Aici descoperim
dreptul tehnologiei

cctv-camera-city-with-copy-space_46250-2227.jpg

Curtea Federală Administrativă – Germania

Hotărârea 6C2/18

 

Camere video într-o clinică stomatologică. Absența interesului legitim

 

Situația de fapt

Reclamantul este un dentist care a instalat o camera video în interiorul clinicii medicale deoarece nu avea personal auxiliar la recepție. În 2012, reclamantul a fost obligat de Autoritatea de supraveghere a prelucrării datelor din Germania să repoziționeze camerele astfel încât să nu se mai supravegheze decât zona din fața recepției, nu și ușa de la intrare, sala de așteptare și coridoarele. Reclamantul a contestat în instanță decizia Autorității de supraveghere, dar nu a avut câștig de cauză.

Instanța a considerat că dentistul nu se poate baza pe interes legitim pentru supravegherea CCTV a incintei clinicii stomatologice deoarece nu a putut demonstra că există indicii concrete care să justifice teama că anumite persoane ar putea intra în clinică pentru a comite infracțiuni. În plus, supravegherea video nu a fost considerată necesară pentru acordarea de îngrijiri de urgență pacienților care, din motive medicale, rămân în sala de așteptare pentru o perioadă de timp după tratament.

Desigur, în România, situația ar putea fi diferită mai ales în zonele (cartiere/orașe) cu rata mai mare a criminalității sau în clinicile care s-au confruntat deja cu anumite infracțiuni. Însă, înainte de montarea acestor camere, ar trebui efectuată o analiză a interesului legitim și o evaluare de impact. 

KIT GDPR Premium

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



security-cctv-camera-office-building_117856-621.jpg

Dacă camerele video pot fi montate fără consimțământ s-a pronunțat recent Curtea de Justiție a Uniunii Europene, spunând că acestea se pot monta fără consimțământul persoanelor dacă se respectă condițiile interesului legitim. 

În cele ce urmează, vom rezuma pe înțelesul tuturor Hotărârea CJUE.

 

CJUE. Cauza C-708/18. TK împotriva Asociației de Proprietari bloc M5A‑Scara A

Hotărârea[1] din 13 februarie 2020

ECLI:EU:C:2019:1064

curia.europa.eu

 

Instalarea unui sistem de supraveghere video în părțile comune ale unui imobil cu destinație de locuință.

Interes legitim

 

Litigiul principal

TK locuiește într‑un apartament, al cărui proprietar este, situat în imobilul M5A unde Asociația de Proprietari a amplasat trei camere de supraveghere video în părți comune ale imobilului M5A. TK s‑a opus instalării acestui sistem de supraveghere video, invocând faptul o încălcare a dreptului la respectarea vieții private. TK s-a adresat Tribunalului București și a solicitat, printre altele, scoaterea din funcțiune a camerelor. Asociația de proprietari a arătat că decizia de a instala un sistem de supraveghere video a fost luată în scopul de a controla cât mai eficient posibil intrările și ieșirile din imobil, din cauza faptului că ascensorul fusese vandalizat în numeroase rânduri și că mai multe apartamente, precum și părțile comune făcuseră obiectul unor spargeri și furturi. Aceasta a precizat de asemenea că alte măsuri pe care le‑a luat în prealabil, și anume instalarea unui sistem de intrare în imobil cu interfon și cu card magnetic, nu au împiedicat săvârșirea repetată de infracțiuni de aceeași natură.

În aceste condiții, Tribunalul București a hotărât să suspende judecarea cauzei și să adreseze Curții  4 întrebări preliminare care întrebau, în esență, Curtea dacă se poate utiliza interesul legitim sau este obligatoriu consimțământul.

Hotărârea Curții

CJUE a considerat că întrebările preliminare trebuie analizate împreună.[2]

CJUE a considerat că instanța de trimitere a solicitat în esență să se stabilească dacă legislația europeană incidentă[3] se opune unei dispoziții naționale care autorizează instituirea unui sistem de supraveghere video precum sistemul în discuție în litigiul principal, instalat în părțile comune ale unui imobil cu destinație de locuință, în scopul de a urmări interese legitime care constau în asigurarea pazei și a protecției persoanelor și a bunurilor, fără consimțământul persoanelor vizate.

CJUE a răspuns că legislația europeană nu se opune unei dispoziții naționale care autorizează instituirea unui sistem de supraveghere video precum sistemul în discuție în litigiul principal, instalat în părțile comune ale unui imobil cu destinație de locuință atâta timp cât sunt respectate condițiile interesului legitim.[4] CJUE a precizat că nu este obligatoriu întotdeauna consimțământul[5] dacă operatorul se poate baza pe alt temei legal din celelalte cinci temeiuri disponibile (contractul, obligația legală, interesul vital, interesul public, interesul legitim)[6].

Interesul legitim, pentru a putea fi utilizat drept temei legal, trebuie să respecte trei condiții cumulative[7]:

1.Existența interesului legitim

CJUE consideră că în speță este întrunită această condiție deoarece protecția bunurilor, a sănătății și a vieții coproprietarilor unui imobil poate fi calificată drept „interes legitim”[8]. Totodată interesul legitim trebuie să fie născut și actual, iar nu ipotetic[9]. CJUE consideră că în speță cerința interesului legitim născut și actual este îndeplinită din moment ce înainte de instalarea sistemului de supraveghere video, au avut loc furturi, spargeri și acte de vandalism, și aceasta în pofida instalării, la intrarea imobilului, a unui sistem securizat cu interfon și cu card magnetic. Per a contrario, înțelegem că dacă nu ar fi fost testate inițial metode alternative și nu ar fi existat furturi, spargeri sau alte infracțiuni, existența interesului legitim ar fi putut fi pusă la îndoială.

2.Proporționalitatea și necesitatea interesului legitim

CJUE consideră și faptul că, în speță, proporționalitatea este îndeplinită deoarece metode mai puțin intruzive în viața privată nu au funcționat. În concret, un sistem securizat instalat la intrarea imobilului, cu interfon și cu card magnetic s-a dovedit ineficiente în trecut pentru prevenirea infracțiunilor[10]. Cu privire la condiția necesității, CJUE a precizat că (…) că operatorul trebuie să examineze, de exemplu, dacă este suficient că supravegherea video nu funcționează decât noaptea sau în afara orelor de muncă normale și să blocheze sau să facă neclare imaginile filmate în zonele în care supravegherea nu este necesară. (…)”[11].

Prin urmare, o utilizare excesivă și disproporționată a sistemelor de supraveghere ar putea conduce către neîndeplinirea acestei condiții, așadar într-o atare situație ar fi nevoie de consimțământul persoanelor vizate.

 3.Interesul legitim să nu prejudicieze drepturile persoanelor fizice

Cu privire la această condiție, CJUE a precizat faptul că trebuie să se realizeze o analiză de la caz la caz cu privire la gradul de intruziune în viața privată a persoanelor fizice, ținându-se cont de o multitudine de factori printre care natura eventual sensibilă a datelor, așteptarea rezonabilă a persoanelor vizate, natura și modalitățile concrete de prelucrare[12]. De asemenea, CJUE a subliniat faptul că impactul asupra vieții private trebuie comparat cu interesul legitim al co-proprietarilor la protecția bunurilor, a sănătății și a vieții.[13]

În practică, acest lucru se realizează prin întocmirea unei analize a interesului legitim (test de echilibrare), pentru a descoperi care interese primează. Dacă primează dreptul la viață privată, atunci nu se poate utiliza interesul legitim pentru camerele video și va fi nevoie de consimțământ. În schimb, dacă primează interesul legitim al co-proprietarilor la protecția bunurilor, a sănătății și a vieții față de dreptul la viață privată al persoanelor, atunci se poate utiliza interesul legitim pentru camerele video, nemaifiind nevoie de consimțământ. Conform indicațiile CEPD, analiza interesului legitim trebuie să fie efectuată concret, analizând particularitățile fiecărui caz și luându-se în calcul de opinia persoanelor vizate.

!Atenție: Chiar dacă, în urma analizei puteți merge pe interes legitim pentru camerele video, tot este nevoie de informarea scrisă a persoanelor. Anul trecut o Asociație de proprietari a fost amendată de ANSPDCP pentru lipsa temeiului legal și pentru lipsa informării persoanelor.

 

 Te-ar putea interesa și: Camere video la bloc. Cum pot fi utilizate fără a încălca GDPR. 

 

[1] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, ECLI:EU:C:2019:1064, curia.europa.eu

[2] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 33 ECLI:EU:C:2019:1064, curia.europa.eu: „(…) Având în vedere cele de mai sus, trebuie să se considere că, prin intermediul întrebărilor formulate, care trebuie analizate împreună (…)”

[3]CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 33 ECLI:EU:C:2019:1064, curia.europa.eu: „(…) articolul 6 alineatul (1) litera (c) și articolul 7 litera (f) din Directiva 95/46, citite în lumina articolelor 7 și 8 din cartă (…)”

[4] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 61 ECLI:EU:C:2019:1064, curia.europa.eu: „ (…) Articolul 6 alineatul (1) litera (c) și articolul 7 litera (f) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, citite în lumina articolelor 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretate în sensul că nu se opun unor dispoziții naționale care autorizează instituirea unui sistem de supraveghere video precum sistemul în discuție în litigiul principal instalat în părțile comune ale unui imobil cu destinație de locuință, în scopul de a urmări interese legitime care constau în asigurarea pazei și a protecției persoanelor și a bunurilor, fără consimțământul persoanelor vizate, dacă prelucrarea datelor cu caracter personal efectuată prin intermediul sistemului de supraveghere video în cauză îndeplinește condițiile prevăzute la articolul 7 litera (f) menționat, aspect a cărui verificare revine instanței de trimitere. (…)”

[5] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 41 ECLI:EU:C:2019:1064, curia.europa.eu:  „(…)Trebuie subliniat că articolul 7 litera (f) din Directiva 95/46 nu impune existența consimțământului persoanei vizate. Un astfel de consimțământ figurează însă drept condiție pe care trebuie să o îndeplinească prelucrarea datelor cu caracter personal numai la articolul 7 litera (a) din această directive. (…)”

[6] A se consulta în acest sens art. 6 din RGPD;

[7] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 40 ECLI:EU:C:2019:1064, curia.europa.eu: „(…) În această privință, articolul 7 litera (f) din Directiva 95/46 prevede trei condiții cumulative pentru ca o prelucrare a unor date cu caracter personal să fie licită, și anume, în primul rând, urmărirea unui interes legitim de către operator sau de către terțul sau terții cărora le sunt comunicate datele, în al doilea rând, necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit și, în al treilea rând, condiția ca acest interes legitim urmărit să nu prejudicieze drepturile și libertățile fundamentale ale persoanei vizate de protecția datelor (Hotărârea din 4 mai 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, punctul 28). (…)”

[8] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 42 ECLI:EU:C:2019:1064, curia.europa.eu: „În speță, obiectivul pe care îl vizează în esență operatorul datelor atunci când instituie un sistem de supraveghere video precum cel în discuție în litigiul principal, și anume protecția bunurilor, a sănătății și a vieții coproprietarilor unui imobil, poate fi calificat drept „interes legitim”, în sensul articolului 7 litera (f) din Directiva 95/46. Prima condiție stabilită la această dispoziție pare, așadar, în principiu, îndeplinită (a se vedea prin analogie Hotărârea din 11 decembrie 2014, Ryneš, C‑212/13, EU:C:2014:2428, punctul 34).”

[9] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 44 ECLI:EU:C:2019:1064, curia.europa.eu:„(…) În această privință, este necesar să se sublinieze că, astfel cum au arătat de asemenea guvernele român și ceh, Irlanda, guvernul austriac, guvernul portughez și Comisia, din moment ce, în conformitate cu articolul 7 litera (f) din Directiva 95/46, operatorul datelor cu caracter personal sau terțul căruia îi sunt comunicate datele trebuie să urmărească un interes legitim care să justifice această prelucrare, acest interes trebuie să fie născut și actual la data prelucrării și să nu prezinte un caracter ipotetic la această dată. Cu toate acestea, nu se poate impune în mod necesar, cu ocazia aprecierii ansamblului împrejurărilor speței, să se fi adus anterior atingere securității bunurilor și a persoanelor. (…)”

[10] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 44 ECLI:EU:C:2019:1064, curia.europa.eu:„(…) Din dosarul de care dispune Curtea rezultă că cerințele legate de proporționalitatea prelucrării datelor în discuție în litigiul principal par să fi fost luate în considerare. Astfel, este cert că inițial au fost puse în aplicare măsuri alternative, constând într‑un sistem securizat instalat la intrarea imobilului, cu interfon și cu card magnetic, însă acestea s‑au dovedit a fi insuficiente. În plus, dispozitivul de supraveghere video în cauză este limitat numai la părțile comune ale coproprietății și la căile de acces la aceasta.(…)”

[11] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 51, ECLI:EU:C:2019:1064

[12] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 56-57, ECLI:EU:C:2019:106

[13] CJUE. Cauza Cauza C-708/18, TK împotriva Asociației de Proprietari bloc M5A‑Scara A, Hotărârea din 13 februarie 2020, par. 59, ECLI:EU:C:2019:106

 

 

 


teenager-student-girl-studying-table-doing-strong-gesture_1368-42934.jpg





În actualul context digital, monitorizarea angajaților poate fi necesară pentru protecția secretelor comerciale, a proprietății intelectuale, pentru securitate informatică, de aceea în acest articol vom vorbi despre cum poți monitoriza angajații fără să încalci Regulamentul GDPR. 

Soluțiile utilizate pentru a monitoriza angajații pot colecta o gamă vastă de date cu caracter personal, inclusiv istoricul accesului angajatului la fișiere, utilizarea internetului, apăsări de taste și traficul de e-mail. Pentru a asigura respectarea Regulamentului GDPR și a Legii nr. 190/2018, punerea în aplicare a acestor tehnologii trebuie să realizată în conformitate cu anumite proceduri clare.

Principii de avut în vedere

Pentru a monitoriza angajații este necesar să respectăm anumite principii:

  • Scopul/scopurile monitorizării trebuie definit în mod clar. Consimțământul angajatului față de angajator este nevalabil potrivit Comitetului European pentru Protecția Datelor deoarece este un dezechilibru de putere. Întrucât temeiul legal care poate fi utilizat în acest context al monitorizării angajaților este interesul legitim , scopul/scopurile trebuie definite în mod clar. Pentru a identifica scopul/scopurile puteți răspunde la următoarea întrebare: Ce doriți să rezolvați/atingeți prin monitorizare? 
  • Transparență. După ce scopurile de la punctul anterior au fost identificate, trebuie să fiți transparenți față de angajați și să le comunicați prin intermediul unei note de informare: (1) faptul că îi monitorizați, ce date colectați, durata stocării; (2) temeiul legal (interes legitim), (3) scopurile monitorizării; (4) alte elemente obligatorii de la art. 13 și 14 RGPD. Un model de notă de informare se regășește în KIT GDPR Premium. 
  • Proporționalitate. Întrucât temeiul utilizat este interesul legitim (fiind singurul temei disponibil pentru o astfel de prelucrare), trebuie să realizați o analiză a interesului legitim pentru a afla dacă poți monitoriza angajații, respectiv pentru a afla dacă interesele legitime ale organizației prevalează față de drepturile și interesele persoanei vizate. Un model de analiză a interesului legitim se regășește în KIT GDPR Premium.  Analiza realizată trebuie să fie reală, ancorată la situația actuală a firmei și nu iluzorie. În acest sens, potrivit legislației române, este obligatoriu să consultați și angajații.
  • Reducerea la minimum a datelor. Trebuie colectate doar datele strict necesare pentru atingerea scopurilor identificate. Procesul de a monitoriza angajații este realizat pentru atingerea unor scopuri determinate și nu ar trebui să aducă intruziuni nejustificate în viața privată.
  • Limitarea stocării. Stocați datele doar pe perioada minimă necesară pentru atingerea scopurilor. În acest sens este recomandat să implementați o politică de retenție. O astfel de politică de regăți în KIT GDPR Premium.
  • Limitarea monitorizării. Puteți monitoriza angajații doar pe perioada în care aceștia se află în exercitarea atribuțiilor de muncă așa cum sunt ele definite în fișa postului.

 

KIT GDPR Premium

 

Ce spune Legea nr. 190/2018 despre cum poți monitoriza angajații?

Legiuitorul român a introdus prin Legea nr. 190/2018 prevederi suplimentare față de GDPR pentru monitorizarea angajaților. În acest sens art. 5 din Legea nr. 190/2018 prevede că:

„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În consecință, pentru a monitoriza angajații fără a încălca GDPR este necesară și respectarea punctelor de mai sus.




Te-ar putea interesa și:

 

A monitoriza angajații sau a nu monitoriza? Ce risc dacă monitorizez angajații fără să respect GDPR?

Poți risca:

1.Amendă GDPR. Angajații nemulțumiți pot depune o plângere la ANSPDCP, iar în urma investigației, dacă se constată că ai încălcat GDPR vei fi amendat. Amenda poate ajunge până la 4% din cifra de afaceri, iar cuantumul ei este stabilit în funcție de particularitățile fiecărui caz, luându-se în calcul mai multe criterii, printre care:

  • Numărul persoanelor afectate și prejudiciile suferite de acestea;
  • Scopul prelucrării contestate;
  • Nivelul prejudiciilor suferite de persoanele fizice;
  • Caracterul intenționat sau neglijent al încălcării;
  • Orice acțiune întreprinsă pentru diminuarea prejudiciilor suferite de persoanele fizice;
  • Implementarea măsurilor organizatorice care, în consecință, devin instrumente eficiente, de asemenea, menite să diminueze cuantumul amenzilor în cazul sancțiunilor emise sau să dispună emiterea doar a unui avertisment;
  • Orice încălcări anterioare relevante ale operatorului sau împuternicitului, adică istoricul întreprinderii reclamate, vor avea importanță;
  • Gradul de cooperare cu autoritatea de supraveghere, pentru a remedia încălcarea și pentru a atenua posibilele efecte negative ale încălcării;

2.Litigiu în instanță. Angajații nemulțumiți se poate adresa instanțelor de judecată și pot solicita daune morale pentru prejudiciile aduse vieții private. În această situație, cuantumul daunelor morale se va stabili în funcție de  prejudiciile aduse angajaților.

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



building-1839464_1280-1200x800.jpg




Amplasarea de camere de supraveghere la bloc (de către Asociațiile de proprietari) sau acasă de către persoanele fizice trebuie să respecte GDPR. Pentru montarea nelegală, persoanele fizice și Asociațiile de proprietari pot fi amendate de Autoritatea de supraveghere din România (ANSPDCP).

În Austria, o persoană fizică a fost amendată în 2018 cu 2000 de euro pentru amplasarea nelegală de camere de supraveghere acasă. Potrivit răspunsului oficial al ANSPDCP și în România persoanele fizice pot fi amendate pentru nerespectarea GDPR. 

În România în cursul anului 2019, o Asociație de proprietari a fost amendată pentru amplasarea nelegală de camere de supraveghere la bloc.

Potrivit informațiilor oferite de Autoritatea de supraveghere din Austria, persoana fizică a fost amendată deoarece a amplasat camere de supraveghere acasă care supravegheau domenii din afara proprietății: aleea centrului rezidențial, străzi, clădiri și grădini din apropiere. Amenda a fost dată deoarece zona monitorizată nu se afla în proprietatea și în controlul persoanei fizice și era frecventată de către alte persoane.

Dacă dorești să amplasezi camere de supraveghere la bloc sau acasă, trebuie să cunoști faptul că GDPR îți interzice să monitorizezi mai mult decât este necesar. Prin urmare, dacă locuiești la casă, poți supraveghea curtea și gardul, însă nu poți supraveghea și aleea frecventată de alte persoane sau curtea vecinului. Dacă locuiești la bloc, nu poți monta camere de supraveghere care să surprindă vizitatorii atunci când sună la interfon sau camere care să surprindă holurile și alte locuri comune din bloc și nici camere de supraveghere care să surprindă priveliștea de pe balcon. Cu Asociațiile de proprietari, lucrurile stau puțin diferit și vom discuta despre modalitatea în care acestea pot monta camere de supraveghere la bloc în cele ce urmează.

Având în vedere că GDPR nu face diferențe între proprietari, chiriași sau vizitatori ai unui bloc, Asociațiile de proprietari nu pot monta camere de supraveghere la bloc chiar dacă au acordul tuturor proprietarilor. În acest sens, dacă se dorește unor astfel de camere de supraveghere la bloc, se poate folosi temeiul juridic al interesului legitim doar dacă s-a realizat o analiză juridică documentată a tuturor aspectelor. Analiza trebuie să fie reală, concretă, iar părerea proprietarilor și a chiriașilor ar trebui cerută.

Atunci când faci o astfel de analiză trebuie să ai în vedere următoarele:



1. Analiza trebuie documentată în scris și păstrată pentru un eventual control de la Autoritatea de Supraveghere.

2. Locația echipamentului. Locația echipamentului trebuie determinată cu atenție pentru a asigura conformitatea imaginilor capturate cu GDPR (a nu se supraveghea mai mult decât este necesar). Trebuie depuse toate diligențele pentru a poziționa camerele astfel încât acestea să asigure o acoperire limitată. Sistemul CCTV nu va fi utilizat în lifturi sau în alte locuri unde persoanele au o așteptare ridicată cu privire la confidențialitate. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private a trecătorilor sau a oricărei alte persoane.

3. Informarea. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune. Semnalizarea corespunzătoare va fi de asemenea afișată în mod proeminent la intrare. Semnalizarea va include numele și detaiile de contact ale operatorului de date (Asociația de proprietari), precum și scopurile specifice pentru care camera CCTV este plasată în fiecare locație și indicații unde se pot obține informații mai multe (de exemplu: link și/sau cod QR către nota de informare de pe site).

KIT GDPR Premium

 

4. Depozitarea și stocarea

  • Înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se va ține o evidență a accesului la înregistrări. Accesul la sistemul CCTV și la imaginile stocate va fi permis doar personalului autorizat. La momentul accesării imaginilor, doi membri ai personalului autorizat trebuie să fie prezenți. Se va întocmi un raport scris al accesului. Aceste rapoarte vor fi păstrate.
  • Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații (numele acelei persoane și întreprinderea pe care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații.
  • Datele vor fi furnizate ca răspuns al unor cereri autorizate într-un format permament, atunci când acest lucru este posibil. Dacă acest lucru nu este posibil, persoanei vizate i se va oferi posibilitatea să vizualizeze înregistrarea.
  • În circumstanțe relevante, înregistrările CCTV vor putea fi accesate de către organele de poliție sau vor putea fi furnizate instanțelor de judecată sau altor autorități publice atunci când legea impune.

5. Cererile persoanelor vizate 

  • Persoanelor fizice li se acordă dreptul de accesa înregistrările CCTV cu privire la ele însele, potrivit GDPR.
  • Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații pentru a se putea asigura identificarea întregistrării cu privire la acestea. De exemplu, data, ora și locația.
  • Asociația de proprietari va răspunde acestor cereri într-un termen de o lună de la primirea cererii.
  • Asociația de proprietari își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când acest lucru ar duce atingere drepturilor prevăzute de lege ale unor persoanelor fizice sau ar putea prejudicia o investigație în curs de desfășurare.
  • Se va ține o evidență a datei când divulgarea a avut loc, împreună cu detaliile persoanei către care aceste informații au fost furnizate (numele persoanei și întreprinderea pe care o reprezintă), precum și cu motivele acestei cereri.
  • În activitatea de furnizare către o persoană a unei copii a datelor sale, se vor pune la dispoziție o fotografie/o serie de fotografii, o casetă sau un disc magnetic cu imaginile relevante. Totuși, imaginile altor persoane vor fi ascunse înainte ca aceste date să îi fie înmânate.
  • Atunci când înregistrarea conține imagini referitoare la terți, se vor lua măsurile necesare pentru a masca și a proteja identitatea acelor indivizi.

6. Durata minimă. Înregistrările vor fi stocate pe o durată minimă, dar nu mai mult de 30 de zile

Dacă ai nevoie de consultanță juridică și întocmirea documentației pentru montarea camerelor de supraveghere la bloc îmi poți scrie la adresa ruxandra.sava@legalup.ro.

Ce pot face dacă au fost montate camere de supraveghere la bloc nelegal?

Dacă s-au montat camere de supraveghere în mod nelegal și există riscul ca imaginile captate să fie dezvăluite către destinații neautorizate, ar trebui să comunici îngrijorările tale Asociației și să o îndrumi spre conformarea supravegherii CCTV cu GDPR astfel încât dreptul la viață privată să fie respectat. În situația în care nu se iau măsuri pentru a limita accesul la înregistrări, în situațiile în care imaginile captate sunt dezvăluite fără acordul tău sau fără a exista unui temei legal sau în alte situații (camere de supraveghere în lift, absența informării, nerepectarea drepturilor GDPR), te poți adresa cu o plângere la ANSPDCP sau îmi poți scrie la adresa ruxandra.sava@legalup.ro pentru a te ajuta cu mai multe informații.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



closeup-accountant-hands-counting-calculator_1262-3170.jpg




Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este entitatea de la nivel intern îndreptățită să aplice sancțiuni în materie de încălcare a prelucrării datelor cu caracter personal. Sancțiunile care se pot aplica de Autoritatea de Supraveghere sunt avertismentul și amenda.

În prezentul articol vom analiza modalitatea de aplicare a sancțiunilor de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Prin trimitere la un caz practic, vom avea în vedere o investigație efectuată la un operator. Investigația este realizată în temeiul puterii de investigare de care Autoritatea de Supraveghere dispune, în temeiul Regulamentului privind protecția datelor cu caracter personal. În urma investigației efectuate, s-a constatat încălcarea prevederilor Regulamentului General privind Protecția Datelor. Operatorul în cauză a fost sancționat cu următoarele:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta.

 

Te-ar putea interesa și:

 

 

Din sancțiunea aplicată de către Autoritatea de Supraveghere a Prelucrării Datelor cu Caracter Personal putem deduce următoarele aspecte, prin analiză:

  • este necesar ca operatorul să facă dovada unui interes legitim în materie de supraveghere video;
  • interesul legitim trebuie să prevaleze asupra intereselor persoanelor vizate;
  • interesul legitim trebuie să prevaleze asupra drepturilor și libertăților fundamentale ale persoanelor vizate;
  • este necesară consultarea reprezentanților angajaților înainte de monitorizarea acestora din urmă;
  • este necesară dovada unor politici adecvate în materie de protecție a datelor;
  • prelucrarea datelor (în special a celor biometrice) trebuie să se realizeze în scopuri care să fie adecvate, relevante, limitate la ce este necesar în raport cu scopurile care sunt prelucrate;
  • este necesară efectuarea unei evaluări a impactului asupra protecției datelor persoanelor.

Informarea pesoanelor vizate trebuie să fie una corectă, iar comunicarea trebuie să se facă în manieră concisă, transparentă, inteligibilă și ușor accesibilă. Poți afla mai multe despre informare persoanei vizate din acest articol. În acest caz trebuie respectat principiul ,,reducerii la minimum a datelor”. Totodată, trebuie să se asigure conformitatea operațiunilor de prelucrare cu prevederile Regulamentului privind protecția datelor cu caracter personal.

 

KIT GDPR Premium

 

Sancțiunile aplicate de către Autoritatea de Supraveghere se vor realiza în temeiul legii și implicit al prevederilor Regulamentului privind protecția datelor cu caracter personal, iar orice operator care realizează o supraveghere video este obligat să informeze persoanele cu privire la aceasta. Atare reglementare este necesară pentru asigurarea unei protecții sporite a persoanei și a vieții sale private. Interesul legitim este o cerință esențială pentru a putea exista o prelucrare a datelor conformă cu legea. Acesta trebuie să fie ,,superior” drepturilor și libertăților persoanelor, în sensul că trebuie să primeze pentru a putea exista o prelucrare conformă. Informarea persoanelor ale căror date sunt prelucrare (incluzând în această categorie supravegherea video, stocarea și prelucrarea de date biometrice) este esențială pentru legalitatea sa. Orice metode de prelucrare care nu sunt conforme cu prevederile legale pot să fie sancționate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în temeiul puterii sau competenței de investigare și sancționare.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:



hacker-holding-mask_23-2147985363.jpg

Prelucrarea datelor cu caracter personal a început să devină din ce în ce mai cunoscută odată cu aplicarea Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

Cum putem însă cunoaște faptul că prelucrarea datelor noastre este una legală?

Deși consimțământul este cel mai cunoscut temei legal, fiind vorba despre manifestarea de voință a persoanei care dorește ca datele sale să fie obiect al prelucrării, el reprezintă doar una dintre situațiile în care putem prelucra datele cu caracter personal. 

Astfel, putem prelucra datele legal atunci când se aplică cel puțin una dintre următoarele condiții:

1. Persoana vizată și-a dat consimțământul pentru a prelucra datele sale cu caracter personal pentru unul sau mai multe scopuri specifice;

Consimțământul este un element esențial; în dreptul național, intern, consimțământul este înțeles ca manifestare de voință realizată în scopul de a produce anumite efecte juridice. În temeiul prezentului Regulament privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, prin consimțământ se înțelege orice manifestare de voință realizată liber, fiind specifică, informată și lipsită de ambiguitate. Manifestarea se realizează prin acceptare, declarație sau acțiune fără echivoc din partea persoanei vizate cu privire la prelucrarea datelor sale personale.

 

 

2. Prelucrarea datelor este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

În atare caz nu este precizat însă tipul de contract la care o persoană este parte, fiind aplicabil principiul libertății de a contracta. Aceeași situație este aplicabilă și în cazul în care se fac demersuri la cererea unei persoane înainte de încheierea contractului.

3. Prelucrarea datelor este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

Existența unei obligații care este prevăzută prin lege și necesitatea îndeplinirii acestei obligații face ca prelucrarea să respecte principiul legalității.

 

Te-ar putea interesa și ce am mai scris noi despre temeiurile legale:

 

4. Prelucrarea datelor este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

Atunci când este vorba despre interesele vitale ale unei persoane, fie că este persoana vizată, fie că este o altă persoană fizică, prelucrarea respectă principiul legalității. În completare, conform pct. (46) din Regulament, prelucrarea de date ce are ca temei interesele vitale ale unei alte persoane fizice trebuie să fie efectuată numai în situația în care prelucrarea nu se poate realiza în baza unui alt temei juridic. Tot Regulamentul prevede faptul că anumite tipuri de prelucrare pot să servească atât problemelor de interes public, cât și intereselor vitale ale persoanelor vizate. Exemplul conturat de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) este cel ce are ca obiect prelucrarea în scopuri umanitare. La acesta se adaugă monitorizarea unei epidemii și a răspândirii sale, situațiile de urgență umanitare precum dezastrele naturale.

5. Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

6. Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

În această situație, chiar dacă prelucrarea este necesară pentru realizarea intereselor legitime pe care un operator sau o parte terță le urmărește, au prioritate datele cu caracter personal ce vizează interesele, drepturile și libertățile fundamentale ale persoanei. Aceest caz se aplică mai ales în situația în care persoana vizată este reprezentată de un copil (a se vedea în acest sens eur-lex.europa.eu, Regulamentul(UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)).

KIT GDPR Premium

 



paper-cut-outs-social-networking-icons-with-like-icon-wooden-table_23-2147841366.jpg

Utilizarea rețelelor de socializare a devenit o obișnuință pentru fiecare persoană în parte. De la verificarea notificărilor primite, până la conversațiile în sfera virtuală, internetul a început să acapareze întru totul mintea umană. O astfel de practică a început să fie sancționată de către angajatori, inclusiv prin decizii de concediere. Dar poate o astfel de decizie să fie una legitimă?

Monitorizare sau viață privată?

În raportul drept la monitorizare – drept la viață privată trebuie să primeze dreptul la viața privată. Cel puțin, astfel este receptată această situație în jurisprudența Curții Europene a Drepturilor Omului. Prin Hotărârea nr. 61496/08 din septembrie 2017, în cauza Bărbulescu contra României, Curtea Europeană a Drepturilor Omului a constatat că acțiunea de monitorizare a comunicărilor angajatului, alături de consultarea conținutului, care au avut ca scop justificativ concedierea angajatului, au adus atingere vieții private (a se vedea Hotărârea nr. 61496/08 din 2 septembrie 2017 a Curții Europene a Drepturilor Omului, platformă online hudoc.echr.coe.int).

Situația faptică este următoarea:

  • Angajatul unei societăți din România a utilizat contul de Yahoo Messenger în timpul serviciului;
  • Contul a fost utilizat în scopul de a răspunde întrebărilor primite de la clienții societății comerciale în cadrul căruia era angajat, dar și în purtarea de conversații cu fratele și logodnica acestuia;
  • Asupra acțiunilor sale s-a început monitorizarea de către societatea comercială în cauză;
  • Angajatul a fost anunțat cu privire la monitorizarea sa;
  • Angajatului i s-a pus în vedere și faptul că utiliza internetul în scopuri personale;
  • Regulamentul intern al societății comerciale prevedea faptul că este interzisă utilizarea internetului în timpul serviciului în scopuri personale;
  • Angajatului i s-a aplicat sancțiunea concedierii.

Te-ar putea interesa și:

Ulterior, adresându-se Curții Europene a Drepturilor Omului (CEDO), s-a constatat faptul că înregistrările conversațiilor angajatului le includeau și pe cele pe care acesta le efectuase cu fratele sau logodnica sa, deci intrau în sfera conversațiilor private. Cu toate acestea, CEDO a constatat că nu a existat nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO) privind dreptul la respectarea vieții private și de familie. Conform art. 8 din prezenta Convenție, orice persoană are:

  • Dreptul la respectarea vieții sale private și de familie;
  • Dreptul la respectarea domiciliului său;
  • Dreptul la respectarea corespondenței sale.

De asemenea, amestecul autorităților publice în exercitarea dreptului la viață privată și de familie nu este admis. Derogarea se face numai în situația în care:

  • Amestecul autorităților publice în exercitarea dreptului este prevăzut de lege;
  • Amestecul constituie o măsură necesară (într-o societate democratică) pentru subdomenii precum: securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii, prevenirea faptelor de natură penală, protecția sănătății, protecția drepturilor și a libertăților altor persoane (a se vedea Convenția Europeană a Dreptuilor Omului, platformă online echr.coe.int).

 

Care a fost motivarea Curții Europene a Drepturilor Omului?

Curtea Europeană a Drepturilor Omului a constatat că autoritățile naționale nu au acordat protecția adecvată drepturilor reclamantului (ale angajatului) la respectarea vieții private. S-a constatat astfel că a existat o încălcare a art. 8 din Convenția Europeană a Drepturilor Omului. Cu privire la această soluție a Curții au existat și opinii divergente, distincte.

Prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului s-a constatat în primă etapă că, deși solicitantul (angajat al societății comerciale) a cerut instanțelor naționale desființarea deciziei de concediere – fără a se materializa într-o soluție favorabilă acestuia, nici la nivel internațional nu s-a putut constata o încălcare a vieții private prin accesul și monitorizarea de către societatea comercială în cauză a conversațiilor sale.

 

Raționamentul ,,divergent” al Curții Europene a Drepturilor Omului a fost următorul:

  • Monitorizarea angajatului de către angajator s-a desfășurat pe o perioadă limitată în timp;
  • Monitorizarea a avut ca obiect strict activitățile de comunicare electronică și internet ale angajatului;
  • Rezultatele obținute din operațiunea de monitorizare au fost utilizat exclusiv în scopul procedurii disciplinare;
  • Numai angajatorul a avut acces la conținutul comunicărilor angajatului, nicio altă persoană din cadrul societății nu a luat cunoștință de conținutul lor;
  • Nu s-a făcut nicio dovadă în sensul că acel conținut al comunicărilor angajatului a fost dezvăluit altor persoane (colegilor acestuia);
  • Angajatul a încălcat regulamentul intern al societății comerciale în cauză, care prevedea că este interzisă utilizarea calculatoarelor în scopuri personale;
  • Angajatul a fost informat cu privire la monitorizarea sa;
  • Angajatul a afirmat în fața Curții Europene a Drepturilor Omului că știa faptul că utilizarea calculatorului în scopuri private, personale, era interzisă;
  • Instanțele naționale au constatat corect că obiectul legal pe care angajatorul l-a urmărit în monitorizarea comunicărilor angajatului a fost reprezentat de exercitarea dreptului și a datoriei de a asigura buna conducere a companiei (a se vedea integral la hudoc.echr.coe.int, Cauza Bărbulescu contra României).

O parte dintre judecătorii Curții a decis (în opinie divergentă), având în vedere raportul prioritate a intereselor angajatorului – prioritate a intereselor salariatului, faptul că instanțele naționale au acționat în marja de apreciere a statului român, instanțele naționale considerând legală decizia de concediere. Prin urmare, prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului (CEDO) s-a concluzionat faptul că nu s-a produs nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO).

Curtea s-a pronunțat în favoarea încălcării dreptului la viață privată și familială cu 11 voturi contra 6. De asemenea, a hotărât cu 16 voturi la 1 că satisfacția justă pentru prejudiciul moral cauzat angajatului (reclamant)  este reprezentată de constatarea încălcării art. 8 din Convenție. Cu 14 voturi la 3 a reținut că statul pârât va plăti reclamantului suma de 1365 de euro pentru costuri și cheltuieli , în termen de 3 luni (a se consulta hudoc.echr.coe.int, Case of Bărbulescu v. Romania).

Te-ar putea interesa și:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 



people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Monitorizarea prin camere de supraveghere cu circuit închis (CCTV) face parte din activitatea majorității companiilor din România, însă pentru a supraveghea legal trebuie să respecți o serie de cerințe instituite de GDPR și de Legea 190/2018 privind măsurile de aplicare a GDPR. În acest articol îți vom explica pe scurt ce ai de făcut pentru a respecta legislația și îți vom furniza gratuit două modele de documente utile pentru conformare.

Potrivit Legii nr. 190/2018, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

Cu alte cuvinte, trebuie puse în balanță interesul companiei de a monitoriza prin CCTV și drepturile angajaților la viața privată. Dacă balanța va înclina în favoarea angajatorului, atunci supravegherea CCTV poate fi realizată. Orientările europene în materie spun că trebuie documentat un test de echilibrare (sau analiză a interesului legitim) pentru ca angajatorul să afle dacă poate monitoriza legal prin CCTV. Un model de analiză a interesului legitim pentru CCTV găsești aici.

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

Poți descărca un model de  Notă de informare CCTV

Atenție! Informarea angajaților cu privire la CCTV nu exonerează compania de informarea angajaților cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal. Un model de notă de informare completă a angajaților găsești în KIT-ul nostru de implementare. 

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Te-ar putea interesa și: 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

KIT GDPR Premium

 

 

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.