Aici descoperim
dreptul tehnologiei

young-women-showing-facebook-icon_53876-71136.jpg

În secolul vitezei faptul că oferim informații poate părea un lucru obișnuit. Pe de altă parte, faptul că nu cunoaștem cum vor fi ele procesate sau utilizate, reprezintă o problemă însemnată. De aceea, pentru prevenirea oricăror temeri în materie de colectare și utilizare a informațiilor, platforma de socializare Facebook a prevăzut și modalitatea de colectare și de utilizare a datelor în cadrul Politicii de utilizare a datelor.

Informațiile colectate de către platforma de socializare Facebook

Conform politicii de utilizare a datelor, platforma de socializare Facebook colectează și procesează informațiile noastre personale. Informațiile colectate de platforma de socializare Facebook sunt următoarele:

  • Informații furnizate personal sau furnizate de alte persoane. În această categorie sunt incluse informațiile oferite la crearea unui cont sau la distribuirea unui anumit conținut. De asemenea, sunt colectate și informațiile privitoare la fișierele și informațiile încărcate online;
  • Informațiile cu privire la evenimentele din viața personală, orientările religioase și politice, starea de sănătate. În privința acestor informații se instituie o protecție specială;
  • Informațiile privitoare la paginile accesate, la grupurile și produsele promovate în cadrul acestora. În această categorie intră și agenda telefonică, jurnalul de apeluri, istoricul de mesaje text;
  • Informații despre conținutul vizualizat, acțiunile întreprinse, persoanele cu care interacționăm (inclusiv ora și durata acestor activități);
  • Informații privitoare la achizițiile sau tranzacțiile efectuate prin intermediul platformei, numărul cardului de debit, informații cu privire la cont, informațiile legate de facturare, livrare și de contact;
  • Informații privind conținutul sau comunicările, care sunt furnizate de alte persoane (când alte persoane distribuie sau adaugă comentarii la o fotografie în care suntem etichetați);
  • Informațiile cu privire la telefoanele sau alte dispozitive contectate la internet și care sunt integrate cu produsele Facebook;
  • Informații cu privire la produsele prezentate în scopul personalizării conținutului lor (reclamele afișate).

 

Te-ar putea interesa și:

 

Informațiile sunt enunțate cu titlu limitativ.

A se vedea mai multe categorii de informații colectate de către platforma Facebook accesând https://www.facebook.com/privacy/explanation.

 

 

Cum sunt utilizate informațiile furnizate către Facebook?

Informațiile furnizate către platforma de socializare Facebook vor fi utilizate, potrivit politicii de confidențialitate, după cum urmează:

  • În scopul îmbunătățirii și al personalizării produselor prezentate în online. Prin îmbunătățire se înțelege prezentarea de sugestii de grupuri sau evenimente care ar putea să reprezinte subiecte de interes pentru utilizatori;
  • În scopul simplificării accesului, prin completarea automată a informațiilor de înregistrare, precum numărul de telefon, adresa de e-mail, numele și prenumele și alte asemenea date;
  • În scopul personalizării reclamelor, utilizând informațiile cu privire la locație (persoanele aflate în apropriere, locurile vizitate, afacerile din apropierea locurilor respective);
  • În scopul dezvoltării și al îmbunătățirii produselor prezentate, incluzând în această categorie și realizarea de sondaje;
  • În scopul recunoașterii în mod facil în fotografii a persoanelor, prin utilizarea funcției de recunoaștere facială. Această funcție, conform politicii Facebook, se bucură de protecție specială în conformitate cu prevederile legislative ale Uniunii Europene ;
  • În scopul personalizării și selectării reclamelor și ofertelor de interes, prin utilizarea informațiilor despre interesele, acțiunile și conexiunile personale;
  • În scopul ajutării promotorilor și partenerilor să măsoare eficacitatea și distribuirea reclamelor, pentru a înțelege care sunt tipurile de persoane ce le utilizează serviciile;
  • În scopul promovării siguranței și securității prin utilizarea datelor pentru investigarea activităților suspecte sau încălcării condițiilor sau politicilor Facebook;
  • În scopul realizării și susținerii cercetării și inovării în domeniile legate de bunăstarea socială generală, progresul tehnologic, interesul public, sănătatea și bunăstarea oamenilor.

Informațiile sunt enunțate cu titlu limitativ.

A se vedea mai multe categorii de informații colectate de către platforma Facebook accesând https://www.facebook.com/privacy/explanation.

 

 

#Privacyconcerns sau preocupări în materie de protecție a vieții private

Preocupările privind protecția vieții private în sfera online-ului sunt întemeiate. Astfel, utilizatorii platformelor de socializare trebuie să cunoască faptul că viața privată se termină acolo unde începe Facebook. Iar aceste susțineri se întemeiază pe Decizia Înaltei Curți de Casație și Justiție nr. 4546/27 noiembrie 2016, Secția de Contencios administrativ și fiscal, care a hotărât faptul că profilul personal de Facebook este spațiu public. Acest fapt presupune inclusiv situația în care o persoană poate să fie trasă la răspundere juridică pentru opiniile exprimate pe profilul de Facebook despre o altă persoană, în măsura în care ele se dovedesc a produce un prejudiciu. În acest sens, s-a apreciat de către instanțele naționale faptul că o faptă este considerată a fi săvârșită în public și în situația în care locul săvârșirii faptei ar aparține unei colectivități umane sau atunci când acesta provine de la o colectivitate umană (a se vedea în acest sens legal-land.ro, Facebook este spațiu public). În aprecierea faptului că rețeaua de socializare Facebook este spațiu public, instanțele naționale au constatat că mesajele postate pe o rețea de socializare care prin natura sa este destinată accesului oricărui utilizator sau al publicului este de asemenea destinată și utilizatorilor considerați ,,utilizatori intermediari”. Totodată, posibilitatea de răspândire (share-uire) a unei imagini, a unui mesaj ca urmare a accesării unui profil de Facebook, face ca mesajul sau imaginea transmisă să devină una publică, inclusiv prin transmiterea sa către mass-media.

Preocupările privind protecția vieții private reprezintă elemente de actualitate în sfera Dreptului internetului și în materie contencioasă, interferența dintre acesta două ramuri (platformă online – viață privată) având efect hotărâtor asupra persoanei.

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



hacker-holding-mask_23-2147985363.jpg

Prelucrarea datelor cu caracter personal a început să devină din ce în ce mai cunoscută odată cu aplicarea Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

Cum putem însă cunoaște faptul că prelucrarea datelor noastre este una legală?

Deși consimțământul este cel mai cunoscut temei legal, fiind vorba despre manifestarea de voință a persoanei care dorește ca datele sale să fie obiect al prelucrării, el reprezintă doar una dintre situațiile în care putem prelucra datele cu caracter personal. 

Astfel, putem prelucra datele legal atunci când se aplică cel puțin una dintre următoarele condiții:

1. Persoana vizată și-a dat consimțământul pentru a prelucra datele sale cu caracter personal pentru unul sau mai multe scopuri specifice;

Consimțământul este un element esențial; în dreptul național, intern, consimțământul este înțeles ca manifestare de voință realizată în scopul de a produce anumite efecte juridice. În temeiul prezentului Regulament privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, prin consimțământ se înțelege orice manifestare de voință realizată liber, fiind specifică, informată și lipsită de ambiguitate. Manifestarea se realizează prin acceptare, declarație sau acțiune fără echivoc din partea persoanei vizate cu privire la prelucrarea datelor sale personale.

 

 

2. Prelucrarea datelor este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

În atare caz nu este precizat însă tipul de contract la care o persoană este parte, fiind aplicabil principiul libertății de a contracta. Aceeași situație este aplicabilă și în cazul în care se fac demersuri la cererea unei persoane înainte de încheierea contractului.

3. Prelucrarea datelor este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

Existența unei obligații care este prevăzută prin lege și necesitatea îndeplinirii acestei obligații face ca prelucrarea să respecte principiul legalității.

 

Te-ar putea interesa și ce am mai scris noi despre temeiurile legale:

 

4. Prelucrarea datelor este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

Atunci când este vorba despre interesele vitale ale unei persoane, fie că este persoana vizată, fie că este o altă persoană fizică, prelucrarea respectă principiul legalității. În completare, conform pct. (46) din Regulament, prelucrarea de date ce are ca temei interesele vitale ale unei alte persoane fizice trebuie să fie efectuată numai în situația în care prelucrarea nu se poate realiza în baza unui alt temei juridic. Tot Regulamentul prevede faptul că anumite tipuri de prelucrare pot să servească atât problemelor de interes public, cât și intereselor vitale ale persoanelor vizate. Exemplul conturat de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) este cel ce are ca obiect prelucrarea în scopuri umanitare. La acesta se adaugă monitorizarea unei epidemii și a răspândirii sale, situațiile de urgență umanitare precum dezastrele naturale.

5. Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

6. Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

În această situație, chiar dacă prelucrarea este necesară pentru realizarea intereselor legitime pe care un operator sau o parte terță le urmărește, au prioritate datele cu caracter personal ce vizează interesele, drepturile și libertățile fundamentale ale persoanei. Aceest caz se aplică mai ales în situația în care persoana vizată este reprezentată de un copil (a se vedea în acest sens eur-lex.europa.eu, Regulamentul(UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)).

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-4.png

Răspuns:

Datele cu caracter personal trebuie prelucrate doar dacă o companie nu poate atinge scopurile în altă modalitate. Este recomandat, atunci când este posibil, să folosiți date anonime. Acolo unde datele cu caracter personal sunt necesare, acestea ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar în acest scop („principiul reducerii la minimum a datelor”).

Este responsabilitatea companiei/ organizației dvs., în calitate de operator de date, de a evalua cât de multe date cu caracter personal sunt necesare și de vă asigura că datele irelevante nu sunt colectate.

 

Exemplu:

Compania/organizația dvs.  oferă servicii de închiriere autoturisme persoanelor fizice. Pentru prestarea acestor servicii, pot fi necesare necesar numele, adresa și numărul cardului de credit al clienților și, eventual, informații dacă persoana are un handicap (deci date privind sănătatea). Prelucrarea altor date, precum originea rasială, ar însemna să prelucrăm mai multe decât este necesar, prin urmare să încălcăm principiul „reducerii la minimum a datelor”

 

Referință:

 

Sursa aici 

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Datele cu caracter personal pot fi prelucrate în orice scop?

Răspuns:

Nu. Scopul prelucrării datelor cu caracter personal trebuie cunoscut, iar persoanele fizice ale căror date le prelucrați trebuie să fie informate. Nu este posibil să indicați pur și simplu că datele cu caracter personal vor fi colectate și prelucrate.

Putem utiliza datele cu caracter personal în alt scop?

Răspuns:

Da, dar numai în unele cazuri. Dacă compania/ organizația dvs. a colectat date cu caracter personal pe baza interesului legitim, unui contract sau intereselor vitale, acestea pot fi utilizate în alt scop, dar numai după ce ați verificat că noul scop este compatibil cu scopul inițial.

Trebuie luate în considerare următoarele puncte:

  • legătura dintre scopul inițial și scopul nou/ viitor;
  • contextul în care au fost colectate datele cu caracter personal (care este legătura dintre compania/ organizația dvs. și persoana fizică?);
  • tipul și natura datelor cu caracter personal (sunt sensibile?);
  • posibilele consecințe ale prelucrării ulterioare (cum va avea impact asupra persoanei fizice?);
  • existența unor garanții adecvate (precum criptarea sau pseudonimizarea);

Dacă organizația/ compania dvs. dorește să utilizeze datele pentru statistici sau pentru cercetarea științifică, nu este necesar să executați testul de compatibilitate.

Dacă organizația/ compania dvs. a colectat date cu caracter personal pe baza consimțământului sau în urma unei cerințe legale, nu este posibilă prelucrarea ulterioară în afara celor acceptate prin consimțământul inițial sau de dispozițiile legii.

Exemplu:

Prelucrarea ulterioară este posibilă

O bancă are un contract cu un client pentru a oferi clientului un cont bancar și un împrumut personal. La sfârșitul primului an, banca folosește datele personale ale clientului pentru a verifica dacă sunt eligibile pentru un tip mai bun de împrumut și o schemă de economii. Banca poate prelucra din nou datele clientului, deoarece noile scopuri sunt compatibile cu scopurile inițiale.

Prelucrarea ulterioară nu este posibilă

Aceeași bancă vrea să partajeze datele cu caracter personal ale clientului cu firmele de asigurări, pe baza aceluiași contract pentru un cont bancar și un împrumut personal. Această prelucrare nu este permisă fără acordul explicit al clientului, deoarece scopul nu este compatibil cu scopul inițial pentru care au fost prelucrate datele.

Te-ar putea interesa și:

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

Referințe:

 

Sursa:



aerial-view-woman-using-computer-laptop-working-hot-tea-drink_53876-24779.jpg

Crearea unei adrese de e-mail a devenit astăzi un proces extrem de simplu. Prin furnizarea numelui, a prenumelui, alegerea unui username și a unei parole (chiar dacă anumite platforme pot solicita și alte informații precum numere de contact, țara de origine, atare criterii sunt unele simpliste, persoana în cauză putând furniza orice fel de informație, fără a fi verificată și veridicitatea sa), contul este gata de utilizat. De aici mai departe, este important de identificat dacă adresa de e-mail nou creată se află în categoria datelor cu caracter personal (în scopul de asigurare a protecției sale), sau dacă aceasta este exceptată de la protecție.

Adresa de e-mail a persoanelor fizice versus adresa de e-mail a persoanelor juridice

Definiția datelor cu caracter personal în conformitate cu Regulamentul 2016/679 privind protecția datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) este una simplistă.

Datele cu caracter personal sunt catalogate ca fiind informații privind o persoană fizică identificată sau identificabilă. Atunci când ne referim la persoana fizică, prin datele de identificare ne vom raporta la adresa de e-mail, în speță aceasta având structura:

În privința persoanelor fizice, adresa de e-mail este încadrată în sfera datelor cu caracter personal, fiind ocrotită prin prezentul Regulament (a se vedea Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice înceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date).

În ceea ce privește persoana juridică, în speță societățile, se consideră că adresele de e-mail furnizate de către acestea nu fac parte din categoria datelor cu caracter personal. De asemenea, protecția asupra lor este înlăturată și în ceea ce privește codul de înregistrare. Adresa societății este calificată ca având structura info@societate.com (a se vedea în acest sens platforma online ec.europa.eu, Ce sunt datele cu caracter personal?).

În acest sens, se realizează o diferențiere însemnată între adresa de e-mail a persoanelor fizice și adresa de e-mail a persoanelor juridice.

Adresa de e-mail a persoanelor fizice se vrea a fi cu necesitate protejată prin prisma faptului că sunt expuse datele cu privire la numele persoanei, prenumele acesteia – deci datele sale de identificare.

Cu privire la adresa de e-mail a persoanelor juridice, se consideră că în acest din urmă caz protecția nu este în mod imperios necesară, întrucât datele expuse sunt date de natură profesională, accesibile publicului. Totodată, legea înlătură protecția și asupra datelor referitoare la codul de înregistrare al societăților, prin excluderea lor din categoria datelor cu caracter personal.

 

 

Ce spune GDPR despre adresa de e-mail a persoanelor juridice?

Atunci când definește conceptul de ,,date cu caracter personal”, Regulamentul privind protecția datelor cu caracter personal are în vedere în mod strict persoana fizică (identificată sau identificabilă).

Prevederile Regulamentului sunt clare, în sensul următor:

  • Protecția datelor cu caracter personal este conferită persoanelor fizice;
  • Protecția datelor cu caracter personal ale persoanelor fizice se va realiza în mod independent de cetățenie sau locul de reședință;
  • Protecția datelor cu caracter personal nu se aplică și prelucrării de date ce au în vedere:
    • Persoane juridice;
    • Întreprinderi cu personalitate juridică.

În categoria datelor exceptate de la protecție în cazul prelucrării sunt incluse atât numele, cât și tipul de persoană juridică, dar și datele de contact ale acesteia (a se vedea pct. (14) din Regulamentul privind protecția datelor cu caracter personal, platformă online dataprotection.ro).

Te-ar putea interesa și:

 

 

Alte categorii de informații privind persoanele juridice exceptate de la protecție

Prevederile Regulamentului privind protecția datelor cu caracter personal  și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) le vom raporta la informațiile pe care le poate solicita orice persoană interesată din registrul comerțului despre o societate comercială (în mod uzual se folosește noțiunea de ,,firmă”). Pe lângă prevederile Regulamentului, care înlătură protecția datelor cu caracter personal cu privire la adresa de e-mail a unei societăți, la nivelul Oficiilor registrului comerțului teritoriale se pot furniza și solicita informații privind:

  • Denumirea societății;
  • Numărul de ordine din registrul comerțului;
  • Codul unic de înregistrare;
  • Sediul social;
  • Starea societății;
  • Capitalul social;
  • Informații privind situațiile financiare anuale disponibile;
  • Alte informații pe care persoana interesată le-a ales drept criteriu de selecție (a se consulta onrc.ro).

Deși legea instituie un drept al persoanelor interesate de a obține date cu privire la starea unei societăți, la elementele sale de identificare, tot aceasta omite și situațiile în care o informare în acest sens poate fi vătămătoare pentru societatea în cauză. Accesul la informațiile și datele societăților comerciale pot să devină vătămătoare, astfel:

  • Atunci când solicitarea informațiilor se realizează în scopul obținerii datelor necesare pentru prejudicierea dreptului la imagine;
  • Atunci când solicitarea informațiilor se realizează în scopul obținerii de date ce pot fi utilizate în scopul săvârșirii unei infracțiuni;
  • Atunci când solicitarea informațiilor are ca scop obținerea de date cu privire la identitatea administratorilor, asociaților, acționarilor și nu este urmărit scopul pur informativ.

Orice altă acțiune care se abate de la scopul pentru care se solicită informațiile privind o persoană juridică nu poate fi catalogată decât o exercitare abuzivă a dreptului la informare. Într-adevăr, în anumite situații, datele privind o persoană juridică sunt necesare anumitor autorități, pentru verificarea veridicității acestora, în cadrul procedurilor de natură penală, în proceduri speciale ș.a.m.d., dar legea omite tocmai aspectul cel mai important: acela al posibilității de prejudiciere a persoanei juridice prin obținerea de informații în alte scopuri decât cele de informare.

De aceea, trebuie să fie instituită protecția și asupra datelor și informațiilor ce vizează persoana juridică, iar accesul la atare informații trebuie să fie unul în conformitate cu legea, nu potrivit doleanțelor oricăror persoane. Exceptarea de la protecția acestor date se poate realiza cu precădere în următoarele situații:

  • În procedurile de natură penală, atunci când organelor judiciare le sunt necesare informațiile cu privire la starea unei societăți, la sediul social al acesteia, ș.a.m.d.;
  • În cazurile în care autorităților publice le sunt necesare informații privind situațiile financiare ale unor persoane juridice;
  • În procedurile speciale (cu titlu de exemplu, procedura insolvenței);
  • În cazurile în care există indicii temeinice cu privire la săvârșirea unei infracțiuni/sustragerea de la urmărire penală de către asociații, acționarii unei societăți, datele furnizate putând fi relevante pentru identificarea persoanelor în cauză, pentru identificarea unor elemente esențiale precum locația, desfășurarea unor activități secundare.

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



padlock-computer-circuit-board_93675-6912.jpg

Până în prezent în România au fost date patru amenzi pentru nerespectarea GDPR. Primele trei amenzi au fost date pentru absența măsurilor tehnice și organizatorice adecvate și pentru breșele de securitate aferente. Pentru prevenirea și managementul adecvat al incidentelor de securitate, politicile și procedurile care trebuie actualizate constant și implementate la nivel de companie.

Ca să respectăm GDPR trebuie să știm să recunoaștem un incident de securitate pentru a-l putea preveni sau a recționa potrivit la el.

Un incident de securitate este definit de #GDPR drept „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.”. Așa cum rezultă din definiție, incidentele de securitate nu sunt doar despre furtul sau pierderea datelor personale!

Exemple de incidente de securitate:

  • accesul neautorizat la datele cu caracter personal (de exemplu, o persoană străină are acces la datele cu caracter personal ale companiei, un hacker ne accesează dispozitivul, un angajat pleacă cu baza de date a clienților pe un stick, cineva ne află datele de acces în credențialele de acces pe site, cineva neautorizat ne accesează e-mailul etc);
  • trimiterea unui e-mail/mesaj electronic/sms către o altă persoană decât destinatarul legitim (de exemplu, utilizând funcția de autocomplete din outlook/gmail putem trimite un e-mail către ioana.popescu@domeniu.ro în loc de ioana.ionescu@domeniu.ro);
  • dispozitive care conțin date personale (laptopuri, tablete, smartphone-uri) au fost pierdute sau furate;
  • alterarea/modificarea datelor cu caracter personal fără permisiune;
  • imposibilitatea de a accesa bazele de date.

 

 

Ce ar trebui să știm:

Trebuie să avem măsuri tehnice (de securitate) și organizatorice (politici, proceduri) pentru prevenirea și managementul adecvat al incidentelor de securitate.

Măsurile trebuie să respecte cel puțin cerințele minime de securitate stabilite de lege, iar procedurile aferente trebuie nu doar redactate, dar și implementate la nivel de companie. O serie de politici și proceduri pentru respectarea GDPR, prevenirea și managamentul adecvat al incidentelor de securitate se regăsesc în KIT-ul nostru de implementare. 

Trebuie să ne asigurăm că toate entitățile terțe cu care colaborăm (inclusiv PFA-uri) prezintă garanții suficiente pentru securitatea datelor și respectarea principiilor GDPR. Aceste entități trebuie auditate și trebuie să semneze anumite contracte prin care se reglementează protecția datelor. Chestionare pentru verificarea persoanelor împuternicite și modele de acorduri de prelucrare se regăsesc aici. 

Cu alte cuvinte, toți partenerii de afaceri externi – persoanele împuternicite (firme de contabilitate, firme de mentență IT, HR etc) trebuie auditați că respectă GDPR și au măsuri de securitate adecvate.

De asemenea, cu acești parteneri de afaceri trebuie să avem semnate acorduri scrise prin care reglementăm protecția datelor și respectarea drepturilor persoanelor fizice.

Dacă aveți calitatea de persoană împuternicită (de exemplu, sunteți firmă de IT, contabilitate, HR, avocatură etc) trebuie să vă așteptați la cerințe suplimentare din partea clienților și ar trebui să propuneți chiar dvs. încheierea acestor contracte.

În calitate operator, răspundem pentru incidentele cauzate prin acțiunile sau inacțiunile angajaților, colaboratorilor, partenerilor de afaceri sau altor terți cărora le permitem accesul la date dacă nu am implementat măsuri tehnice și organizatorice adecvate (ex: măsuri de securitate, acorduri de confidențialitate, politici de securitate, training-uri, acorduri cu persoanele împuternicite etc). În unele cazuri, putem răspunde chiar și pentru faptele foștilor angajați sau foștilor colaboratori dacă nu am luat măsuri adecvate. 

✅ Cu angajații și cu partenerii de afaceri trebuie încheiate acorduri de confidențialitate și trebuie să efectuăm training-ul intern la angajaților și să îi responsabilizăm să protejeze datele. Un model de acord de confidențialitate se regăsește aici. 

✅Dacă am fost sancționați de ANSPDCP, dar culpa este a altei persoane, ne putem îndrepta cu acțiune în răspundere civilă delictuală pentru recuperarea prejudiciului.

✅Avem 72 de ore de la descoperirea incidentului pentru notificarea incidentelor de securitate către ANSPDCP și/sau către persoanele vizate.

✅Nu orice incident de securitate se notifică, ci se va notifica incidentul către ANSPDCP incidentul care prezintă un risc persoanele vizate, iar persoanele vizate vor fi notificate dacă există un risc ridicat.

✅ Incidentul de securitate se notifică completând online acest formular: https://www.dataprotection.ro/formulare/formularRpd.do?action=view_action&newFormular=true

✅Orice incident de securitate trebuie adus la cunoștința responsabilului cu protecția datelor sau persoanei desemnate cu această resposabilitate.

✅Indiferent de risc, orice incident se securitate ar trebui documentat intern, de exemplu, intr-un registru al incidentelor de securitate.

✅Întrucât termenul este de doar 72 de ore, la nivelul unei companii ar trebui să existe o procedură pentru managementul adecvat al incidentelor de securitate și să fie desemnată o echipă de răspuns la incident, cu roluri și responsabilități bine stabilite. Aceste proceduri se regăsesc aici.

Câteva lucruri în plus:

  • Lipsa notificării ANSPDCP și/sau a persoanelor vizate poate fi sancționată cu amendă care poate ajunge până la 4% din cifra de afaceri.
  • Chiar dacă notificați în termen, atâta timp cât nu ați luat măsuri adecvate, compania poate fi amendată. De observat că a doua amendă GDPR a fost dată ca urmare a unei notificări trimise la ANSPDCP de însăși compania în cauză.
  • Personalul ar trebui să știe cum să evite un incident de securitate și cum să îl recunoască, de aceea recomandăm training-ul intern. În acest sens vă recomandăm cursul nostru online care poate fi urmat de personalul companiei pentru a înțelege cerințele GDPR.

Te-ar putea interesa și:

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]

 


building-1839464_1280-1200x800.jpg

Autor Roxana Constantinescu, Avocat Baroul Cluj

Supravegherea video a angajaților și a altor persoane vizate necesită implementarea unor procese tehnice și organizatorice adecvate pentru a respecta GDPR. În prezentul articol vom explica ce anume trebuie să facă operatorii pentru a respecta GDPR atunci când utilizează sisteme de supraveghere CCTV.

1.Introducere – despre monitorizarea CCTV

CCTV înseamnă televiziune cu circuit închis, cunoscută și sub denumirea de supraveghere video. Sistemele de supraveghere video monitorizează comportamentul, activitățile sau alte informații ale persoanelor prin intermediul unui echipament electronic.

Supravegherea video poate include orice, de la sistem de supraveghere cu circuit închis sau sisteme automate de recunoaștere, la orice alt sistem pentru înregistrarea, stocarea, primirea sau vizualizarea imaginilor vizuale în scopuri de supraveghere.

În conformitate cu GDPR, angajatorii au dreptul să monitorizeze activitatea angajaților dacă au o bază legală pentru a face acest lucru, iar scopul monitorizării lor este clar comunicat angajaților în avans prin intermediul unei note de informare.

2.Temeiul legal – Interes legitim. Consimțământ

Din cauza dezechilibrului de putere în relația angajator-angajat, angajatorii nu se pot baza în decât în cazuri excepționale pe consimțământ pentru prelucrarea datelor angajaților. Pentru întreprinderi, cel mai potrivit temei legal este interesul legitim al angajatorului.

Există multe motive de interes legitim pentru care angajatorii monitorizează angajații folosind CCTV. Bazele legale ale monitorizării includ securitatea, sănătatea și siguranța angajaților prin prevenirea infracțiunilor, prevenirea comportamentului incorect al angajaților, asigurarea respectării procedurilor de sănătate și siguranță, monitorizarea și îmbunătățirea productivității etc.

Angajatorii se bazează în general pe interesele legitime ca bază legală adecvată pentru prelucrarea datelor cu caracter personal – implică responsabilitatea organizațională și permite utilizarea responsabilă a datelor cu caracter personal, protejând în același timp drepturile angajaților.

Angajatorii care se bazează pe interese legitime ca bază legală pentru prelucrare trebuie să ia în considerare legitimitatea interesului lor declarat (și potențial interesele terților) și trebuie să echilibreze acel interes cu interesele, drepturile și libertățile angajaților lor. Cu alte cuvinte, angajatorii trebuie să realizeze o analiză a interesul legitim, prin intermediul căreia să pună în balanță interesele companiei și interesele și drepturile persoanelor fizice vizate. Dacă în urma analizei, rezultă că primează interesele companiei, supravegherea CCTV se va putea realiza. Dacă în urma analizei rezultă că primează drepturile și interesele persoanelor fizice vizate, atunci supravegherea CCTV nu va putea fi realizată pe temeiul interesului legitim.

Exemplu #1: O companie care deține o parcare a identificat probleme cu furturile în mașinile parcate. Parcarea este deschisă publicului și poate fi accesată cu ușurință de către oricine. Compania are un interes legitim (prevenirea furturilor) să monitorizeze zona expusă riscului. Persoanele vizate sunt monitorizate pe o perioadă limitată de timp, nu se află în timpul unor activități recreaționale și este, de asemenea, în interesul lor ca furturile să fie prevenite. În acest caz, interesul legitim al companiei depășește dreptul la viață privată.[1]

Exemplu #2: Un restaurant decide să instaleze camere video în toalete pentru a supraveghea efectuarea curățeniei. În acest caz, drepturile persoanelor vizate depășesc în mod clar interesul legitim, iar supravegherea video nu poate avea loc.[2]

În plus, angajatorii trebuie să aplice, de asemenea, măsuri de protecție și de conformitate pentru a se asigura că drepturile angajaților nu sunt prejudiciate în niciun caz.

 

 

În cazul în care un angajat se opune utilizării camerelor de televiziune CCTV într-o anumită zonă, GDPR pune în sarcina angajatorului de a demonstra că are „motive legitime convingătoare” pentru prelucrare.

Monitorizarea angajaților prin supraveghere CCTV ar trebui să se limiteze la zonele în care riscul de a încălca drepturile angajaților este scăzut. Utilizarea camerelor CCTV care monitorizează în mod constant un grup specific de angajați dintr-o anumită zonă este mai probabil să fie considerat intruziv și abuziv decât cele care monitorizează toți angajații dintr-o zonă de intrare generală.

Scopul CCTV ar trebui să fie clar transmis angajaților prin intermediul unei notificări. În conformitate cu cerințele GDPR, angajatorii au obligația angajaților de a face acest lucru într-un mod clar și fără ambiguitate. Află mai multe despre pachetul nostru GDPR pentru supraveghere video aici. 

Simpla presupunere generală că utilizarea CCTV la locul de muncă se realizează în scopuri de securitate, dar este utilizat și pentru monitorizarea performanței sau conduitei angajaților nu este conformă. Prin urmare, angajații trebuie să fie anunțați clar înainte de a folosirea datele lor personale în acest scop. Aceeași abordare a notificării trebuie adoptată și dacă scopul supravegherii CCTV este și din motive de sănătate și siguranță.

Conform articolului 35 GDPR, orice utilizare excesivă a monitorizării CCTV pentru angajații este considerată profilare „cu risc ridicat”, în conformitate cu orientările emise de Grupul de Lucru Art. 29. Aceasta necesită o evaluare a impactului privind protecția datelor („DPIA”). O DPIA ia în considerare dacă supravegherea este necesară și proporțională cu ceea ce un angajator încearcă să obțină, având în vedere riscurile pentru drepturile persoanelor vizate, inclusiv luarea în considerare a oricăror garanții sau măsuri de securitate pe care operatorul le va pune în aplicare.

3. Informarea angajatului. Cum o facem, ce trebuie să cuprindă

Angajatorii ar trebui să țină seama de noile cerințe GDPR dacă intenționează să instaleze camere CCTV, oricare ar fi scopul acestora. Angajatorii trebuie să rețină faptul că toate datele personale colectate trebuie utilizate și păstrate numai pentru a-și îndeplini scopul inițial, iar notificarea conformă cu GDPR trebuie să fie afișată în locuri vizibile. Un model de notificare, împreună cu celalalte documente necesare GDPR pentru utilizarea camerelor de supraveghere găsiți aici. 

Este recomandabil ca angajatorii să elaboreze o serie de politici de protecție a datelor referitoare la utilizarea camerelor CCTV. Aceste politici ar trebui să abordeze scopurile pentru care se realizează supravegherea CCTV, condițiile în care va avea loc monitorizarea, natura monitorizării, modul în care vor fi utilizate datele personale ale persoanelor obținute, cât timp va fi păstrat materialul, precum și impactul asupra drepturilor persoanelor.

Angajatorii ar trebui să se asigure că semnalizează proeminent și adecvat zonele în care sunt instalate camere CCTV. Angajatorii ar trebui de asemenea, să pună la dispoziție măsuri tehnice și organizatorice adecvate pentru atenuarea oricăror riscuri pentru drepturile unui angajat în cazul unei încălcări a datelor, conform cerințelor GDPR.

Sistemele CCTV sunt, în mod inerent, vulnerabile la atacurile cibernetice atunci când sunt conectate la internet sau la cloud, iar securitatea și confidențialitatea datelor deținute este asigurată cel mai bine prin restricționarea accesului la ele și dispunerea de sisteme solide pentru a preveni atacurile transmise prin internet. Să nu uităm că utilizarea de către angajator a CCTV la locul de muncă poate ridica probleme juridice complexe, în funcție de noile cerințe GDPR și în funcție de scopul supravegherii.

Există o serie de întrebări de verificare pe care le puteți pune:

  • Dacă supravegheați video angajații, care este motivul/temeiul luat în considerare pentru a avea un sistem CCTV?
  • Ați afișat o notificare pentru a anunța că sunt monitorizați?
  • Cât timp păstrați imaginile și de ce? Ați efectuat o evaluare a riscurilor pentru a stabili și documenta aceste motive?
  • Unde sunt stocate datele (imaginile)? Sunteți sigur că nu vor fi distribuite terților, v-ați luat măsuri în acest sens?
  • Dacă există o încălcare, care este planul de acțiune?

4. Transparența și poziționarea semnului

Persoanele vizate trebuie să fie informate cu privire la faptul că supravegherea video este în funcțiune într-o manieră detaliată cu privire la locurile monitorizate.

În ceea ce privește supravegherea video, informațiile cele mai importante ar trebui să fie afișate pe semnul de avertizare în sine,  în timp ce alte detalii pot fi furnizate prin alte mijloace.

Semnul ar trebui să fie poziționat la o distanță rezonabilă de locurile monitorizate  în așa fel încât persoana vizată să poată recunoaște cu ușurință circumstanțele supravegherii anterior intrării în zona monitorizată (aproximativ la nivelul ochilor). Nu este necesar să se precizeze exact amplasarea echipamentului de supraveghere, atâta timp cât nu există niciun dubiu. Subiectul trebuie să fie capabil să estimeze ce zonă este capturată de o cameră, astfel încât el sau ea să poată evita supraveghează sau adaptează comportamentul, dacă este necesar. Informațiile din cadrul semnului de avertizare ar trebui să transmită cele mai importante informații, de exemplu detaliile scopurilor prelucrării, identitatea operatorului și existența drepturilor persoanei vizate. Trebuie, de asemenea, să se refere la celelalte informații obligatorii și unde pot fi găsite. Un model de semn de avertizare conform GDPR găsiți aici. 

5. Ce aduce nou legislația română prin Legea 190/2018?

Legea nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului GDPR nr. 679/2016 prevede anumite condiţii în care se va putea realiza supravegherea video a angajaților la locul de muncă de către angajator.

Mai exact, articolul 5 (“Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă”) stabilește că atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, pentru a realiza interesele legitime urmărite de angajator, este posibilă numai dacă:

”a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;

d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi

e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În concluzie, conform Legii nr. 190/2018, supravegherea video poate fi realizată de către angajator numai dacă acesta poate demonstra ca interesele sale legitime sunt temeinic justificate și prevalează drepturilor și libertăților persoanelor. Totodată, angajatorul trebuie să facă dovada faptului ca alte metode prin care și-ar fi putut atinge scopul au eșuat anterior și astfel, singura soluție rămâne supravegherea video. În egală măsură, trebuie să asigura informarea angajaților și să se consulte cu sindicatul salariaților (dacă acesta există) sau cu reprezentanții acestora. Perioada de stocare nu poate depăși 30 de zile.

Implementarea și respectarea obligațiilor în materie de supraveghere video cu siguranță nu e floare-la-ureche, piece of cake sau alte formulări care vă plac, însă pachetul nostru monitorizare CCTV vă ia o grijă de pe umeri.

[1] Sursa aici

 

[2] Idem.

 

 


 

Te-ar putea interesa și:

 


people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


tsunami-2400x1350-wallpaper-1200x675.jpg

Prima amendă GDPR în România a adus, așa cum era de așteptat, un val de opinii și analize ale profesioniștilor în domeniu. Deși ne putem pune semne de întrebare serioase cu privire la validitatea unor opinii care se bazează doar pe un comunicat de presă al ANSPDCP, fără a cunoaște detaliile investigației (care s-a desfășurat pe o perioadă de 7 luni) și fără a vedea procesul-verbal de contravenție, reiese clar că UniCredit Bank a fost amendată cu 130.000 euro pentru încălcarea GDPR. Cred că ar trebui să evităm analizele superficiale care folosesc termeni precum măsuri organizaționale  organizatorice, politici adecvate, privacy by design, minimizare, fără a explica adevăratul sens și implicația practică.

Păreri sunt multe și cred că e prea devreme pentru a trage concluzii. Urmează un val de amenzi? Probabil, dar ar trebui să iei în calcul că eu sunt avocat, nu futurolog. Pot să spun că în trecut ANSPDCP a sancționat pe vechea lege mii de companii din România, fără a discrimina în funcție de cifra de afaceri sau domeniul de activitate. Probabil la fel va fi situația și cu GDPR. Dar eu nu pot să prevăd viitorul și nici nu îmi doresc să fac politică. Situația poate fi rezumată într-o frază: există o lege, respectarea ei nu este opțională și pot exista consecințe.

Probabil ne-am grăbit să emitem predicții cu privire la comportamentul ANSPDCP și am uitat să analizăm esențialul. Și cred că prima întrebare pe care trebuie să ne-o punem este:

Pentru ce a fost amendată UniCredit?

Am fost plăcut surprinsă când am aflat că prima amendă GDPR în România a fost dată pentru nerespectarea principiilor „Privacy by design” și „Privacy by default”. Nerespectarea acestor principii a condus către încălcarea principiului minimizării datelor: au fost procesate mai multe date decât era necesar, în speță, beneficiarii plăților puteau vedea CNP-urile plătitorilor. Nu există nicio justificare pentru care cel care primește o plată să aibă nevoie să cunoască CNP-ul plătitorului. S-a ajuns în această situație pentru că nu au fost implementate măsuri adecvate pentru confidențialitatea datelor, încă din momentul conceperii respectivului sistem informatic (Privacy by design) și nici după ce a fost pus la dispoziția clienților (Privacy by default).

Te-ar putea interesa și:

Ce înseamnă Privacy by Design?

Pe scurt, „Privacy by design” înseamnă că ar trebui să ne gândim la confidențialitatea și protecția datelor cu caracter personal încă din momentul în care proiectul (aplicație/site/platformă/alt sistem informatic) se află în fază de concept. Majoritatea companiilor se orientează în prezent pe optimizarea proceselor de business, dezvoltând sisteme și produse care să le ajute să lucreze mai simplu. Dar au apus vremurile când pasai proiectul către IT și îl utilizai imediat ce era implementat tehnic. Acum, când ai un proiect pe masă, trebuie să îți pui întrebări cu privire la cum vei proteja datele cu caracter personal. Ai putea găsi utile întrebările de mai jos:

Respectă proiectul legislația?

Este puțin probabil ca proiectul să respecte legislația încă din faza de concept fără a fi implementat și recomandările avocaților/consilierilor juridici. Cu cât e mai nou proiectul, cu atât este nevoie de opinia unui specialist. GDPR este doar unul dintre domeniile de drept care își pot spune cuvântul cu privire la legalitatea unui proiect informatic. În funcție de specificul proiectului, va trebui să respecți și alte legi: legislația comerțului electronic, legislația consumatorului, legislația publicității, concurenței, proprietate intelectuală etc.

Ca avocat specializat pe dreptul tehnologiei, am lucrat la o serie de proiecte inovative în România și m-am ocupat de conformitatea cu GDPR și alte dispoziții legale. Toate proiectele online trebuie să respecte GDPR, dar în funcție de activitatea desfășurată, este posibil să fie incidente și alte dispoziții legale. E mai ușor să previi decât să repari, de aceea ar trebui să îți pui întrebările potrivite încă din faza de concept. Un avocat te poate ajuta să identifici probleme și să găsești soluțiile potrivite.

  • magazine online. Deși majoritatea magazinelor online trebuie să acorde o atenție deosebită legislației protecției consumatorului, GDPR, legislației comerțului electronic, legislației publicității, concurenței și proprietății intelectuale, în funcție de specificul activității este posibil să fie incidende și alte acte normative.
  • platforme de e-learning. Exemple de întrebări: Ce garanții ofer? Cui aparține proprietatea intelectuală? Ce se întâmplă dacă serviciul nu este mulțumitor? Este incident dreptul de retragere? Cum mă protejetez suficient de bine, respectând totuși toate drepturile utilizatorilor? 
  • platforme de e-mail marketing/sms marketing. Exemple de întrebări: Răspund dacă utilizatorul face SPAM sau trimite conținut ilegal? Ce măsuri pot întreprinde pentru a determina utilizatorul să respecte legislația și pentru a mă exonera de răspundere?
  • servicii de cloud. Exemplu de întrebare: Cum protejez utilizatorii și cum îmi pot minimiza răspunderea în situația unui incident?
  • aplicații de programări online. Exemple de întrebări: Cine se ocupă de respectarea drepturilor în temeiul GDPR al utilizatorului final? Ce se întâmplă dacă clientul meu nu respectă drepturile utilizatorului, dar aplicația procesează datele acestuia din urmă?
  • Platforme peer-to-peer (pe modelul Uber, Airbnb). Exemple de întrebări: Ce actori sunt implicați și care sunt drepturile și obligațiile fiecăruia? Care sunt riscurile platformei și cum poate minimiza platforma riscurile? 

Proiectele inovative ar trebui să țină cont de anumite întrebări-cheie precum:

  • Cum respect legislația?
  • Care sunt riscurile?
  • Care este cea mai simplă și eficientă modalitate să respect legislația?

Conformarea cu GDPR este deosebit de importantă, dar profită de această ocazie pentru a discuta cu avocatul și despre alte probleme juridice care pot influența evoluția business-ului tău. Ar trebui să fii atent la detalii, dar nu să te pierzi în ele, ci să ai focusul potrivit pe lucrurile esențiale. Compliance-ul este o călătorie, nu o destinație. În compliance, riscul de a te pierde în detalii este foarte mare, de aceea echipa ta trebuie să își păstreze focusul pe rezultate. 

Cum respectăm legislația?

Când e vorba de sisteme informatice, primul pas pe care trebuie să îl faci este să explici și să arăți avocatului, în detaliu, cum funcționează tehnologia. Doar după ce a înțeles tehnologia, îți poate spune ce modificări sunt necesare pentru a respecta legislația. Nu poate funcționa altfel. E ca și cum ai încerca să obții autorizație de construire fără documentație. O parte de modificări vor însemna acte și documente (i.e. Termene și Condiții, Politici de confidențialitate, Contracte, Avize, Autorizații), iar altele vor ține de implementarea tehnică.

După ce se implementează tehnic și înainte de a lansa, este nevoie de o opinie finală a specialiștilor pentru a nu fi fost omis din greșeală vreun aspect esențial. Sunt convinsă că UniCredit s-a ocupat de aspectele legale, însă, din eroare sau din neglijență, CNP-urile ajungeau unde nu ar fi trebuit. Eu recomand ca în procesul de testare unui sistem informatic să fie cerută întotdeauna și opinia avocaților/consilierilor juridici. Tehnicul și juridicul trebuie să facă echipă. Nu există altă soluție.

În decembrie am ținut o prezentare la Camera de Comerț despre cum esența implementării GDPR o reprezintă comunicarea eficientă dintre IT și Juridic. Am propus cu entuziasm soluții pentru depășirea barierelor dintre tehnic și juridic și mă bucur că am anticipat bine la vremea respectivă.

Recomandări practice pentru a evita amenda

  1. Cum sarcina implementării GDPR revine operatorului, recomand companiilor să adopte rezerve în privința propunerilor de genul: „Externalizează! Ne ocupăm noi de tot!”
  2. Responsabilizarea echipa pentru deschidere față de schimbare și înțelegerea normelor GDPR.
  3. Întocmirea procedurilor și politicilor necesare (documentația GDPR). Aș recomanda companiilor să cumpere resurse și kituri de implementare din surse de încredere.
  4. Implementarea tehnică, juridică și organizatorică a procedurilor scrise.
  5. Verificarea conformității cu GDPR a fiecărui proces de business și efectuarea modificărilor necesare.
  6. Verificarea conformității cu GDPR a oricărui nou sistem informatic, încă din faza de proiect.
  7. Dacă compania nu are resurse interne, ajutorul ar trebui cerut unui consultant GDPR cu expertiză.
  8. Verificarea și actualizarea periodică a procedurilor și politicilor GDPR.
  9. Companiile ar trebui să înțeleagă că GDPR nu este un dosar pe care îl inchizi într-un sertar. Procedurile scrise și implementate ieri vor trebuie actualizate la realitatea de azi. Eu aș recomanda cel puțin de două ori pe an.

Ruxandra Sava este avocat specializat în dreptul tehnologiei și al protecției datelor cu caracter personal. Ruxandra Sava deține certificarea CIPP/E. CIPP/E este prima acreditare europeană specifică profesioniștilor europeni în domeniul protecției datelor care atestă cunoștințele teoretice și practice în domeniul confidențialității și securității datelor cu caracter personal. CIPP/E atestă cunoașterea legistației europene și naționale privind protecția datelor, aspectele practice și standardele în implementarea legislației în cadrul organizațiilor, precum și fluxurile internaționale de date.

Poți intra în legătură cu Ruxandra Sava pe LinkedIn.

 

 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-4.png

Fiecare site care colectează date cu caracter personal trebuie să dețină o Politică de confidențialitate inclusiv site-urile de prezentare care colectează date (prin formulare de contact, de exemplu), trebuie să dețină o Politică de confidențialitate (sau Notă de informare). Prin intermediul acestui document, site-ul trebuie să explice persoanei fizice care utilizează sau doar vizitează site-ul modul în care îi prelucrează datele cu caracter personal. Să scrii o Politică de confidențialitate la standardele cerute poate fi un proces complicat dacă ai în față doar un document Word și nu deții instrumentele și informațiile potrivite. În prezentul articol, îți voi explica pas cu pas cum poți redacta o Politică de confidențialitate chiar fără a avea cunoștințe de specialitate juridică și/sau tehnică.

Pasul 1. Înțelege scopul acestei Politici de confidențialitate

Scopul principal al Politicii de confidențialitate este informarea persoanei fizice vizate cu privire la modalitatea în care îi prelucrezi datele. Politica de confidențialitate trebuie să existe pentru a respecta dreptul la informare în temeiul GDPR al fiecărei persoane fizice vizate. Destinatarul mesajului este o persoană fizică fără cunoștințe tehnice și fără cunoștințe juridice. Prin urmare, trebuie să te asiguri că folosești limbajul potrivit astfel încât persoana fizică să poată înțelege cum anume îi prelucrezi datele. 

Pasul 2. Folosește limbajul potrivit

Evită jargonul juridic și informațiile tehnice complicate și încearcă să explici persoanei, pe limbajul ei, cum anume îi prelucrezi datele. Nu da copy-paste de la alte site-uri deoarece documentele sunt protejate de drepturi de autor și este ilegal. În principiu, ar trebui să eviți să pasezi această sarcină către programator sau developer, deoarece majoritatea oamenilor tehnici nu sunt la curent cu legislația. Dacă ești jurist, evită jargonul juridic deoarece recomandările europene spun că limbajul trebuie să fie ușor de înțeles de către oricine. Atât noțiunile juridice (i.e. temeiul juridic), cât și noțiunile tehnice trebuie traduse într-un limbaj simplu, comun. 

Pasul 3. Identifică ce trebuie să scrii și schițează un plan

Politica de confidențialitate trebuie să cuprindă, în mod obligatoriu, elementele de la art. 13 și art. 14 din GDPR, respectiv:

  • identitatea și datele de contact ale operatorului;
  • datele de contact ale responsabilului cu protecția datelor;
  • categoriile de date;
  • scopurile prelucrării;
  • temeiurile juridice ale prelucrării;
  • dacă este cazul, interesele legitime;
  • destinatarii sau categoriile de destinatari;
  • intenția de a transfera;
  • perioada stocării;
  • drepturile persoanei vizate;
  • existența sau inexistența unui proces decizional automat.

Cel mai ușor este să creezi o secțiune pentru fiecare element de mai sus și să alegi un subtitlu potrivit. Imediat după ce ai tratat o secțiune, poți trece la următoarea. Dacă ți se pare deja prea complicat, recomandăm utilizarea șablonului nostru de Politică de confidențialitate ușor de completat de către oricine (click aici). 

Pasul 3. Redactarea propriu-zisă

Creează o introducere și tratează fiecare element separat, sub formă de subtitlu. Introducerea ar trebui să ofere câteva noțiuni preliminare despre site/companie, despre modalitatea de prelucrare și despre cuprinsul politicii de confidențialitate. Reține că recomandările europene sunt în sensul în care informația prezentată trebuie să fie stratificată, astfel încât utilizatorul să ajungă rapid la informația care îl interesează. Ai putea prezenta informația sub formă de acordeon. De exemplu, pe utilizator îl poate interesa doar modalitatea în care îpartajezi datele cu alte entități, de aceea ar trebui creată o secțiune specială dedicată fiecărei cerințe, ca de exemplu: „Cum și cu cine partajăm datele dvs?”. Ai grijă să nu omiți niciun element de la pct. 2. Dacă nu știi ce înseamnă vreun element de la punctul 2., poți căuta pe blogul nostru (utilizând funcția search) și vei afla mai multe informații.

Cu privire la categoriile de date cu caracter personal, ar trebui să ai grijă să acoperi o gamă cât mai largă de date prelucrate. Când îți pui întrebarea ce date prelucrez?”, ar trebui să ai în vedere că datele cu caracter personal înseamnă orice informație cu privire la o persoană fizică identificată sau identificabilă. 

O atenție deosebită trebuie să acorzi scopurilor prelucrării, care trebuie să fie prezentate specific persoanei fizice.

Exemple de informări greșite:

  • putem folosi datele dvs. să dezvoltăm noi servicii” (informarea este greșită deoarece nu este clar despre ce servicii este vorba);
  • „putem folosi datele dvs pentru a vă oferi servicii personalizate” (informarea este greșită deoarece nu este clar despre ce servicii personalizate este vorba);
  • „putem folosi datele dvs în scopuri de cercetare” (informarea este greșită deoarece nu este clar despre ce fel de cercetare este vorba);

Exemple de informări corecte:

  • „Vom analiza istoricul de cumpărături şi vom folosi detalii despre produsele pe care le-aţi achiziţionat anterior pentru a vă face sugestii pentru alte produse de care aţi putea fi interesat” (este clar ce tipuri de date vor fi prelucrate şi că datele vor fi prelucrate astfel încât reclamele personalizate să ajungă la persoana vizată);
  • „Vom păstra informaţiile privind vizitele tale recente pe site-ul nostru şi felul cum vă deplasaţi în diferite secţiuni ale site-ului pentru a analiza modul în care oamenii utilizează site-ul pentru a-l face mai intuitiv” (este clar ce tip de date vor fi procesate şi scopul).

 

 

Pasul 4. Implementarea politicii de confidențialitate pe site

Sunt foarte multe lucruri de discutat în privința acestui pas. În primul rând, trebuie să te asiguri că urci Politica într-un loc vizibil pe site pentru că, indiferent de cât de bine ar fi scrisă, dacă este ascunsă, nu își va îndeplini scopul. Politica ar trebui să existe în cât mai multe locuri pentru a fi cât mai aproape de conformitate, de exemplu:

  • în funcția de meniu de pe site;
  • în footer;
  • în semnătura din e-mail;
  • pe pagina de Facebook;
  • dacă vei comunica cu potențialii clienți inițial prin telefon, ar trebui să îi inviți să consulte politica de confidențialitate de pe site;
  • dacă vei comunica cu potențialii clienți inițial prin Facebook messenger, ar trebui să le furnizezi link-ul către Politica de confidențialitate, împreună cu invitația de a o lectura;
  • dacă utilizezi chatboți, trebuie să prezinți și această informație;

Te-ar putea interesa și:

Obligatoriu, la fiecare colectare de date (i.e. formulare de contact, formulare pentru înscriere la newsletter, formulare de comandă), trebuie să existe o căsuță nebifată prin care utilizatorul să își dea acordul că a citit și că este de acord cu Politica de confidențialitate. Această operațiune prin care utilizatorul își dă acordul trebuie stocată pentru a putea dovedi faptul că ai informat corespunzător și să te pui la adăpost în eventualitatea unui control sau al unui litigiu în instanță. Persoana fizică neinformată sau informată necorespunzător poate depune atât plângere la ANSPDCP, dar poate intenta și litigiu împotriva ta pentru a solicita despăgubiri.

Politica de confidențialitate trebuie separată în mod clar de Termeni și Condiții prin intermediul unor link-uri/pagini diferite. Termenii și Condițiile nu au legătură cu GDPR, existența lor pe site este cerută de legislația comerțului electronic.

La formularul de comandă, utilizatorul trebuie să accepte atât Termenii și Condițiile, dar și Politica de confidențialitate prin intermediul unor căsuțe/link-uri diferite.

Pentru aplicaţii, nota de informare ar trebui, de asemenea, să fie disponibilă înainte de download. Odată ce aplicaţia este instalată, informaţiile trebuie să fie uşor accesibile în interiorul aplicaţiei. O modalitate de a îndeplini această cerinţă este să se asigure că pentru accesarea informaţiilor nu se utilizează niciodată mai mult de două click-uri şi funcţia de meniu utilizată în aplicaţii ar trebui să includă întotdeauna o secţiune pentru protecţia datelor.

Pasul 5. Actualizarea și/sau modificarea

Politica de confidențialitate ar trebui revizuită cel puțin de două ori pe an pentru a fi actualizată dacă au intervenit ceva modificări în prelucrarea datelor. Este posibil ca în viitor o afacere să colecteze alte date, să transmită diferit datele sau să prelucreze datele în alte scopuri. Aceste modificări trebuie să se regăsească și în Politica de confidențialitate. Noile modificări trebuie aduse la cunoștința utilizatorilor (dacă aceștia au conturi create pe site) sau pot fi aduse la cunoștință prin afișare pe site.

Cum te putem ajuta?

Dacă ai nevoie de un șablon de Politică de confidențialitate la standardele GDPR, ușor de completat și adaptat la activitatea oricărui site/magazin online, cu instrucțiuni de completare, îți recomandăm șablonul nostru (click aici)

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


arhive-gdpr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord