Aici descoperim
dreptul tehnologiei

bored-girl-using-tablet-carpet_23-2147833828.jpg

În Codul publicat în luna ianuarie, ICO (Autoritatea de supraveghere din UK) introduce 15 principii pentru prelucrarea datelor copiilor online. Aceste principii sunt destinate a ajuta companiile să dezvolte servicii (aplicații) și dispozitive care să protejeze în mod adecvat datele cu caracter personal ale copiilor și să aibă în vedere interesul superior al copiilor.

Principiile propuse de ICO sunt următoarele:

1. Interesul superior al copilului. Interesul superior al copilului ar trebui să fie o focusul principal atunci când se proiectează sau se dezvoltă servicii online care pot fi accesate de un copil.

2. Evaluarea impactului asupra protecției datelor (DPIA). Efectuați o DPIA pentru a evalua și a reduce riscurile pentru drepturile și libertățile copiilor care vor accesa serviciul. Luați în considerare diferitele vârste, capacități și necesități de dezvoltare.

Te-ar putea interesa și: GDPR Practic. Ghid. Cum efectuăm evaluarea de impact (DPIA)?

3. Aplicație adecvată vârstei. Adoptați o abordare bazată pe risc pentru recunoașterea vârstei utiliztorului și asigurați-vă că aplicați principiile din Cod în mod adecvat vârstei.

Te-ar putea interesa:

4. Transparență: Notele de informare către copii și alte documente (termene și condiții, politici) trebuie să fie concise, clare ușor de înțeles și într-un limbaj adecvat vârstei copil.

5. Prelucrarea nepotrivită a datelor cu caracter personal. Nu utilizați datele cu caracter personal în modalități în care ar putea să afecteze copii sau contravin legii. Prelucrarea datelor copiilor online ar trebui să fie întotdeauna legală și corectă față de copil.

6. Politici și standarde ale comunității. Redactați termene și condiții, polici și standarde ale comunității care să includă, dar să nu se limiteze la politici de confidențialitate, restricții de vârstă, reguli de comportament și conținut acceptabil.

7. Setările implicite. Setările implicite trebuie să fie la un „nivel înalt de confidențialitate”, cu excepția cazului în care poți demonstra un motiv întemeiat pentru o altfel de setare, luându-se în calcul interesul superior al copilului.

 

 

8. Minimizarea datelor. Colectează și stochează doar datele cu caracter personal care sunt necesare pentru furnizarea serviciului.

9. Transferul datelor. Nu transmite datele în afara oraganizației decât dacă poți demonstra un motiv întemeiat pentru un astfel de transfer, luând în calcul interesul superior al copilului.

10. Geo-localizare. Dezactivează geo-localizarea în mod implicit, cu excepția cazului în care poți demonstra un motiv întemeiat pentru o astfel de abordare, luând în calcul interesul superior al copilului.

11. Control parental. Dacă oferi control parental, explică acest lucru copilului. Dacă serviciul online permite unui părinte să îi monitorizeze online activitatea, introduce un semn evident pentru a atenționa copilul atunci când este monitorizat.

12. Profilare. Dezactivează profilarea în mod implicit, cu excepția cazului în care poți demonstra un motiv întemeiat pentru profilare, luând în calcul interesul superior al copilului.

13. Tehnici-impuls. Nu folosi tehnici-impuls pentru a conduce sau încuraja copilul să ofere date cu caracter personal care nu sunt necesare sau să dezactiveze setările de confidențialitate.

14. Jucării sau dispozitive conectate. Principiile trebuie să se aplice și dispozitivele sau jucăriilor conectate.

15. Instrumente online de confidențialitate. Oferă instrumente online accesibile și proeminente ca să ajuți copilul să își exercite drepturile și să depună plângeri.

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



closeup-accountant-hands-counting-calculator_1262-3170.jpg

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este entitatea de la nivel intern îndreptățită să aplice sancțiuni în materie de încălcare a prelucrării datelor cu caracter personal. Sancțiunile care se pot aplica de Autoritatea de Supraveghere sunt avertismentul și amenda.

În prezentul articol vom analiza modalitatea de aplicare a sancțiunilor de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Prin trimitere la un caz practic, vom avea în vedere o investigație efectuată la un operator. Investigația este realizată în temeiul puterii de investigare de care Autoritatea de Supraveghere dispune, în temeiul Regulamentului privind protecția datelor cu caracter personal. În urma investigației efectuate, s-a constatat încălcarea prevederilor Regulamentului General privind Protecția Datelor. Operatorul în cauză a fost sancționat cu următoarele:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta.

 

Te-ar putea interesa și:

 

 

Din sancțiunea aplicată de către Autoritatea de Supraveghere a Prelucrării Datelor cu Caracter Personal putem deduce următoarele aspecte, prin analiză:

  • este necesar ca operatorul să facă dovada unui interes legitim în materie de supraveghere video;
  • interesul legitim trebuie să prevaleze asupra intereselor persoanelor vizate;
  • interesul legitim trebuie să prevaleze asupra drepturilor și libertăților fundamentale ale persoanelor vizate;
  • este necesară consultarea reprezentanților angajaților înainte de monitorizarea acestora din urmă;
  • este necesară dovada unor politici adecvate în materie de protecție a datelor;
  • prelucrarea datelor (în special a celor biometrice) trebuie să se realizeze în scopuri care să fie adecvate, relevante, limitate la ce este necesar în raport cu scopurile care sunt prelucrate;
  • este necesară efectuarea unei evaluări a impactului asupra protecției datelor persoanelor.

Informarea pesoanelor vizate trebuie să fie una corectă, iar comunicarea trebuie să se facă în manieră concisă, transparentă, inteligibilă și ușor accesibilă. Poți afla mai multe despre informare persoanei vizate din acest articol. În acest caz trebuie respectat principiul ,,reducerii la minimum a datelor”. Totodată, trebuie să se asigure conformitatea operațiunilor de prelucrare cu prevederile Regulamentului privind protecția datelor cu caracter personal.

 

KIT GDPR Premium

 

Sancțiunile aplicate de către Autoritatea de Supraveghere se vor realiza în temeiul legii și implicit al prevederilor Regulamentului privind protecția datelor cu caracter personal, iar orice operator care realizează o supraveghere video este obligat să informeze persoanele cu privire la aceasta. Atare reglementare este necesară pentru asigurarea unei protecții sporite a persoanei și a vieții sale private. Interesul legitim este o cerință esențială pentru a putea exista o prelucrare a datelor conformă cu legea. Acesta trebuie să fie ,,superior” drepturilor și libertăților persoanelor, în sensul că trebuie să primeze pentru a putea exista o prelucrare conformă. Informarea persoanelor ale căror date sunt prelucrare (incluzând în această categorie supravegherea video, stocarea și prelucrarea de date biometrice) este esențială pentru legalitatea sa. Orice metode de prelucrare care nu sunt conforme cu prevederile legale pot să fie sancționate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în temeiul puterii sau competenței de investigare și sancționare.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



private-investigator-desk-3d-illustration_68747-135.jpg

CEDO a decis în Hotărârea Copland împotriva Mării Britanii că acțiunea angajatorului de a consulta factura detaliată a telefonului angajatului la locul de muncă poate constitui o încălcare a art. 8 din CEDO, respectiv dreptul la respectarea vieții private și de familie. 

Extras din Hotărârea CEDO:

„43. Curtea observă că utilizarea informaţiei legate de data şi durata convorbirilor telefonice şi, în special, numerele apelate, poate constitui o încălcare a articolului 8, deoarece astfel de informaţie constituie un “element integral al comunicărilor prin telefon” (a se vedea Malone c. Marii Britanii, 2 august 1984, § 84, Seria A nr. 82). Simplul fapt că aceste date ar fi putut fi obţinute în mod legitim de către Colegiu sub forma facturilor telefonice, nu constituie un impediment în constatarea unei imixtiuni în drepturile garantate conform articolului 8 (ibid.). Mai mult, stocarea datelor personale legate de viaţa privată a unei persoane cade, de asemenea, sub incidenţa articolului 8 § 1 (a se vedea Amann, citată mai sus, § 65). Astfel, nu este relevant faptul că datele deţinute de Colegiu n-au fost dezvăluite sau utilizate împotriva reclamantei în proceduri disciplinare sau de alt ordin.

44. În mod corespunzător, Curtea consideră că colectarea şi stocarea informaţiei personale ce ţine de telefonul reclamantei, precum şi de utilizarea e-mailului şi a Internetului, fără ştirea reclamantei, au constituit o ingerință în dreptul ei la respectarea vieţii private şi corespondenţei în temeiul articolului 8.”

Te-ar putea interesa și:

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



top-view-mockup-tablet-person-typing-laptop_23-2148346177.jpg

În scopul formării personalului sau al evaluării acestuia, angajatorii înregistrează istoricul „acțiunilor informatice” ale angajaților lor din timpul conversațiilor telefonice cu clienții, cu prestatorii sau cu alți interlocutori. Ce reguli trebuie respectate?

Corelarea acțiunilor informatice cu conversațiile telefonice constă în înregistrarea imaginii care apare pe ecranul calculatorului angajatului, sub forma unor capturi de ecran sau a unui video, în paralel cu înregistrarea conversațiilor telefonice.

Totuși, recurgerea la acest dispozitiv poate să conducă la supravegherea angajaților sau la captarea unor elemente de natură privată (e-mailurile personale, conversațiile din mesageria instantanee sau parole confidențiale). Acest lucru este deosebit de invaziv și, în consecință, strict reglementat.

Înregistrarea conversațiilor telefonice și capturile de ecran

În principiu, nu poate să existe o captură de ecran corelată cu înregistrarea conversațiilor telefonice. 

Captura de ecran este o fotografie a ecranului calculatorului, realizată la un moment T.

Oricare ar fi scopul urmărit, o captură de ecran este susceptibilă să nu fie nici pertinentă, nici proporționată deoarece este vorba despre o imagine fixă a unei acțiuni izolate a angajatului care nu reflectă în mod fidel activitatea sa.

 

 

Înregistrarea conversațiilor telefonice și înregistrarea video a ecranului

În anumite condiții, poate să existe o corelare între înregistrarea conversațiilor telefonice și înregistrarea video a ecranului.

Înregistrarea video a ecranului permite urmărirea fără întrerupere a acțiunilor efectuate de către angajat pe stația sa de lucru. Contrar capturii de ecran, în acest caz este vorba despre un film care poate reflecta, într-un mod mult mai fidel, acțiunile angajatului.

 

Te-ar putea interesa și alte articole despre GDPR la locul de muncă:

 

Recurgerea la înregistrarea video a ecranelor, corelată cu înregistrarea conversațiilor într-un cadru profesional, poate fi proporționată atunci când este utilizată în singurul scop de a forma personalul și sub rezerva asigurării efective a următoarelor garanții:

  • angajații sunt informați despre această înregistrare;
  • înregistrarea video este limitată la fereastra/ferestrele aplicației de serviciu care face obiectul formării;
  • dispozitivul nu este activ decât în timpul unui apel telefonic: înregistrarea video se declanșează la începerea conversației telefonice și încetează la terminarea ei.

KIT GDPR Premium

 

  • acest dispozitiv nu trebuie să privească decât persoanele care justifică o nevoie reală de formare pe o aplicație de serviciu sau un program informatic (persoane fără experiență sau debutante). Volumul înregistrării trebuie să fie, de asemenea, proporționat nevoii de formare și strict limitat la capacitatea de analiză a acestor înregistrări în scopul formării (este recomandat să nu se înregistreze zeci de apeluri dacă analiza nu vizează în final decât câteva dintre acestea);
  • angajații nu pot fi formați decât pe baza propriilor lor înregistrări video, cu excepția cazului în care celelalte înregistrări video sunt anonimizate;
  • accesul la înregistrări este limitat doar la persoanele autorizate și trebuie instituită o trasabilitate a accesului (dispozitiv de înregistrare);
  • trebuie puse în aplicare toate garanțiile specifice aplicabile înregistrărilor conversațiilor telefonice (cu titlu de exemplu, o linie telefonică dedicată reprezentanților personalului).

De reținut

Având în vedere impactul și riscurile deturnării și supravegherii asociate cu aceste dispozitive, corelarea înregistrărilor telefonice cu imaginea (captură de ecran sau video) acțiunilor angajatului este disproporționată atunci când este utilizată în alte scopuri decât formarea, cum ar fi evaluarea personalului, lupta împotriva fraudei interne etc. Angajatorul trebuie, în consecință, să utilizeze mijloace alternative pentru acest tip de dispozitiv.

Te-ar putea interesa și:

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



building-1839464_1280-1200x800.jpg

Curtea Europeană a Drepturilor Omului (CEDO) are o jurisprudență vastă în privința nerespectării procesului de prelucrare a datelor cu caracter personal. Un atare caz este reprezentat de hotărârea dată în cauza Perry contra Marea Britanie. Acest caz are în vedere înregistrarea prin mijloace video (camere ascunse) a unei persoane – persoană suspectată de comiterea unor infracțiuni. Curtea Europeană a Drepturilor Omului va constata încălcarea dreptului la viață privată atunci când mijloacele de înregistrare au ca finalitate obținerea unor imagini care ar duce la incriminarea persoanei într-un proces de natură penală. Deci, simpla utilizare (sau utilizarea ,,normală”) și captare a unor imagini video, fără posibilitatea ulterioară de folosire a acestora într-un proces de natură penală (fapt ce ar duce la incriminarea persoanei supusă înregistrării video), inclusiv în situația în care se utilizează camere ascunse, nu încalcă dreptul la viață privată.

Cum trebuie realizată prelucrarea datelor cu caracter personal?

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) prevede în cadrul pct. (4) modalitatea în care trebuie realizată prelucrarea datelor cu caracter personal.

În acest sens, prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor.

Cu privire la dreptul la protecția datelor cu caracter personal, acesta dintâi:

  • este un drept relativ;
  • trebuie luat în considerare în raport de funcția îndeplinită în societate;
  • trebuie echilibrat cu alte drepturi fundamentale;
  • se raportează la principiul proporționalității;

 

 

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE respectă cu precădere:

  • viața privată și de familie;
  • reședința;
  • comunicațiile;
  • protecția datelor cu caracter personal;
  • libertatea de gândire;
  • libertatea de conștiință, religie, de exprimare și informare;
  • libertatea de a desfășura o activitate comercială;
  • drepturile la o cale de atac eficientă, la un proces echitabil;
  • diversitatea lingvistică, religioasă și culturală (a se consulta eur-lex.europa.eu).

 

 

Jurisprudență CEDO: filmările în secret și nerespectarea prelucrării datelor cu caracter personal

În cauza Perry contra Marea Britanie, secția III, 63737/00, Curtea Europeană a Drepturilor Omului (CEDO) s-a pronunțat cu privire la violarea art. 8 din Convenția Europeană a Drepturilor Omului. Articolul 8 din Convenția Europeană a Drepturilor Omului prevede:

  • Dreptul la respectarea vieții private și de familie;
  • Dreptul la respectarea domiciliului;
  • Dreptul la respectarea corespondenței.
  • Interzicerea amestecului autorităților publice în exercitarea dreptului la viață privată și de familie.

Te-ar putea interesa și:

Derogarea se face numai în situația în care:

  • Amestecul autorităților publice în exercitarea dreptului este prevăzut de lege;
  • Amestecul constituie o măsură necesară (într-o societate democratică) pentru subdomenii precum: securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii, prevenirea faptelor de natură penală, protecția sănătății, protecția drepturilor și a libertăților altor persoane (a se vedea Convenția Europeană a Drepturilor Omului, platformă online echr.coe.int).

În prezenta cauză (a se vedea echr.coe.int), reclamantul a fost arestat în legătură cu mai multe jafuri armate îndreptate asupra unor șoferi de taxi. Reclamantul a fost eliberat pentru a se proceda la identificarea sa (similitudine de date). Pentru faptul că acesta nu a participat la ședința respectivă și nici la ședințele ulterioare, poliția a solicitat o autorizație în scopul de a-l filma pe reclamant în secret. Susținerile reclamantului au în vedere faptul că poliția a procedat la acest lucru în scopul identificării sale și, implicit, în procesul penal început. Curtea Europeană a Drepturilor Omului (CEDO) a constatat încălcarea art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO), invocând următoarele argumente:

  • Înregistrarea reclamantului prin mijloace video s-a realizat fără ca acesta să știe modalitatea în care va fi utilizată (în speță într-un proces penal, desfășurat împotriva sa) ;
  • Înregistrarea video a depășit exigențele ,,normale” de utilizare;
  • Înregistrarea video a reprezentat o ingerință în dreptul reclamantului la respectarea vieții sale private;
  • Nu a fost respectată procedura stabilită de lege ;
  • Nu a fost obținut acordul reclamantului cu privire la înregistrarea sa video ;
  • Nu a fost realizată informarea asupra reclamantului că se va efectua o înregistrare video ;
  • Nu a fost realizată informarea asupra reclamantului cu privire la drepturile sale privind înregistrarea prin mijloace video (a se vedea echr.coe.int).

KIT GDPR Premium

 

De asemenea, Curtea a constatat următoarele aspecte :

  • Utilizarea camerelor de securitate, în mod independent de locul amplasării (pe stradă, în centre comerciale, în posturi de poliție) răspunde unor scopuri legitime și previzibile ;
  • Utilizarea camerelor de securitate nu ridică probleme în sensul nerespectării dreptului la viață privată ;
  • Atunci când se utilizează mijloacele de înregistrare video a unei persoane în scopul obținerii unor rezultate, precum identificarea sa drept autor al unei infracțiuni (într-un proces de natură penală), se produce încălcarea dreptului la viață privată ;
  • Același aspect se aplică și expunerii înregistrărilor video în procesele ce se desfășoară în public ;
  • Lipsa acordului persoanei care este supusă înregistrărilor video încalcă dreptul la viață privată ;
  • Imaginile luate în alte condiții decât cele de utilizare normală încalcă dreptul la viață privată (a se vedea în acest sens jurisprudentacedo.com).

Curtea Europeană a Drepturilor Omului (CEDO) sancționează astfel acțiunile de prelucrare a datelor cu caracter personal când afectează în mod hotărâtor dreptul la imagine al persoanei, cât și prezumția de nevinovăție) :

  • atunci când nu există informarea prealabilă a persoanelor;
  • când legea nu prevede (că) o atare modalitate de prelucrare (este legală);
  • când acțiunile realizate ar duce la vătămarea drepturilor persoanei (drept la viață privată) în cauză sau ar contribui la incriminarea sa într-un proces penal.

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



phone-showing-face-recognition_78895-870.jpg

Prevederile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE au început să își găsească aplicabilitate în societatea actuală. Atare prevederi erau necesare pentru a se asigura o cât mai bună protecție a informațiilor privind persoanele fizice, inclusiv prin aplicarea de sancțiuni în caz de constatare a încălcării lor.

Monitorizarea corespondenței și a comunicațiilor telefonice

În legislația din România, una dintre măsurile care se poate dispune asupra comunicațiilor telefonice ale unei persoane este măsura supravegherii tehnice. Această măsură este reglementată de art. 139 din Codul penal român. Măsura se dispune, conform alin. (1) de către judecătorul de drepturi și libertăți. Pentru a se dispune măsura supravegherii tehnice, legiuitorul mai prevede și îndeplinirea cumulativă a unor condiții. Structura măsurii supravegherii tehnice este următoarea:

  • Existența unei suspiciuni care trebuie să fie ,,rezonabilă”, în ceea ce privește pregătirea sau săvârșirea unei infracțiuni ;
  • Infracțiunile pentru care se dispune supravegherea tehnică sunt cele contra securității naționale prevăzute de Codul penal al României și de legile speciale, dar și infracțiunile de trafic de droguri, trafic de arme, trafic de persoane, acte de terorism, spălare a banilor, falsificare de monede ori alte valori, falsificarea de instrumente de plată electronică, șantaj, viol, lipsire de libertate, evaziune fiscală. De asemenea, supravegherea tehnică se dispune și în cazul infracțiunilor de corupție, infracțiunilor împotriva intereselor financiare ale Uniunii Europene, al infracțiunilor care se săvârșesc prin sisteme informatice sau mijloace de comunicare electronică ori în cazul unor alte infracțiuni pentru care legea prevede pedeapsa închisorii de 7 ani sau mai mare (a se vedea Codul penal al României, art. 139, alin. (2) ) ;
  • Măsura supravegherii tehnice trebuie să fie proporțională cu restrângerea drepturilor și libertăților fundamentale în raport de particularitățile cauzei, importanța informațiilor ori a probelor ce urmează să fie obținute sau gravitatea infracțiunii ;
  • Probele nu ar putea să fie obținute în alt mod sau obținerea lor ar presupune dificultăți pe care Codul penal român le califică drept ,,dificultăți deosebite”, ce ar duce la prejudicierea anchetei sau atunci când există un pericol pentru siguranța persoanelor sau a unor bunuri de valoare.

 

 

Înregistrările realizate în condițiile supravegherii tehnice constituie mijloace de probe în situația în care privesc propriile convorbiri purtate cu terții. Cu privire la alte înregistrări, ele pot să constituie mijloace de probe numai în situația în care nu sunt interzise de lege.

Un element important în dispunerea măsurii de supraveghere tehnică îl reprezintă situația raporturilor dintre avocat și partea pe care acesta o asistă. În acest sens:

  • Raportul dintre avocat și partea pe care o asistă sau reprezintă nu poate să facă obiectul supravegherii tehnice.

Cu toate acestea, legea prevede și derogări. Derogările sunt aplicabile:

  • Numai dacă există date că avocatul săvârșește sau pregătește săvârșirea unei infracțiuni dintre cele prevăzute în structura supravegherii tehnice.

În completare, dacă pe parcursul sau după executarea măsurii rezultă că activitățile de supraveghere tehnică au vizat și raporturile dintre avocat și suspectul sau inculpatul pe care acesta îl apără, probele obținute nu pot fi folosite în cadrul procesului penal, urmând a fi șterse, de îndată, de către procuror (a se vedea art. 139, alin. (4) din Codul penal al României).

 

Monitorizarea în viziunea Curții Europene a Drepturilor Omului

În viziunea Curții Europene a Drepturilor Omului, în cauza Klass contra Germaniei, s-a constatat că nu s-a produs nicio încălcare a dreptului la viață privată și de familie, în mod implicit asupra monitorizării corespondeneți și a comunicațiilor telefonice. În cauza Klass contra Germaniei, reclamanții sunt reprezentați de cinci avocați germani. Obiectul cererii a vizat legislația din Germania, care permitea autorităților să monitorizeze corespondența și comunicațiilor telefonice ale avocaților, fără obligația de informare a acestora din urmă despre măsurile luate. Articolul 8 din Convenția Europeană a Drepturilor Omului prevede:

  • Dreptul la respectarea vieții private și de familie;
  • Dreptul la respectarea domiciliului;
  • Dreptul la respectarea corespondenței.
  • Interzicerea amestecului autorităților publice în exercitarea dreptului la viață privată și de familie.

Derogarea se face numai în situația în care:

  • Amestecul autorităților publice în exercitarea dreptului este prevăzut de lege;
  • Amestecul constituie o măsură necesară (într-o societate democratică) pentru subdomenii precum: securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii, prevenirea faptelor de natură penală, protecția sănătății, protecția drepturilor și a libertăților altor persoane (a se vedea Convenția Europeană a Dreptuilor Omului, platformă online echr.coe.int).

 

Te-ar putea interesa și:

 

Curtea Europeană a Drepturilor Omului (CEDO) a constatat că nu s-a produs nicio încălcare a articolului prevăzut anterior (art. 8 din Convenția Europeană a Drepturilor Omului), menționând ca fiind justificată ca legiuitorul german să considere ingerința rezultată din legislația contestată. Motivul a fost reprezentat de necesitatea într-o societate democratică, în interesul securității naționale și pentru prevenirea dezastrelor sau faptelor penale (a se vedea în acest sens echr.coe.int).

Argumentul Curții Europene a Drepturilor Omului în sensul lipsei încălcării prevederilor art. 8 din Convenția Europeană a Drepturilor Omului s-a conturat astfel:

  • Competențele de supraveghere în secret a cetățenilor, deși sunt proprii unui ,,stat polițienesc”, sunt ,,tolerabile”, în temeiul Convenției Europene a Drepturilor Omului (CoEDO) numai pentru protejarea instituțiilor democratice;
  • Faptul că societățile democratice se confruntă cu amenințări de spionaj și terorism permite luarea unor asemenea măsuri – măsura de monitorizare asupra convorbirilor telefonice sau a corespondenței reprezentând o modalitate de contracarare a unor acțiuni de amenințări de spionaj și terorism;
  • Existența unei legislații (precum cea germană) care acordă competență de supraveghere în secret a corespondenței, comunicărilor prin poșă sau telecomunicațiilor reprezintă o măsură necesară într-o societate democratică, în interesul securității naționale și/sau pentru prevenirea dezordinii ori a faptelor penale a se vedea în acest sens echr.coe.int).

KIT GDPR Premium

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



paper-cut-outs-social-networking-icons-with-like-icon-wooden-table_23-2147841366.jpg

Utilizarea rețelelor de socializare a devenit o obișnuință pentru fiecare persoană în parte. De la verificarea notificărilor primite, până la conversațiile în sfera virtuală, internetul a început să acapareze întru totul mintea umană. O astfel de practică a început să fie sancționată de către angajatori, inclusiv prin decizii de concediere. Dar poate o astfel de decizie să fie una legitimă?

Monitorizare sau viață privată?

În raportul drept la monitorizare – drept la viață privată trebuie să primeze dreptul la viața privată. Cel puțin, astfel este receptată această situație în jurisprudența Curții Europene a Drepturilor Omului. Prin Hotărârea nr. 61496/08 din septembrie 2017, în cauza Bărbulescu contra României, Curtea Europeană a Drepturilor Omului a constatat că acțiunea de monitorizare a comunicărilor angajatului, alături de consultarea conținutului, care au avut ca scop justificativ concedierea angajatului, au adus atingere vieții private (a se vedea Hotărârea nr. 61496/08 din 2 septembrie 2017 a Curții Europene a Drepturilor Omului, platformă online hudoc.echr.coe.int).

Situația faptică este următoarea:

  • Angajatul unei societăți din România a utilizat contul de Yahoo Messenger în timpul serviciului;
  • Contul a fost utilizat în scopul de a răspunde întrebărilor primite de la clienții societății comerciale în cadrul căruia era angajat, dar și în purtarea de conversații cu fratele și logodnica acestuia;
  • Asupra acțiunilor sale s-a început monitorizarea de către societatea comercială în cauză;
  • Angajatul a fost anunțat cu privire la monitorizarea sa;
  • Angajatului i s-a pus în vedere și faptul că utiliza internetul în scopuri personale;
  • Regulamentul intern al societății comerciale prevedea faptul că este interzisă utilizarea internetului în timpul serviciului în scopuri personale;
  • Angajatului i s-a aplicat sancțiunea concedierii.

Te-ar putea interesa și:

Ulterior, adresându-se Curții Europene a Drepturilor Omului (CEDO), s-a constatat faptul că înregistrările conversațiilor angajatului le includeau și pe cele pe care acesta le efectuase cu fratele sau logodnica sa, deci intrau în sfera conversațiilor private. Cu toate acestea, CEDO a constatat că nu a existat nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO) privind dreptul la respectarea vieții private și de familie. Conform art. 8 din prezenta Convenție, orice persoană are:

  • Dreptul la respectarea vieții sale private și de familie;
  • Dreptul la respectarea domiciliului său;
  • Dreptul la respectarea corespondenței sale.

De asemenea, amestecul autorităților publice în exercitarea dreptului la viață privată și de familie nu este admis. Derogarea se face numai în situația în care:

  • Amestecul autorităților publice în exercitarea dreptului este prevăzut de lege;
  • Amestecul constituie o măsură necesară (într-o societate democratică) pentru subdomenii precum: securitatea națională, siguranța publică, bunăstarea economică a țării, apărarea ordinii, prevenirea faptelor de natură penală, protecția sănătății, protecția drepturilor și a libertăților altor persoane (a se vedea Convenția Europeană a Dreptuilor Omului, platformă online echr.coe.int).

Folosești supraveghere CCTV pentru a supraveghea angajații la locul de muncă, dar nu ai implementat încă GDPR? Află mai multe despre soluția noastră aici. 

 

Care a fost motivarea Curții Europene a Drepturilor Omului?

Curtea Europeană a Drepturilor Omului a constatat că autoritățile naționale nu au acordat protecția adecvată drepturilor reclamantului (ale angajatului) la respectarea vieții private. S-a constatat astfel că a existat o încălcare a art. 8 din Convenția Europeană a Drepturilor Omului. Cu privire la această soluție a Curții au existat și opinii divergente, distincte.

Prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului s-a constatat în primă etapă că, deși solicitantul (angajat al societății comerciale) a cerut instanțelor naționale desființarea deciziei de concediere – fără a se materializa într-o soluție favorabilă acestuia, nici la nivel internațional nu s-a putut constata o încălcare a vieții private prin accesul și monitorizarea de către societatea comercială în cauză a conversațiilor sale.

 

Raționamentul ,,divergent” al Curții Europene a Drepturilor Omului a fost următorul:

  • Monitorizarea angajatului de către angajator s-a desfășurat pe o perioadă limitată în timp;
  • Monitorizarea a avut ca obiect strict activitățile de comunicare electronică și internet ale angajatului;
  • Rezultatele obținute din operațiunea de monitorizare au fost utilizat exclusiv în scopul procedurii disciplinare;
  • Numai angajatorul a avut acces la conținutul comunicărilor angajatului, nicio altă persoană din cadrul societății nu a luat cunoștință de conținutul lor;
  • Nu s-a făcut nicio dovadă în sensul că acel conținut al comunicărilor angajatului a fost dezvăluit altor persoane (colegilor acestuia);
  • Angajatul a încălcat regulamentul intern al societății comerciale în cauză, care prevedea că este interzisă utilizarea calculatoarelor în scopuri personale;
  • Angajatul a fost informat cu privire la monitorizarea sa;
  • Angajatul a afirmat în fața Curții Europene a Drepturilor Omului că știa faptul că utilizarea calculatorului în scopuri private, personale, era interzisă;
  • Instanțele naționale au constatat corect că obiectul legal pe care angajatorul l-a urmărit în monitorizarea comunicărilor angajatului a fost reprezentat de exercitarea dreptului și a datoriei de a asigura buna conducere a companiei (a se vedea integral la hudoc.echr.coe.int, Cauza Bărbulescu contra României).

O parte dintre judecătorii Curții a decis (în opinie divergentă), având în vedere raportul prioritate a intereselor angajatorului – prioritate a intereselor salariatului, faptul că instanțele naționale au acționat în marja de apreciere a statului român, instanțele naționale considerând legală decizia de concediere. Prin urmare, prin opinia divergentă a judecătorilor Curții Europene a Drepturilor Omului (CEDO) s-a concluzionat faptul că nu s-a produs nicio încălcare a art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO).

Curtea s-a pronunțat în favoarea încălcării dreptului la viață privată și familială cu 11 voturi contra 6. De asemenea, a hotărât cu 16 voturi la 1 că satisfacția justă pentru prejudiciul moral cauzat angajatului (reclamant)  este reprezentată de constatarea încălcării art. 8 din Convenție. Cu 14 voturi la 3 a reținut că statul pârât va plăti reclamantului suma de 1365 de euro pentru costuri și cheltuieli , în termen de 3 luni (a se consulta hudoc.echr.coe.int, Case of Bărbulescu v. Romania).

Te-ar putea interesa și:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul meidcal? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



building-1839464_1280-1200x800.jpg

Autor Roxana Constantinescu, Avocat Baroul Cluj

Supravegherea video a angajaților și a altor persoane vizate necesită implementarea unor procese tehnice și organizatorice adecvate pentru a respecta GDPR. În prezentul articol vom explica ce anume trebuie să facă operatorii pentru a respecta GDPR atunci când utilizează sisteme de supraveghere CCTV.

1.Introducere – despre monitorizarea CCTV

CCTV înseamnă televiziune cu circuit închis, cunoscută și sub denumirea de supraveghere video. Sistemele de supraveghere video monitorizează comportamentul, activitățile sau alte informații ale persoanelor prin intermediul unui echipament electronic.

Supravegherea video poate include orice, de la sistem de supraveghere cu circuit închis sau sisteme automate de recunoaștere, la orice alt sistem pentru înregistrarea, stocarea, primirea sau vizualizarea imaginilor vizuale în scopuri de supraveghere.

În conformitate cu GDPR, angajatorii au dreptul să monitorizeze activitatea angajaților dacă au o bază legală pentru a face acest lucru, iar scopul monitorizării lor este clar comunicat angajaților în avans prin intermediul unei note de informare.

2.Temeiul legal – Interes legitim. Consimțământ

Din cauza dezechilibrului de putere în relația angajator-angajat, angajatorii nu se pot baza în decât în cazuri excepționale pe consimțământ pentru prelucrarea datelor angajaților. Pentru întreprinderi, cel mai potrivit temei legal este interesul legitim al angajatorului.

Există multe motive de interes legitim pentru care angajatorii monitorizează angajații folosind CCTV. Bazele legale ale monitorizării includ securitatea, sănătatea și siguranța angajaților prin prevenirea infracțiunilor, prevenirea comportamentului incorect al angajaților, asigurarea respectării procedurilor de sănătate și siguranță, monitorizarea și îmbunătățirea productivității etc.

Angajatorii se bazează în general pe interesele legitime ca bază legală adecvată pentru prelucrarea datelor cu caracter personal – implică responsabilitatea organizațională și permite utilizarea responsabilă a datelor cu caracter personal, protejând în același timp drepturile angajaților.

Angajatorii care se bazează pe interese legitime ca bază legală pentru prelucrare trebuie să ia în considerare legitimitatea interesului lor declarat (și potențial interesele terților) și trebuie să echilibreze acel interes cu interesele, drepturile și libertățile angajaților lor. Cu alte cuvinte, angajatorii trebuie să realizeze o analiză a interesul legitim, prin intermediul căreia să pună în balanță interesele companiei și interesele și drepturile persoanelor fizice vizate. Dacă în urma analizei, rezultă că primează interesele companiei, supravegherea CCTV se va putea realiza. Dacă în urma analizei rezultă că primează drepturile și interesele persoanelor fizice vizate, atunci supravegherea CCTV nu va putea fi realizată pe temeiul interesului legitim.

Exemplu #1: O companie care deține o parcare a identificat probleme cu furturile în mașinile parcate. Parcarea este deschisă publicului și poate fi accesată cu ușurință de către oricine. Compania are un interes legitim (prevenirea furturilor) să monitorizeze zona expusă riscului. Persoanele vizate sunt monitorizate pe o perioadă limitată de timp, nu se află în timpul unor activități recreaționale și este, de asemenea, în interesul lor ca furturile să fie prevenite. În acest caz, interesul legitim al companiei depășește dreptul la viață privată.[1]

Exemplu #2: Un restaurant decide să instaleze camere video în toalete pentru a supraveghea efectuarea curățeniei. În acest caz, drepturile persoanelor vizate depășesc în mod clar interesul legitim, iar supravegherea video nu poate avea loc.[2]

În plus, angajatorii trebuie să aplice, de asemenea, măsuri de protecție și de conformitate pentru a se asigura că drepturile angajaților nu sunt prejudiciate în niciun caz.

 

 

În cazul în care un angajat se opune utilizării camerelor de televiziune CCTV într-o anumită zonă, GDPR pune în sarcina angajatorului de a demonstra că are „motive legitime convingătoare” pentru prelucrare.

Monitorizarea angajaților prin supraveghere CCTV ar trebui să se limiteze la zonele în care riscul de a încălca drepturile angajaților este scăzut. Utilizarea camerelor CCTV care monitorizează în mod constant un grup specific de angajați dintr-o anumită zonă este mai probabil să fie considerat intruziv și abuziv decât cele care monitorizează toți angajații dintr-o zonă de intrare generală.

Scopul CCTV ar trebui să fie clar transmis angajaților prin intermediul unei notificări. În conformitate cu cerințele GDPR, angajatorii au obligația angajaților de a face acest lucru într-un mod clar și fără ambiguitate. Află mai multe despre pachetul nostru GDPR pentru supraveghere video aici. 

Simpla presupunere generală că utilizarea CCTV la locul de muncă se realizează în scopuri de securitate, dar este utilizat și pentru monitorizarea performanței sau conduitei angajaților nu este conformă. Prin urmare, angajații trebuie să fie anunțați clar înainte de a folosirea datele lor personale în acest scop. Aceeași abordare a notificării trebuie adoptată și dacă scopul supravegherii CCTV este și din motive de sănătate și siguranță.

Conform articolului 35 GDPR, orice utilizare excesivă a monitorizării CCTV pentru angajații este considerată profilare „cu risc ridicat”, în conformitate cu orientările emise de Grupul de Lucru Art. 29. Aceasta necesită o evaluare a impactului privind protecția datelor („DPIA”). O DPIA ia în considerare dacă supravegherea este necesară și proporțională cu ceea ce un angajator încearcă să obțină, având în vedere riscurile pentru drepturile persoanelor vizate, inclusiv luarea în considerare a oricăror garanții sau măsuri de securitate pe care operatorul le va pune în aplicare.

KIT GDPR Premium

3. Informarea angajatului. Cum o facem, ce trebuie să cuprindă

Angajatorii ar trebui să țină seama de noile cerințe GDPR dacă intenționează să instaleze camere CCTV, oricare ar fi scopul acestora. Angajatorii trebuie să rețină faptul că toate datele personale colectate trebuie utilizate și păstrate numai pentru a-și îndeplini scopul inițial, iar notificarea conformă cu GDPR trebuie să fie afișată în locuri vizibile. Un model de notificare, împreună cu celalalte documente necesare GDPR pentru utilizarea camerelor de supraveghere găsiți aici. 

Este recomandabil ca angajatorii să elaboreze o serie de politici de protecție a datelor referitoare la utilizarea camerelor CCTV. Aceste politici ar trebui să abordeze scopurile pentru care se realizează supravegherea CCTV, condițiile în care va avea loc monitorizarea, natura monitorizării, modul în care vor fi utilizate datele personale ale persoanelor obținute, cât timp va fi păstrat materialul, precum și impactul asupra drepturilor persoanelor.

Angajatorii ar trebui să se asigure că semnalizează proeminent și adecvat zonele în care sunt instalate camere CCTV. Angajatorii ar trebui de asemenea, să pună la dispoziție măsuri tehnice și organizatorice adecvate pentru atenuarea oricăror riscuri pentru drepturile unui angajat în cazul unei încălcări a datelor, conform cerințelor GDPR.

Sistemele CCTV sunt, în mod inerent, vulnerabile la atacurile cibernetice atunci când sunt conectate la internet sau la cloud, iar securitatea și confidențialitatea datelor deținute este asigurată cel mai bine prin restricționarea accesului la ele și dispunerea de sisteme solide pentru a preveni atacurile transmise prin internet. Să nu uităm că utilizarea de către angajator a CCTV la locul de muncă poate ridica probleme juridice complexe, în funcție de noile cerințe GDPR și în funcție de scopul supravegherii.

Există o serie de întrebări de verificare pe care le puteți pune:

  • Dacă supravegheați video angajații, care este motivul/temeiul luat în considerare pentru a avea un sistem CCTV?
  • Ați afișat o notificare pentru a anunța că sunt monitorizați?
  • Cât timp păstrați imaginile și de ce? Ați efectuat o evaluare a riscurilor pentru a stabili și documenta aceste motive?
  • Unde sunt stocate datele (imaginile)? Sunteți sigur că nu vor fi distribuite terților, v-ați luat măsuri în acest sens?
  • Dacă există o încălcare, care este planul de acțiune?

4. Transparența și poziționarea semnului

Persoanele vizate trebuie să fie informate cu privire la faptul că supravegherea video este în funcțiune într-o manieră detaliată cu privire la locurile monitorizate.

În ceea ce privește supravegherea video, informațiile cele mai importante ar trebui să fie afișate pe semnul de avertizare în sine,  în timp ce alte detalii pot fi furnizate prin alte mijloace.

Semnul ar trebui să fie poziționat la o distanță rezonabilă de locurile monitorizate  în așa fel încât persoana vizată să poată recunoaște cu ușurință circumstanțele supravegherii anterior intrării în zona monitorizată (aproximativ la nivelul ochilor). Nu este necesar să se precizeze exact amplasarea echipamentului de supraveghere, atâta timp cât nu există niciun dubiu. Subiectul trebuie să fie capabil să estimeze ce zonă este capturată de o cameră, astfel încât el sau ea să poată evita supraveghează sau adaptează comportamentul, dacă este necesar. Informațiile din cadrul semnului de avertizare ar trebui să transmită cele mai importante informații, de exemplu detaliile scopurilor prelucrării, identitatea operatorului și existența drepturilor persoanei vizate. Trebuie, de asemenea, să se refere la celelalte informații obligatorii și unde pot fi găsite. Un model de semn de avertizare conform GDPR găsiți aici. 

5. Ce aduce nou legislația română prin Legea 190/2018?

Legea nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului GDPR nr. 679/2016 prevede anumite condiţii în care se va putea realiza supravegherea video a angajaților la locul de muncă de către angajator.

Mai exact, articolul 5 (“Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă”) stabilește că atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, pentru a realiza interesele legitime urmărite de angajator, este posibilă numai dacă:

”a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;

d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi

e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În concluzie, conform Legii nr. 190/2018, supravegherea video poate fi realizată de către angajator numai dacă acesta poate demonstra ca interesele sale legitime sunt temeinic justificate și prevalează drepturilor și libertăților persoanelor. Totodată, angajatorul trebuie să facă dovada faptului ca alte metode prin care și-ar fi putut atinge scopul au eșuat anterior și astfel, singura soluție rămâne supravegherea video. În egală măsură, trebuie să asigura informarea angajaților și să se consulte cu sindicatul salariaților (dacă acesta există) sau cu reprezentanții acestora. Perioada de stocare nu poate depăși 30 de zile.

Implementarea și respectarea obligațiilor în materie de supraveghere video cu siguranță nu e floare-la-ureche, piece of cake sau alte formulări care vă plac, însă pachetul nostru monitorizare CCTV vă ia o grijă de pe umeri.

[1] Sursa aici

 

[2] Idem.

 

 


 

Te-ar putea interesa și:

 


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Monitorizarea prin camere de supraveghere cu circuit închis (CCTV) face parte din activitatea majorității companiilor din România, însă pentru a supraveghea legal trebuie să respecți o serie de cerințe instituite de GDPR și de Legea 190/2018 privind măsurile de aplicare a GDPR. În acest articol îți vom explica pe scurt ce ai de făcut pentru a respecta legislația și îți vom furniza gratuit două modele de documente utile pentru conformare.

Potrivit Legii nr. 190/2018, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

Cu alte cuvinte, trebuie puse în balanță interesul companiei de a monitoriza prin CCTV și drepturile angajaților la viața privată. Dacă balanța va înclina în favoarea angajatorului, atunci supravegherea CCTV poate fi realizată. Orientările europene în materie spun că trebuie documentat un test de echilibrare (sau analiză a interesului legitim) pentru ca angajatorul să afle dacă poate monitoriza legal prin CCTV. Un model de analiză a interesului legitim pentru CCTV găsești aici.

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

Poți descărca un model de  Notă de informare CCTV

Atenție! Informarea angajaților cu privire la CCTV nu exonerează compania de informarea angajaților cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal. Un model de notă de informare completă a angajaților găsești în KIT-ul nostru de implementare. 

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Te-ar putea interesa și: 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Regulamentul General privind Protecția Datelor (GDPR) ridică multe întrebări cu privire la impactul GDPR asupra relațiilor de muncă. Nu este o noutate faptul că în cadrul majorității organizațiilor, angajații au fiecare câte o adresă de e-mail de serviciu pe formatul nume.prenume@companie.ro. În prezentul articol voi aborda un subiect de actualitate și întâlnit frecvent în practică: poate un angajator să acceseze adresa de e-mail de serviciu a unui fost angajator?

Înainte de a răspunde la întrebare, vom discuta, cu titlu preliminar, câteva aspecte deosebit de importante pentru înțelegerea problematicii abordate.

Este adresa de e-mail o dată cu caracter personal?

Orientările europene sunt în sensul în care o adresă de e-mail pe formatul nume.prenume@companie.ro sau chiar pe formatul nume@companie.ro, este o dată cu caracter personal. Adresele de e-mail pe formatul office@companie.ro nu sunt date cu caracter personal, însă acest lucru nu înseamnă că acestea nu ar trebui protejate deoarece conțin informații sensibile. Conținutul e-mailurilor pot conține de asemenea, o multitudine de informații personale, precum datele de contact ale clienților, informații financiare, date medicale, iar în cazurile nefericite, inclusiv discuțiile private ale angajatului/fostului angajat.

De asemenea, Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul legislației privind protecția datelor.

În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.

KIT GDPR Premium

 

Te-ar putea interesa și:

 

Conversații private pe e-mail-ul de serviciu…

Comoditatea îi determină pe unii angajați să folosească adrese de e-mail de serviciu pentru activități domestice, precum achiziții online sau chiar discuții personale. Cât de permis este acest lucru de GDPR? În primul rând, e lesne de înțeles că angajatorul nu poate controla cum folosește un angajat e-mailul de serviciu. Însă, având în vedere că (1) GDPR impune angajaților să nu colecteze mai multe date decât sunt necesare și (2) orice operator (în speță, angajatorul) trebuie să implementeze măsuri tehnice și organizatorice adecvate, aș spune că angajatorii ar trebui să cunoască faptul că… nu ar trebui să amestece viața personală cu atribuțiile de serviciu. Organizația ar trebui să aibă politici adecvate prin care angajaților li se aduce la cunoștință nu doar cum să protejeze datele personale ale organizației, ci cum să își protejeze datele lor personale. Compania ar trebui să explice angajaților că nu ar trebui să folosească e-mail-ul de serviciu în scop personal atât prin training-uri și ar trebui să aibă proceduri implementate (actualizarea ROI cu un capitol privind protecția datelor, acorduri de confidențialitate, politici de confidentialitate/securitate etc) pentru protecția datelor personale, inclusiv protecția propriilor informații personale.

Cu alte cuvinte, conversațiile private pe e-mailul de serviciu nu sunt interzise per se de Regulament, însă angajatorii ar trebui să depună diligențe pentru a atrage atenția angajaților asupra riscurilor la care se pot expune, mai ales în situația în care e-mailurile de serviciu sunt monitorizate 🙂

 

 

E-mail-uri de serviciu monitorizate

Vă amintiți de celebru caz de la CEDO Bărbulescu vs România? Pe scurt, domnul Bărbulescu a fost obligat de către angajator să își creeze o adresă de yahoo messenger pentru a ține legătura cu clienții, însă conversațiile de pe yahoo messenger cu logodnica și fratele său au fost monitorizate de către companie, fără ca dnul Bărbulescu să aibă cunoștință de acest lucru. Peste ceva timp, domnul Bărbulescu a fost concediat deoarece încălcase regulamentul intern care îl obliga să nu folosească internetul în scop personal. A contestat fără succes decizia la instanțele din România invocând violarea secretului corespondenței. În cele din urmă, CEDO (Marea Camera) a dat o decizie cel puțin interesantă, prin care statuat, printre altele, că monitorizarea conversațiilor electronice la locul de muncă este permisă dacă se îndeplinesc cumulativ următoarele condiții:

  • există un interes legitim al companiei de a monitoriza (supravegherea îndeplinirii sarcinilor de serviciu, securitate etc);
  • nu au fost găsite metode mai puțin intruzive pentru atingerea scopului;
  • angajatul a fost informat în prealabil cu privire la faptul că e-mailul este supravegheat.

În această situație, temeiul juridic nu este consimțământul angajatului (care, conform opiniei WP29, în majoritatea cazurilor, este invalid, existând un dezechilibru de putere), ci interesul legitim.

Cu privire la monitorizare ar trebui să ne amintim că Legea 190/2018 privind măsurile de punere în aplicare al GDPR impune următoarele condiții:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate – prin urmare trebuie documentată o analiză a interesului legitim și păstrată pentru un eventual control. 

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;- notele de informare către angajați trebuie să prevadă că se utilizează mijloace de monitorizare.

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

 

 

Putem accesa e-mailul fostului angajat? 

Pe scurt, da, însă doar dacă sunt respectate anumite condiții pe care le vom indica mai jos.

„Atunci când un angajat părăsește organizația, angajatorul ar trebui să ia măsurile tehnice și organizatorice necesare, astfel încât poșta electronică a angajatului să fie dezactivată în mod automat. În cazul în care, pentru buna funcționare a organizației, este necesar să fie recuperat conținutul poștei electronice a unui angajat, angajatorul ar trebui să adopte măsurile adecvate pentru recuperarea conținutul acesteia înainte de plecarea angajatului și, dacă este posibil, în prezența lui.” – CEDO, Cauza Bărbulescu vs România.

Așadar, atunci când un angajat părăsește compania, e-mailul trebuie dezactivat și redirecționat către o nouă adresă, iar conținutul ar trebui recuperat înainte de plecarea angajatului. Dacă totuși, angajatul e plecat deja, iar compania nu avea cunoștință de acest lucru, va trebui să recupereze și să dezactiveze în cel mai scurt timp, deoarece un timp îndelungat poate conduce către un cuantum al amenzii mai mare. 

În cursul anului 2016, o societate din România a fost amendată de ANSPDCP deoarece a păstrat mai mult decât era cazul (aproximativ un an) un e-mail al unui fost colaborator, invocând, printre altele, că a trebuit să păstreze adresa de e-mail deoarece clienții societății erau obișnuiți să contacteze această adresă de e-mail. Procesul-verbal a fost contestat la Tribunalul București. S-a pierdut în fond și s-a făcut apel la Curtea de Apel București.

Prin Decizia Civilă nr. 34/09.03.2017, Curtea de Apel București a statuat, printre altele, că:

există un interes legitim („Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă.”)

nu este nevoie consimțământ, angajatorul se poate baza pe interes legitim („Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.”)

angajatorii ar trebui să nu acceseze niciodată discuții personale și să le șteargă în cel mai scurt timp („Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.”)

La o primă lectură, apare un paradox. CEDO spune că angajatorul ar trebui să recupereze e-mailurile înainte de plecarea angajatului, iar Curtea de Apel București spune că recuperarea se poate face și după plecare, însă, în cel mai scurt timp. Luând în calcul (1) formularea „ar trebui” în loc de „trebuie” a CEDO și (2) faptul că accesul la conținutul e-mailului poate fi extrem de important, de la caz la caz, se poate aprecia dacă există un interes legitim de a accesa adresa de e-mail a fostului angajat.

 

Recomandări. Soluții. 

Având în vedere cele expuse mai sus putem concluziona și putem emite chiar o soluție care poate fi utilă companiilor aflate în această situație:

  1. Pe viitor, companiile ar trebui să aibă grijă să recupereze conținutul e-mailului înainte de plecare și, dacă se poate, în prezența angajatului.
  2. Dacă nu s-a respectat punctul 2., companiile ar trebui să recupereze în cel mai scurt timp conținutul necesar, să redirecționeze și să șteargă e-mailul. Poate fi util să informeze în acest sens angajatul și să îi propună ștergerea conținutului confidențial.
  3. În toate cazurile în care se merge pe interes legitim pentru monitorizarea și/sau accesarea e-mail-urilor după plecarea angajatului, trebuie documentată o analiză a interesului legitim care să îi permită angajatorului să aibă acces.

Rețineți faptul că GDPR nu cere perfecțiune, ci o abordare bazată pe risc, și, atâta timp cât compania depune eforturi constante pentru respectarea Regulamentului, nu ar trebui să existe probleme. Iar când e vorba despre protecția datelor cu caracter personal, ar trebui să ne punem mai des întrebări.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 


arhive-monitorizare-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord