Aici descoperim
dreptul tehnologiei

Dezmoștenirea-în-Codul-Civil-3.png

Dreptul de a fi uitat sau dreptul la ștergerea datelor

GDPR introduce dreptul persoanelor fizice de a fi uitat sau de a  șterge datele cu caracter personal.

  • Dreptul la ștergere este, de asemenea, cunoscut ca “dreptul de a fi uitat”.
  • Persoanele fizice pot face o cerere de ștergere verbală sau în scris.
  • Aveți la dispoziție o lună să răspundeți la solicitare.
  • Dreptul nu este absolut și se aplică numai în anumite circumstanțe.
  • Acest drept nu este singurul mod în care GDPR vă obligă să vă hotărâți să ștergeți datele cu caracter personal.

Listă de verificare

Cum ne pregătim?

  • Știm cum să recunoaștem o cerere de ștergere și înțelegem când se aplică dreptul.
  • Avem o procedură pentru a ști concret cum să identificăm și cum să răspundem la o cerere de ștergere.
  • Avem un registru unde înregistrăm cererile. 
  • Înțelegem când putem refuza o cerere și suntem conștienți de informațiile pe care trebuie să le furnizăm persoanelor atunci când facem acest lucru.

Cum răspundem?

  • Există procese prin care ne asigurăm că răspundem la o cerere de ștergere fără întârzieri nejustificate și în termen de o lună de la primire.
  • Suntem conștienți de circumstanțele în care putem prelungi termenul pentru a răspunde la o solicitare.
  • Înțelegem că se pune un accent deosebit pe dreptul de a fi uitat dacă cererea se referă la datele colectate de la copii.
  • Avem proceduri pentru a informa destinatarii dacă ștergem orice date pe care le-am împărtășit cu ei.
  • Avem metode adecvate pentru a șterge informațiile.

 

 

Ce reprezintă dreptul de a fi uitat?

În conformitate cu articolul 17 din GDPR, persoanele fizice au dreptul de a șterge datele cu caracter personal. Acest lucru este, de asemenea, cunoscut ca “dreptul de a fi uitat”. Dreptul nu este absolut și se aplică doar în anumite circumstanțe.

 

Când se aplică dreptul de a fi uitat?

Persoanele fizice au dreptul de a șterge datele lor personale dacă:

  • datele nu mai sunt necesare pentru scopul pentru care le-ați colectat sau le-ați prelucrat inițial;
  • vă bazați pe consimțământ ca temei legal pentru păstrarea datelor și persoana își retrage consimțământul;
  • vă bazați pe interesul legitim ca temei pentru prelucrare, iar persoana obiectează la prelucrarea datelor și nu există niciun interes legitim pentru a continua această prelucrare;
  • prelucrați datele personale în scopuri de marketing direct și persoana obiectează la prelucrarea respectivă;
  • ați prelucrat datele cu caracter personal în mod ilegal;
  • trebuie să faceți acest lucru pentru a respecta o obligație legală; sau ați prelucrat datele pentru a oferi unui copil servicii ale societății informaționale.

 

Cum se aplică dreptul de ștergere datelor colectate de la copii?

Se pune accent pe dreptul de a șterge datele cu caracter personal dacă cererea se referă la datele colectate de la copii. Aceasta reflectă protecția sporită a informațiilor copiilor, în special în mediul online, în cadrul GDPR.

Prin urmare, dacă prelucrați datele colectate de la copii, trebuie să acordați o importanță deosebită oricărei solicitări de ștergere, dacă prelucrarea datelor se bazează pe consimțământul dat de un copil – în special orice prelucrare a datelor personale pe internet. Acest lucru este valabil și în cazul în care persoana vizată nu mai este copil, deoarece este posibil ca un copil să nu fi fost pe deplin conștient de riscurile implicate de prelucrare în momentul acordării consimțământului.

 

Te-ar putea interesa și: 

 

Trebuie să înștiințăm celelalte organizații despre ștergerea datelor cu caracter personal?

GDPR specifică două situații în care trebuie să comunicați altor organizații ștergerea datelor cu caracter personal:

  • datele cu caracter personal au fost divulgate; sau
  • datele personale au fost făcute publice într-un mediu online (de exemplu, pe rețelele sociale,forumuri sau site-uri web).

Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare destinatar și să îl informați despre ștergere, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.

GDPR definește un beneficiar ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia i se dezvăluie datele cu caracter personal. Definiția include operatoii, persoanele împuternicite și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite sunt autorizate să prelucreze date cu caracter personal.

În cazul în care datele cu caracter personal au fost făcute publice într-un mediu online, ar trebui luate măsuri rezonabile pentru a informa alți operatori care prelucrează datele cu caracter personal pentru a șterge legăturile, copiile sau replicarea acestor date. Atunci când decideți ce măsuri sunt rezonabile, trebuie să țineți cont de tehnologia disponibilă și costul implementării.

 

Trebuie să ștergem datele personale din sistemele backup?

Dacă se primește o solicitare valabilă de ștergere și nu se aplică nicio excepție, va trebui să luați măsuri pentru a asigura ștergerea din sistemele backup, precum și din sistemele live. Acești pași vor depinde de circumstanțele dvs. specifice, de programul dvs. de stocare (în special în contextul copierii de rezervă) și de mecanismele tehnice disponibile.

Trebuie să fiți absolut clari când înștiințați persoanele cu privire la ce se va întâmpla cu datele lor atunci când cererea lor de ștergere este îndeplinită, inclusiv în ceea ce privește sistemele backup. Este posibil ca cererea de ștergere să poată fi îndeplinită instantaneu în ceea ce privește sistemele live, dar ca datele să rămână în backup pentru o anumită perioadă de timp, până când va fi suprascris.

Problema cheie este de a pune datele de rezervă “dincolo de utilizare”, chiar dacă nu pot fi suprascrise imediat. Trebuie să vă asigurați că nu utilizați datele din copia de rezervă pentru niciun alt scop, ceea ce înseamnă că backup-ul este pur și simplu ținut pe sistemele dvs. până când este înlocuit în conformitate cu un program stabilit. Cu toate acestea, este puțin probabil ca păstrarea datelor cu caracter personal în rezervă să reprezinte un risc semnificativ, deși acest lucru va fi specific contextului.

 

 

 

Când nu se aplică dreptul de a fi uitat?

Dreptul de a fi uitat nu se aplică în cazul în care prelucrarea este necesară pentru persoana vizată în următoarele situații:

  • când exercită dreptul la libertatea de exprimare și de informare;
  • când trebuie să respecte o obligație legală;
  • pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității publice;
  • pentru scopuri de arhivare în interes public, cercetare științifică istorică sau scopuri statistice, în cazul în care ștergerea este de natură să facă imposibilă sau să afecteze în mod grav realizarea prelucrării respective; sau
  • pentru stabilirea, exercitarea sau apărarea unui drept în instanță

De asemenea, GDPR specifică două situații în care dreptul de a fi uitat nu se aplică datelor de categorie specială:

  • dacă prelucrarea este necesară în scopuri de sănătate publică în interesul public (de exemplu, protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau dispozitivelor medicale); sau
  • în cazul în care prelucrarea este necesară în scopurile medicinii preventive sau profesionale (de exemplu, în cazul în care prelucrarea este necesară pentru capacitatea de muncă a unui angajat, pentru diagnosticul medical, pentru furnizarea de asistență medicală sau socială sau pentru gestionarea sănătății sau sociale sisteme sau servicii de îngrijire). Aceasta se aplică numai în cazul în care datele sunt prelucrate de către sau sub responsabilitatea unui profesionist care face obiectul unei obligații legale privind secretul profesional (de exemplu, un profesionist în domeniul sănătății).

 

Te-ar putea interesa si:

 

Putem refuza să ne conformăm unei cereri din alte motive?

Puteți refuza să vă conformați unei solicitări de ștergere dacă este vădit nefondată sau excesivă, luând în considerare dacă cererea are un caracter repetitiv.

Dacă considerați că o cerere este vădit nefondată sau excesivă, puteți să:

  • solicitați o “taxă rezonabilă” pentru a răspunde cererii; sau
  • refuza să răspundeți la cerere.

În ambele cazuri, va trebui să vă justificați decizia.

 

Ce ar trebui să facem dacă refuzăm să dăm curs unei cereri de ștergere?

Trebuie să informați persoana respectivă fără întârzieri nejustificate și în termen de o lună de la primirea cererii.

Trebuie să informați persoana despre:

  • motivele pentru care nu acționați;
  • dreptul lor de a adresa o plângere autorității de supraveghere și posibilitatea de a-și exercita acest drept printr-o cale de atac judecătorească.

De asemenea, trebuie să furnizați aceste informații dacă solicitați o taxă rezonabilă sau aveți nevoie de informații suplimentare pentru a identifica persoana respectivă.

 

Sursa aici

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



date-21.png

Zvonurile circulă cum că Moș Crăciun nu prea ar mai ajunge anul ăsta pe la noi, pentru că ar fi șters toată baza de date ca să respecte GDPR. Îngrijorați, i-am făcut o vizită week-end-ul ăsta. Nu ne-au descurajat nămeții și gerul de -20 grade. Moșul ne-a primit la el acasă și ne-a întâmpinat cu ciocolată caldă cu aromă de portocale și cozonac. S-a așezat resemnat la birou, ne-a arătat o foaie goală și a început să ne povestească:

– Dragii Moșului, sunt puțin derutat. Sunt un SRL cu un singur asociat, fără angajați. În cele din urmă, l-am numit pe Rudolph DPO…, începe moșul cu vocea răgușită.

– Înțelegem… Și totuși, noi vă așteptăm pe 24 seara.

– Când am auzit de GDPR, m-am speriat. Aveam mult prea multe date personale despre toți copiii. Spiridușii au venit de zor prin mai astă-vară și mi-au spus că datele cu caracter personal ale copiilor sunt date sensibile și că trebuie să cer consimțământul tuturor părinților. Dar cum să obțin eu consimțământul a câteva miliarde de oameni?

– Și ce ați făcut?

– Am șters, oftează Moș Crăciun.

– Ce anume ați șters?

– Toată baza de date… Spiridușii și Doamna Crăciun mi-au zis că nu există altă variantă. „Gata moșule, atât a fost. E vremea să te pensionezi…”. Doamna Crăciun spunea să mergem într-o vacanță în Caraibe că s-a săturat de atâta frig… Am fost într-o vacanță prelungită și m-am întors abia ieri că, cine știe, poate se mai poate face ceva.

– Dar Moșule, de ce ai mers pe consimțământ? Ai fi putut utiliza interesul legitim și era suficientă informarea. Pune spiridușii să îți scrie o notă de informare și o analiză a interesului legitim și ai grijă ca alături de jucării să lași și nota de informare.

– Unde scrie asta? întreabă curios Moșul.

– Art. 5 lit. d coroborat cu art. 13 din GDPR.

Moș Crăciun își cheamă spiridușii și se pun să studieze Regulamentul și ghidurile Grupului de Lucru Art. 29. După o oră, Moșul e lămurit:

– La treabă, spiriduși! Analiză a interesului legitim și notă de informare. Ne pregătim pentru Crăciun! Unde e responsabilul cu protecția datelor? Ruuudooolph??

Apare Rudolph.

– Rudolph, recuperează toată baza de date. Te-am numit DPO, tu te ocupi de asta!

Rudolph zâmbește ștrengar:

– Eu nu primesc ordine, sunt independent!

 

Moș Crăciun deschide laptopul și dă câteva telefoane. Adaugă apoi:

– Văd că ai fost cuminte anul ăsta…

-Dar Moșule, ai zis că ai șters…

-Are Moșul backup.

 

 


no-fuimar-1200x628.jpg

În opinia Grupului de Lucru Art. 29, utilizarea camerelor ascunse pentru a identifica angajații sau vizitatorii care fumează în locuri nepermise pe temeiul interesului legitim nu este posibilă. Chiar dacă angajatorul are un interes legitim să asigure conformitatea cu legislația anti-fumat, metoda folsoită (camerele ascunse) este disproporționată și nejustificat de intruzivă. Atâta timp cât există metode mai transparente și mai puțin intruzive (cum ar fi detectorii de fum cu semne vizibile), activitatea de prelucrare prin intermediul camerelor ascunse încalcă principiul reducerii la minimum a datelor prevăzut de art. 5 alin. (1) lit c din GDPR (datele trebuie sa fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate).

 

Te-ar putea interesa și:


template-3-1200x675.png

O companie monitorizează folosirea internetului de către angajați în timpul orelor de muncă. Datele colectate arată site-urile care sunt vizitate de către angajați și descărcările efectuate în timpul programului de lucru. Compania nu a obținut acordul angajaților pentru monitorizarea electronică, însă dorește să utilizeze interesul legitim.

Poate compania utiliza interesul legitim? 

Pentru a răspunde la această întrebare, ar trebui să avem în vedere art. 5 din Legea 190/2018, care prevede că:

„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În consecință, chiar dacă literele a-e ar fi respectate, atâta timp cât există metode mai puțin intruzive la dispoziția angajatorului, acesta din urmă nu se poate baza pe interes legitim. În situația prezentată mai sus, o metodă mai puțin intruzivă este limitarea accesului către anumite site-uri care nu sunt în interes de serviciu. Așadar, atâta timp cât angajatorul nu poate dovedi că o metodă mai puțin intruzivă nu a fost eficace în trecut, nu se poate baza pe interes legitim, singura soluție rămasă este obținerea unui comsimțământ informat al angajatului în care i se explică acestuia concret, printre altele, metodele de supraveghere folosite și impactul asupra vieții private.

Sursa aici



black-vintage-car-clipart-1200x1200.jpg

Ați putea ghici cine află despre dvs. următoarele lucruri?

  • unde locuiți;
  • unde lucrați;
  • la ce școală merg copiii dvs.;
  • religia dvs.;
  • cât de des vizitați medicul,
  • dacă respectați limita de viteză;
  • toate contactele de pe telefon;
  • detalii despre toate apelurile telefonice, mesajele;
  • ce posturi de radio ascultați; și
  • dacă ați plecat de la sala de fitness în această dimineață și ați făcut o cafea și un croissant

Majoritatea oamenilor ar spune că telefonul lor, dar câți oameni ar spune “mașina”?

Autovehiculele moderne sunt pline de setări care fac viața mai ușoară și mai sigură, cum ar fi controlul direcției, sistemul de control al vitezei de croazieră, sistemele de navigație și media. Toate aceste facilități au ca rezultat generarea unor cantități enorme de date (pe care unele estimări le pun la 25Gb de date pe oră – echivalentul a 125.000 de documente Word sau 100 de ore de video). În funcție de natura tehnologiei utilizate în automobilul dvs. modern, aceste informații sensibile ar putea fi accesibile sau puse la dispoziția mai multor părți interesate, inclusiv producătorului, operatorilor de rețele mobile, furnizorilor de sisteme auto sau furnizorilor de servicii de cloud pentru stocarea datelor.

Aceste date sunt importante și sunt de interes pentru multe părți – pentru a le pune în context, un studiu recent din martie 2018 realizat de McKinsey & Company estimează că industria conectivității auto poate valora între 450 și 750 de miliarde de dolari în întreaga lume până în 2030.

Este îngrijorător că nu există un cadru juridic specific la nivel european care să reglementeze protecția datelor colectate de la vehicule.

Toate datele colectate care constituie “date personale” (de exemplu, numele, adresa, numărul de telefon, locația GPS și datele biometrice) sunt supuse noii legislații GDPR . În conformitate cu GDPR, există șase temeiuri pentru prelucrarea datelor personale, cel mai utilizat fiind consimțământul persoanei vizate.

Când ați achiziționat mașina, v-ați dat consimțământul pentru stocarea și prelucrarea datelor dvs.?

Colectarea datelor de către mașina dvs. nu este doar un alt exemplu de ingerință a Big Brother – este mai mult de atât.

Majoritatea companiilor colectează date cu scopul declarat de a menține și de a îmbunătăți serviciile furnizate sau de a dezvolta noi servicii. Există, fără îndoială, împrejurări în care oamenii ar prefera ca datele automobilelor să fie puse la dispoziția poliției și accesate de aceasta (în cadrul competențelor prevăzute de legislația națională). La începutul acestui an, poliția din Irlanda a reușit, să utilizeze datele despre locație de la un Nissan Qashqai pentru a urmări deplasarea lui Mark Hennessy în timp ce o răpea pe Justine Valdez .

În SUA, tehnologia este utilizată în mod obișnuit în mașini de către autoritățile de aplicare a legii, ceea ce dă naștere la preocupări majore privind protecția datelor. De exemplu, într-un caz, un șofer a activat accidental sistemul SOS al mașinii în timp ce discuta despre o afacere cu droguri. Personalul call-center a ascultat discuția, apoi a informat poliția locală care l-a arestat ulterior pe conducătorul auto. În acest caz, în timp ce primul gând este că arestarea unui traficant de droguri este în mod evident un lucru bun, vi se pare în regulă faptul că operatorii call-center ai producătorului de automobile ar putea asculta discuțiile dvs. private în timp ce vă aflați în mașină, dacă ați activat accidental sistemul de urgență? Poate că acesta este un preț care merită să fie plătit pentru siguranță știind că, dacă ați suferit un accident, ajutorul va fi la îndemână.

Ce părere aveți despre colectarea datelor de către mașina dvs.? V-ați bucura să fie utilizate pentru a vă prezenta conținut și anunțuri personalizate?

De exemplu, dacă autovehiculul dvs. urmează să rămână fără motorină/ benzină, v-ar plăcea să vă informeze că există o stație de alimentare în apropiere (indicații de orientare) și că veți obține o reducere cu 5% a combustibilului dacă veți merge acolo? În această “tranzacție”, stația de alimentare plătește, probabil, producătorului de automobile o anumită taxă pentru afișarea anunțului, dvs. veți obține o reducere a prețului benzinei/motorinei și stația ar beneficia și de alte achiziții ale dvs. (cum ar fi o cafea) în timp ce alimentați automobilul. Este o situație în care toate părțile au de câștigat sau este cu adevărat terifiant?

În cele din urmă, este clar că într-o lume curajoasă a mașinilor conectate, nimeni nu știe exact spre ce ne îndreptăm. Cu toate acestea, dintr-o perspectivă juridică, proprietarii de mașini trebuie să fie informați cu privire la toate datele personale colectate și la modul în care vor fi utilizate – fără acestea, producătorii se expun investigațiilor autorităților de supraveghere și reclamațiilor din partea clienților.

https://www.lexology.com/library/detail.aspx?g=0e462f17-e2fd-47b3-9396-d69fef19025f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

 


DPO-întreabă-LegalUp-răspunde-1.png

Un DPO, cumpărător al KIT-ului nostru de implementare, ne-a adresat următoarea întrebare:

Întrebare: Conform GDPR trebuie ca, anterior începerii supravegherii video, să te consulți cu reprezentanții salariaților / sindicatul, să soliciți lămuriri firmei care a instalat sistemul de supraveghere privind conformitatea instalației și să informezi personal cu privire la supravegherea video. Dacă ne-am mutat în clădire cu mult timp înainte de GDPR, în condițiile în care noi am preluat clădirea cu sistemul de supraveghere video deja instalat, înțeleg că nu se mai poate pune problema ca anterior începerii supravegherii video să facem ceea ce am precizat anterior.

În aceste condiții, mai trebuie să facem acțiunile amintite mai sus?

Răspuns:  Art. 5 din Legea 190/2018 privind măsurile de punere în aplicare a GDPR prevede ca „ În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Prin urmare, intervin două situații:

Situația #1. Activitatea de supraveghere video a început anterior intrării în vigoare a Legii nr. 190/2018, prin urmare operatorul trebuie respecte toate conditiile de la punctele a-e cat mai curand.

Situația #2. Activitatea de supraveghere video a început ulterior intrării în vigoare a Legii nr. 190/2018, prin urmare operatorul trebuie respecte toate conditiile de la punctele a-e înainte de începerea efectivă a activității de prelucrare.

Concluzia: trebuie să respectați cerințele Legii 190/2018. 

 

Ai nevoie documentație GDPR și/sau de suport la implementarea cerințelor GDPR? Cumpără KIT-ul nostru de implementare și îți răspundem gratuit la întrebări despre GDPR timp de un an. 

 


yes-and-no-signs_1325-370.jpg

GDPR oferă persoanelor vizate dreptul de a se opune prelucrării datelor personale în anumite circumstanțe. În anumite cazuri în care se aplică dreptul la opoziție, puteți continua prelucrarea dacă demonstrați că aveți un motiv întemeiat.

Ce reprezintă dreptul la opoziție?

Articolul 21 din GDPR prevede dreptul persoanelor vizate de a se opune prelucrării datelor cu caracter personal. Acest lucru înseamnă că persoanele vizate vă pot solicita să opriți prelucrarea.

Dreptul la opoziție se aplică doar în anumite circumstanțe. Indiferent dacă se aplică sau nu, acest lucru depinde de temeiul legal și de scopurile prelucrării. 

Când se aplică dreptul la opoziție?

Persoanele vizate au dreptul absolut de a se opune prelucrării datelor cu caracter personal dacă acestea sunt prelucrate pentru marketing direct.

Persoanele vizate pot, de asemenea, obiecta dacă prelucrarea se realizează pentru:

  • interesul public;
  • exercitarea autorității publice sau
  • interesul dvs legitim (sau al unui terț).

În aceste condiții, dreptul la opoziție nu este absolut.

De asemenea, dacă prelucrați date în scop de cercetări științifice sau istorice, ori în scopuri statistice, dreptul la opoziție este limitat.

Marketingul direct

O persoană vă poate cere în orice moment să nu mai prelucrați datele personale pentru marketingul direct. Acesta este un drept absolut și nu există excepții sau motive pentru refuzul dumneavoastră. Prin urmare, atunci când persoana vizată formulează o obiecție față de prelucrarea în scop de marketing direct, trebuie să vă conformați.

Cu toate acestea, nu înseamnă automat că trebuie să ștergeți datele personale și, în majoritatea cazurilor, puteți suprima detaliile. Suprimarea presupune păstrarea unor informații suficiente pentru ca preferința persoanei vizate de a nu primi marketing direct să fie respectată în viitor.

Trebuie întotdeauna să ștergem datele personale pentru a ne conforma unei obiecții?

În cazul în care ați primit o obiecție împotriva prelucrării datelor cu caracter personal și nu aveți motive să refuzați, trebuie să opriți prelucrarea datelor.

Acest lucru poate însemna că trebuie să ștergeți datele personale, deoarece definiția prelucrării în cadrul GDPR este largă și include stocarea datelor. Cu toate acestea, după cum s-a menționat mai sus, aceasta nu e întotdeauna cea mai potrivită soluție.

Ștergerea poate să nu fie potrivită dacă prelucrați datele în alte scopuri, deoarece este necesar să le păstrați chiar pentru scopurile respective. De exemplu, atunci când o persoană vizată obiectează la prelucrarea datelor sale pentru marketingul direct, puteți plasa detaliile acesteia pe o listă de suprimare pentru a fi clar că respectați obiecția.

Putem refuza să ne conformăm unei obiecții?

Puteți refuza să vă conformați unei obiecții dacă aceasta este vădit nefondată sau excesivă, luând în considerare dacă cererea are o natură repetitivă.

Dacă considerați că obiecția este vădit nefondată sau excesivă, puteți să:

  • solicitați o “taxă rezonabilă” pentru a răspunde cererii; sau
  • refuzați să răspundeți cererii.

În ambele cazuri, va trebui să vă justificați decizia.

Ce ar trebui să facem dacă refuzăm să ne conformăm unei obiecții?

Trebuie să informați persoana vizată fără întârzieri nejustificate și în termen de o lună de la primirea cererii. Puteți prelungi timpul de răspuns cu încă două luni dacă cererea este complexă sau dacă ați primit mai multe solicitări din partea persoanei vizate.

 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-object/


header-balance-rocks-mobile.jpg

GDPR spune că interesul legitim este cel mai flexibil temei de prelucrare, dar alegerea acestui temei trebuie să fie adecvată.

Interesul legitim este un temei potrivit pentru prelucrare atunci când persoanele vizate se așteaptă în mod rezonabil la utilizarea datelor personale pe care le dețin și prelucrarea va avea un impact minim asupra vieții private.

Dacă alegeți temeiul interesului legitim, vă asumați responsabilitatea suplimentară de a proteja drepturile și interesele persoanelor fizice.

Ce prevede GDPR?

Articolul 6 alineatul (1) litera (f) indică un temei pentru prelucrare în cazul în care:

“Prelucrarea este necesară în scopul intereselor legitime urmărite de către operator sau de un terț, cu excepția cazului în care aceste interese sunt înlăturate de interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecția datelor cu caracter personal, în special atunci când datele aparțin unui copil.”

Interesele legitime pot fi atât interesele dvs., cât și interesele terților. Acestea pot include interesele comerciale, interesele individuale sau beneficiile sociale.

Cum prelucrăm în temeiul interesului legitim?

  • Prelucrarea trebuie să fie necesară. Dacă puteți obține în mod rezonabil același rezultat într-un alt mod mai puțin intruziv, temeiul interesului legitim nu va fi aplicabil.
  • Trebuie să vă echilibrați interesele cu cele ale persoanei vizate. Dacă persoana nu s-ar aștepta în mod rezonabil la prelucrare sau dacă i-ar provoca un prejudiciu, interesele acesteia depășesc interesele dvs.
  • Mențineți o evidență a evaluării intereselor legitime (Legitimate Interest Assessment) pentru a demonstra legalitatea prelucrării, dacă este necesar.
  • Trebuie să includeți detalii despre interesele dvs. legitime în notificarea de confidențialitate.

Ce sunt interesele legitime?

O gamă largă de interese reprezintă interese legitime, din perspectiva GDPR. Acestea pot fi interesele dvs. sau interesele terților, interese comerciale, precum și beneficii sociale. GDPR menționează în mod special utilizarea datelor despre clienți sau angajați, marketingul, prevenirea fraudei, transferuri între grupuri sau securitatea IT ca potențiale interese legitime, însă aceasta nu este o listă exhaustivă. De asemenea, puteți spune că aveți un interes legitim atunci când dezvăluiți autorităților informații despre posibile activități infracționale sau amenințări la adresa securității.

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/

 


privacy-10x10-FB-1200x1200.jpg

Scopul acestui manual de implementare GDPR este de a ajuta organizațiile să respecte prevederile GDPR utilizând KIT GDPR Premium LegalUp. Există mai multe soluții disponibile pentru implementarea GDPR în cadrul companiei dumneavoastră, însă metoda noastră este una eficientă și completă, incluzând atât documentația tehnică, cât și cea juridică și organizatorică.

Documentația este un factor important pentru demonstrarea conformității Organizației cu prevederile GDPR. Ea este solicitată de către autoritățile de supraveghere la fiecare investigație și pe bună dreptate: Cum poate o organizație care nu își ține în ordine politicile și procedurile de protecție a datelor să pretindă că asigură protecția datelor personale?

Cum încep implementarea GDPR?

După de ai achiziționat KIT GDPR Premium, vei putea începe implementarea GDPR. KIT GDPR Premium vine cu suport inclus nelimitat pe e-mail timp de 12 luni. 

 

Pasul 1. Întocmirea planului de implementare  

Primul pas în procesul de implementare GDPR este organizarea.

1.1. Deschide cu încredere folderul 1. 

 

Vei găsi acolo un document denumit „Planul operatorului pentru conformarea la GDPR” unde se structurează, în funcție de priorități, acțiunile pe care trebuie să le întreprinzi pentru a respecta RGPD.

1.2. Creează-ți planul de implementare GDPR. Vei putea trece termene-limită pentru implementarea acțiunilor, vei putea trece rolurile și responsabilitățile persoanei/persoanelor responsabile în procedura de aliniere la prevederile RGPD.

Ar fi util ca, pe tot parcursul implementării, să ai Planul la îndemână pentru a ști ce anume s-a început, ce s-a finalizat și ce mai este de făcut.

CUMPARĂ KIT

 

 

Pasul 2. Audit 

Înainte de a începe implementarea ar trebui să știi unde te situezi. Este posibil să fi implementat deja o parte din proceduri.

Audit-ul unui specialist în protecția datelor este scump și, în majoritatea cazurilor, chiar dacă ai angajat un specialist, cea mai mare parte din muncă o faci singur.

Doar tu știi cum funcționează Organizația, de aceea:

2.1. Deschide „Folderul 2 – Audit” și răspunde la întrebările din „Chestionar audit protecția datelor cu caracter personal”.

Ulterior

2.2. Deschide documentul „Raport audit” și urmează instrucțiunile pentru a afla în ce stadiu te afli și care este gradul de conformare al companiei.  

 

 

Cumpără acum

 

Pasul 3. Cartografierea

Acest pas este foarte important și ar trebui parcurs cu multă atenție. El te va ajuta să implementezi corect și complet pașii următori, ca de exemplu completarea Registrelor Activităților de Prelucrare sau redactarea notelor de informare către persoanele vizate.

3.1. Începe prin a răspunde la chestionare pentru a conștientiza, printre altele, ce categorii de date prelucrezi, care sunt persoanele vizate, care sunt scopurile, care este temeiul legal cui transmiți datele, ce proceduri ai implementat sau trebuie să implementezi.

 

cartografierea

Utilizează cu încredere cele 8 chestionare structurate pe departamente din folderul 3.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

CUMPARĂ KIT

 

Pasul 4. Întocmirea Registrului activităților de prelucrare

Așa cum am precizat mai sus, întocmirea acestui registru este obligatorie pentru aproape toate Organizațiile din România. În funcție de calitatea ta, operator sau împuternicit sau ambele va trebui să ai un registru pentru fiecare calitate.

 

Ambele registre din KITul de implementare GDPR vin cu exemple de completare.

Dacă ai parcurs cu succes Pasul 3 din KIT GDPR, completarea registrului nu va fi dificilă, deoarece vei utiliza răspunsurile pe care le-ai dat deja la întrebările din chestionare. Registrele sunt în format excel.

Reține faptul că registrul trebuie revizuit periodic. Ar fi util să stabilești date pentru revizuire, ca de exemplu, de două ori pe an. Pe măsură ce afacerea evoluează sau se schimbă (de exemplu, adoptă noi tehnologii care pot avea impact asupra vieții private), noile procese trebuie trecute în registru. Păstrează și versiunile anterioare.

Dacă te pierzi, ne poți scrie la adresa de mail furnizată pentru suport.

 

VREAU KIT-UL

 

 

Pasul 5. Înformarea persoanelor fizice

Clienții, angajații, candidații, voluntarii, vizitatorii pe site, reprezentații legale sau persoanele de contact din cadrul partenerilor comerciali etc – toți trebuie informaț icu privire la modalitatea în care le prelucrezi datele.

5.1. Deschide folderul 5 din KITul de implementare GDPR și completează notele de informare.

Am construit note de informare pentru majoritatea categoriilor de persoane vizate: angajați, candidați, clienți, vizitatori pe site, parteneri comerciali. Notele de informare sunt redactate de avocați specializați în protecția datelor și respectă cerințele GDPR și sunt construite utilizând un format stratificat și un limbaj ușor de înțeles. Ele sunt standardizate. 

dreptul la informare

După ce ai completat notele de informare, va trebui să informezi persoanele vizate, alegând canalul de comunicare (înmânarea documentului scris, comunicarea pe e-mail etc).

Ai nevoie de o notă de informare care nu se regăsește acolo? Scrie-ne la adresa de e-mail furnizată și ți-o vom trimite pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT.

Cumpără acum

 

Pasul 6. Obținerea consimțământului

În unele cazuri este obligatoriu să iei consimțământul. Deschide folderul 6 și acolo vei găsi șabloanele de consimțământ:

  • Formular consimțământ angajat;
  • Formular consimțământ client;
  • Formular consimțământ părinte pentru minor;
  • Formular consimțământ pacient;
  • Formular consimțământ explicit prelucrare date sensibile;
  • Formular consimțământ explicit transfer international;
  • Formular consimțământ marketing.

 

 

Ai nevoie de un formular care nu se regăsește mai sus? Scrie-ne la adresa de e-mail furnizată și ți-l vom trimite în scurt timp pe e-mail deoarece, ulterior, îl vom standardiza și îl vom include în KIT. 

CUMPARĂ KIT

 

Pasul 7. Respectă drepturile persoanelor vizate

În folderul 7 vei găsi documentul „Procedura privind respectarea drepturilor persoanelor vizate”. În fiecare companie trebuie să existe o astfel de procedură. În cele mai multe cazuri, existența unui control sau nu depinde de existența unei plângeri a unei persoane vizate. Utilizează „Registrul cererilor persoanelor vizate” pentru a documenta cererile în temeiul GDPR.

 

drepturi gdpr

 

Pasul 8. Încheie contracte cu furnizorii

În primul rând, trebuie să întocmești o listă cu toate organizațiile terțe cărora le transferi într-o formă sau alta date personale. Contabilitate, SSM, agenții de marketing, firme de recrutare, furnizori de servicii IT etc – toți sunt împuterniciți și tu ai obligația de a te asigura că ei respectă RGPD și de a încheia acorduri scrise cu ei.

GDPR cere ca operatorul să contracteze doar cu împuterniciții (furnizorii de servicii care au acces la date) care prezintă garanții că respectă GDPR. În folderul 8 vei găsi un chestionar prin care îl vei trimite împuterniciților pentru a verifica dacă respectă GDPR.

De asemenea, GDPR cere ca între operator și împuternicit să existe un contract scris. În folderul 8 vei găsi un astfel de contract.

8.1. Trimite chestionarul furnizorilor pentru a-i verifica

8.2. Încheie acordurile de prelucrare. 

 

Cumpără acum

 

Pasul 9. Încheie contracte cu partenerii comerciali

Pot exista situații în care partajezi date cu diverși parteneri comerciali din dorința de a oferi împreună un bun sau un serviciu. GDPR spune că trebuie să existe un contract pentru a stabili cine informează persoana vizată și cine răspunde la cererile de acces. În folderul 9 găsești un astfel de contract.

 

Pasul 10. Încheie contracte de confidențialitate

Datele cu caracter personal trebuie protejate și GDPR cere încheierea acordurilor de confidențialitate. Bazele de date și secretele comerciale trebuie, de asemenea, protejate. Noi am reușit prin acordurile de confidențialitate din Folderul 10 (Acord de confidențialitate angajat și Acord de confidențialitate partener comercial) să împușcăm doi iepuri dintr-un foc: protejarea afacerii (secrete comerciale și alte informații) și protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

 

Pasul 11. Prevenirea și managementul incidentelor de securitate

Procedurile din folderul 11 din KIT GDPR sunt necesare atât pentru respectarea GDPR, cât și pentru prevenirea și managementul adecvat al incidentelor de securitate.

 

 

Cumpără acum

Pasul 12. Interesul legitim

Există situații în care nu poți să iei consimțământul și nu te poți baza nici pe alt temei legal, așa că singura variantă rămâne interesul legitim. Dar pentru a utiliza interesul legitim, trebuie să afli dacă interesul Organizației prevalează asupra intereselor și drepturilor persoanelor fizice. În folderul 12 găsești analize ale interesului legitim:

  • Analiză interes legitim – supraveghere CCTV;
  • Analiză interes legitim – monitorizare GPS;
  • Analiză interes legitim standard – pentru a fi adaptată la alte situații.

Necesitatea unei analize a interesului legitim în situația supravegherii CCTV a fost introdusă de legiuitorul roman prin Legea nr. 190/2018 privind măsurile de punere în aplicare a GDPR de care trebuie să ținem cont în procesul de implementare GDPR.

Ai nevoie să păstrezi baza de date și vrei să mergi pe interes legitim? De exemplu, recrutezi sau organizezi evenimente? Scrie-ne la adresa de e-mail furnizată și îți vom trimite analiza în scurt timp pe e-mail deoarece, ulterior, o vom standardiza și o vom include în KIT GDPR.

 

 

Cumpără acum

Pasul 13. Instruirea angajaților

Angajații trebuie să înțeleagă și să protejeze datele cu caracter personal. Cele mai multe incidente de securitate provin de la fapta angajatului, iar Organizația are obligația de a instrui corespunzător angajații. În folderul 13 găsești proceduri în relația cu angajații, documente prin care angajatul se oblige să respecte procedurile GDPR și Capitol ROI privind protecția datelor cu caracter personal.

 

 

VREAU KIT-UL

Pasul 14. Securitatea. Politici tehnice și organizatorice

 

Am reușit să elaborăm, printr-o strânsă colaborare între juriști și experți în securitate cibernetică, următoarele Politici:

  • Politică Anti-Spam – pentru a ști cum să faci marketing care să respecte GDPR;
  • Politica de retenție – pentru a stabili termene-limită pentru stocarea datelor, așa cum cere RGPD;
  • Politica privind accesul la date – cum se face accesul la date pentru a se preveni accesul neautorizat;
  • Politica privind anonimizarea și pseudonimizarea – cum se anonimizează și pseudonimizează datele pentru a respecta GDPR;
  • Politică privind Securitatea informației – ce măsuri se vor întreprinde pentru a preveni incidentele de securitate;
  • Politica de ștergere – cum se șterg datele cu caracter personal de pe diver medii de stocare.

 

Cumpără acum

Folderul 15.  Responsabilul cu protecția datelor

Folderul 15 din KITul de implementare GDPR conține documentele necesare pentru desemnarea responsabilului cu protecția datelor.

 

 

 

Ce altceva mai este inclus în KIT-ul meu?

Kit-ul tău include

  • Un abonament de un an la actualizări gratuite
  • Suport nelimitat pe e-mail timp de 12 luni la implementarea documentelor.

 

VREAU KIT-UL



Adresa de protocol internet dinamică a unui vizitator constituie, pentru administratorul site-ului, o dată cu caracter personal, în cazul în care acest administrator dispune de mijloace legale care îi permit să identifice vizitatorul respectiv cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al vizitatorului

Domnul Patrick Breyer se opune în fața instanțelor germane la înregistrarea și stocarea adreselor sale de protocol internet („adrese IP”)1 de către site-urile internet ale organismelor federale germane. Aceste organisme înregistrează și stochează, pe lângă data și ora consultării, adresele IP ale vizitatorilor pentru a preveni atacurile cibernetice și a face posibilă urmărirea penală.

 Bundesgerichtshof (Curtea Federală de Justiție, Germania) a sesizat Curtea de Justiție pentru a stabili dacă în acest context adresele IP dinamice constituie de asemenea, în privința administratorului site-ului internet, o dată cu caracter personal și beneficiază, astfel, de protecția prevăzută pentru astfel de date. O adresă IP dinamică este o adresă IP care se schimbă cu ocazia fiecărei noi conectări la internet. Spre deosebire de adresele IP statice, adresele IP dinamice nu permit să se facă legătura, prin intermediul unor fișiere accesibile publicului, între un anumit calculator și conexiunea fizică la rețea utilizată de furnizorul de acces la internet. Astfel, numai furnizorul de acces la internet al domnului Breyer dispune de informațiile suplimentare necesare pentru a-l identifica.

Pe de altă parte, Bundesgerichtshof solicită să se stabilească dacă administratorul unui site internet trebuie, cel puțin în principiu, să aibă posibilitatea de a colecta și de a utiliza ulterior datele cu caracter personal ale vizitatorilor pentru a asigura funcționalitatea generală a site-ului său. Instanța menționată precizează în această privință că majoritatea doctrinei germane interpretează reglementarea germană în materie în sensul că aceste date trebuie șterse după terminarea sesiunii de consultare dacă nu sunt necesare în vederea facturării.

Prin hotărârea pronunțată astăzi, Curtea răspunde mai întâi că o adresă IP dinamică înregistrată de „un furnizor de servicii de comunicații electronice” (cu alte cuvinte, administratorului unui site internet, în speță organismele federale germane) cu ocazia consultării site-ului său internet pe care îl pune la dispoziția publicului constituie, pentru administrator, o dată cu caracter personal2 , în cazul în care acesta dispune de mijloace legale care îi permit să identifice vizitatorul cu ajutorul informațiilor suplimentare de care dispune furnizorul de acces la internet al acestuia din urmă.

Curtea arată în această privință că se pare că există în Germania căi legale care permit furnizorului de servicii de comunicații electronice să se adreseze, în special în cazul unor atacuri cibernetice, autorității competente pentru ca aceasta să întreprindă demersurile necesare pentru a obține aceste informații de la furnizorul de acces la internet și pentru a declanșa ulterior urmărirea penală.

În al doilea rând, Curtea răspunde că dreptul Uniunii se opune unei reglementări a unui stat membru în temeiul căreia, în lipsa consimțământului vizitatorului, un furnizor de servicii de comunicații electronice poate colecta și utiliza datele cu caracter personal ale vizitatorului numai în măsura în care această colectare și această utilizare sunt necesare pentru a permite și a factura utilizarea concretă a serviciilor respective de către acest vizitator, fără ca obiectivul care vizează asigurarea funcționalității generale a acestor servicii să poată justifica utilizarea datelor după o sesiune de consultare a acestora.

Curtea amintește că, potrivit dreptului Uniunii, prelucrarea datelor cu caracter personal este legală printre altele dacă este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate.

Reglementarea germană, astfel cum este interpretată în doctrina majoritară, reduce domeniul de aplicare al acestui principiu, excluzând ca obiectivul privind asigurarea funcționalității generale a comunicațiilor electronice respective să poată face obiectul unei ponderări cu interesul sau cu drepturile și libertățile fundamentale ale vizitatorilor.

În acest context, Curtea subliniază că organismele federale germane care furnizează servicii de comunicații electronice ar putea avea un interes legitim în a asigura, dincolo de fiecare utilizare concretă a site-urilor lor internet accesibile publicului, continuitatea funcționării propriilor site-uri.


arhive-interes-legitim-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord