Aici descoperim
dreptul tehnologiei

Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Monitorizarea prin camere de supraveghere cu circuit închis (CCTV) face parte din activitatea majorității companiilor din România, însă pentru a supraveghea legal trebuie să respecți o serie de cerințe instituite de GDPR și de Legea 190/2018 privind măsurile de aplicare a GDPR. În acest articol îți vom explica pe scurt ce ai de făcut pentru a respecta legislația și îți vom furniza gratuit două modele de documente utile pentru conformare.

Potrivit Legii nr. 190/2018, în cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

Cu alte cuvinte, trebuie puse în balanță interesul companiei de a monitoriza prin CCTV și drepturile angajaților la viața privată. Dacă balanța va înclina în favoarea angajatorului, atunci supravegherea CCTV poate fi realizată. Orientările europene în materie spun că trebuie documentat un test de echilibrare (sau analiză a interesului legitim) pentru ca angajatorul să afle dacă poate monitoriza legal prin CCTV. Un model de analiză a interesului legitim pentru CCTV găsești aici. Template-ul este purtător de drepturi de autor și nu poate fi utilizat fără acordul nostru scris, dar cu siguranță te poți inspira și îți poți crea propriul document. (Descarcă document)

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

Poți descărca un model de informare pentru CCTV de aici.

Atenție! Informarea angajaților cu privire la CCTV nu exonerează compania de informarea angajaților cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal. Un model de notă de informare completă a angajaților găsești în KIT-ul nostru de implementare. 

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Te-ar putea interesa și: 


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Regulamentul General privind Protecția Datelor (GDPR) ridică multe întrebări cu privire la impactul GDPR asupra relațiilor de muncă. Nu este o noutate faptul că în cadrul majorității organizațiilor, angajații au fiecare câte o adresă de e-mail de serviciu pe formatul nume.prenume@companie.ro. În prezentul articol voi aborda un subiect de actualitate și întâlnit frecvent în practică: poate un angajator să acceseze adresa de e-mail de serviciu a unui fost angajator?

Înainte de a răspunde la întrebare, vom discuta, cu titlu preliminar, câteva aspecte deosebit de importante pentru înțelegerea problematicii abordate.

Este adresa de e-mail o dată cu caracter personal?

Orientările europene sunt în sensul în care o adresă de e-mail pe formatul nume.prenume@companie.ro sau chiar pe formatul nume@companie.ro, este o dată cu caracter personal. Adresele de e-mail pe formatul office@companie.ro nu sunt date cu caracter personal, însă acest lucru nu înseamnă că acestea nu ar trebui protejate deoarece conțin informații sensibile. Conținutul e-mailurilor pot conține de asemenea, o multitudine de informații personale, precum datele de contact ale clienților, informații financiare, date medicale, iar în cazurile nefericite, inclusiv discuțiile private ale angajatului/fostului angajat.

De asemenea, Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul legislației privind protecția datelor.

În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.

 

Te-ar putea interesa și:

 

Conversații private pe e-mail-ul de serviciu…

Comoditatea îi determină pe unii angajați să folosească adrese de e-mail de serviciu pentru activități domestice, precum achiziții online sau chiar discuții personale. Cât de permis este acest lucru de GDPR? În primul rând, e lesne de înțeles că angajatorul nu poate controla cum folosește un angajat e-mailul de serviciu. Însă, având în vedere că (1) GDPR impune angajaților să nu colecteze mai multe date decât sunt necesare și (2) orice operator (în speță, angajatorul) trebuie să implementeze măsuri tehnice și organizatorice adecvate, aș spune că angajatorii ar trebui să cunoască faptul că… nu ar trebui să amestece viața personală cu atribuțiile de serviciu. Organizația ar trebui să aibă politici adecvate prin care angajaților li se aduce la cunoștință nu doar cum să protejeze datele personale ale organizației, ci cum să își protejeze datele lor personale. Compania ar trebui să explice angajaților că nu ar trebui să folosească e-mail-ul de serviciu în scop personal atât prin training-uri și ar trebui să aibă proceduri implementate (actualizarea ROI cu un capitol privind protecția datelor, acorduri de confidențialitate, politici de confidentialitate/securitate etc) pentru protecția datelor personale, inclusiv protecția propriilor informații personale.

Cu alte cuvinte, conversațiile private pe e-mailul de serviciu nu sunt interzise per se de Regulament, însă angajatorii ar trebui să depună diligențe pentru a atrage atenția angajaților asupra riscurilor la care se pot expune, mai ales în situația în care e-mailurile de serviciu sunt monitorizate 🙂

 

 

E-mail-uri de serviciu monitorizate

Vă amintiți de celebru caz de la CEDO Bărbulescu vs România? Pe scurt, domnul Bărbulescu a fost obligat de către angajator să își creeze o adresă de yahoo messenger pentru a ține legătura cu clienții, însă conversațiile de pe yahoo messenger cu logodnica și fratele său au fost monitorizate de către companie, fără ca dnul Bărbulescu să aibă cunoștință de acest lucru. Peste ceva timp, domnul Bărbulescu a fost concediat deoarece încălcase regulamentul intern care îl obliga să nu folosească internetul în scop personal. A contestat fără succes decizia la instanțele din România invocând violarea secretului corespondenței. În cele din urmă, CEDO (Marea Camera) a dat o decizie cel puțin interesantă, prin care statuat, printre altele, că monitorizarea conversațiilor electronice la locul de muncă este permisă dacă se îndeplinesc cumulativ următoarele condiții:

  • există un interes legitim al companiei de a monitoriza (supravegherea îndeplinirii sarcinilor de serviciu, securitate etc);
  • nu au fost găsite metode mai puțin intruzive pentru atingerea scopului;
  • angajatul a fost informat în prealabil cu privire la faptul că e-mailul este supravegheat.

În această situație, temeiul juridic nu este consimțământul angajatului (care, conform opiniei WP29, în majoritatea cazurilor, este invalid, existând un dezechilibru de putere), ci interesul legitim.

Cu privire la monitorizare ar trebui să ne amintim că Legea 190/2018 privind măsurile de punere în aplicare al GDPR impune următoarele condiții:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate – prin urmare trebuie documentată o analiză a interesului legitim și păstrată pentru un eventual control. 

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;- notele de informare către angajați trebuie să prevadă că se utilizează mijloace de monitorizare.

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

 

 

Putem accesa e-mailul fostului angajat? 

Pe scurt, da, însă doar dacă sunt respectate anumite condiții pe care le vom indica mai jos.

„Atunci când un angajat părăsește organizația, angajatorul ar trebui să ia măsurile tehnice și organizatorice necesare, astfel încât poșta electronică a angajatului să fie dezactivată în mod automat. În cazul în care, pentru buna funcționare a organizației, este necesar să fie recuperat conținutul poștei electronice a unui angajat, angajatorul ar trebui să adopte măsurile adecvate pentru recuperarea conținutul acesteia înainte de plecarea angajatului și, dacă este posibil, în prezența lui.” – CEDO, Cauza Bărbulescu vs România.

Așadar, atunci când un angajat părăsește compania, e-mailul trebuie dezactivat și redirecționat către o nouă adresă, iar conținutul ar trebui recuperat înainte de plecarea angajatului. Dacă totuși, angajatul e plecat deja, iar compania nu avea cunoștință de acest lucru, va trebui să recupereze și să dezactiveze în cel mai scurt timp, deoarece un timp îndelungat poate conduce către un cuantum al amenzii mai mare. 

În cursul anului 2016, o societate din România a fost amendată de ANSPDCP deoarece a păstrat mai mult decât era cazul (aproximativ un an) un e-mail al unui fost colaborator, invocând, printre altele, că a trebuit să păstreze adresa de e-mail deoarece clienții societății erau obișnuiți să contacteze această adresă de e-mail. Procesul-verbal a fost contestat la Tribunalul București. S-a pierdut în fond și s-a făcut apel la Curtea de Apel București.

Prin Decizia Civilă nr. 34/09.03.2017, Curtea de Apel București a statuat, printre altele, că:

există un interes legitim („Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă.”)

nu este nevoie consimțământ, angajatorul se poate baza pe interes legitim („Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.”)

angajatorii ar trebui să nu acceseze niciodată discuții personale și să le șteargă în cel mai scurt timp („Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.”)

La o primă lectură, apare un paradox. CEDO spune că angajatorul ar trebui să recupereze e-mailurile înainte de plecarea angajatului, iar Curtea de Apel București spune că recuperarea se poate face și după plecare, însă, în cel mai scurt timp. Luând în calcul (1) formularea „ar trebui” în loc de „trebuie” a CEDO și (2) faptul că accesul la conținutul e-mailului poate fi extrem de important, de la caz la caz, se poate aprecia dacă există un interes legitim de a accesa adresa de e-mail a fostului angajat.

 

Recomandări. Soluții. 

Având în vedere cele expuse mai sus putem concluziona și putem emite chiar o soluție care poate fi utilă companiilor aflate în această situație:

  1. Pe viitor, companiile ar trebui să aibă grijă să recupereze conținutul e-mailului înainte de plecare și, dacă se poate, în prezența angajatului.
  2. Dacă nu s-a respectat punctul 2., companiile ar trebui să recupereze în cel mai scurt timp conținutul necesar, să redirecționeze și să șteargă e-mailul. Poate fi util să informeze în acest sens angajatul și să îi propună ștergerea conținutului confidențial.
  3. În toate cazurile în care se merge pe interes legitim pentru monitorizarea și/sau accesarea e-mail-urilor după plecarea angajatului, trebuie documentată o analiză a interesului legitim care să îi permită angajatorului să aibă acces.

Rețineți faptul că GDPR nu cere perfecțiune, ci o abordare bazată pe risc, și, atâta timp cât compania depune eforturi constante pentru respectarea Regulamentului, nu ar trebui să existe probleme. Iar când e vorba despre protecția datelor cu caracter personal, ar trebui să ne punem mai des întrebări.

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (politici, proceduri, acorduri, note de informare – șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


google-spying-1024x576.jpg

Transparență, informare și consimțământ. Azi, 21 ianuarie 2019, CNIL, Autoritatea de supraveghere din Franța a amendat Google în temeiul Regulamentului General privind Protecția Datelor cu 50.000.000 Euro pentru lipsa transparenței față de persoanele vizate, pentru informarea neadecvată și lipsa unui consimțământ valabil pentru utilizarea reclamelor personalizate. 

Amendă GDPR Google. Istoric

Investigația a început în iunie 2018 la plângererile persoanelor vizate și a durat aproximativ 7 luni. Pentru a investiga plângerile depuse, CNIL a efectuat inspecții online în luna septembrie 2018. Scopul a fost de a verifica conformitatea operațiunilor de prelucrarea implementate de GOOGLE cu legislația privind protecția datelor din Franța și GDPR. Verificarea conformității cu legislația privind protecția datelor s-a realizat prin analizarea modelului de navigare al unui utilizator și documentele la care utilizatorul poate avea acces atunci când creează un cont GOOGLE în timpul configurării unui echipament mobil care utilizează Android.


Amendă GDPR Google. Încălcarile GDPR sesizate de către CNIL

Pe baza inspecțiilor efectuate, comisia restrânsă a CNIL responsabilă de examinarea încălcărilor legii privind protecția datelor a observat două tipuri de încălcări ale GDPR.

Încălcarea obligațiilor de transparență și informare a persoanelor vizate

În primul rând, comisia restrânsă a observat că informațiile furnizate de GOOGLE nu sunt ușor accesibile utilizatorilor.

CNIL a observat că modul de structurare a informațiilor prezentate utilizatorilor nu respectă GDPR. Informațiile esențiale, cum ar fi scopurile procesării datelor, perioadele de stocare a datelor sau categoriile de date personale utilizate pentru personalizarea anunțurilor, sunt difuzate excesiv în mai multe documente, cu butoane și link-uri pe care trebuie să faceți clic pentru a accesa informații suplimentare. Informațiile relevante sunt accesibile după mai multe etape, implicând uneori până la 5 sau 6 acțiuni. De exemplu, acesta este cazul când un utilizator dorește să aibă o informație completă cu privire la datele sale colectate în scopuri de personalizare sau pentru serviciul de urmărire geografică.

Mai multe despre modul în care trebuie să efectuați informarea online a utilizatorilor puteți afla aici

În plus, CNIL a observat că unele informații nu sunt întotdeauna clare și complete.

 

Te-ar putea interesa și:

 

Utilizatorii nu sunt în măsură să înțeleagă pe deplin amploarea operațiunilor de procesare efectuate de GOOGLE. Dar operațiunile de procesare sunt deosebit de masive și intruzive datorită numărului de servicii oferite (aproximativ douăzeci), cantității și naturii datelor prelucrate și combinate. CNIL observă în special că scopul prelucrării este descris într-o manieră prea  vagă, la fel și categoriile de date prelucrate în aceste scopuri diferite. În mod similar, informațiile comunicate nu sunt suficient de clare, astfel încât utilizatorul să poată înțelege ca baza legală a operațiunilor de procesare (anunțurilor personalizate) este consimțământul, iar nu interesul legitim al companiei. În cele din urmă, CNIL observă că informațiile privind perioada de păstrare nu sunt furnizate pentru unele date.

Amendă GDPR Google. Încălcarea obligației de a avea un temei juridic pentru utilizarea anunțurilor personalizate. Consimțământul nu este valabil

Compania GOOGLE afirmă că obține consimțământul utilizatorului de a procesa date în scopul personalizării anunțurilor. Cu toate acestea, CNIL consideră că acordul nu este obținut în mod valabil din două motive.

În primul rând, comisia restrânsă observă că acordul utilizatorilor nu este suficient de informat.

Mai multe despre ce condiții trebuie să îndeplinească consimțământul pentru a respecta GDPR, puteți afla aici

Informațiile despre operațiile de prelucrare cu privire la anunțurile personalizate sunt împrăștiate în mai multe documente și nu permit utilizatorului să fie conștient de amploarea lor.

Dacă vrei să aflii mai multe despre ce condiții trebuie să îndeplinească consimțământul pentru a fi valabil din punct de vedere GDPR, poți afla de aici. 

CNIL observă că acordul colectat nu este “specific” și nici “neechivoc” așa cum cere GDPR. Atunci când un cont este creat, utilizatorul poate modifica anumite opțiuni asociate contului făcând clic pe butonul «Mai multe opțiuni», accesibil deasupra butonului «Creare cont». Dar acest lucru nu înseamnă că GDPR este respectat având în vedere că, printre altele, afișarea personalizării anunțurilor este, de asemenea, pre-bifată. Cu toate acestea, așa cum se prevede în GDPR, consimțământul este “neechivoc” doar în urma unei acțiuni afirmative a utilizatorului (prin bifarea unei casete care nu este pre-bifată, de exemplu). În cele din urmă, înainte de a crea un cont, utilizatorul este rugat să bifeze casetele “Sunt de acord cu Termenii și condițiile Google” și “Sunt de acord cu prelucrarea informațiilor mele așa cum sunt descrise mai sus și explicate în continuare în Politica de confidențialitate” pentru a crea cont. Prin urmare, utilizatorul își dă consimțământul în întregime pentru toate operațiunile de procesare efectuate de GOOGLE pe baza acestui consimțământ (personalizarea anunțurilor, recunoașterea vorbirii etc.). Această practică nu corespunde cerințelor GDPR deoarece acordul este „specific” numai dacă este acordat distinct pentru fiecare scop, iar nu o singură dată pentru toate scopurile.

 

Te-ar putea interesa și:

 

Google este amendat cu 50 de milioane de EURO

CNIL sancționează Google cu o amendă de 50 de milioane de EURO.

Aceasta este prima dată când CNIL aplică noile limite de sancționare prevăzute de GDPR. Suma stabilită și publicitatea amenzii sunt justificate de gravitatea încălcărilor constatate în ceea ce privește principiile esențiale ale GDPR: transparență, informare și consimțământ.

În ciuda măsurilor puse în aplicare de GOOGLE,  încălcările constatate îi privează pe utilizatori de garanții esențiale în ceea ce privește operațiunile de procesare care pot dezvălui părți importante din viața privată, deoarece se bazează pe procesarea unei cantități imense de date și combinații aproape nelimitate. CNIL reamintește că amploarea acestor operațiuni de prelucrare în cauză impune utilizatorilor să-și controleze datele. Utilizatorii trebuie să fie informați, să își dea consimțământul în mod valabil și să le fie respectate drepturile în temeiul GDPR.

Amenda uriașă este justificată și raportat la faptul că încălcările sunt continue ale Regulamentului, deoarece acestea încă se produc.

În sfârșit,  CNIL justifică amendă și raportat la numărul mare de utilizatori vizați, luând în considerare locul important pe care sistemul de operare Android îl are pe piața franceză, mii de utilizatori francezi creând zilnic noi conturi Google.

Sursa aici



template-3-1200x675.png

O companie monitorizează activitatea online a angajatului în timpul orelor de muncă. Datele colectate arată site-urile care sunt vizitate de către angajați și descărcările efectuate în timpul programului de lucru. Compania nu a obținut acordul angajaților pentru monitorizarea electronică, însă dorește să utilizeze interesul legitim.

Poate compania utiliza interesul legitim

Pentru a răspunde la această întrebare, ar trebui să avem în vedere art. 5 din Legea 190/2018, care prevede că:

„În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În consecință, chiar dacă literele a-e ar fi respectate, atâta timp cât există metode mai puțin intruzive la dispoziția angajatorului, acesta din urmă nu se poate baza pe interes legitim. În situația prezentată mai sus, o metodă mai puțin intruzivă este limitarea accesului către anumite site-uri care nu sunt în interes de serviciu. Așadar, atâta timp cât angajatorul nu poate dovedi că o metodă mai puțin intruzivă nu a fost eficace în trecut, nu se poate baza pe interes legitim, singura soluție rămasă este obținerea unui comsimțământ informat al angajatului în care i se explică acestuia concret, printre altele, metodele de supraveghere folosite și impactul asupra vieții private.

 

Te-ar putea interesa și:

 

Sursa aici



black-vintage-car-clipart-1200x1200.jpg

Ați putea ghici cine află despre dvs. următoarele lucruri?

  • unde locuiți;
  • unde lucrați;
  • la ce școală merg copiii dvs.;
  • religia dvs.;
  • cât de des vizitați medicul,
  • dacă respectați limita de viteză;
  • toate contactele de pe telefon;
  • detalii despre toate apelurile telefonice, mesajele;
  • ce posturi de radio ascultați; și
  • dacă ați plecat de la sala de fitness în această dimineață și ați făcut o cafea și un croissant

Majoritatea oamenilor ar spune că telefonul lor, dar câți oameni ar spune “mașina”?

Autovehiculele moderne sunt pline de setări care fac viața mai ușoară și mai sigură, cum ar fi controlul direcției, sistemul de control al vitezei de croazieră, sistemele de navigație și media. Toate aceste facilități au ca rezultat generarea unor cantități enorme de date (pe care unele estimări le pun la 25Gb de date pe oră – echivalentul a 125.000 de documente Word sau 100 de ore de video). În funcție de natura tehnologiei utilizate în automobilul dvs. modern, aceste informații sensibile ar putea fi accesibile sau puse la dispoziția mai multor părți interesate, inclusiv producătorului, operatorilor de rețele mobile, furnizorilor de sisteme auto sau furnizorilor de servicii de cloud pentru stocarea datelor.

Aceste date sunt importante și sunt de interes pentru multe părți – pentru a le pune în context, un studiu recent din martie 2018 realizat de McKinsey & Company estimează că industria conectivității auto poate valora între 450 și 750 de miliarde de dolari în întreaga lume până în 2030.

Este îngrijorător că nu există un cadru juridic specific la nivel european care să reglementeze protecția datelor colectate de la vehicule.

Toate datele colectate care constituie “date personale” (de exemplu, numele, adresa, numărul de telefon, locația GPS și datele biometrice) sunt supuse noii legislații GDPR . În conformitate cu GDPR, există șase temeiuri pentru prelucrarea datelor personale, cel mai utilizat fiind consimțământul persoanei vizate.

Când ați achiziționat mașina, v-ați dat consimțământul pentru stocarea și prelucrarea datelor dvs.?

Colectarea datelor de către mașina dvs. nu este doar un alt exemplu de ingerință a Big Brother – este mai mult de atât.

Majoritatea companiilor colectează date cu scopul declarat de a menține și de a îmbunătăți serviciile furnizate sau de a dezvolta noi servicii. Există, fără îndoială, împrejurări în care oamenii ar prefera ca datele automobilelor să fie puse la dispoziția poliției și accesate de aceasta (în cadrul competențelor prevăzute de legislația națională). La începutul acestui an, poliția din Irlanda a reușit, să utilizeze datele despre locație de la un Nissan Qashqai pentru a urmări deplasarea lui Mark Hennessy în timp ce o răpea pe Justine Valdez .

În SUA, tehnologia este utilizată în mod obișnuit în mașini de către autoritățile de aplicare a legii, ceea ce dă naștere la preocupări majore privind protecția datelor. De exemplu, într-un caz, un șofer a activat accidental sistemul SOS al mașinii în timp ce discuta despre o afacere cu droguri. Personalul call-center a ascultat discuția, apoi a informat poliția locală care l-a arestat ulterior pe conducătorul auto. În acest caz, în timp ce primul gând este că arestarea unui traficant de droguri este în mod evident un lucru bun, vi se pare în regulă faptul că operatorii call-center ai producătorului de automobile ar putea asculta discuțiile dvs. private în timp ce vă aflați în mașină, dacă ați activat accidental sistemul de urgență? Poate că acesta este un preț care merită să fie plătit pentru siguranță știind că, dacă ați suferit un accident, ajutorul va fi la îndemână.

Ce părere aveți despre colectarea datelor de către mașina dvs.? V-ați bucura să fie utilizate pentru a vă prezenta conținut și anunțuri personalizate?

De exemplu, dacă autovehiculul dvs. urmează să rămână fără motorină/ benzină, v-ar plăcea să vă informeze că există o stație de alimentare în apropiere (indicații de orientare) și că veți obține o reducere cu 5% a combustibilului dacă veți merge acolo? În această “tranzacție”, stația de alimentare plătește, probabil, producătorului de automobile o anumită taxă pentru afișarea anunțului, dvs. veți obține o reducere a prețului benzinei/motorinei și stația ar beneficia și de alte achiziții ale dvs. (cum ar fi o cafea) în timp ce alimentați automobilul. Este o situație în care toate părțile au de câștigat sau este cu adevărat terifiant?

În cele din urmă, este clar că într-o lume curajoasă a mașinilor conectate, nimeni nu știe exact spre ce ne îndreptăm. Cu toate acestea, dintr-o perspectivă juridică, proprietarii de mașini trebuie să fie informați cu privire la toate datele personale colectate și la modul în care vor fi utilizate – fără acestea, producătorii se expun investigațiilor autorităților de supraveghere și reclamațiilor din partea clienților.

https://www.lexology.com/library/detail.aspx?g=0e462f17-e2fd-47b3-9396-d69fef19025f&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2018-11-12&utm_term=

 



Ce este Google Analytics?                                                                      

                                                                                         
Google Analytics este un serviciu freemium Google care monitorizează în timp real activitatea de pe un site sau de pe o aplicație Android sau iOS precum și un instrument de procesare a datelor colectate astfel.
Informațiile colectate prin intermediul Google Analytics sunt folosite pentru ajustarea campaniilor SEO, pentru măsurarea vânzărilor și a conversiilor , pentru îmbunătătirea ROI și pentru înțelegerea modului în care utilizatorii interacționează cu anumite pagini web sau aplicații.
Cum funcționează Google Analytics?
Google Analytics colectează informațiile prin intermediul unui fragment de cod Javascript.
De asemenea alocă fiecărui utilizator un cid sau cookie id cu ajutorul căruia Analytics recunoaște browserul.
Ce fel de informații colectează?
Analytics colectează date cum ar fi : identificatori cookie, identificatori online, adrese IP , identificatori de device, identificatori de client și date precise privind locația, informații pe care le organizează ulterior în rapoarte care prezintă detalii precum: vârsta vizitatorilor, tipul browserului web și al sistemului de operare, sursele de trafic, bounce rate, numărul de vizitatori unici și locația acestora.


Care este legătura între GDPR și Google Analytics?
Potrivit prevederilor GDPR „ Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor ” .

Este Google Analytics aliniat la GDPR?

Google a implementat o serie de măsuri de protecție pentru a respecta standardele impuse de Regulament în calitatea sa de Procesator de date dar aceste măsuri care vor intra în vigoare de pe data de 25 mai 2018 nu îl scutește pe Operator de obligațiile legale ce îi incumbă.

Se recomandă Operatorului să:

1. Activeze funcția de anonimizare a adreselor IP.
Odată activată, aceasta funcție “ … setează ultimul octet al unei adrese IP de tipul Ipv4 precum și ultimii 80 de biți ale unei adrese Ipv6 la zero la scurt timp după ce au fost trimise către Analytics Collection Network. „

2. Ceară consimțământul utilizatorului pentru utilizarea de cookies.
În acest scop se vor aplica toate prevederile GDPR privind validitatea consimțământului.

3. Creeze un mecanism de Opt-in/ Opt-out pentru colectarea de informații prin Google Analytics
!!! Utilizatorul poate descărca de aici un add on prin intermediul căruia poate bloca automat  colectarea de informații de către Google Analytics:
https://chrome.google.com/webstore/detail/google-analytics-opt-out/fllaojicojecljbmefodhfapmkghcbnh?hl=en

4. Utilizeze setarea Data Retention pentru a controla perioada de timp în care informațiile colectate vor fi păstrate.

5. Utilizeze User deletion tool pentru a șterge date precum: User ID, Client ID, App Instance ID

Bibliografie
1. https://developers.google.com/analytics/solutions/mobile accesat la 30 aprilie 2018
2. https://www.google.com/intl/ro/analytics/features/index.html accesat la 30 aprilie 2018
3. https://privacy.google.com/businesses/adsservices/ accesat la 3 aprilie 2018
4. http://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?uri=CELEX:32016R0679&from=EN accesat la 30 aprilie 2018
5. https://privacy.google.com/businesses/compliance/#?modal_active=none accesat la 2 mai 2018
6. https://support.google.com/analytics/answer/2763052?hl=en accesat la 2 mai
7. https://support.google.com/analytics/answer/7667196?hl=en accesat la 2 mai
8. https://www.jeffalytics.com/google-analytics-gdpr/ accesat la 2 mai 2018



 

În ultimele luni, industria tehnologică a început să se concentreze mai mult asupra confidențialității utilizatorilor. Recent, am avut în topul actualităților, subiecte pe tema confidențialității în rețelele sociale. În Uniunea Europeană, în curând vor intra în vigoare legi mai riguroase în privința protecției datelor cu caracter personal. Regulamentul general privind protecția datelor (GDPR) a fost adoptat în aprilie 2016 și se va aplica începând cu data de 25 mai 2018, după o perioadă de tranziție de doi ani.

 

Regulamentul general privind protecția datelor cu caracter personal prevede că societățile trebuie să permită utilizatorilor să descarce un raport cu informații despre contul lor. Instagram, care este deținut de Facebook, a lansat deja un instrument care permite utilizatorilor să-și descarce toate datele de pe conturile lor. Acum, WhatsApp, cea mai populară aplicație de mesagerie bazată pe IP din lume, se pregătește de asemenea să adauge un nou instrument pentru a exporta datele contului de utilizator în conformitate cu GDPR. Merită menționat faptul că WhatsApp are o bază de utilizatori zilnică activă de 1 miliard de utilizatori, ceea ce face ca respectarea GDPR să fie și mai importantă.

 

WABetaInfo a constatat că WhatsApp beta pentru Android versiunea 2.18.128 conține o opțiune de a crea un raport de informații și setări ale contului de WhatsApp al utilizatorilor, pe care aceștia pot să le acceseze sau să le porteze într-o altă aplicație. Compania notează că raportul nu va include mesajele utilizatorilor.

 

 

Utilizatorii pot solicita un raport pentru contul lor de WhatsApp accesând Settings> Account> Request account info, iar compania declară că raportul va fi gata în interval de 1-3 zile. Consumatorii vor avea “câteva săptămâni” să-și descarce raportul înainte de a fi șters și nu pot anula cererea decât dacă își șterg contul. Raportul conține date despre utilizatori, cum ar fi numele grupurilor, contacte, fotografii de profil etc.

 

În acest moment, opțiunea de creare a raportului este disponibilă numai în cea mai recentă versiune de WhatsApp beta pentru Android. Utilizatorii se pot aștepta ca această aplicație să iasă din versiunea beta într-o versiune stabilă în următoarele săptămâni, ceea ce va asigura totodată și faptul că această companie respectă cea mai robustă lege a Uniunii Europene privind protecția datelor.

 

Traducere din: Idrees Patel – https://www.xda-developers.com/latest-whatsapp-beta-export-data-compliance-gdpr/



Curtea Europeană a Drepturilor Omului (CEDO)

Cauza López Ribalda și alții v. Spania – 1874/13 și 8567/13

Hotărârea din 09.01.2018

 Situația de fapt

Reclamanții au lucrat în calitate de casieri la un supermarket. Observând pierderi economice substanțiale, în cursul anului 2009 angajatorul a instalat camere de supraveghere vizibile, cu privire la care reclamanții fuseseră notificați și camere ascunse, cu privire la care nu fuseseră anunțați.

Camerele de supraveghere au surprins angajații sustrăgând anumite articole. Maniera de operare era, de obicei, următoarea: angajatul scana articolele cumpărătorilor, urmând ca apoi să anuleze operațiunea. Reclamanții au fost concediați.

Angajații s-au adresat instanțelor naționale din Spania, invocând concedierea nelegală, întrucât, din punctul lor de vedere, probele incriminatorii au fost colectate prin încălcarea dreptului la viață privată.

Bazându-se pe legislația națională și pe jurisprudența Curții Constituționale spaniole, instanțele spaniole au respins acțiunea reclamanților, hotărând în favoarea angajatorului.

Considerând că a fost încălcat articolul 8 din Covenția Europeană a Drepturilor Omului (dreptul la respectarea vieții private și de familie), reclamanții au depus plângere la CEDO.

 Ce a decis Curtea?

Curtea a hotărât că a avut loc o încălcarea a art. 8 din CEDO, respectiv dreptul la respectarea vieții private și de familie. Printre argumentele Curții, se regăsesc următoarele:

  • Înregistrarea video ascunsă a angajaților la locul de muncă este o intruziune în viața lor privată

Deși scopul articolului 8 este, în mod esential, unul de a proteja persoana împotriva ingerințelor arbitrare din partea statului, acesta este aplicabil și relațiilor dintre persoane particulare, inclusiv în situația relațiilor de muncă.

Supravegherea video ascunsă a presupus documentarea înregistrată și care putea fi reprodusă a conduitei angajaților de la locul de muncă. Fiind obligați în baza contractului de muncă și neavând cunoștință despre existența supravegherii, angajații nu au putut evita ingerința în viața lor privată. Prin urmare, prin implementarea acestor măsuri de supreveghere video ascunsă a fost vizată „viața privată” a reclamanților.

Totuși, CEDO nu a declarat că supravegherea secretă a angajaților este interzisă în mod absolut. În situații excepționale, aceasta ar putea fi justificată. Trebuie, însă, luate în calcul două principii: transparența și proporționalitatea.

  • Angajatorul nu a respectat obligația de informare a salariaților (transparență)

Legea spaniolă în domeniul protecției datelor cu caracter personal obligă operatorul (în speță, angajatorul) să informeze în prealabil persoanele vizate (angajații) cu privire la existența unui mijloc de colectare și prelucrare a datelor lor personale, de exemplu, un CCTV ascuns.

(Acestă obligație de informare a operatorului există si în legislația română, mai exact, în Legea 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal, obligația urmând să fie menținută și de Regulamentul General privind Protecția Datelor – GDPR).

În cauza de față, angajatorul nu a informat persoanele vizate cu privire la existența unor camere de supraveghere.

  • Curtea a considerat că nu a existat un echilibru între interesele angajatorului și dreptul la viață privată (proporționalitate)

Instanțele naționale au considerat că măsura adoptată a fost proporțională prin raportare la scopul legitim al garantării intereselor anjatorului.

Curtea nu a putut îmbrățișa această opinie, întrucât:

  • Supravegherea video a avut loc pe o perioadă de timp prelungită și pe parcursul tuturor orelor de muncă;
  • Nu au fost respectate cerințele prevăzute de legislație și, în particular, obligația de informare explicită, precisă și lipsită de ambiguitate a celor vizați despre existența și caracteristicile particulare ale unui sistem care colectează date cu caracter personal;
  • Puteau fi alese metode mai puțin intruzive în viața privată pentru protejarea intereselor angajatorului.

Având în vedere aceste aspecte, Curtea a considerat că instanțele naționale au eșuat să asigure un echilibru corect între dreptul reclamanților la respectarea vieții lor private în baza Articolului 8 din Convenție și interesul angajatorului lor la protecția dreptului său de proprietate.

Interesant de menționat este și faptul că, în motivarea hotărârii, Curtea a făcut o paralelă cu o altă cauză, Köpke v. Germania, unde, deși situația era, în linii mari, aceeași, soluția a fost diferită, constatându-se că nu a avut loc o încălcarea a dreptului la viața privată a unor angajați monitorizați prin camere video ascunse.

Totuși, soluția a fost diferită, întrucât, spre deosebire de cauza de față, în Köpke v. Germania:

  • amplasarea de camere video ascunse a fost urmarea unei suspiciuni anterioare dovedite împotriva angajaților;
  • camerele video se refereau la persoane determinate, doi angajați bănuiți de fraudă, iar nu la întregul personal ca în prezenta cauză;
  • măsura supravegherii fusese una limitată în timp – ea a durat două săptămâni – și prin aceasta fuseseră vizați doar doi angajați.

SFATURI PRACTICE PENTRU ANGAJATORI

 Odată cu conștientizarea importanței protecției datelor cu caracter personal, litigiile de acest fel au devenit un „trend”. Ca angajator, pentru a preîntâmpina astfel de situații, ar trebui să:

  • Înainte de amplasarea unui mijloc de supraveghere, iei în calcul dacă îți poți îndeplini scopul prin recurgerea la mijloace mai puțin intruzive;
  • Te informezi asupra problematicii datelor cu caracter personal. Parcurgerea legislației, participarea la traininguri și cursuri și consultanța oferită de specialiștii în domeniu sunt instrumente utile de care ar trebui să te folosești.
  • Prelucrezi doar datele strict necesare prin raportare la scop;
  • Asiguri securitatea adecvată a datelor;
  • Prelucrezi datele în mod legal, echitabil și transparent față de angajat și să îți îndeplinești obligația de informare;
  • Înțelegi drepturile persoanei vizate și să dai curs solicitărilor întemeiate.

Hotărârea Curții aici

 


arhive-monitorizare-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord