urgențe sau unui caz de forță majoră care necesită intervenția angajatului în afara programului de lucru. De asemenea, angajații ar trebui să utilizeze responsabil tehnologia și să deranjarea nejustificată a angajaților în afara programului de lucru și să își încurajeze angajații să se deconecteze pentru a putea separa viața personală de cea profesională.

Deși tehnologia ne poate da flexibilitatea să lucrăm când și cum vrem, utilizată iresponsabil, ne poate face să simțim că pierdem controlul. Deconectarea frecventă e necesară pentru a menține un echilibru între viața personală și cea profesională. Așa cum dispozitivile sunt lăsate la încărcat și noi, oamenii, avem nevoie de pauze pentru a ne încărca bateriile și a ne bucura de ce există în jurul nostru: oameni, natură, anotimpuri, animale.

Ești în oraș cu prietenii și ai primit un mail de la serviciu? Îl poți citi și luni dimineața.

 

 

no-fuimar-1200x628.jpg

În opinia Grupului de Lucru Art. 29, utilizarea camerelor ascunse pentru a identifica angajații sau vizitatorii care fumează în locuri nepermise pe temeiul interesului legitim nu este posibilă. Chiar dacă angajatorul are un interes legitim să asigure conformitatea cu legislația anti-fumat, metoda folsoită (camerele ascunse) este disproporționată și nejustificat de intruzivă. Atâta timp cât există metode mai transparente și mai puțin intruzive (cum ar fi detectorii de fum cu semne vizibile), activitatea de prelucrare prin intermediul camerelor ascunse încalcă principiul reducerii la minimum a datelor prevăzut de art. 5 alin. (1) lit c din GDPR (datele trebuie sa fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate).

 

Te-ar putea interesa și:


template-3-1200x675.png

O companie monitorizează folosirea internetului de către angajați în timpul orelor de muncă. Datele colectate arată site-urile care sunt vizitate de către angajați și descărcările efectuate în timpul programului de lucru. Compania nu a obținut acordul angajaților pentru monitorizarea electronică, însă dorește să utilizeze interesul legitim.

Poate compania utiliza interesul legitim? 

Pentru a răspunde la această întrebare, ar trebui să avem în vedere art. 5 din Legea 190/2018, care prevede că:

„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În consecință, chiar dacă literele a-e ar fi respectate, atâta timp cât există metode mai puțin intruzive la dispoziția angajatorului, acesta din urmă nu se poate baza pe interes legitim. În situația prezentată mai sus, o metodă mai puțin intruzivă este limitarea accesului către anumite site-uri care nu sunt în interes de serviciu. Așadar, atâta timp cât angajatorul nu poate dovedi că o metodă mai puțin intruzivă nu a fost eficace în trecut, nu se poate baza pe interes legitim, singura soluție rămasă este obținerea unui comsimțământ informat al angajatului în care i se explică acestuia concret, printre altele, metodele de supraveghere folosite și impactul asupra vieții private.

Sursa aici



template-2-1200x675.png

Cu siguranță, în calitatea ta de pasager aerian, te-ai întrebat cel puțin o dată ce se întâmplă cu multitudinea de date pe care le oferi companiilor aeriene. De ce sunt colectate atât de multe date? Cui sunt transmise? Pe ce perioadă sunt stocate? Sunt ele stocate în condiții de securitate și confidențialitate? Ce drepturi am? Parcurge articolul nostru și vei afla răspunsul la aceste întrebări. 

Azi, 2 decembrie, a intrat în vigoare Legea nr. 284/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian care transpune  Directiva (UE) 2016/681 a Parlamentului European și a Consiliului și a fost abrogată Ordonanța Guvernului nr. 13/2015 privind utilizarea unor date din registrele cu numele pasagerilor.

Cine este UNIP?

UNIP reprezintă abrevierea de la Unitatea națională de informații privind pasagerii și este o structură de specialitate, fără personalitate juridică, în cadrul Inspectoratului General al Poliției de Frontieră. UNIP, are, în principal următoarele atribuții: 

  • colectează datele pasagerilor de la transportatorii aerieni;
  • stochează datele pasagerilor pe o anumită perioadă;
  • transferă datele pasagerilor către autoritățile competente;
  • facilitează schimbul de date ale pasagerilor cu  Unitățile de informații privind pasagerii din alte state membre ale Uniunii Europene și cu EUROPOL;
  • facilitează schimbul de date ale pasagerilor cu țări terțe.

Ce date ale pasagerilor transmit companiile aeriene către UNIP?

Datele pasagerilor transmise de către companiile aeriene către UNIP sunt numite de lege Date PNR. 

a) codul de rezervare;

b) data rezervării sau a emiterii biletului;

c) data/datele programată/programate a/ale călătoriei;

d) numele și prenumele asociate rezervării;

e) adresa și informațiile de contact – număr de telefon, adresă de e-mail – asociate rezervării;

f) toate informațiile privind forma de plată, inclusiv adresa de facturare;

g) itinerarul complet de călătorie;

h) informațiile din profilul “client fidel”;

i) agenția sau agentul de turism prin care a fost făcută rezervarea sau a fost cumpărat biletul;

j) situația de călătorie a pasagerului, inclusiv confirmările, situația înregistrării pentru zbor, informații privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă;

k) informațiile scindate sau divizate din registrul cu numele pasagerilor;

l) mențiunile cu caracter general, inclusiv toate informațiile disponibile despre minorii neînsoțiți cu vârsta sub 18 ani, precum numele și sexul minorului, vârsta, limba/limbile vorbită/vorbite, numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire;

m) informațiile despre bilet, inclusiv numărul biletului, data emiterii biletului și bilete dus simplu și câmpurile aferente furnizării automate a prețului unui bilet de călătorie;

n) numărul locului și alte informații privind locul;

o) informațiile cu privire la codurile partajate;

p) toate informațiile cu privire la bagaje;

q) numărul pasagerilor înregistrați în PNR și alte nume ale acestora;

r) orice date API colectate, inclusiv tipul, numărul, țara de emitere și data expirării oricărui document de identitate, cetățenia, numele de familie, prenumele, sexul, data nașterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării și ora sosirii;

s) un istoric al tuturor modificărilor datelor PNR prevăzute mai sus.

În ce scopuri sunt colectate, prelucrate și transmise aceste date? 

Prelucrarea și transmiterea acestor date de la companiile aeriene către UNIP și ulterior către alte instituții abilitate de lege sunt necesare pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, precum și pentru prevenirea și înlăturarea amenințărilor la adresa securității naționale și exlusiv pentru următoarele scopuri:

a) efectuarea unei evaluări a pasagerilor înainte de sosirea sau de plecarea programată a acestora în/din România, în vederea identificării persoanelor cu privire la care este necesară o examinare suplimentară de către autoritățile competente și, după caz, de către EUROPOL, având în vedere faptul că respectivele persoane pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale;

b) oferirea de răspunsuri, de la caz la caz, unei cereri temeinic justificate bazate pe motive suficiente din partea autorităților competente vizând furnizarea și prelucrarea datelor PNR, în cazuri concrete, și comunicarea rezultatelor acestei prelucrări autorităților competente sau, după caz, EUROPOL;

c) analizarea datelor PNR în vederea actualizării sau a definirii de noi criterii ce urmează a fi utilizate pentru evaluările efectuate în scopul identificării oricăror persoane care pot fi implicate în săvârșirea unei infracțiuni de terorism, a unei infracțiuni grave sau într-o activitate care constituie amenințare la adresa securității naționale.

Când se transmit datele către UNIP?

Transporatorii aerienă transmit datele PNR către UNIP cu 48 până la 24 de ore înainte de ora programată pentru plecarea zborului.

Cui transmite UNIP datele pasagerilor?

  • Autorităților competente

a) Poliția Română;

b) Poliția de Frontieră Română;

c) Direcția Generală de Protecție Internă;

d) Direcția Generală Anticorupție;

e) Serviciul Român de Informații;

f) Serviciul de Informații Externe;

g) Ministerul Apărării Naționale: Direcția generală de informații a apărării;

h) Ministerul Public;

i) Agenția Națională de Administrare Fiscală: Direcția Generală a Vămilor.

  • Unitățile de informații din alte state membre;

UNIP reprezintă punctul național de contact cu unitățile de informații privind pasagerii ale altor state membre ale Uniunii Europene și este responsabilă pentru schimbul de date PNR cu acestea.

  • EUROPOL

EUROPOL poate adresa UNIP, prin intermediul Unității Naționale Europol, o cerere în format electronic, justificată corespunzător, de transmitere a unor anumite date PNR sau a rezultatului prelucrării respectivelor date.

EUROPOL adresează această cerere doar atunci când acest lucru este strict necesar pentru sprijinirea și consolidarea acțiunii statelor membre ale Uniunii Europene în vederea prevenirii, depistării sau investigării unei anumite infracțiuni de terorism sau a unei anumite infracțiuni grave, în măsura în care infracțiunea respectivă intră în sfera de competență a EUROPOL, în temeiul legislației Uniunii Europene care stabilește organizarea și atribuțiile EUROPOL.

Cererea trebuie să conțină motive rezonabile pe baza cărora EUROPOL consideră că transmiterea datelor PNR sau a rezultatului prelucrării datelor PNR va contribui în mod substanțial la prevenirea, depistarea sau investigarea infracțiunii în cauză.

În ce condiții poate UNIP transfera date către țări terțe?

UNIP poate transfera date PNR sau rezultatul prelucrării datelor PNR către autoritățile unei țări terțe doar de la caz la caz și dacă sunt îndeplinit, printre altele, următoarele condiții:

a) sunt respectate dispozițiile art. 15 din Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Afacerilor Interne în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice, republicată;

b) transferul este necesar în scopul prevenirii, depistării sau investigării unei fapte care este considerată de legea țării terțe solicitante drept infracțiune de terorism sau care este sancționată ca infracțiune de legea țării terțe solicitante cu o pedeapsă sau cu o măsură de siguranță privativă de libertate a cărei durată maximă este de cel puțin 3 ani și care este corespunzătoare uneia dintre formele de criminalitate prevăzute în anexa care face parte integrantă din prezenta lege;

c) autoritatea din țara terță comunică în scris că este de acord să transfere datele PNR unei alte țări terțe doar în cazul în care acest lucru este strict necesar în scopul prevăzut la lit. b) și doar cu autorizarea expresă a UNIP;

e) nu este afectată securitatea națională.

Pe ce perioadă sunt păstrate datele pasagerilor?

Datele pasagerilor furnizate de transportatorii aerieni se păstrează în cadrul UNIP pentru o perioadă de 5 ani de la momentul finalizării transferului de date de la companiile aeriene către UNIP. La împlinirea acestui termen, datele se șterg automat, printr-o procedură ireversibilă.

Totuși, la împlinirea a 6 luni de la momentul transferului, datele sunt depersonalizate prin marcarea următoarelor elemente:

a) numele, inclusiv numele altor pasageri, precum și numărul pasagerilor care călătoresc împreună;

b) adresa și informațiile de contact asociate rezervării;

c) toate informațiile privind forma de plată, inclusiv adresa de facturare;

d) informațiile din profilul “client fidel”;

e) mențiunile cu caracter general prevăzute la art. 14 alin. (1) lit. l);

f) orice date API care au fost colectate.

Cu toate acestea, ștergerea datelor în cadrul UNIP nu are efect asupra datelor care există deja la autoritățile competente unde acestea au fost transmise, păstrarea acestor date va respecta regimul aplicabil de păstrarea aplicabil cazului concret de prelucrare.

Cine va fi responsabil de protecția datelor? 

UNIP va avea un responsabil cu protecția datelor, numit de inspectorul general al IGPF.

Responsabil cu protecția datelor în cadrul UNIP va fi un polițist – funcționar public cu statut special cu studii superioare -, cu o experiență de minimum 2 ani în domeniul protecției datelor cu caracter personal și care a urmat cel puțin un curs de specializare în acest domeniu.

În exercitarea sarcinilor de serviciu privind respectarea legislației în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP este independent și nu poate primi instrucțiuni pe cale ierarhică.

Responsabilul cu protecția datelor UNIP va avea următoarele atribuții:

a) informarea și consilierea personalului UNIP care efectuează prelucrări de date PNR, cu privire la obligațiile care le revin în temeiul legislației privind protecția datelor cu caracter personal;

b) monitorizarea respectării de către UNIP a obligațiilor ce îi revin în conformitate cu dispozițiile legislației privind protecția datelor cu caracter personal și a politicilor UNIP în materia protecției datelor cu caracter personal, în special a alocării responsabilităților, a creșterii gradului de conștientizare a acestora în rândul personalului UNIP și a acțiunilor de formare a personalului implicat în operațiunile de prelucrare;

c) realizarea verificărilor necesare în scopul determinării nivelului de respectare a rigorilor impuse de cadrul normativ privind protecția datelor cu caracter personal;

d) furnizarea de consiliere în ceea ce privește evaluarea impactului măsurilor de protecție a datelor cu caracter personal prelucrate în cadrul Sistemului de evidență a datelor PNR și monitorizarea modului în care principiile prelucrării datelor cu caracter personal sunt implementate în cadrul operațiunilor realizate în cadrul UNIP;

e) cooperarea cu Autoritatea națională de supraveghere și îndeplinirea funcției de punct de contact pentru această instituție;

f) îndeplinirea funcției de punct unic de contact în relația cu persoanele vizate, cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal în cadrul Sistemului de evidență a datelor PNR.

Atunci când în exercitarea atribuțiilor prevăzute lconstată efectuarea unei operațiuni de prelucrare a datelor cu caracter personal nu este conformă cu legislația în materia protecției datelor cu caracter personal, responsabilul cu protecția datelor în cadrul UNIP informează conducerea IGPF. În cazul în care pentru remedierea situației nu sunt suficiente măsurile adoptate la nivelul IGPF, responsabilul cu protecția datelor în cadrul UNIP notifică, de îndată, Autoritatea națională de supraveghere.

Responsabilul cu protecția datelor UNIP reprezintă punctul de contact cu persoanele fizice vizate și, în consecință, are următoarele atribuții:

  • primește și întregistrează cererile persoanelor vizate într-un registru special;
  • solicită UNIP să realizeze verificările necesare pentru soluționarea cererilor;
  • întocmește și transmite răspunsurile către persoanele fizice solicitante.

Cum pot să îmi exercit drepturile cu privire la datele mele personale?

Pentru a-și exercita drepturile prevăzute de GDPR (acces, rectificare, restricționare, opoziție, ștergere, portabilitate), pasagerul va formula și va depune o cerere la UNIP. Pentru validitatea cererii, persoana trebuie să facă dovada identității. 

Sunt datele mele prelucrate în condiții de securitate și confidențialitate?

UNIP va asigura securitatea și confidențialitatea datelor potrivit GDPR și a legislației naționale de punere în aplicare a acestuia.

Este interzisă prelucrarea datelor PNR prin intermediul persoanelor împuternicite de către operator, în sensul Regulamentului general privind protecția datelor și a legislației de punere în aplicare a acestuia.

Prelucrează UNIP date sensibile despre mine?

Nu. Potrivit legii, prelucrarea datelor pasagerilor care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența la un sindicat, sănătatea, viața sexuală sau orientarea sexuală este interzisă.  În cazul în care datele PNR transmise de transportatorii aerieni cuprind informații sensibile, personalul UNIP șterge în mod ireversibil respectivele informații imediat după identificarea acestora.

Ce ar trebui să știu despre protecția datelor de către companiile aeriene?

Transportatorii aerieni rămân responsabili, în temeiul dispozițiilor legale din domeniul protecției datelor cu caracter personal aplicabile acestora, în ceea ce privește:

a) adoptarea măsurilor tehnice și organizatorice necesare pentru asigurarea protejării datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum și împotriva oricărei altei forme de prelucrare ilegală;

b) prelucrarea datelor PNR în mod legal, echitabil și transparent față de persoana vizată, inclusiv informarea pasagerilor, prealabilă colectării datelor PNR, cu privire la faptul că acestea sunt transmise către UNIP;

c) colectarea datelor PNR în scopuri determinate, explicite și legitime și abținerea de la prelucrarea ulterioară într-un mod incompatibil cu aceste scopuri;

d) colectarea de date PNR adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

e) prelucrarea de date PNR exacte și actualizate;

f) păstrarea datelor PNR într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate.

 

Te-ar putea interesa și:



DPO-întreabă-LegalUp-răspunde-2.png

Un DPO, cumpărător al KIT-ului nostru de implementare, ne-a adresat următoarea întrebare:

Întrebare: Conform GDPR, salariații trebuie informați cu privire la prelucrarea datelor, cu privire la supravegherea video.Ce mă fac dacă mă trezesc în fața unui salariat care nu vrea să semneze aceste informări. De ce? Nu vrea el. Găsește el motive. Dar nu vrea. Se pot întâmpla astfel de situații. Ce aș putea face în astfel de situație?

Răspuns: Legislația nu vă obligă să obțineți semnăturile pe informări, ci să informați și să faceți dovada ca aceste informări s-au efectuat. În situația în care angajatul nu dorește să semneze informarea, cea mai la îndemână alternativă este transmiterea informării pe e-mail. Confirmarea primirii e-mailului va fi dovada ca informarea s-a realizat.
Cu privire la supravegherea video, dacă mergeți pe interes legitim și ați efectuat analiza interesului legitim, nu aveți nevoie de consimțământ. Simpla informare este suficientă și informarea poate fi realizată și pe e-mail.

Te-ar putea interesa și:


Flag_map_without_coastlines_1989-1200x526.png

Autoritatea de supraveghere a Regatului Unit (ICO) a emis primul aviz de punere în aplicare a GDPR. Avizul de punere în aplicare a fost emis împotriva AggregateIQ Data Services Limited (AggregateIQ), un furnizor de analiză a datelor cu sediul în Canada. Aceasta este prima măsură luată de ICO în afara Regatului Unit.

Condiții GDPR

GDPR se aplică companiilor și persoanelor din afara Uniunii Europene dacă:

  • Au un punct de lucru în Uniunea Europeană (de exemplu, un birou sau o sucursală)
  • Prelucrează date cu caracter personal ale persoanelor fizice în cadrul Uniunii Europene în legătură cu oferirea de bunuri sau servicii
  • Monitorizează comportamentului persoanelor în cadrul Uniunii Europene.

Concluziile ICO

Ca parte a unei investigații a utilizării analizei datelor în campaniile politice, ICO a constatat că AggregateIQ a folosit datele personale furnizate de către o serie de organizații politice pentru a viza publicitatea online către alegătorii din Regatul Unit. Anunțurile referitoare la referendumul din Regatul Unit privind aderarea la Uniunea Europeană au fost în mare parte create în numele Vote Leave.
ICO a concluzionat că AggregateIQ a încălcat GDPR prin utilizarea datelor cu caracter personal într-un mod necunoscut de persoanele vizate, în scopuri la care nu s-ar fi așteptat și fără un temei legal pentru prelucrarea datelor. În plus, prelucrarea era incompatibilă cu scopul pentru care datele au fost inițial colectate, iar persoanele vizate nu au fost informate cu privire la detaliile privind prelucrarea respectivă.
În cazul în care AggregateIQ nu respectă avizul de punere în aplicare, ICO poate aplica o amendă de până la 20 de milioane de euro sau de 4% din cifra de afaceri anuală, oricare dintre acestea este mai mare. Fiind primul aviz extrateritorial deanunț de  punere în aplicare emis în temeiul GDPR, va fi acordată o atenție mai mare nivelului amenzii solicitate de ICO.

Impact teritorial în Noua Zeelandă

Avizul de punere în aplicare pentru AggregateIQ le pune în vedere companiilor din Noua Zeelandă că pot fi supuse condițiilor GDPR (chiar dacă nu sunt stabilite în Uniunea Europeană). Cu toate acestea, deoarece prelucrarea datelor personale ale alegătorilor de către AggregateIQ a fost sensibilă din punct de vedere politic, rămâne neclar modul în care vor fi aplicate extrateritorial prevederile GDPR în ceea ce privește prelucrarea datelor. În prezent, ar trebui să se adopte o abordare pragmatică și proporțională a aplicării GDPR, până când vor fi puse la dispoziție mai multe instrucțiuni.

https://www.lexology.com/library/detail.aspx?g=f71badd0-0861-4bd7-841c-4ffe5149410d


what-is-blockchain-the-technology-explained-1200x480.jpg

Tehnologiile blockchain sunt din ce în ce mai promovate ca soluție pentru o varietate de operațiuni de prelucrare a datelor, în mare parte datorită caracteristicilor ca imutabilitatea, anonimatul și controlului descentralizat.
Cu toate acestea, pentru întreprinderile care în prezent utilizează sau intenționează să utilizeze tehnologii de tip blockchain, ar putea fi necesar să se țină seama de coerența între blockchain și legislația în domeniul protecției datelor. În special, unele dintre cerințele impuse de GDPR (de exemplu, dreptul la ștergerea datelor, dreptul la rectificare și dreptul la restricționarea prelucrării) par a fi dificil de îmbinat cu funcționarea blockchain.

 

Recent, autoritatea franceză de supraveghere (CNIL) a publicat un raport privind blockchain și GDPR. Raportul CNIL propune mai multe opțiuni pentru a minimiza riscurile de securitate care apar în urma utilizării tehnologiilor de tip blockchain, inclusiv stocarea majorității datelor relevante “off-chain” pentru a atenua problemele privind păstrarea și ștergerea datelor.
Aceasta pare a fi o abordare comună care este explorată în întreaga lume. Cu toate acestea, CNIL recunoaște că soluțiile propuse necesită o analiză suplimentară și inovație pentru a se asigura că acestea sunt viabile în practică. CNIL subliniază, de asemenea, că tehnologiile de tip blockchain nu ar trebui puse în aplicare decât dacă întreprinderile sunt capabile să stabilească faptul că blockchain este cea mai potrivită tehnologie pentru prelucrarea datelor cu caracter personal.

CNIL consideră că această chestiune are nevoie de o abordare europeană armonizată pentru a se asigura că există o implementare solidă a legislației privind protecția datelor și tehnologia blockchain.

Parlamentul European a reiterat aceste considerente într-o rezoluție recentă privind tehnologiile distribuite și blockchain, solicitând Comisiei Europene și autorităților de supraveghere a protecției datelor să ofere instrucțiuni suplimentare în această privință. Între timp, blockchain promite o revoluție tehnologică, însă capacitatea sa de a respecta această promisiune în practică este în mare măsură neverificată.

https://www.lexology.com/library/detail.aspx?g=bc6ef2bf-ed3c-4c19-89b4-1e71098bf465

http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0373&language=EN&ring=B8-2018-0397


protecting-data-and-privacy-in-the-cloud1-1-1-1200x824.jpg

Înalta Curte a Regatului Unit a blocat o încercare de a iniția acțiuni în justiție împotriva Google pentru presupusa urmărire a unui număr estimat de 4,4 milioane de utilizatori de iPhone în 2011 și 2012.

Grupul de campanii “Google You Owe Us” a introdus reclamația ca acțiune reprezentativă în numele persoanelor afectate în 2017. Se consideră că aceasta este prima acțiune în masă din Marea Britanie de acest gen.

Pe scurt

Google You Owe Us a argumentat că Google și-a încălcat obligația prevăzută în Data Protection Act 1998 prin eludarea setărilor implicite în Apple Safari, plasarea cookie-urilor în browser pentru a urmări acțiunile utilizatorului și utilizarea datelor colectate pentru a vinde reclame.

Într-o cerere de acordare a permisiunii de a publica reclamația pe Google în Statele Unite, Înalta Curte a fost obligată să stabilească, printre altele, dacă cererea a avut o perspectivă rezonabilă de succes.

Justice Warby a recunoscut că Google ar fi putut încălcat obligația. El a spus: “Nu există nicio dispută în sensul că rolul Google în colectarea, colaționarea și utilizarea datelor obținute prin intermediul Safari Workaround să fie ilicit și să reprezinte o încălcare a obligațiilor”.

Cu toate acestea, instanța nu a putut hotărî în favoarea Google You Owe Us deoarece:

  • prejudiciul trebuie să fie cauzat de încălcare. Google You Owe Us a introdus cererea exclusiv pe baza pierderii controlului asupra datelor personale. Nu a fost invocată nicio pierdere materială sau suferință. Instanța a afirmat că trebuie să existe daune efective, cum ar fi o pierdere materială sau o suferință – fără aceasta, nu se pot acorda despăgubiri.
  • pentru a introduce o acțiune reprezentativă, persoanele afectate trebuie să aibă “același interes” în revendicare. În acest caz, nu toate au suferit pierderi și nu au suferit toate aceleași pierderi. Prin urmare, aceste persoane nu au putut avea “același interes” în plângere.
  • aceasta a fost o acțiune reprezentativă care prezintă un risc de abuz. Numărul de persoane afectate nu era cunoscut, iar persoanele ar fi fost obligate să se prezinte pentru a solicita despăgubiri. Instanța a constatat că au existat dificultăți în procesul de verificare: “Dacă nu există o metodă viabilă de identificare și excludere a unor persoane din această categorie, există un risc evident că despăgubirea va fi acordată și persoanelor care nu au suferit vreun prejudiciu.” în concordanță cu opoziția generală a instanțelor britanice în ceea ce privește acțiunile reprezentative bazate pe excludere.

Google You Owe Us intenționează să solicite permisiunea de a contesta decizia Înaltei Curți.

Concluzie

Acest caz clarifică faptul că orice reclamație a încălcării securității datelor trebuie să fie susținută de dovezi privind prejudiciile reale; o încălcare nu va fi suficientă. Cazul clarifică, de asemenea, faptul că acțiunile reprezentative nu pot fi introduse în numele persoanelor fizice neidentificate în Regatul Unit.

Într-o anumită măsură, spre deosebire de tendința generală de reglementare mai strictă și creșterea responsabilității în ceea ce privește prelucrarea datelor cu caracter personal, prin această decizie, Înalta Curte a subliniat limitările legate de aplicarea legislației privind protecția datelor, în special posibilitatea persoanelor vizate de a solicita despăgubiri financiare pentru încălcarea securității datelor personale.

https://www.lexology.com/library/detail.aspx?g=55847816-3f37-4868-be7f-3a822e5f588f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

https://www.moneysavingexpert.com/news/2018/10/judge-rules-against–google-you-owe-us–campaign-group/


black-vintage-car-clipart-1200x1200.jpg

Ați putea ghici cine află despre dvs. următoarele lucruri?

  • unde locuiți;
  • unde lucrați;
  • la ce școală merg copiii dvs.;
  • religia dvs.;
  • cât de des vizitați medicul,
  • dacă respectați limita de viteză;
  • toate contactele de pe telefon;
  • detalii despre toate apelurile telefonice, mesajele;
  • ce posturi de radio ascultați; și
  • dacă ați plecat de la sala de fitness în această dimineață și ați făcut o cafea și un croissant

Majoritatea oamenilor ar spune că telefonul lor, dar câți oameni ar spune “mașina”?

Autovehiculele moderne sunt pline de setări care fac viața mai ușoară și mai sigură, cum ar fi controlul direcției, sistemul de control al vitezei de croazieră, sistemele de navigație și media. Toate aceste facilități au ca rezultat generarea unor cantități enorme de date (pe care unele estimări le pun la 25Gb de date pe oră – echivalentul a 125.000 de documente Word sau 100 de ore de video). În funcție de natura tehnologiei utilizate în automobilul dvs. modern, aceste informații sensibile ar putea fi accesibile sau puse la dispoziția mai multor părți interesate, inclusiv producătorului, operatorilor de rețele mobile, furnizorilor de sisteme auto sau furnizorilor de servicii de cloud pentru stocarea datelor.

Aceste date sunt importante și sunt de interes pentru multe părți – pentru a le pune în context, un studiu recent din martie 2018 realizat de McKinsey & Company estimează că industria conectivității auto poate valora între 450 și 750 de miliarde de dolari în întreaga lume până în 2030.

Este îngrijorător că nu există un cadru juridic specific la nivel european care să reglementeze protecția datelor colectate de la vehicule.

Toate datele colectate care constituie “date personale” (de exemplu, numele, adresa, numărul de telefon, locația GPS și datele biometrice) sunt supuse noii legislații GDPR . În conformitate cu GDPR, există șase temeiuri pentru prelucrarea datelor personale, cel mai utilizat fiind consimțământul persoanei vizate.

Când ați achiziționat mașina, v-ați dat consimțământul pentru stocarea și prelucrarea datelor dvs.?

Colectarea datelor de către mașina dvs. nu este doar un alt exemplu de ingerință a Big Brother – este mai mult de atât.

Majoritatea companiilor colectează date cu scopul declarat de a menține și de a îmbunătăți serviciile furnizate sau de a dezvolta noi servicii. Există, fără îndoială, împrejurări în care oamenii ar prefera ca datele automobilelor să fie puse la dispoziția poliției și accesate de aceasta (în cadrul competențelor prevăzute de legislația națională). La începutul acestui an, poliția din Irlanda a reușit, să utilizeze datele despre locație de la un Nissan Qashqai pentru a urmări deplasarea lui Mark Hennessy în timp ce o răpea pe Justine Valdez .

În SUA, tehnologia este utilizată în mod obișnuit în mașini de către autoritățile de aplicare a legii, ceea ce dă naștere la preocupări majore privind protecția datelor. De exemplu, într-un caz, un șofer a activat accidental sistemul SOS al mașinii în timp ce discuta despre o afacere cu droguri. Personalul call-center a ascultat discuția, apoi a informat poliția locală care l-a arestat ulterior pe conducătorul auto. În acest caz, în timp ce primul gând este că arestarea unui traficant de droguri este în mod evident un lucru bun, vi se pare în regulă faptul că operatorii call-center ai producătorului de automobile ar putea asculta discuțiile dvs. private în timp ce vă aflați în mașină, dacă ați activat accidental sistemul de urgență? Poate că acesta este un preț care merită să fie plătit pentru siguranță știind că, dacă ați suferit un accident, ajutorul va fi la îndemână.

Ce părere aveți despre colectarea datelor de către mașina dvs.? V-ați bucura să fie utilizate pentru a vă prezenta conținut și anunțuri personalizate?

De exemplu, dacă autovehiculul dvs. urmează să rămână fără motorină/ benzină, v-ar plăcea să vă informeze că există o stație de alimentare în apropiere (indicații de orientare) și că veți obține o reducere cu 5% a combustibilului dacă veți merge acolo? În această “tranzacție”, stația de alimentare plătește, probabil, producătorului de automobile o anumită taxă pentru afișarea anunțului, dvs. veți obține o reducere a prețului benzinei/motorinei și stația ar beneficia și de alte achiziții ale dvs. (cum ar fi o cafea) în timp ce alimentați automobilul. Este o situație în care toate părțile au de câștigat sau este cu adevărat terifiant?

În cele din urmă, este clar că într-o lume curajoasă a mașinilor conectate, nimeni nu știe exact spre ce ne îndreptăm. Cu toate acestea, dintr-o perspectivă juridică, proprietarii de mașini trebuie să fie informați cu privire la toate datele personale colectate și la modul în care vor fi utilizate – fără acestea, producătorii se expun investigațiilor autorităților de supraveghere și reclamațiilor din partea clienților.

https://www.lexology.com/library/detail.aspx?g=0e462f17-e2fd-47b3-9396-d69fef19025f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

 


social-media-globe.jpg

Într-un aviz publicat la 5 octombrie 2018, Autoritatea Europeană pentru Protecția Datelor și-a exprimat îngrijorarea și a formulat câteva recomandări importante cu privire la unul dintre punctele-cheie ale reformelor legislative din Noul Acord pentru Consumatori al UE.

Pe scurt

UE a efectuat o reevaluare majoră a directivelor UE în materie de protecție a consumatorilor. În consecință, UE a propus o serie de modificări la regimul existent, care este descris ca “un nou acord pentru consumatori”. Propunerile, dacă sunt puse în aplicare, ar avea ca rezultat o răspundere sporită pentru încălcarea legislației privind protecția consumatorilor în UE și ar extinde drepturile consumatorilor la contracte în care serviciile digitale sunt oferite gratuit. Acest lucru ar însemna că utilizatorii de rețele sociale, stocare cloud pentru fotografii personale și multe alte servicii digitale ar trebui să revizuiască respectarea legislației privind protecția consumatorilor.

Una dintre reformele legislative cheie propuse este o nouă directivă privind o mai bună aplicare și modernizarea normelor UE privind protecția consumatorilor. Autoritatea Europeană pentru Protecția Datelor și-a publicat acum opinia cu privire la propunerea de directivă și a făcut câteva recomandări importante cu privire la modul în care ar trebui modificate propunerile pentru a se asigura că acestea nu intră în conflict cu GDPR.

Cum rămâne cu Brexit?

Cu toate că actualul calendar al Brexit înseamnă că este puțin probabil ca Regatul Unit să fie obligat să pună în aplicare noua lege pentru consumatori în dreptul intern, multe companii vor dori să adopte o abordare coerentă drepturilor consumatorilor în întreaga Europă. În acest caz, va trebui să ia în considerare implicațiile acestor noi propuneri în legătură cu operațiunile din Regatul Unit, precum și cu cele din UE. De asemenea, cel puțin este posibil ca orice tranzacție comercială din Regatul Unit cu UE să necesite o aliniere a drepturilor consumatorilor, astfel încât directiva să poată fi pusă în aplicare în legislația britanică într-un fel sau altul.

Avizul Autorității Europene pentru Protecția Datelor

La 5 octombrie 2018, Autoritatea Europeană pentru Protecția Datelor a publicat un aviz cu privire la proiectul de directivă privind o mai bună aplicare și modernizarea normelor UE în domeniul protecției consumatorilor. Este semnificativ deoarece supraveghetorul a identificat unele incoerențe cu GDPR și a sugerat că există posibilitatea subminăii GDPR.

Autoritatea de Supraveghere este preocupată de impactul planului de a extinde drepturile de protecție a consumatorilor la contracte în care serviciile digitale sunt oferite efectiv în schimbul datelor personale ale consumatorilor, cum ar fi rețelele sociale și motoarele de căutare. Actuala variantă a directivei sugerează că datele cu caracter personal pot fi utilizate ca plată pentru aceste tipuri de servicii. Supraveghetorul este îngrijorat de faptul că acest lucru are ca efect legitimarea ideii că datele cu caracter personal sunt o formă acceptabilă de plată pentru asemenea servicii.

Această legitimare riscă să încurajeze furnizorii de rețele sociale și alte persoane să pretindă că prelucrarea datelor este “necesară pentru încheierea unui contract cu persoana vizată”, ceea ce le-ar permite să evite cerințele exigente de a obține consimțământul conform GDPR. De asemenea, îi privează pe cetățenii UE de drepturile care rezultă din prelucrarea datelor obținute prin consimțământ, cum ar fi dreptul de a fi uitat și dreptul de a retrage consimțământul în orice moment.

De asemenea, supraveghetorul este preocupat de faptul că utilizarea contractului ca temei legal de prelucrare, permite companiilor să acceseze mai multe date cu caracter personal despre persoana vizată decât strictul necesar pentru a furniza serviciile. Problema este că acest lucru subminează chiar scopul GDPR.

Autoritatea de Supraveghere consideră că prelucrarea întemeiată pe contract devine abuzivă, iar noul acord pentru consumatori are potențialul de a legitima și de a extinde această activitate.

De ce contează?

În primul rând, contează deoarece avizul supraveghetorului va putea influența acest lucru și, prin urmare, redactarea propunerii de directivă se va schimba în sensul preocupărilor sale.

Între timp, analiza supraveghetorului ne oferă o perspectivă asupra potențialului de prelucrare a datelor cu caracter personal în temeiul contractului. Simpla propunere a UE de a reglementa contractele în care consumatorii furnizează date personale în schimbul serviciilor digitale, sugerează că există o acceptare tacită a acestui acord – deși nu de către supraveghetor însuși.

Cu toate acestea, autoritățile de reglementare nu vor privi cu ochi buni companiile care se bazează pe contract ca temei legal pentru prelucrarea datelor care nu sunt strict necesare pentru furnizarea serviciului; sau care îl utilizează ca mecanism de evitare a obținerii consimțământului.

http://europa.eu/rapid/press-release_IP-18-3041_en.htm

https://www.lexology.com/library/detail.aspx?g=e38e63fb-f629-4196-a337-2443ce95a517&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=