Cart

Aici descoperim
dreptul tehnologiei

Global-Legal-Hackathon-2020-1.png
consimtamantgdprpersoana împuternicităTransferuri de datetransparenta

Transferul de date cu caracter personal în afara UE. GDPR Practic

21 februarie 2020 Ruxandra Sava0

Când vorbim despre transferul de date cu caracter personal în afara Uniunii Europene, ar trebui să știm că acesta nu este interzis întotdeauna, ci este permis în anumite condiții. Vom discuta despre aceste condiții în prezentul articol și despre cum puteți afla dacă transferul de date cu caracter personal în afara UE este legal.

Aspecte teoretice

Scopul Regulamentului GDPR este de a proteja datele personale ale cetățenilor UE indiferent de unde acestea sunt stocate; există cerințe stricte care reglementează locul în care datele personale pot fi transferate și măsurile ce trebuie luate pentru ca un asemenea transfer să fie legal. Sancțiunile pentru nerespectarea Regulamentului GDPR sunt semnificative, iar organizațiile trebuie să se asigure că vor respecta rigorile legale în mod constant.

Concret, transferul de date cu caracter personal în afara SEE nu este interzis, ci este permis în măsura în care există un temei legal. Potrivit RGPD, un transfer de date cu caracter personal în afara SEE este posibil dacă:

  • țara terță asigură un nivel adecvat de protecție a datelor cu caracter personal, stabilit de Comisia Europeană („Comisia”); Art. 45 alin. (1) din GDPR prevede că: ”(1) Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.”

    Până în prezent Comisia a stabilit că următoarele țări prezintă un nivel adecvat de protecție a datelor: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Suedia, Uruguay,  Guernsey și SUA (limitat doar pentru organizațiile care se află în Privacy Shield.) Lista organizațiilor care se află în Privacy Shield poate fi consultată aici: https://www.privacyshield.gov/list

 

Te-ar putea interesa și:

 

  • În absența unei decizii a Comisiei privind nivelul adecvat de protecție a datelor, datele pot fi transferate dacă operatorul .și persoana împuternicită au oferit garanții adecvate. Mai multe informații despre garanțiile adecvate pot fi aflate consultând art. 46 din GDPR. 

 

  • Există anumite derogări pentru situații specifice, respectiv:

(a) persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul de date cu caracter personal în afara SEE, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;

(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;

(d) transferul este necesar din considerente importante de interes public;

(e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;

(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul;

(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informații publicului și care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.

KIT GDPR Premium

Ghid practic pentru transferul de date cu caracter personal în afara UE:

Pasul 1. Identificați transferurile de date internaționale și către ce organizații sunt transmise acestea

Identificați dacă există transferuri internaționale de date (conform RGPD, prin transfer international de date se înțelege un transfer de date în afara Spațiului Economic European), organizațiile care care se realizează transferurile și faceți o listă în acest sens.

Pasul 2. Verificați dacă există o Decizie a Comisiei privind transferul de date în afara SEE

Până în prezent Comisia a stabilit că următoarele țări prezintă un nivel adecvat de protecție a datelor: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Suedia, Uruguay,  Guernsey și SUA (limitat doar pentru organizațiile care se află în Privacy Shield). Prin urmare dacă organizații nu se află în țările de mai sus sau dacă se află în SUA nu se află și în Privacy Shield, nu există un nivel adecvat de protecție și treceți la Pasul 3.

Dacă organizațiile către transmiteți datele se află în aceste țări, atunci transferul este legal, dar trebui urmărit în mod continuu site-ul Uniunii Europene pentru a nu interveni modificări.

 

Te-ar putea interesa și:

 

Pasul 3. Verificați dacă există o derogare pentru situații specifice

 

Situație: imposibilitatea de a identifica un temei legal pentru tranfer

În situația în care desi s-au parcurs pașii  1-4 de mai sus, nu a putut fi identificar un temei legal, transferul de date cu caracter personal în afara Uniunii Europene trebuie să înceteze. În orice caz, o procedură operațională privind transferul de date cu caracter personal ar trebui implementată. Noi am inclus o astfel de procedură în KIT GDPR Premium. 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


VEZI ARTICOLUL
Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-7.png
gdprpersoana împuternicităprincipii GDPR

GDPR Practic. Gestionarea relației cu furnizorul de servicii (persoana împuternicită) în 6 pași

30 ianuarie 2020 Ruxandra Sava0

Autor Av. Ruxandra Sava, CIPP/e

 

Când folosim termenul de „persoană împuternicită”, trebuie să remarcăm faptul că, de cele mai multe ori, acesta este furnizorul nostru de servicii, care are acces la o bază de date cu caracter personal care ne aparține și care prelucrează datele la instrucțiunile noastre. Este foarte important să implementăm măsurile cerute de GDPR în raport cu persoana împuternicită deoarece, potrivit GDPR, răspundem și putem fi amendați dacă (1) lucrăm cu un furnizor de servicii care nu este conform GDPR; (2) dăm instrucțiuni greșite persoanei împuternicite; (3) nu avem un contract scris cu persoana împuternicită.

Exemple: Compania ABC SRL decide să desfășoare activități de marketing (publicitate comportamentală pe internet). Dacă va desfășura această activitate intern nu va exista o persoană împuternicită, dar dacă va delega această activitate către o companie terță, XYZ SRL, atunci compania terță va avea calitatea de persoană împuternicită, iar relația lor contractuală din punct de vedere RGPD va avea nevoie de anumite măsuri suplimentare.

Cu alte cuvinte, pentru ca o organizație să fie persoană împuternicită, trebuie îndeplinite două cerințe esențiale: organizația trebuie să fie o entitate juridice diferită față de operator și să prelucreze datele în numele operatorului.

În raport cu furnizorul de servicii (persoana împuternicită), trebuie să desfășurăm, potrvit RGPD, cel puțin două acțiuni: 

  • verificarea faptului că furnizorul nostru de servicii prezintă garanții suficiente pentru protecția datelor cu caracter personal. 
  • încheierea acordurilor de prelucrare cu persoana împuternicită, contracte scrise care reglementează sfera relației contractuale din punct de vedere GDPR și este diferit față de contractul de prestări servicii.

În continuare, vom explica cele două acțiuni, iar la final vom propune o procedură în șase pași pentru gestionarea cu succes a relației cu persoana împuternicită.

1. Verificarea persoanei împuternicite

GDPR precizează că operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate care să asigure respectarea GDPR, securitatea și confidențialitatea datelor cu caracter personal şi protecţia datelor persoanei vizate. În practică, acest lucru se poate realiza prin audituri de specialitate, în cazul prelucrărilor care prezintă riscuri (cum ar fi prelucrarea datelor sensibile sau tehnologii care pot avea o intruziune mare în viaţa privată) şi prin chestionare, în situaţia unor prelucrări care nu prezintă riscuri. (un model de chestionar pentru verificarea persoanei împuternicite se regăsește aici). Verificarea persoanei împuternicită nu este un proces singular, ci continuu, operatorul având obligația să verifice în mod continuu măsurile depuse de persoana împuternicită pentru conformitatea la RGPD.

Principiul responsabilității obligă operatorul, să ia toate măsurile necesare pentru a verifica dacă persoana împuternicită prezintă garanții suficiente și să poată demonstra în fața autorității și/sau în fața instanței de judecată că a luat aceste măsuri. De exemplu, operatorul ar putea verifica dacă persoana împuternicită deține documentație adecvată de conformare la GDPR precum politici de confidențialitate, politici de retenție, politici de securitate, certificări, măsuri de securitate etc. 

Dacă în urma auditului rezultă că persoana împuternicită prezintă garanții suficiente se va putea lucra cu aceasta după încheierea unui acord de prelucrare (un model de acord de prelucrare cu persoana împuternicită se regăsește aici). Dacă în urma auditului rezultă că persoana împuternicită nu prezintă garanții suficiente, se va căuta un alt furnizor sau în lipsa unor furnizori pe piață care să prezinte garanții suficiente, se va consulta ANSPDCP.

2. Contractul scris cu persoana împuternicită

GDPR prevede că operatorul trebuie să încheie un contract scris cu persoana împuternicită care să stabilească, printre altele, atribuțiile persoanei împuternicite și reglementarea răspunderii față de persoana vizată. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele cu caracter personal în momentul încetării contractului. Am discutat pe larg în acest articol despre ce trebuie să cuprindă contractele dintre operatori și persoanele împuternicite, iar un model de contract se regăsește în KIT-ul nostru GDPR aici.

 

3.Procedura de urmat pentru gestionarea cu succes a relației cu persoana împuternicită

Pasul 1.

Creați o listă a tuturor organizațiilor care ar putea avea calitatea de persoană împuternicită și, folosind informațiile teoretice expuse anterior și exemplele oferite, stabiliți care entități au calitatea de persoană îmouternicită în raport cu Organizația dvs. Creați o procedură operațională pentru a gestiona cu succes această relație (un model de astfel de procedură se găsește aici.)

 

 

Pasul 2. 

Luați legătura cu fiecare persoană împuternicită pentru a stabili, în linii mari, cadrul relației din punct de vedere GDPR și, îndeosebi responsabilitatea fiecăruia în vederea protejării datelor cu caracter personal, notificarea incidentelor de securitate, informarea persoanelor vizate și răspunsul la cererea persoanelor vizate, precum și celelalte elemente care ar trebui să se regăsească în contract conform celor expuse anterior sau conform art. 28 din RGPD.  

Pasul 3. 

Verificați dacă persoana împuternicită prezintă garanții suficiente pentru protejarea datelor cu caracter personal și solicitați, dacă este cazul, documentația GDPR și certificările pe care le deține. Puteți utiliza chestionarul din KIT-ul nostru GDPR pentru verificarea acesteia. Ulterior verificării, luați decizia dacă persoana împuternicită prezintă sau nu garanții suficiente. Dacă decizia este pozitivă, mergeți la pasul 4. Dacă decizia este negativă, căutați un alt furnizor sau în lipsa unor furnizori pe piață care să prezinte garanții suficiente, consultați ANSPDCP.

KIT GDPR Premium

 

Pasul 4. 

Redactați drafturile de acorduri de prelucrare cu persoanele împuternicite pentru fiecare entitate în parte potrivit informațiilor și direcțiilor stabilite cu persoanele împuternicite la pașii anteriori și respectând art. 28 din RGPD. Găsiți un șablon de acord de prelucrare în KIT-ul nostru GDPR.

 

Pasul 5.

Propunerea drafturilor de contracte, negocierea lor și încheierea contractelor.

 

 Pasul 6.

Monitorizarea respectării contractelor și modificarea lor prin acte adiționale în măsura în care s-au schimbat anumite elemente ale relației sau au intrat în vigoare noi norme care prevăd necesitatea actualizării contractelor. Procedați la rezilierea contractelor și încetarea relațiilor cu persoanele împuternicite care nu își respect obligațiile asumate sau încalcă dispozițiile RGPD.

 

Te-ar putea interesa și:

 

4. Recomandări suplimentare

Atât operatorul, cât și persoanele împuternicite trebuie să:

  • Analizeze în detaliu relația contractuală cu cealaltă parte pentru a identifica ce calitate deține: operator, persoană împuternicită sau operator asociat.;
  • Să aibă inițiativa încheierii unui acord de prelucrare și să încheie acel acord înainte de a începerea relațiilor contractuale;
  • Să înțeleagă responsabilitățile față de RGPD și să depună eforturi rezonabile pentru implementarea măsurilor tehnice și organizatorice adecvate.

Operatorul trebuie:

  • Să contracteze doar cu persoane împuternicite care oferă garanții suficiente pentru a implementa măsuri tehnice și organizatorice adecvate pentru a îndeplini cerințele RGPD și a respecta drepturile persoanelor vizate.
  • Să se asigure că persoană împuternicită nu deleagă/subcontractează/cesionează contractul fără autorizația scrisă și prealabilă a operatorului;
  • Să se asigure că persoana împuternicită informează operatorul cu privire la orice modificări și îi dă acestuia posibilitatea de a se opune la aceste modificări;
  • Să semneze un acord de prelucrare al datelor cu caracter personal sau alt contract scris care să cuprindă cel puțin clauzele obligatorii de la art. 28 din RGPD.
  • Să se asigure că toate obligațiile impuse persoanei împuternicite sunt impuse mai departe oricărui subcontractant pe care persoana împuternicită îl va utiliza în desfășurarea activității de prelucrare.
  • Să verifice în mod continuu persoana împuternicită cu privire la respectarea GDPR.

 

Persoana împuternicită trebuie:

  • Să documenteze în scris instrucțiunile operatorului pentru a putea demonstra că acționează doar conform instrucțiunilor acestuia din urmă;
  • Dacă dorește să folosească un subcontractant, să ceară autorizația operatorului înainte de a subcontracta;
  • Să furnizeze operatorului toate documentele și informațiile necesare pentru a putea fi verificat de către acesta din urmă și să permită desfășurarea auditurilor;
  • Să țină o evidență a clienților (operatorilor) și să descrie activitățile de prelucrare pe care le desfășoară în numele acestora (un model de astfel de evidență se regăsește în KIT);
  • Să respecte principiile de protecție a datelor, să adopte măsurile de securitate necesare, ca de exemplu să nu colecteze date atunci când nu este necesar, să șteargă datele după o anumită perioadă de timp, să implementeze drepturi diferențiate de acces la bazele de date;
  • Să încheie acorduri de confidențialitate cu angajații și/sau partenerii comerciali;
  • Să notifice operatorul cu privire la orice incident de securitate;
  • La încetarea relației contractuale să șteargă toate datele sau să le returneze către client și să distrugă toate copiile cu excepția situației în care există o obligație legală să le păstreze.
  • Să informeze de urgență clientul (operatorul) în măsura în care consideră că instrucțiunile acestuia încalcă RGPD sau alte legi;
  • Să asiste clientul (operatorul) în formularea răspunsului către persoana vizată în situația în care există o cerere din partea acestei persoane vizate;
  • Să respecte celelalte obligații în temeiul GDPR, ca de exemplu, întocmirea unei evidențe a activităților de prelucrare, numirea unui resposabil cu protecția datelor atunci când este obligatorie numirea acestuia, respectarea drepturilor persoanelor vizate.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


VEZI ARTICOLUL
uber.jpg
amenzi gdprcomert electronicdreptul noilor tehnologiiJurisprudență Naționalăpersoana împuternicităsecuritatesecuritate ciberneticaTechnology Lawtransparență

Amendă date personale. Uber caștigă definitiv procesul cu ANSPDCP

2 ianuarie 2020 Ruxandra Sava0

Îți amintești de amenda aplicată de către ANSPDCP în 2018 (înainte de aplicarea GDPR în România) companiei UBER pentru breșa de securitate din 2016? Dacă nu îți amintești, nu îți face probleme, vom detalia în continuare tot ce trebuie să știi despre acest caz. Nouă ni se pare un caz interesant pentru că releva informații importante despre (1) modalitatea de desfășurare concretă a investigației ANSPDCP la sediul Uber; (2) mecanisme contractuale interesante între operatori și persoane împuternicite prin explicarea relațiilor dintre companiile afiliate Uber și (3) clarificarea anumitor elemente de drept în zona sferei online.

Nr. Hotărârii: 8719/2018, rămasă definitivă prin respingerea apelului la Tribunalul București

Instanța: Judecătoria Sectorului 1 București

Sursa: rolii.ro

Ce s-a întâmplat?

Conform informațiilor transmise de Uber prin intermediul plângerii contravenționale, în urma unei breșe de securitate a aplicației Uber, datele cu caracter personal a aproximativ 30.000 de persoane fizice au fost compromise (șoferi și călători Uber). Echipa de securitate a companiei a stabilit că persoana neautorizată, care acționase împreună cu o a doua persoană, a obținut acces la un cod sursă stocat pe o pagină pusă la dispoziția UBER de un furnizor de servicii cloud, numită GitHub. Utilizând credențialele acolo disponibile, persoana neautorizată (exterioară organizației) a reușit să acceseze și să descarce anumite date arhivate privind Șoferii și Călătorii Uber.

Echipa de securitate a stabilit rapid modul de acces, a închis accesul persoanelor neautorizate și a luat celelalte măsuri pentru a confirma faptul că persoanele au distrus și nu vor utiliza sau disemina informațiile în continuare. De asemenea, Uber a implementat măsuri suplimentare pentru îmbunătățirea securității datelor, inclusiv instituirea autentificării prin recurs la două elemente (two-factor authentication – user și parolă, plus un alt element exterior pe care numai userul autorizat ar putea să îl cunoască) pentru GitHub.

Accesul neautorizat la aceste date a început pe 13 octombrie 2016 și a ținut până pe 15 noiembrie 2016.

Întrucât printre persoanele fizice vizate se aflau și cetățeni români, ANSPDCP a sancționat în luna mai 2018 (cu doar câteva zile înainte de aplicarea GDPR), în urma unei investigații care s-a întins pe câteva luni, compania UBER SYSTEMS ROMÂNIA S.R.L. cu amendă și cu sancțiunea complementară de a notifica cei 30.000 utilizatori cu privire la breșa de securitate din anul 2016 și de a plăti amenzi cominatorii în cuantum de 5.000 lei/zi întârziere până la notificarea efectivă a utilizatorilor.

 

 

Uber a atacat procesul-verbal de constatare a contravenției în instanță și a câștigat la Judecătoria Sectorului 1 București. ANSPDCP a formulat apel împotriva hotărării și a pierdut la Tribunalul București. Pentru că în acest caz sunt informații importante despre interpretarea normelor privitoare la protecția datelor cu caracter personal, în continuare, vom prezenta sintetic apărările Uber, apărările ANSPDCP și concluziile instanței de judecată.

 

Apărările Uber pe scurt

1. Uber Systems Romania SRL nu poate fi trasă la răspundere pentru eventualele breșe de securitate, deoarece nu este operator de date, ci o persoană împuternicită a operatorului de date UBER BV cu sediul în Olanda. Conform argumentelor Uber, compania UBER BV cu sediul în Olanda este operatorul de date inclusiv pentru utilizatorii din România. Uber a detaliat mecanismul contractual prin care a reușit să scoată Uber Systems Romania SRL din sfera răspunderii în România:

„În ceea ce privește protecția datelor cu caracter personal ale utilizatorilor aplicației Uber, operatorul de date cu caracter personal este Uber BV pentru toți utilizatorii – Călători și Șoferi – care se află în afara Statelor Unite ale Americii (așa cum rezultă inclusiv din Termenii și Condițiile de folosire a aplicației)..

Ca urmare, Uber BV este operatorul care colectează și care ulterior prelucrează datele cu caracter personal ale utilizatorilor aplicației, inclusiv ale utilizatorilor de pe teritoriul României, în special deoarece aceste este singurul deținător al licenței de utilizare a aplicației Uber în afara Statelor Unite. Colectarea și prelucrarea datelor cu caracter personal se realizează în scopurile și în conformitate cu Politica de Confidențialitate a Uber BV.

 

Te-ar putea interesa și:

 

În ceea ce o privește pe Uber Systems România, activitatea acesteia nu are o implicare directă în operarea propriu-zisă a aplicației Uber. Uber Systems România realizează activități de marketing și suport pentru Uber B.V. (…)

Așadar, Uber Systems România nu este operator de date cu caracter personal în ceea ce privește utilizatorii aplicației. Uber Romania oferă anumite servicii de asistență pentru Uber B.V., respectiv asistență pentru clienți și marketing, și acționează în calitate de persoană împuternicită de către operator pentru Uber B.V. în acest scop specific.

Acest aspect rezultă din Acordul de procesare a datelor din data de 31.03.2016 încheiat între Uber BV și afiliații săi, printre care și Uber Systems România , care stipulează foarte clar:

a) Uber BV este operatorul de date cu caracter personal al utilizatorilor din afara teritoriilor Statelor Unite ale Americii; acesta este de asemenea și exportator al datelor personale colectate, date pe care afiliații acestuia urmează să le proceseze în conformitate cu Contractul și cu standardele Uber BV (așa cum rezultă din preambulul Acordului și din Anexa 1 la Clauzele contractuale standard anexate Acordului);

b) că Uber Systems Romania este doar persoană împuternicită să prelucreze date cu caracter personal după instrucțiunile Uber BV;, operațiunile de prelucrare și scopul acestora sunt descrise în Acord (în special Anexa 1 la Clauzele contractuale standard anexate Acordului);

c) care sunt datele cu caracter personal exportate, scopul și modul prelucrării acestora (Clauza 3 și Anexa 1 la Contract, astfel cum a fost ulterior completată);

d) care sunt drepturile utilizatorilor aplicației (persoanele vizate de la care se colectează datele) față de UberBV, față de afiliații acestuia și inclusiv față de subcontractorii agreați (Clauza 3 a Contractului) și cum se exercită acestea.”

Din păcate, instanța a admis plângerea contravențională pe altă argumentație, și nu a răspuns la această apărare, considerând-o ca nerelevantă pentru soluționarea cauzei, dar a oferit un indiciu important: „Referitor la apărările intimatei în sensul că a admite că Uber Systems ROMANIA S.R.L. nu este responsabilă de modalitatea de prelucrare a datelor si implicit de asigurarea securității acestora, înseamna a se ajunge în situația în care societatea nu ar raspunde sub nicio formă pentru încălcarea legilor romane privind protecția datelor, în măsura în care operatorul este situat în afara Romaniei, deși prelucreaza datele persoanelor fizice situate pe teritoriul Romaniei, prin mijloace de comunicatii electronce va fi înlăturată ca nerelevantă, întrucât în cauză s-a pus în discuție doar raspunderea contravențională a societății petente.”

KIT GDPR Premium

 

2. Dispozițiile Legii nr. 506/2004 (legea în baza căreia s-a sancționat) nu sunt aplicabile întrucât nici Uber BV nici Uber Systems România deoarece aceștia nu sunt furnizori deservicii de comunicații electronice destinate publicului.”

Este foarte important a se face distincția între servicii ale societății informaționale, pe de o parte, și servicii de comunicații electronice, pe de altă parte.

Referitor la cadrul normativ național, petenta a arătat că activitatea de furnizare de rețele si servicii de comunicații electronice este reglementata la nivelul legislației primare de către Ordonanța de urgenta a Guvernului nr. 111/2011 privind comunicațiile electronice, aprobata, cu modificări si completări, prin Legea nr. 140/2002, cu modificările si completările ulterioare („OUG nr. 111/2011”). De altfel, dispozițiile art. 2 alin. (2) din Legea nr. 506/2004 fac trimitere expresa la definițiile relevante prevăzute in cuprinsul OUG nr. 111/2011, inclusiv “rețea de comunicații electronice” (art. 4 alin. (1) pct. 6 din OUG nr. 111/2011), “furnizor de rețele de comunicații electronice” (art. 4 alin. (1) pct. 8 din OUG nr. 111/2011) si “serviciu de comunicații electronice” (art. 4 alin. (1) pct. 9 din OUG nr. 111/2011).

Se observa, așadar, ca, pentru a dobândi calitatea de furnizor de retele/servicii de comunicații electronice, este necesara transmiterea unei notificări către Autoritatea Naționala pentru Administrare si Reglementare in Comunicații (“ANCOM”).  Textul partii introductive a art. 6 alin. (1) din OUG nr. 111 /2011 face referire la “orice persoana care intenționează sa furnizeze rețele de servicii de comunicații electronice”, care “are obligația să transmită ANCOM o notificare (…)”, ceea ce inseamna ca, in lipsa/anterior transmiterii unei notificări către ANCOM, persoana respectiva nu are calitatea de furnizor de retele/servicii de comunicații electronice. De asemenea, transmiterea notificării se realizeaza “in scopul realizării unei evidente oficiale a furnizorilor”, calitatea de furnizor de retele/servicii de comunicații electronice avand-o, deci, persoanele care sunt inscrise in evidenta oficiala realizata de ANCOM pe baza notificărilor transmise.

Având in vedere, printre altele, dispozițiile art. 6 si art. 8 din OUG nr. 111 /2011, președintele ANCOM a emis Decizia nr. 987/2012 privind regimul de autorizare generală pentru furnizarea rețelelor și a serviciilor de comunicații electronice. Acest act normativ reglementează atat procedura de notificare a intenției de a furniza retele/servicii de comunicații electronice, cat si drepturile si obligațiile generale ale persoanelor care au dobândit calitatea de furnizor de rețele/servicii de comunicarii electronice în urma transmiterii notificarii (autorizația generală).

Potrivit dispozițiilor art. 8 alin. (1) din Decizia nr. 987/2012, „Solicitantul care a realizat notificarea în termenul și în condițiile prevăzute de prezenta decizie este considerat furnizor de rețele sau de servicii de comunicații electronice pentru tipurile de rețele ori de servicii de comunicații electronice indicate în notificare, denumit în continuare furnizor, și dobândește drepturile și obligațiile specifice prevăzute de autorizația generală pentru tipurile de rețele sau de servicii de comunicații electronice indicate în notificare, de la data prevăzută la art. 5 alin. (4) sau (5), după caz.” .

Așadar, calitatea de furnizor de r etele/servicii de comunicații electronice este dobândita de solicitantul care a transmis notificarea cu respectarea termenelor si cerințelor legale, in lipsa transmiterii notificării neexistand calitatea de furnizor de retele/servicii de comunicații electronice. De altfel, textul art. 8 alin. (1) din Decizia nr. 987/2012 si interpretarea acestuia sunt in deplin acord cu prevederile art. 6 alin. (1) din OUG nr. 111/2011, citate in cuprinsul paragrafului 73 de mai sus, si cu interpretarea ce rezulta din acestea, menționata in cuprinsul aceluiași paragraf.

Astfel, calitatea de furnizor de servicii de comunicații electronice este detinuta de persoanele inscrise in Registrul public al furnizorilor de retele/servicii de comunicații electronice, disponibil pe pagina de internet http://www.ancom.org.ro/furnizoricomunicatii-electronice_133, inscriere care se realizeaza in urma transmiterii unei notificări cu respectarea termenelor si cerințelor legale. Or, U___ nu este inscrisa in registru si, ca urmare, nu are calitatea de furnizor de servicii de comunicații electronice.

A menționat ca, potrivit dispozițiilor art. 142 pct. 1 din OUG nr. 111 /2011, “furnizarea rețelelor sau a serviciilor de comunicații electronice de către o persoană care nu este autorizată în condițiile art. 6 pentru acel tip de activitate” constituie contravenție.

In orice caz, pentru evitarea oricărui dubiu, petenta a aratat ca, in subsidiar, U___ nici nu avea obligația de a transmite ANCOM notificarea prevăzută la art. 6 din OUG nr. 111/2011, intrucat serviciile furnizate de U___ nu reprezintă servicii de comunicații electronice.

Petenta a susținut că serviciile furnizate de Uber nu reprezintă servicii de comunicații electronice.”

Instanța de judecată a considerat întemeiată această apărare, considerând că Uber nu poate fi subiect activ al faptei contravenționale de a nu notifica persoanele vizate afectate în temeiul Legii nr. 506/2004, deoarece nu are calitatea de furnizor de servicii de comunicații electronice. 

„În ceea ce privește considerarea petentei drept un furnizor de servicii de comunicații electronice care ar consta în întregime/în principal în transmiterea semnalelor prin rețelele de comunicații electronice, prin intermediul internetului, instanța constată că nu s-a făcut dovada că activitatea petentei constă în transmiterea semnalelor prin rețele de comunicații electronice.

Sub acest aspect, instanța constată că nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu prestarea unor servicii prin care se furnizează conținutul informației transmise prin intermediul rețelelor. De asemenea, nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu  serviciile societății informaționale, care potrivit art.1 lit.(c) din Legea nr.365/2002, constau în efectuarea unui serviciu prin transmiterea informației la cererea individuală a destinatarului.”

În concluzie, considerând această apărare întemeiată, instanța a admis plângerea contravențională și a anulat procesul verbal de contravenție și nu s-a mai pronunțat cu privire la temeinicia celorlalte apărări Uber, considerându-le nerelevante. Hotărârea instanței a rămas definitivă prin respingerea apelului declarat de către ANSPDCP.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


VEZI ARTICOLUL
DPIA1.png
documentatie GDPRdpiagdprpersoana împuternicităprincipii GDPRProfilare si decizii automatepseudonimizareTechnology Law

GDPR Practic. Ghid. Cum efectuăm evaluarea de impact (DPIA)?

4 decembrie 2019 Ruxandra Sava0

Ne-am propus să scriem despre GDPR dintr-o perspectivă puțin mai practică, iar azi vă prezentăm un scurt ghid despre evaluarea de impact.

Ce este evaluarea de impact (DPIA)?

Evaluarea de impact (DPIA) este un obligație nouă impusă operatorilor de date de către GDPR, fiind obligatorie doar în situațiile în care o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele fizice vizate.

Efectuarea unei evaluări de impact are drept scopuri gestionarea și prevenirea riscurilor la adresa persoanei vizate și reprezintă o măsură pentru demonstrarea conformității la GDPR. Cu alte cuvinte, în situație în care este obligatorie efectuarea unei evaluări de impact, operatorul trebuie să demonstreze că a efectuat-o pentru a sta la adăpost de sancțiunile GDPR. Neefectuarea unei evaluări de impact, atunci când aceasta este obligatorie, poate conduce către amenzi de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare. Poți citi aici și alte situații care pot conduce la amenzi GDPR. 

Când este obligatorie efectuarea evaluării de impact?

GDPR impune operatorilor o abordare bazată pe risc. Evaluarea de impact (DPIA) nu este obligatorie în orice situație, ci doar atunci când o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele vizate. („ar putea duce la un risc ridicat petnru drepturile și libertățile persoanelor fizice” (art. 35(1) GDPR)

Următoarea figură arată principiile de bază după care trebuie să ne ghidăm pentru a afla dacă suntem obligați sau nu să realizăm o evaluare de impact.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

Cu toate acestea, ANSPDCP a publicat o listă orientativă privind cazurile în care evaluarea de impact este obligatorie prin Decizia nr. 174/2018. A se remarca faptul că lista nu este exhaustivă, ci oferă doar câteva exemple unde efectuarea unei evaluări de impact este obligatorie. Această concluzie rezultă din art. 1 alin. (1) din Decizia nr. 174/2018 : „Evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri”

Totuși, chiar dacă nu ne regăsim în niciuna din situațiile din decizia ANSPDCP, este posibil să avem obligația să realizăm o evaluare de impact deoarece, așa cum am precizat deja, lista de mai sus nu este exhaustivă și pot exista situații care nu se regăsesc mai sus, dar sunt susceptibile să genereze un risc ridicat pentru persoanele fizice.

În continuare, pentru a putea identifica dacă este obligatorie sau nu realizarea unei evaluări de impact, vom analiza ce spune fostul Grup de Lucru Art. 29 (actual Comitet European pentru Protecția Datelor) despre cazurile în care evaluarea de impact (DPIA) este obligatorie.

Pentru a identifica dacă o anumită activitate de prelucrare este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”, trebuie luați în calcul mai mulți factori, dar următoarele întrebări pot fi utile în a afla dacă este necesară sau nu efectuarea unei evaluări de impact:

1.Există activități de evaluare sau scoring, inclusiv profilare sau preconizare care pot avea un impact ridicat asupra drepturilor și libertăților persoanelor vizate?

Exemple: evaluarea performanței la locul de muncă, monitorizarea clienților de către o societate de asigurări pentru a preveni frauda, monitorizarea clienților de către o bancă pentru a preconiza comportamentul viitor etc.

2.Prelucrarea poate conduce la excluderea sau discriminarea persoanelor?

3.Datele sunt sensibile sau sunt de natură foarte personală?

Datele sensibile sunt datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, datele privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate.

Date sensibile sunt și datele copiilor sub 16 ani, dar și datele privitoare la condamnări și infracțiuni.

 

 

4. Sunt datele prelucrate pe scară largă?

Pentru a identifica dacă o activitate prelucrare este efectuată pe scară largă, Grupul de Lucru Art. 29 recomandă luarea în calcul a următorilor factori:

  • Numărul persoanelor vizate;
  • Suprafața geografică unde se întinde activitatea de prelucrare;
  • Volumul datelor;
  • Durata activității de prelucrare.

5. Sunt utilizate noi tehnologii în respective activitate de prelucrare?

 Exemple: amprentă digitală, recunoaștere facială, internet of things.

În principiu, pentru orice nouă tehnologie ar trebui efectuată o evaluare de impact pentru a afla impactul potential asupra drepturilor și libertăților persoanei vizate. Fiind o tehnologie nouă, este posibil ca potențialele riscuri asupra drepturilor persoanelor vizate să nu fie cunoscute în prezent.

În principiu, dacă răspunsul este „DA” la mai mult de două întrebări de mai sus, realizarea unei evaluări de impact (DPIA) este obligatorie.

 

Te-ar putea interesa și:

 

PROCEDURA. CUM REALIZĂM EVALUAREA DE IMPACT (DPIA)

1. Când se realizează evaluarea de impact?

Potrivit GDPR, evaluarea de impact se realizează anterior activității de prelucrare și se actualizează pe măsură ce în procesul de prelucrare intervin noi modificări. Potrivit Grupului de Lucru Art. 29, efectuarea DPIA este un proces continuu, iar nu un exercițiu unic. Evaluarea de impact (DPIA) face parte din documentația GDPR. 

2. Cine este obligat să efectueze evaluarea de impact (DPIA)?

Organizația este obligată să efectueze DPIA și o poate face cu resurse interne (ca de exemplu șabloane) sau poate externaliza acest proces unui avocat. În ambele situații, operatorul este responsabil pentru efectuarea ei.  La efectuarea evaluării de impact și, îndeosebi, pe raportul final, trebuie cerut avizul responsabilului cu protecția datelor (DPO).

Dacă activitatea de prelucrare este realizată de persoana împuternicită, aceasta din urmă este obligată să participe și să sprijine concret operatorul la efectuarea evaluării de impact și să ofere toate informațiile necesare.

Operatorul este obligat să solicite avizul persoanelor vizate sau al reprezentanților acestora la efectuarea evaluării de impact. Acest aviz poate fi obținut, de exemplu, prin sondaje. Dacă nu obține avizul persoanelor vizate, operatorul ar trebui să documenteze în scris motivul pentru care a decis să nu obțină acest aviz.

KIT GDPR Premium

 

Cum realizăm evaluarea de impact (DPIA)?

RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și Considerentele 84 și 90):

  • „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării ”;
  • „o evaluare a necesității și proporționalității prelucrării”;
  • „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
  • „măsurile preconizate în vederea abordării riscurilor și demonstrării conformității cu GDPR”

Următoarea figură ilustrează procesul descris anterior.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

 

Pentru gestionarea riscurilor se vor utiliza următorii pași:

  • Stabilirea contextului;
  • Evaluarea riscurilor (probabilitatea și gravitatea riscurilor);
  • Tratarea riscurilor (măsuri propuse pentru atenuarea riscurilor).

Structura și forma concretă a unei evaluări de impact este lăsată la libera apreciere a Organizației, cu toate aceastea, ea trebuie să ilustreze o evaluare reală a riscurilor. Noi am inclus în KIT GDPR Premium, un șablon editabil Word și precompletat pentru efectuarea unei evaluări de impact, împreună cu o procedură operațională pentru efectuarea evaluării de impact (află mai multe aici).

Când trebuie consultată Autoritatea de supraveghere?

Atunci când, din raportul DPIA rezultă că riscurile sunt ridicate și măsurile identificate nu sunt suficiente pentru a atentua riscurile, trebuie consultată Autoritatea de supraveghere. Dacă totuși riscurile sunt ridicate, însă au fost găsite măsuri care atenuează concret aceste riscuri, Autoritatea de supraveghere nu trebuie consultată.

Alte criterii pentru efectuarea corectă a unei DPIA

Metologia descrisă de Grupul de Lucru Art. 29 pentru efectuarea corectă a unei DPIA este următoarea:

  1. Descrierea prelucrării
  2. Evaluarea necesității și proporționalității
  3. Identificarea riscurilor
  4. Gestionarea riscurilor și propunerea măsurilor pentru atenuarea riscurilor
  5. Implicarea părților interesate (avizul DPO, avizul persoanelor vizate).

Ai nevoie de un șablon pentru efectuarea unei evaluări de impact? O găsești în KIT-ul nostru de implementare. 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


VEZI ARTICOLUL
gdprpersoana împuternicită

#GDPR: Cine este persoana împuternicită și ce obligații are?

10 iunie 2018 Ruxandra Sava0

Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator.

Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

O trăsătură comună au aceste persoane împuternicite: ele prelucrează datele provenite de la clienții lor doar pentru aceștia din urmă. Atâta timp cât respectă acest lucru și nu prelucrează datele în scopuri proprii, ele au mai puține obligații de respectat pe GDPR.

Dacă se abat de la această regulă și prelucreze datele în alte scopuri, vor fi transformați în operatori și vor avea obligația respectării celorlalte dispoziții ale GDPR, dar sunt pasibili și de a fi sancționați pentru nerespectarea obligației de a prelucra numai pentru scopul operatorului.

Exemplu: O firmă de organizări evenimente organizează, la cererea clientului său, o societate de avocatură, o conferință cu o temă juridică. Firma de organizări evenimente va colecta datele participanților la evenimente doar în scopul indicat de către societatea de avocatură, respectiv pentru organizarea conferinței. În cazul în care, peste o anumită perioadă de timp, firma de organizări organizează un eveniment similar și se gândește să îl promoveze, transmițând e-mailuri participanților la conferința juridică, iese din sfera persoanei împuternicite și se transformă în operator. În acest caz, va fi obligată să respecte toate cerințele impuse de GDPR operatorului.  Cu toate acestea, o astfel prelucrarea va fi ilegală.

 

Vrei să îți faci singur implementarea GDPR? În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.

VEZI ARTICOLUL
gdprpersoana împuternicităprincipii GDPR

GDPR: Știai că trebuie să închei contracte cu toți furnizorii care au acces la date?

27 mai 2018 Ruxandra Sava0

Cine este persoana împuternicită de operator (furnizorul de servicii)?

Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator. Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

Contractul dintre operator și persoana împuternicită (furnizorul de servicii)

GDPR cere ca între operator și persoana împuternicită să existe un contract care: [1]

  • stabilește obiectul și durata prelucrării;
  • stabilește natura și scopul prelucrării;
  • prevede tipul de date cu caracter personal;
  • stabilește categoriile de persoane vizate;
  • stabilește obligațiile și drepturile operatorului.

Respectivul contract prevede în principiu că persoana împuternicită:

  • prelucrează datele personale numai pe baza instrucțiunilor operatorului, neputând să se abată de la ele;
  • se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea;
  • adoptă toate măsurile necesare în conformitate cu articolul 32 din Regulament (pseudonimizarea și criptarea datelor cu caracter personal, confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor, restabilirea disponibilității datelor în cazul unui incident de securitate, testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării);
  • nu recrutează o altă persoană să prelucreze datele fără acordul scris și prealabil al operatorului;
  • răspunde pentru persoana pe care o recrutează;
  • oferă asistență operatorului pentru a răspunde cererile persoanelor vizate;
  • oferă asistență operatorului cu privire incidentele de securitate și evaluările de impact;
  • șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare;
  • permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.

În practică, poate fi un contract, o anexă la contract, un act adițional sau clauze incluse în contractele de prestări servicii. GDPR nu spune cine trebuie să inițieze acest contract, însă opinia majoritară este în sensul în care, ambii actori, și operatorul și persoana împuternicită au sarcina inițierii.

Vreau un model de contract

 

 

[1] Art. 26 alin. (3) din Regulamentul (EU) 679/2016.

 

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.

VEZI ARTICOLUL
gdprpersoana împuternicită

GDPR: Cine sunt persoanele împuternicite?

29 aprilie 2018 LegalUp0

“Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (“carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc.”

În conformitate cu articolul extras mai sus, atragem atenția asupra persoanelor fizice că trebuie să se documenteze înainte să-și ofere consimțământul pentru ca aplicațiile din mediul online, companiile, autoritate publică sau un organism public și orice instituție cu care intră în contact să se folosească de datele lor personale. Fiind titularul imaginii și propriilor noastre date personale, prin acordul de voința pentru a folosi spre exemplu aplicația dorită, împuternicim (adică oferim dreptul) companiei ce deține aplicația să se folosească de imaginea și de orice date personale menționăm.

Persoana împuternicită reprezintă entitatea cu care operatorul are relații de cooperare și care, prin prisma acestor relații prelucrează la rândul său date cu caracter personal, în numele operatorului. Între operator și persoana împuternicită se încheie un contract care prevede asumarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate.
Operatorul încheie acest contract cu persoana împuternicită, dar aceasta, la rândul său trebuie să respecte toate prevederile Regulamentului, având uneori obligații mai complexe decât ale operatorului cu care conlucrează datorită obiectului său de activitate, al tipurilor de date prelucrate și al operatorilor cu care desfășoară relații.

Extras din Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE. CAPITOLUL III: Drepturile persoanei vizate. Secţiunea 2: Informare şi acces la date cu caracter personal.

 

Art. 13: Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată.

(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile următoare:

  1. a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;
  2. b) datele de contact ale responsabilului cu protecţia datelor, după caz;
  3. c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
  4. d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terţă;
  5. e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  6. f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

KIT GDPR Premium

 

(2) În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:

  1. a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
  2. b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;
  3. c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;
  4. d) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
  5. e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;
  6. f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este obligat să:

  • publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special).
  • comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Anghel Diana

Universitatea „Transilvania”, Brașov

VEZI ARTICOLUL
hacking-3112539_1920-1200x675.png
gdprpersoana împuternicită

Contract încheiat între operator și prelucrãtor – Fii informat!

19 martie 2018 LegalUp0
Autor Miruna – Casiana Dumitrașcu

Ce trebuie sã știm despre contractul încheiat între operatori și persoanele imputernicite?

  • Ori de câte ori un operator utilizează un tert pentru prelucrarea datelor cu caracter personal, trebuie să aibă un contract în acest sens.
  • Contractul este important pentru ca ambele părți să-și înțeleagă responsabilitățile și rãspunderea pe care o au.
  • GDPR stabilește ce trebuie să fie inclus în contract.
  • Pe viitor, clauzele contractuale standard pot fi furnizate de către Comisia Europeană și pot face parte din sistemele de certificare.
  • Cu toate acestea, în prezent NU au fost elaborate clauze standard.
  • Operatorii sunt responsabili pentru conformitatea cu GDPR și trebuie să numească numai persoane împuternicite care pot oferi “garanții suficiente” pentru ca cerințele GDPR să fie respectate și drepturile persoanelor vizate să fie protejate. În viitor, utilizarea unui prelucrãtor care aderă la un cod de conduită aprobat sau la o schemă de certificare poate ajuta controlorii să îndeplinească această cerință – deși din nou, astfel de scheme NU sunt disponibile în prezent.
  • Persoanele împuternicite trebuie să acționeze numai pe instrucțiunile din partea unui operator. Cu toate acestea, aceștia vor avea anumite responsabilități directe în cadrul GDPR și pot face obiectul unor amenzi sau alte sancțiuni dacă nu se conformează.

Ce este de făcut?

Contractele trebuie sã conținã:

  • obiectul și durata prelucrării;
  • natura și scopul prelucrării;
  • tipul de date cu caracter personal și categoriile de persoane vizate;
  • obligațiile și drepturile operatorului.

Contractele conțin urmãtorii termeni obligatorii:

  • persoana împuternicită trebuie să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului (cu excepția cazului în care legea solicită să acționeze fără astfel de instrucțiuni);
  • persoana împuternicită trebuie să se asigure că persoanele care prelucrează datele sunt supuse unei obligații de confidențialitate;
  • persoana împuternicită trebuie să ia măsurile adecvate pentru a asigura securitatea prelucrării;
  • persoana împuternicită trebuie să angajeze un subimputernicit numai cu acordul prealabil al operatorului de date și un contract scris;
  • persoana împuternicită trebuie să ajute operatorului de date în asigurarea accesului persoanei și să permită persoanelor vizate să-și exercite drepturile în temeiul RGPD;
  • persoana împuternicită trebuie să asiste operatorul de date în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcărilor securitãții datelor cu caracter personal și evaluările impactului asupra protecției datelor;
  • persoana împuternicită trebuie să șteargã sau să transmitã toate datele cu caracter personal către operator, așa cum se solicită la sfârșitul contractului;
  • persoana împuternicită trebuie să prezinte informațiile cerute la nivelul inspecțiilor, să furnizeze operatorului orice informație necesară pentru a se asigura că ambii îndeplinesc obligațiile prevăzute în articolul 28 și să le comunice imediat operatorului dacă i se cere să facă ceva care încalcă GDPR sau alte legi privind protecția datelor a UE sau a unui stat membru.

Ca o chestiune de bună practică, contractele:

  • Precizeazã că nimic din acesta NU-l scutește pe persoana împuternicită de responsabilitățile și obligațiile sale directe în cadrul GDPR;
  • Conține indemnizațiile ce au fost stabilite de părți.

 

KIT GDPR Premium

 

Responsabilitãțile și rãspunderea persoanelor împuternicite

În plus față de obligațiile contractuale prevăzute la articolul 28.3 din lista de verificare a contractelor de operatori și de persoana împuternicită, o persoana împuternicită are următoarele responsabilități directe în cadrul GDPR. Persoana împuternicită trebuie:

  1. acționeze DOAR pe baza instrucțiunilor scrise ale operatorului (articolul 29);
  2. NU utilizeze un subprelucrãtor fără autorizarea scrisă prealabilă a operatorului (articolul 28.2);
  3. cooperează cu autoritățile de supraveghere  în conformitate cu articolul 31;
  4. asigură securitatea prelucrării sale în conformitate cu articolul 32;
  5. țină evidența activităților sale de prelucrare în conformitate cu articolul 30.2;
  6. notifice controlorului o încălcare a securitãții datelor cu caracter personal în conformitate cu articolul 33;
  7. să angajeze un ofițer de protecție a datelor, dacă este necesar, în conformitate cu articolul 37; și
  8. desemnează (în scris) un reprezentant în cadrul Uniunii Europene, dacă este necesar, în conformitate cu articolul 27.

O persoana împuternicită ar trebui sã fie conștientă cã:

  1. acesta poate fi supus verificãrii potrivit competențelor de investigare și corectare a autorităților de supraveghere în temeiul articolului 58 din GDPR;
  2. în cazul în care NU își îndeplinește obligațiile, poate fi supus unei amenzi administrative conform articolului 83 din GDPR;
  3. în cazul în care NU îndeplinește obligațiile GDPR, aceasta poate fi supusă unei sancțiuni în temeiul articolului 84 ​​din GDPR;
  4. în cazul în care NU îndeplinește obligațiile GDPR, poate fi obligat să plătească despăgubiri în temeiul articolului 82 din GDPR.

Pe scurt…

  • GDPR face contracte scrise între operatori și persoane împuternicite – este o cerință generală, și nu doar o modalitate de a demonstra conformitatea cu cel de-al șaptelea principiu de protecție a datelor (măsurile de securitate corespunzătoare) în cadrul DPA.
  • Aceste contracte trebuie să includă, în prezent, niște termeni specifici.
  • Acești termeni sunt concepuți pentru a se asigura că procesarea efectuată de o persoana împuternicită îndeplinește toate cerințele GDPR (nu numai cele legate de păstrarea datelor cu caracter personal securizate).
  • GDPR permite clauzelor contractuale standard ale Comisiei Europene sau ale unei autorități de supraveghere să fie utilizate în contractele dintre operatori și persoane împuternicite- deși nu a fost elaborat până în prezent unul.
  • GDPR prevede că aderarea unui subimputernicit la un cod de conduită aprobat sau la o schemă de certificare poate fi utilizată pentru a ajuta operatorii să demonstreze că au ales o persoana imputernicită adecvată. Clauzele contractuale standard pot face parte dintr-un astfel de cod sau schemă, deși, din nou, nu sunt disponibile în prezent scheme.
  • GDPR oferă prelucrãtorilor responsabilități, iar persoana imputernicită și operatorii pot fi acum obligați să plătească despăgubiri sau să fie supuși unor amenzi sau altor sancțiuni.

Ai nevoie de un model de contract operator-persoană împuternicită pe care să îl utilizezi în activitatea ta? Îl găsești aici 

Când este necesar un contract?

Ori de câte ori un operator utilizează o persoana imputernicită (un terț care prelucrează date cu caracter personal în numele operatorului), trebuie să aibă un contract scris în vigoare. În mod similar, dacă o persoana imputernicită utilizează o alta persoana imputernicita, trebuie să aibă un contract scris în vigoare.

De ce sunt importante contractele între operatori șpersoane imputernicite ?

Contractele dintre operatori și persoane imputernicite asigură înțelegerea obligațiilor din ambele pãrți, drepturile și obligații. Ei îi ajută să se conformeze GDPR și să ajute operatorii să demonstreze conformitatea cu GDPR. Utilizarea contractelor de către operatori și persoane imputernicite poate, de asemenea, să crească încrederea persoanelor vizate în gestionarea datelor lor cu caracter personal.

Ce trebuie să fie inclus în contract?

Contractele trebuie să stabilească obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului.

Contractele trebuie să includă clauze care să solicite persoanei imputernicite sã:

  1. să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului;
  2. să se asigure că persoanele care prelucrează datele sunt supuse unei obligații de confidențialitate;
  3. ia măsurile adecvate pentru a asigura securitatea prelucrării;
  4. să angajeze subimputerniciti NUMAI cu acordul prealabil al operatorului și în baza unui contract scris;
  5. să asiste operatorul în asigurarea accesului persoanelor vizate și să le permită să-și exercite drepturile în temeiul GDPR;
  6. sã asiste operatorul în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcărilor de date cu caracter personal și evaluările impactului asupra protecției datelor;
  7. șteargã sau transmitã toate datele cu caracter personal către operator, după cum se solicită la sfârșitul contractului;
  8. să prezinte controalelor și inspecțiilor informațiile, să furnizeze operatorului orice informație necesară pentru a se asigura că ambii îndeplinesc obligațiile prevăzute la articolul 28 și să informeze imediat operatorului în cazul în care i se cere să facă ceva care încalcă GDPR sau alte legi privind protecția datelor din UE sau un stat membru.

Pot fi folosite clauze standard de contracte?

GDPR permite ca clauzele contractuale standard ale Comisiei Europene sau ale unei autorități de supraveghere să fie utilizate în contractele încheiate între operatori și persoane imputernicite. Cu toate acestea, NU sunt disponibile clauze standard.

De asemenea, GDPR permite ca aceste clauze contractuale standard să facă parte dintr-un cod de conduită sau mecanism de certificare pentru a demonstra prelucrarea conformă. Cu toate acestea, în prezent NU sunt disponibile scheme.

Ce responsabilități au persoanele imputernicite?

O persoana imputernicita trebuie să acționeze numai pe baza instrucțiunilor operatorului. Dacă o persoană imputernicita determină scopul și mijloacele de prelucrare (mai degrabă decât să acționeze numai conform instrucțiunilor operatorului), atunci acesta va fi considerat a fi un operator și va avea aceeași răspundere ca un operator.

Pe lângă obligațiile contractuale față de operator, în cadrul GDPR o persoana imputernicita are, de asemenea, următoarele responsabilități directe:

  1. NU utilizeze un subimputernicit fără autorizarea scrisă prealabilă a operatorului;
  2. coopereze cu autoritățile de supraveghere;
  3. asigure securitatea prelucrarii;
  4. țină evidența activităților de prelucrare;
  5. notifice administratorilor de date orice încălcări a securitãții datelor cu caracter personal;
  6. angajeze un responsabil cu protectia datelor;
  7. numească (în scris) un reprezentant în cadrul Uniunii Europene, dacă este necesar.

Dacă o persoanã imputernicitã NU îndeplinește oricare dintre aceste obligații sau acționează în afara sau împotriva instrucțiunilor operatorului, acesta poate fi obligat să plătească despăgubiri în procedurile judiciare sau să facă obiectul unor amenzi sau al altor sancțiuni sau măsuri corective.

Dacă o persoana persoanã imputernicitã folosește un subimputernicit, atunci, ca persoana imputernicita va rămâne direct răspunzător față de operator pentru îndeplinirea obligațiilor subimputernicitului.

Cum te putem ajuta?

  • Consultanță și implementare GDPR. Scrie-ne pe LinkedIn sau pe Facebook
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici
  • Curs GDPR online care 28 de module care acoperă integral, teoretic și practic, materia. Află mai multe aici
  • Model de contract operator – persoană împuternicită pe care îl găsești aici. 

 

 

SURSA

VEZI ARTICOLUL
arhive-persoana-mputernicit-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Sunt de acord Nu sunt de acord
Setari permisiuni Politica cookies
Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Obligatorii Analytics
Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.
Cookie-uri generale
Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec
Decline all Services
Da, Sunt de acord