Aici descoperim
dreptul tehnologiei

privacy-10x10-FB-1200x1200.jpg

Autoritatea de Supaveghere din Polonia a dat prima amendă în temeiul GDPR de 220.000 euro pentru absența informării persoanelor fizice vizate.

Compania a informat 90.000 de persoane despre prelucrarea datelor cu caracter personal prin poșta electronică și a avut o politică de confidențialitate pe site, însă nu a reușit să informeze restul de șase milioane de oameni despre prelucrarea datelor, deoarece compania nu avea e-mailul acestora. Cu privire la informarea prin intermediul poștei, compania a invocat costurile operaționale ridicate.

GDPR cere companiilor să informeze persoanele vizate despre modul în care le prelucrează datele cu caracter personal, informarea fiind diferită de procedura obținerii consimțământului.

Dacă vrei să afli mai multe despre cum trebuie să informezi persoanele fizice, recomandăm articolul nostru Informarea persoanei vizate. Cum facem să corespundă cerințelor GDPR?

 



date-21.png

Zvonurile circulă cum că Moș Crăciun nu prea ar mai ajunge anul ăsta pe la noi, pentru că ar fi șters toată baza de date ca să respecte GDPR. Îngrijorați, i-am făcut o vizită week-end-ul ăsta. Nu ne-au descurajat nămeții și gerul de -20 grade. Moșul ne-a primit la el acasă și ne-a întâmpinat cu ciocolată caldă cu aromă de portocale și cozonac. S-a așezat resemnat la birou, ne-a arătat o foaie goală și a început să ne povestească:

– Dragii Moșului, sunt puțin derutat. Sunt un SRL cu un singur asociat, fără angajați. În cele din urmă, l-am numit pe Rudolph DPO…, începe moșul cu vocea răgușită.

– Înțelegem… Și totuși, noi vă așteptăm pe 24 seara.

– Când am auzit de GDPR, m-am speriat. Aveam mult prea multe date personale despre toți copiii. Spiridușii au venit de zor prin mai astă-vară și mi-au spus că datele cu caracter personal ale copiilor sunt date sensibile și că trebuie să cer consimțământul tuturor părinților. Dar cum să obțin eu consimțământul a câteva miliarde de oameni?

– Și ce ați făcut?

– Am șters, oftează Moș Crăciun.

– Ce anume ați șters?

– Toată baza de date… Spiridușii și Doamna Crăciun mi-au zis că nu există altă variantă. „Gata moșule, atât a fost. E vremea să te pensionezi…”. Doamna Crăciun spunea să mergem într-o vacanță în Caraibe că s-a săturat de atâta frig… Am fost într-o vacanță prelungită și m-am întors abia ieri că, cine știe, poate se mai poate face ceva.

– Dar Moșule, de ce ai mers pe consimțământ? Ai fi putut utiliza interesul legitim și era suficientă informarea. Pune spiridușii să îți scrie o notă de informare și o analiză a interesului legitim și ai grijă ca alături de jucării să lași și nota de informare.

– Unde scrie asta? întreabă curios Moșul.

– Art. 5 lit. d coroborat cu art. 13 din GDPR.

Moș Crăciun își cheamă spiridușii și se pun să studieze Regulamentul și ghidurile Grupului de Lucru Art. 29. După o oră, Moșul e lămurit:

– La treabă, spiriduși! Analiză a interesului legitim și notă de informare. Ne pregătim pentru Crăciun! Unde e responsabilul cu protecția datelor? Ruuudooolph??

Apare Rudolph.

– Rudolph, recuperează toată baza de date. Te-am numit DPO, tu te ocupi de asta!

Rudolph zâmbește ștrengar:

– Eu nu primesc ordine, sunt independent!

 

Moș Crăciun deschide laptopul și dă câteva telefoane. Adaugă apoi:

– Văd că ai fost cuminte anul ăsta…

-Dar Moșule, ai zis că ai șters…

-Are Moșul backup.

 

 


template-3-1200x675.png

O companie monitorizează folosirea internetului de către angajați în timpul orelor de muncă. Datele colectate arată site-urile care sunt vizitate de către angajați și descărcările efectuate în timpul programului de lucru. Compania nu a obținut acordul angajaților pentru monitorizarea electronică, însă dorește să utilizeze interesul legitim.

Poate compania utiliza interesul legitim? 

Pentru a răspunde la această întrebare, ar trebui să avem în vedere art. 5 din Legea 190/2018, care prevede că:

„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În consecință, chiar dacă literele a-e ar fi respectate, atâta timp cât există metode mai puțin intruzive la dispoziția angajatorului, acesta din urmă nu se poate baza pe interes legitim. În situația prezentată mai sus, o metodă mai puțin intruzivă este limitarea accesului către anumite site-uri care nu sunt în interes de serviciu. Așadar, atâta timp cât angajatorul nu poate dovedi că o metodă mai puțin intruzivă nu a fost eficace în trecut, nu se poate baza pe interes legitim, singura soluție rămasă este obținerea unui comsimțământ informat al angajatului în care i se explică acestuia concret, printre altele, metodele de supraveghere folosite și impactul asupra vieții private.

Sursa aici



DPO-întreabă-LegalUp-răspunde-2.png

Un DPO, cumpărător al KIT-ului nostru de implementare, ne-a adresat următoarea întrebare:

Întrebare: Conform GDPR, salariații trebuie informați cu privire la prelucrarea datelor, cu privire la supravegherea video.Ce mă fac dacă mă trezesc în fața unui salariat care nu vrea să semneze aceste informări. De ce? Nu vrea el. Găsește el motive. Dar nu vrea. Se pot întâmpla astfel de situații. Ce aș putea face în astfel de situație?

Răspuns: Legislația nu vă obligă să obțineți semnăturile pe informări, ci să informați și să faceți dovada ca aceste informări s-au efectuat. În situația în care angajatul nu dorește să semneze informarea, cea mai la îndemână alternativă este transmiterea informării pe e-mail. Confirmarea primirii e-mailului va fi dovada ca informarea s-a realizat.
Cu privire la supravegherea video, dacă mergeți pe interes legitim și ați efectuat analiza interesului legitim, nu aveți nevoie de consimțământ. Simpla informare este suficientă și informarea poate fi realizată și pe e-mail.

Te-ar putea interesa și:


black-vintage-car-clipart-1200x1200.jpg

Ați putea ghici cine află despre dvs. următoarele lucruri?

  • unde locuiți;
  • unde lucrați;
  • la ce școală merg copiii dvs.;
  • religia dvs.;
  • cât de des vizitați medicul,
  • dacă respectați limita de viteză;
  • toate contactele de pe telefon;
  • detalii despre toate apelurile telefonice, mesajele;
  • ce posturi de radio ascultați; și
  • dacă ați plecat de la sala de fitness în această dimineață și ați făcut o cafea și un croissant

Majoritatea oamenilor ar spune că telefonul lor, dar câți oameni ar spune “mașina”?

Autovehiculele moderne sunt pline de setări care fac viața mai ușoară și mai sigură, cum ar fi controlul direcției, sistemul de control al vitezei de croazieră, sistemele de navigație și media. Toate aceste facilități au ca rezultat generarea unor cantități enorme de date (pe care unele estimări le pun la 25Gb de date pe oră – echivalentul a 125.000 de documente Word sau 100 de ore de video). În funcție de natura tehnologiei utilizate în automobilul dvs. modern, aceste informații sensibile ar putea fi accesibile sau puse la dispoziția mai multor părți interesate, inclusiv producătorului, operatorilor de rețele mobile, furnizorilor de sisteme auto sau furnizorilor de servicii de cloud pentru stocarea datelor.

Aceste date sunt importante și sunt de interes pentru multe părți – pentru a le pune în context, un studiu recent din martie 2018 realizat de McKinsey & Company estimează că industria conectivității auto poate valora între 450 și 750 de miliarde de dolari în întreaga lume până în 2030.

Este îngrijorător că nu există un cadru juridic specific la nivel european care să reglementeze protecția datelor colectate de la vehicule.

Toate datele colectate care constituie “date personale” (de exemplu, numele, adresa, numărul de telefon, locația GPS și datele biometrice) sunt supuse noii legislații GDPR . În conformitate cu GDPR, există șase temeiuri pentru prelucrarea datelor personale, cel mai utilizat fiind consimțământul persoanei vizate.

Când ați achiziționat mașina, v-ați dat consimțământul pentru stocarea și prelucrarea datelor dvs.?

Colectarea datelor de către mașina dvs. nu este doar un alt exemplu de ingerință a Big Brother – este mai mult de atât.

Majoritatea companiilor colectează date cu scopul declarat de a menține și de a îmbunătăți serviciile furnizate sau de a dezvolta noi servicii. Există, fără îndoială, împrejurări în care oamenii ar prefera ca datele automobilelor să fie puse la dispoziția poliției și accesate de aceasta (în cadrul competențelor prevăzute de legislația națională). La începutul acestui an, poliția din Irlanda a reușit, să utilizeze datele despre locație de la un Nissan Qashqai pentru a urmări deplasarea lui Mark Hennessy în timp ce o răpea pe Justine Valdez .

În SUA, tehnologia este utilizată în mod obișnuit în mașini de către autoritățile de aplicare a legii, ceea ce dă naștere la preocupări majore privind protecția datelor. De exemplu, într-un caz, un șofer a activat accidental sistemul SOS al mașinii în timp ce discuta despre o afacere cu droguri. Personalul call-center a ascultat discuția, apoi a informat poliția locală care l-a arestat ulterior pe conducătorul auto. În acest caz, în timp ce primul gând este că arestarea unui traficant de droguri este în mod evident un lucru bun, vi se pare în regulă faptul că operatorii call-center ai producătorului de automobile ar putea asculta discuțiile dvs. private în timp ce vă aflați în mașină, dacă ați activat accidental sistemul de urgență? Poate că acesta este un preț care merită să fie plătit pentru siguranță știind că, dacă ați suferit un accident, ajutorul va fi la îndemână.

Ce părere aveți despre colectarea datelor de către mașina dvs.? V-ați bucura să fie utilizate pentru a vă prezenta conținut și anunțuri personalizate?

De exemplu, dacă autovehiculul dvs. urmează să rămână fără motorină/ benzină, v-ar plăcea să vă informeze că există o stație de alimentare în apropiere (indicații de orientare) și că veți obține o reducere cu 5% a combustibilului dacă veți merge acolo? În această “tranzacție”, stația de alimentare plătește, probabil, producătorului de automobile o anumită taxă pentru afișarea anunțului, dvs. veți obține o reducere a prețului benzinei/motorinei și stația ar beneficia și de alte achiziții ale dvs. (cum ar fi o cafea) în timp ce alimentați automobilul. Este o situație în care toate părțile au de câștigat sau este cu adevărat terifiant?

În cele din urmă, este clar că într-o lume curajoasă a mașinilor conectate, nimeni nu știe exact spre ce ne îndreptăm. Cu toate acestea, dintr-o perspectivă juridică, proprietarii de mașini trebuie să fie informați cu privire la toate datele personale colectate și la modul în care vor fi utilizate – fără acestea, producătorii se expun investigațiilor autorităților de supraveghere și reclamațiilor din partea clienților.

https://www.lexology.com/library/detail.aspx?g=0e462f17-e2fd-47b3-9396-d69fef19025f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

 


DPO-întreabă-LegalUp-răspunde-1.png

Un DPO, cumpărător al KIT-ului nostru de implementare, ne-a adresat următoarea întrebare:

Întrebare: Conform GDPR trebuie ca, anterior începerii supravegherii video, să te consulți cu reprezentanții salariaților / sindicatul, să soliciți lămuriri firmei care a instalat sistemul de supraveghere privind conformitatea instalației și să informezi personal cu privire la supravegherea video. Dacă ne-am mutat în clădire cu mult timp înainte de GDPR, în condițiile în care noi am preluat clădirea cu sistemul de supraveghere video deja instalat, înțeleg că nu se mai poate pune problema ca anterior începerii supravegherii video să facem ceea ce am precizat anterior.

În aceste condiții, mai trebuie să facem acțiunile amintite mai sus?

Răspuns:  Art. 5 din Legea 190/2018 privind măsurile de punere în aplicare a GDPR prevede ca „ În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Prin urmare, intervin două situații:

Situația #1. Activitatea de supraveghere video a început anterior intrării în vigoare a Legii nr. 190/2018, prin urmare operatorul trebuie respecte toate conditiile de la punctele a-e cat mai curand.

Situația #2. Activitatea de supraveghere video a început ulterior intrării în vigoare a Legii nr. 190/2018, prin urmare operatorul trebuie respecte toate conditiile de la punctele a-e înainte de începerea efectivă a activității de prelucrare.

Concluzia: trebuie să respectați cerințele Legii 190/2018. 

 

Ai nevoie documentație GDPR și/sau de suport la implementarea cerințelor GDPR? Cumpără KIT-ul nostru de implementare și îți răspundem gratuit la întrebări despre GDPR timp de un an. 

 


143-1439437_student-school-pupil-education-pupil-going-to-school-1200x861.png

Respectarea principiilor privind protecția datelor și, în special, corectitudinea ar trebui să fie esențiale pentru prelucrarea datelor personale ce aparțin copiilor.

Trebuie să aveți un temei legal pentru prelucrarea datelor personale ale unui copil. Consimțământul este un temei posibil, dar nu este singura opțiune. Uneori, alegerea unui alt temei este mai adecvată și oferă o protecție mai bună datelor copilului.

Ce e nou în cadrul GDPR?

Dacă vă bazați pe consimțământ ca temei legal pentru prelucrarea datelor cu caracter personal atunci când oferiți un serviciu direct copiilor, ar trebui să verificați dacă persoana care își dă consimțământul în aceste condiții are vârsta potrivită pentru a face acest lucru. Pentru copiii sub vârsta de 16 ani, trebuie să obțineți consimțământul de la cei care au autoritatea părintească asupra acestora, cu excepția cazului în care serviciul pe care îl oferiți este un serviciu online de prevenire sau consiliere. Trebuie, de asemenea, să verificați dacă persoana care acordă consimțământul deține, de fapt, autoritatea părintească pentru copil.

Copiii necesită, de asemenea, o protecție sporită atunci când colectați datele lor personale și le utilizați în scopuri de marketing sau pentru a crea pagini sau profiluri de utilizator.

În cele mai multe cazuri, nu trebuie să luați decizii cu privire la copii numai pe baza prelucrării automatizate, dacă acest lucru va avea un efect juridic sau alt efect similar semnificativ asupra acestora. Circumstanțele în care GDPR vă permite să luați astfel de decizii sunt limitate și se aplică numai dacă ați luat măsuri adecvate pentru protejarea intereselor copilului.

Ce trebuie să luăm în considerare atunci când alegem temeiul pentru prelucrarea datelor cu caracter personal ale copiilor?

Înainte de a începe prelucrarea datelor unui copil, trebuie să alegeți un temei legal. Puteți utiliza orice temei dintre cele prevăzute de GDPR.

Dacă doriți să vă bazați pe consimțământ ca temei pentru prelucrare, atunci copilul trebuie să poată înțelege ceea ce acceptă, altfel consimțământul nu este “informat” și, prin urmare, nu este valabil. Există și câteva reguli suplimentare pentru consimțământul online.

Dacă vă bazați pe “executarea unui contract”, atunci trebuie să luați în considerare capacitatea copilului de a accepta contractul și de a înțelege implicațiile prelucrării.

Dacă vă bazați pe interesul legitim, trebuie să vă echilibrați propriile interese legitime (sau ale terților) cu drepturile și libertățile fundamentale ale copilului. Aceasta implică o verificare în ceea ce privește natura și scopul prelucrării și riscurile potențiale pntru copii. De asemenea, trebuie să luați măsurile adecvate pentru a-i proteja împotriva acestor riscuri.

Ce se întâmplă dacă vrem să direcționăm marketingul către copii?

Copiii necesită o protecție sporită atunci când utilizați datele lor personale în scopuri de marketing. Nu trebuie să exploatați lipsa lor de înțelegere sau vulnerabilitatea.

Aceștia au dreptul să se opună prelucrării datelor personale pentru marketingul direct. Asadar, trebuie să încetați prelucrarea dacă vă cere copilul sau persoana care acționează în numele acestuia.

Ce se întâmplă când facem un profil sau luăm decizii automate în legătură cu ei?

În cele mai multe cazuri, nu trebuie să luați decizii care se bazează exclusiv pe prelucrarea automată (inclusiv profilarea)cu privire la copii, în cazul în care acestea au un efect juridic asupra lor. Dacă luați astfel de decizii, trebuie să vă asigurați că ați luat măsuri menite să protejeze drepturile, libertățile și interesele legitime ale copilului. Dacă faceți un profil pentru copii, atunci trebuie să le oferiți informații clare despre ceea ce faceți cu datele lor personale și nu trebuie să exploatați lipsa lor de înțelegere sau vulnerabilitatea.

În general, trebuie să evitați crearea de profiluri copiilor în scopuri de marketing. Trebuie, de asemenea, să respectați dreptul absolut al copiilor de a se opune profilării, care este legată de marketingul direct și să nu mai faceți acest lucru dacă vi se cere.

Cum se aplică dreptul de a fi informat copiilor?

Trebuie să oferiți copiilor aceleași informații pe care le oferiți adulților despre modul în care le utilizați datele personale. Este bine să le explicați și riscurile inerente prelucrării și garanțiile pe care le aveți. Trebuie să scrieți într-un stil concis, clar și simplu orice informație pe care o adresați copiilor. Trebuie să fie potrivită vârstei și prezentată într-un mod care să atragă publicul tânăr.

Cum se aplică dreptul la ștergerea datelor copiilor?

Copiii au același drept de a șterge datele lor personale ca și adulții. Acest drept este relevant în situația în care o persoană și-a dat inițial consimțământul la prelucrare când era copil, fără a fi pe deplin conștient de riscuri.

Una dintre circumstanțele specifice în care se aplică dreptul de ștergere este atunci când colectați datele personale ale unui copil pe baza consimțământului pentru a-i oferi un serviciu direct.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/applications/children/


Copy-of-Ai-un-site_-1.png

Politica de confidențialitate și GDPR.

Să fii transparent în privința datelor pe care le prelucrezi și să furnizezi informația completă către persoana vizată și într-un limbaj simplu, accesibil și ușor de înțeles fac parte din elementele cheie ale GDPR.

Verifică tabelul de mai jos să vezi dacă Politica ta de confidențialitate îndeplinește toate cerințele. S-ar putea să fie nevoie să o actualizezi pentru a corespunde standardelor GDPR.

Ce informatii trebuie comunicate persoanei vizate?

 Datele sunt obținute direct de la persoana vizata Datele sunt obținute din alte surse

Identitatea și datele de contact ale operatorului și, dacă este cazul, ale responsabilului cu protecția datelor

 

Scopurile și temeiurile legale ale prelucrării

Dacă e cazul, interesul legitim al operatorului sau al unui terț

Categoriile de date cu caracter personal

 

Destinatarii sau categoriile de destinatari

Detalii în privința transferurilor către state din afara SEE

Perioada de retenție sau criteriile utilizate pentru determinarea perioadei

 

Drepturile persoanei vizate

 

Dacă e cazul, existența dreptului de retragere a consimțământului

 

 

Dreptul de a depune o plângere la Autoritatea de supraveghere

 

Sursa de unde provin datele și dacă această sursă este una publică

 

 

Dacă obligația de a divulga datele stă la baza unui contract sau a unei obligații legale și consecințele nedivulgării acestor date

 
Existența unui proces decisional automat cu impact semnificativ asupra persoanei, inclusiv crearea de profiluri și consecințele

 

Când se vor furniza informațiilor

La momentul colectării datelor

Într-un termen rezonabil după obținerea datelor (nu mai mult de o lună)

dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau

dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară

We make GDPR #simple. O campanie susțină de #avocatoo și #legalup. 

 

Un model de politică de confidențialitate conformă GDPR inclusă în KIT-ul nostru complet de documente pentru implementarea GDPR, care poate fi achiziționat de aici. 

KIT-ul conține, pe lângă politici de confidențialitate și note de informare și alte documente absolut necesare pentru implementarea cerințelor GDPR, precum contracte, politici tehnice, acorduri de prelucrare etc.

Află mai multe despre KIT aici

 

Sursa



Majoritatea firmelor prelucrează date cu caracter personal referitoare la angajații lor zi de zi. Datele personale prelucrate de firmă pot fi oricare, de la datele de identificare până la informațiile medicale prezentate de angajați pentru a justifica absența. În consecință, majoritatea întreprinderilor vor fi afectate de Regulamentul UE privind protecția generală a datelor (“GDPR”), care va reglementa prelucrarea datelor cu caracter personal atunci când devine direct aplicabil începând cu 25 mai 2018.

Acest articol cuprinde măsuri practice pe care ar trebui să le luați în considerare în ceea ce privește prelucrarea datelor angajaților.

1. Ce este GDPR?

Multe organizații se străduiesc să evalueze unde ar trebui să înceapă în ceea ce privește pregătirea pentru GDPR. Este util să ne amintim că am avut legislație privind protecția datelor în România încă din 2001 și, prin urmare, firmele care au respectat în mod serios respectarea protecției datelor sunt deja în bună formă pentru a îndeplini standardele de respectare a standardelor GDPR. GDPR se bazează și consolidează multe dintre cerințele și principiile existente privind protecția datelor în conformitate cu legislația actuală privind protecția datelor. GDPR ar trebui văzută ca o oportunitate de a revizita nivelul de protecție a datelor de către firma.

Începând cu 25 mai 2018, GDPR va înlocui Directiva din 1995 privind protecția datelor, care este legislația UE, pe care se bazează principala legislație română privind protecția datelor, Legea 677/2001. GDPR, fiind un Regulament, se va aplica direct în România, indiferent că se adoptă sau nu o lege națională.

2. „Consimțământul” în contractele de muncă

Ca și în cazul actualei legislații, pentru a prelucra datele personale ale unui angajat, firma are nevoie de o bază legală pentru a face acest lucru. Multe dintre bazele juridice pe care angajatorii le utilizează în prezent pentru a procesa datele cu caracter personal ale angajaților vor continua să existe în cadrul GDPR. Cele mai relevante baze juridice pentru angajatori, atât în ​​cadrul DPA, cât și în GDPR, sunt următoarele:

  • angajatul și-a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru executarea unui contract la care angajatul este parte;
  • prelucrarea este necesară pentru a lua măsuri la cererea angajatului înainte de a încheia un contract;
  • respectarea unei obligații legale;
  • prelucrarea este necesară pentru a proteja ale angajatului; și
  • în scopul intereselor legitime ale firmei.

În practică, constatăm că mulți angajatori tind să se bazeze pe prima bază juridică menționată mai sus pentru prelucrarea datelor, adică consimțământul, care este de obicei luat în contractul de muncă. Pentru ca consimțământul să fie valabil, acesta trebuie, printre altele, să fie „acordat în mod liber”, ceea ce ridică preocupări în contextul ocupării forței de muncă, deoarece este discutabil dacă consimțământul unui angajat este acordat în mod liber pe baza dezechilibrului puterii dintre un angajator și un angajat . Grupul de lucru „Articolul 29″, care este grupul reprezentativ al autorităților UE pentru protecția datelor, a comentat recent că un angajat este rareori în măsură să dea un consimțământ liber.

Un alt punct de reținut atunci când se bazează pe consimțământ este acela că anumite drepturi ale persoanelor vizate pot fi exercitate numai atunci când consimțământul este temeiul juridic, de exemplu dreptul la portabilitatea datelor și așa-numitul „drept de fi uitat”.

Având în vedere dificultățile legate de consimțământ, acum este momentul să te gândești dacă nu cumva firma ta poate invoca baze juridice alternative pentru o anumită prelucrare a datelor cu caracter personal. De exemplu, prelucrarea detaliilor unui angajat în cadrul salarizării ar putea fi întemeiată pe baza legală a executării unui contract cu angajatul. Cu toate acestea, pot exista situații în care consimțământul este singurul temei juridic adecvat pentru a se baza. O astfel de situație poate apărea, de exemplu, în contextul procesării informațiilor medicale ale unui angajat, în cazul în care o asemenea prelucrare nu este cerută de legislația muncii. În cazul în care este necesar să se bazeze pe consimțământul ca temei juridic, consimțământul ar trebui să fie obținut printr-o declarație sau alt document separat de contractul de muncă, care nu este în mod inerent legat de acceptarea de către salariat a locului de muncă în cadrul firmei.

3. Drepturile angajatului

GDPR introduce noi drepturi pentru persoanele vizate și modifică, de asemenea, unele dintre drepturile existente în cadrul legislației actuale. Un drept modificat pe care multe firme îl pot cunoaște este dreptul de acces al persoanelor vizate, care oferă în mod esențial unei persoane dreptul de a primi o copie a datelor sale personale.

Răspunsul la cerere trebuie să se facă „fără întârzieri nejustificate” și, în orice caz, în termen de o lună de la primirea solicitării.

Acest termen scurt înseamnă că firmele vor trebui să se asigure că au politicile și procedurile în vigoare pentru a se conforma unei cereri de acces primite și că dispune de personal și resurse suficiente pentru a se conforma. Cu toate acestea, în cazul în care o cerere este complexă sau dacă sunt formulate mai multe cereri, atunci termenul poate fi prelungit cu încă două luni, dacă este necesar, cu condiția ca persoana vizată să fie informată cu privire la prelungire și motivele acesteia în termen de o lună de la data la care angajatorul a primit cererea.

 

4. Responsabilitatea

Responsabilitatea este un principiul fundamental al GDPR. Aceasta impune ca firmele nu numai să respecte GDPR prin implementarea unor măsuri tehnice și organizatorice adecvate și a unor politici adecvate de protecție a datelor, dar trebuie, de asemenea, să poată demonstra conformitatea acestora. Ca atare, acest lucru va implica mai mult decât crearea unor politici de protecție a datelor și a unor registre de prelucrare care să respecte GDPR, ci si punerea în practică a acestor politici.

 

5. Informații care trebuie furnizate angajaților

Trebuie furnizate anumite informații angajaților înainte ca datele lor personale să fie colectate și prelucrate de către firmă. Informațiile vor fi în mod obișnuit furnizate sub forma unei notificări adresate candidaților, iar o politică de confidențialitate viitoare va fi furnizată angajaților, de regulă, cu ocazia încheierii contractului de muncă. În cadrul GDPR, vor fi furnizate următoarele informații:

  • numele firmei și datele de contact și numele și datele de contact responsabilului cu protectia datelor, dacă există;
  • scopul (scopurile) prelucrării, precum și temeiurile juridice pentru prelucrare;
  • în cazul în care temeiul juridic al prelucrării se bazează pe interesele legitime ale întreprinderii, aceste interese legitime trebuie identificate;
  • destinatarii sau categoriile de destinatari de date cu caracter personal;
  • dacă firma intenționează să transfere date cu caracter personal unei țări terțe și temeiul juridic al transferului;
  • perioada de păstrare a datelor cu caracter personal și criteriile utilizate pentru determinarea acesteia; modul în care angajații (sau candidații pentru locuri de muncă) își pot exercita drepturile;
  • modul în care angajații (sau candidații pentru locuri de muncă) își pot retrage consimțământul pentru prelucrare, în cazul în care prelucrarea de către firmă se bazează pe consimțământ;
  • dreptul de a depune o plângere autorității de supraveghere a protecției datelor;
  • dacă angajatul (sau candidatul la postul de loc de muncă) este obligat să furnizeze datele cu caracter personal în temeiul unei legi sau al unui contract și consecințele neconformării; și
  • existența procesului de luare a deciziilor automate, inclusiv profilarea, precum și logica și consecințele prelucrării pentru angajat (sau candidatul la un loc de muncă).

Este important să revizuiești informările oferite angajaților și candidaților pentru locuri de muncă, pentru a verifica dacă acestea includ informațiile de mai sus.

Dacă ai nevoie de modele de informare conforme GDPR pentru angajați și candidați le găsești aici, în KIT-ul nostru de implementare. 

 

6. Responsabilul cu protecția datelor („DPO”)

O modificare importantă introdusă de GDPR este cerința ca anumiți operatori de date și împuterniciți să numească un DPO. DPO este responsabil de supravegherea conformității unei organizații cu protecția datelor.

Un DPO este obligatoriu atunci când:

  • operatorul este o autoritate publică sau un organism public (cu excepția instanțelor de judecată);
  • operatorii de date și împuterniciții au ca activitate principală o prelucrare “care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă”; și
  • operatorii de date și împuterniciții implicați în prelucrarea la scară largă a datelor cu caracter personal sensibile sau a datelor cu caracter personal referitoare la condamnările și infracțiunile penale.

Grupul de lucru “Articolul 29” recomandă ca operatorii și împuterniciții să se informeze dacă este necesar un DPO.

DPO poate să fie intern (angajat) sau externalizat (de exemplu, un avocat) și trebuie să aibă cunoștințe de specialitate privind protecția datelor cu caracter personal. Dacă este angajat, nu poate fi sancționat sau demis pentru îndeplinirea activităților sale. Responsabilul va fi independent în îndeplinirea sarcinilor. Acest lucru trebuie luat în calcul înainte de a numi pe cineva.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

 



Cu ocazia întâlnirii din luna noiembrie 2017, Grupul de lucru Articolul 29 a adoptat două ghiduri (cu privire la „Transparență” și „Consimțământ”) în vederea asigurării unei aplicări armonizate a Regulamentului General privind Protecția Datelor începând cu data de 25 mai 2018. Acestea au fost lansate în vederea consultării publice până la data de 23 ianuarie 2018.

În prezentul articol, vom rezuma aspectele relevante cuprinse în Ghidul Grupului de Lucru Articolul 29 cu privire la transparență.

Noțiunea de transparență

Deși transparența nu este definită în GDPR, totuși Considerentul 39 din Preambul este informativ cu privire la principiul transparenței: Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate.

 

Art. 12 din RGPD prevede că operatorul trebuie să realizeze informarea persoanei vizate astfel:

  • într-o formă concisă, transparentă, inteligibilă și usor accesibilă;
  • utilizând un simplar clar și simplu;
  • în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic;
  • la solicitarea personei vizate, informațiile pot fi prezentate oral;
  • informarea trebuie să fie gratuită.

 

I. Forma concisă, transparentă, inteligibilă și usor accesibilă

Grupul de Lucru recomandă ca informațiile să fie prezentate succinct și să se diferențieze în mod clar de alte informații, ca de exemplu, dispozițiile contractuale. Cerința ca informația să fie „inteligibilă” înseamnă că ar trebui înțeleasă de un membru mediu al publicului vizat. Cerința „ușor accesibilă” înseamnă că persoana vizată nu ar trebui să caute ea însăși informațiile, ci să îi fie gata oferite de către operator. Grupul de lucru recomandă ca pentru accesarea notei de informare să nu se folosească mai mult de două clickuri și că funcția de meniu utilizată în aplicații ar trebui să includă întotdeauna o secțiune pentru protecția datelor.

 

II. Limbaj simplu și clar

Informațiile prezentate trebuie incluse într-un limbaj simplu, clar și definitiv. Potrivit Grupului de Lucru, exemplele de limbaj neclar includ: „putem folosi datele tale cu caracter personal pentru a dezvolta noi servicii(deoarece nu este clar care este serviciul), „putem folosi datele tale cu caracter personal în scopuri de cercetare” (întrucât nu este clar despre ce fel de  cercetare este vorba).

 

III. în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic

Grupul de Lucru constată că „alte mijloace” pot include declarații/notificări de confidențialitate stratificate, ferestre pop-up, notificări 3D etc.

  • la solicitarea personei vizate, informațiile pot fi prezentate oral

Grupul constată că acest lucru nu înseamnă neapărat informații orale furnizate personal sau prin telefon. Informațiile orale automate pot fi furnizate în plus față de mijloacele scrise, cum ar fi în contextul persoanelor cu deficiențe de vedere atunci când interacționează cu furnizorii de servicii ale societății informaționale. În cazul în care informațiile sunt furnizate oral, operatorul ar trebui să permită persoanei vizate să asculte din nou mesajele preînregistrate.

  • informarea trebuie să fie gratuită

Un operator nu poate solicita o taxă pentru informarea persoanei vizate.

 

Notificările existente ar putea avea nevoie de actualizare

Operatorul trebuie să se asigure că notele de informare include toate informațiile prevăzute în Articolele 13 și 14 din GDPR, în caz contrar, este nevoie ca acestea să fie actualizate pentru a corespunde noilor standarde.

 

Informarea copiilor

Limbajul trebuie adaptat publicului. Dacă se prelucrează date cu caracter personal ale copiilor, limbajul trebuie să fie adecvat vârstei. Grupul oferă ca exemplu pentru un limbaj adresat copilului „Convenția ONU privind drepturile copilului” în limbaj pentru copii.

 

Dacă se dorește modificarea notei de informare, aceasta modificare ar trebui să fie într-o modalitate adecvată (de exemplu, prin e-mail) și să fie dedicată aceastui subiect. Nu se recomandă informarea despre modificare împreună cu conținutul despre marketing. Ar trebui ca informarea să se realizeze cu o marjă de timp adecvată înainte de aplcarea modificării dacă implică o modificare fundamental a naturii prelucrării  sau este vorba despre o modificare care poate avea un impact semnificativ asupra persoanei.

Excepțiile de la informarea persoanei vizate

Art. 14 alin. (5) conține excepțiile de la obligația de informare. Grupul afirmă că aceste excepții ar trebui interpretate limitativ:

 

a)persoana vizată deţine deja informaţiile;

b)furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în cazul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligaţia menţionată la alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective In astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului;

c)obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

d)în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.

 

Ghidul

Ai nevoie de modele de informare? Le găsești aici

 


arhive-informare-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord