Aici descoperim
dreptul tehnologiei

uber.jpg

Îți amintești de amenda aplicată de către ANSPDCP în 2018 (înainte de aplicarea GDPR în România) companiei UBER pentru breșa de securitate din 2016? Dacă nu îți amintești, nu îți face probleme, vom detalia în continuare tot ce trebuie să știi despre acest caz. Nouă ni se pare un caz interesant pentru că releva informații importante despre (1) modalitatea de desfășurare concretă a investigației ANSPDCP la sediul Uber; (2) mecanisme contractuale interesante între operatori și persoane împuternicite prin explicarea relațiilor dintre companiile afiliate Uber și (3) clarificarea anumitor elemente de drept în zona sferei online.

Nr. Hotărârii: 8719/2018, rămasă definitivă prin respingerea apelului la Tribunalul București

Instanța: Judecătoria Sectorului 1 București

Sursa: rolii.ro

Ce s-a întâmplat?

Conform informațiilor transmise de Uber prin intermediul plângerii contravenționale, în urma unei breșe de securitate a aplicației Uber, datele cu caracter personal a aproximativ 30.000 de persoane fizice au fost compromise (șoferi și călători Uber). Echipa de securitate a companiei a stabilit că persoana neautorizată, care acționase împreună cu o a doua persoană, a obținut acces la un cod sursă stocat pe o pagină pusă la dispoziția UBER de un furnizor de servicii cloud, numită GitHub. Utilizând credențialele acolo disponibile, persoana neautorizată (exterioară organizației) a reușit să acceseze și să descarce anumite date arhivate privind Șoferii și Călătorii Uber.

Echipa de securitate a stabilit rapid modul de acces, a închis accesul persoanelor neautorizate și a luat celelalte măsuri pentru a confirma faptul că persoanele au distrus și nu vor utiliza sau disemina informațiile în continuare. De asemenea, Uber a implementat măsuri suplimentare pentru îmbunătățirea securității datelor, inclusiv instituirea autentificării prin recurs la două elemente (two-factor authentication – user și parolă, plus un alt element exterior pe care numai userul autorizat ar putea să îl cunoască) pentru GitHub.

Accesul neautorizat la aceste date a început pe 13 octombrie 2016 și a ținut până pe 15 noiembrie 2016.

Întrucât printre persoanele fizice vizate se aflau și cetățeni români, ANSPDCP a sancționat în luna mai 2018 (cu doar câteva zile înainte de aplicarea GDPR), în urma unei investigații care s-a întins pe câteva luni, compania UBER SYSTEMS ROMÂNIA S.R.L. cu amendă și cu sancțiunea complementară de a notifica cei 30.000 utilizatori cu privire la breșa de securitate din anul 2016 și de a plăti amenzi cominatorii în cuantum de 5.000 lei/zi întârziere până la notificarea efectivă a utilizatorilor.

 

 

Uber a atacat procesul-verbal de constatare a contravenției în instanță și a câștigat la Judecătoria Sectorului 1 București. ANSPDCP a formulat apel împotriva hotărării și a pierdut la Tribunalul București. Pentru că în acest caz sunt informații importante despre interpretarea normelor privitoare la protecția datelor cu caracter personal, în continuare, vom prezenta sintetic apărările Uber, apărările ANSPDCP și concluziile instanței de judecată.

 

Apărările Uber pe scurt

1. Uber Systems Romania SRL nu poate fi trasă la răspundere pentru eventualele breșe de securitate, deoarece nu este operator de date, ci o persoană împuternicită a operatorului de date UBER BV cu sediul în Olanda. Conform argumentelor Uber, compania UBER BV cu sediul în Olanda este operatorul de date inclusiv pentru utilizatorii din România. Uber a detaliat mecanismul contractual prin care a reușit să scoată Uber Systems Romania SRL din sfera răspunderii în România:

„În ceea ce privește protecția datelor cu caracter personal ale utilizatorilor aplicației Uber, operatorul de date cu caracter personal este Uber BV pentru toți utilizatorii – Călători și Șoferi – care se află în afara Statelor Unite ale Americii (așa cum rezultă inclusiv din Termenii și Condițiile de folosire a aplicației)..

Ca urmare, Uber BV este operatorul care colectează și care ulterior prelucrează datele cu caracter personal ale utilizatorilor aplicației, inclusiv ale utilizatorilor de pe teritoriul României, în special deoarece aceste este singurul deținător al licenței de utilizare a aplicației Uber în afara Statelor Unite. Colectarea și prelucrarea datelor cu caracter personal se realizează în scopurile și în conformitate cu Politica de Confidențialitate a Uber BV.

 

Te-ar putea interesa și:

 

În ceea ce o privește pe Uber Systems România, activitatea acesteia nu are o implicare directă în operarea propriu-zisă a aplicației Uber. Uber Systems România realizează activități de marketing și suport pentru Uber B.V. (…)

Așadar, Uber Systems România nu este operator de date cu caracter personal în ceea ce privește utilizatorii aplicației. Uber Romania oferă anumite servicii de asistență pentru Uber B.V., respectiv asistență pentru clienți și marketing, și acționează în calitate de persoană împuternicită de către operator pentru Uber B.V. în acest scop specific.

Acest aspect rezultă din Acordul de procesare a datelor din data de 31.03.2016 încheiat între Uber BV și afiliații săi, printre care și Uber Systems România , care stipulează foarte clar:

a) Uber BV este operatorul de date cu caracter personal al utilizatorilor din afara teritoriilor Statelor Unite ale Americii; acesta este de asemenea și exportator al datelor personale colectate, date pe care afiliații acestuia urmează să le proceseze în conformitate cu Contractul și cu standardele Uber BV (așa cum rezultă din preambulul Acordului și din Anexa 1 la Clauzele contractuale standard anexate Acordului);

b) că Uber Systems Romania este doar persoană împuternicită să prelucreze date cu caracter personal după instrucțiunile Uber BV;, operațiunile de prelucrare și scopul acestora sunt descrise în Acord (în special Anexa 1 la Clauzele contractuale standard anexate Acordului);

c) care sunt datele cu caracter personal exportate, scopul și modul prelucrării acestora (Clauza 3 și Anexa 1 la Contract, astfel cum a fost ulterior completată);

d) care sunt drepturile utilizatorilor aplicației (persoanele vizate de la care se colectează datele) față de UberBV, față de afiliații acestuia și inclusiv față de subcontractorii agreați (Clauza 3 a Contractului) și cum se exercită acestea.”

Din păcate, instanța a admis plângerea contravențională pe altă argumentație, și nu a răspuns la această apărare, considerând-o ca nerelevantă pentru soluționarea cauzei, dar a oferit un indiciu important: „Referitor la apărările intimatei în sensul că a admite că Uber Systems ROMANIA S.R.L. nu este responsabilă de modalitatea de prelucrare a datelor si implicit de asigurarea securității acestora, înseamna a se ajunge în situația în care societatea nu ar raspunde sub nicio formă pentru încălcarea legilor romane privind protecția datelor, în măsura în care operatorul este situat în afara Romaniei, deși prelucreaza datele persoanelor fizice situate pe teritoriul Romaniei, prin mijloace de comunicatii electronce va fi înlăturată ca nerelevantă, întrucât în cauză s-a pus în discuție doar raspunderea contravențională a societății petente.”

KIT GDPR Premium

 

2. Dispozițiile Legii nr. 506/2004 (legea în baza căreia s-a sancționat) nu sunt aplicabile întrucât nici Uber BV nici Uber Systems România deoarece aceștia nu sunt furnizori deservicii de comunicații electronice destinate publicului.”

Este foarte important a se face distincția între servicii ale societății informaționale, pe de o parte, și servicii de comunicații electronice, pe de altă parte.

Referitor la cadrul normativ național, petenta a arătat că activitatea de furnizare de rețele si servicii de comunicații electronice este reglementata la nivelul legislației primare de către Ordonanța de urgenta a Guvernului nr. 111/2011 privind comunicațiile electronice, aprobata, cu modificări si completări, prin Legea nr. 140/2002, cu modificările si completările ulterioare („OUG nr. 111/2011”). De altfel, dispozițiile art. 2 alin. (2) din Legea nr. 506/2004 fac trimitere expresa la definițiile relevante prevăzute in cuprinsul OUG nr. 111/2011, inclusiv “rețea de comunicații electronice” (art. 4 alin. (1) pct. 6 din OUG nr. 111/2011), “furnizor de rețele de comunicații electronice” (art. 4 alin. (1) pct. 8 din OUG nr. 111/2011) si “serviciu de comunicații electronice” (art. 4 alin. (1) pct. 9 din OUG nr. 111/2011).

Se observa, așadar, ca, pentru a dobândi calitatea de furnizor de retele/servicii de comunicații electronice, este necesara transmiterea unei notificări către Autoritatea Naționala pentru Administrare si Reglementare in Comunicații (“ANCOM”).  Textul partii introductive a art. 6 alin. (1) din OUG nr. 111 /2011 face referire la “orice persoana care intenționează sa furnizeze rețele de servicii de comunicații electronice”, care “are obligația să transmită ANCOM o notificare (…)”, ceea ce inseamna ca, in lipsa/anterior transmiterii unei notificări către ANCOM, persoana respectiva nu are calitatea de furnizor de retele/servicii de comunicații electronice. De asemenea, transmiterea notificării se realizeaza “in scopul realizării unei evidente oficiale a furnizorilor”, calitatea de furnizor de retele/servicii de comunicații electronice avand-o, deci, persoanele care sunt inscrise in evidenta oficiala realizata de ANCOM pe baza notificărilor transmise.

Având in vedere, printre altele, dispozițiile art. 6 si art. 8 din OUG nr. 111 /2011, președintele ANCOM a emis Decizia nr. 987/2012 privind regimul de autorizare generală pentru furnizarea rețelelor și a serviciilor de comunicații electronice. Acest act normativ reglementează atat procedura de notificare a intenției de a furniza retele/servicii de comunicații electronice, cat si drepturile si obligațiile generale ale persoanelor care au dobândit calitatea de furnizor de rețele/servicii de comunicarii electronice în urma transmiterii notificarii (autorizația generală).

Potrivit dispozițiilor art. 8 alin. (1) din Decizia nr. 987/2012, „Solicitantul care a realizat notificarea în termenul și în condițiile prevăzute de prezenta decizie este considerat furnizor de rețele sau de servicii de comunicații electronice pentru tipurile de rețele ori de servicii de comunicații electronice indicate în notificare, denumit în continuare furnizor, și dobândește drepturile și obligațiile specifice prevăzute de autorizația generală pentru tipurile de rețele sau de servicii de comunicații electronice indicate în notificare, de la data prevăzută la art. 5 alin. (4) sau (5), după caz.” .

Așadar, calitatea de furnizor de r etele/servicii de comunicații electronice este dobândita de solicitantul care a transmis notificarea cu respectarea termenelor si cerințelor legale, in lipsa transmiterii notificării neexistand calitatea de furnizor de retele/servicii de comunicații electronice. De altfel, textul art. 8 alin. (1) din Decizia nr. 987/2012 si interpretarea acestuia sunt in deplin acord cu prevederile art. 6 alin. (1) din OUG nr. 111/2011, citate in cuprinsul paragrafului 73 de mai sus, si cu interpretarea ce rezulta din acestea, menționata in cuprinsul aceluiași paragraf.

Astfel, calitatea de furnizor de servicii de comunicații electronice este detinuta de persoanele inscrise in Registrul public al furnizorilor de retele/servicii de comunicații electronice, disponibil pe pagina de internet http://www.ancom.org.ro/furnizoricomunicatii-electronice_133, inscriere care se realizeaza in urma transmiterii unei notificări cu respectarea termenelor si cerințelor legale. Or, U___ nu este inscrisa in registru si, ca urmare, nu are calitatea de furnizor de servicii de comunicații electronice.

A menționat ca, potrivit dispozițiilor art. 142 pct. 1 din OUG nr. 111 /2011, “furnizarea rețelelor sau a serviciilor de comunicații electronice de către o persoană care nu este autorizată în condițiile art. 6 pentru acel tip de activitate” constituie contravenție.

In orice caz, pentru evitarea oricărui dubiu, petenta a aratat ca, in subsidiar, U___ nici nu avea obligația de a transmite ANCOM notificarea prevăzută la art. 6 din OUG nr. 111/2011, intrucat serviciile furnizate de U___ nu reprezintă servicii de comunicații electronice.

Petenta a susținut că serviciile furnizate de Uber nu reprezintă servicii de comunicații electronice.”

Instanța de judecată a considerat întemeiată această apărare, considerând că Uber nu poate fi subiect activ al faptei contravenționale de a nu notifica persoanele vizate afectate în temeiul Legii nr. 506/2004, deoarece nu are calitatea de furnizor de servicii de comunicații electronice. 

„În ceea ce privește considerarea petentei drept un furnizor de servicii de comunicații electronice care ar consta în întregime/în principal în transmiterea semnalelor prin rețelele de comunicații electronice, prin intermediul internetului, instanța constată că nu s-a făcut dovada că activitatea petentei constă în transmiterea semnalelor prin rețele de comunicații electronice.

Sub acest aspect, instanța constată că nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu prestarea unor servicii prin care se furnizează conținutul informației transmise prin intermediul rețelelor. De asemenea, nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu  serviciile societății informaționale, care potrivit art.1 lit.(c) din Legea nr.365/2002, constau în efectuarea unui serviciu prin transmiterea informației la cererea individuală a destinatarului.”

În concluzie, considerând această apărare întemeiată, instanța a admis plângerea contravențională și a anulat procesul verbal de contravenție și nu s-a mai pronunțat cu privire la temeinicia celorlalte apărări Uber, considerându-le nerelevante. Hotărârea instanței a rămas definitivă prin respingerea apelului declarat de către ANSPDCP.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



DPIA1.png

Ne-am propus să scriem despre GDPR dintr-o perspectivă puțin mai practică, iar azi vă prezentăm un scurt ghid despre evaluarea de impact.

Ce este evaluarea de impact (DPIA)?

Evaluarea de impact (DPIA) este un obligație nouă impusă operatorilor de date de către GDPR, fiind obligatorie doar în situațiile în care o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele fizice vizate.

Efectuarea unei evaluări de impact are drept scopuri gestionarea și prevenirea riscurilor la adresa persoanei vizate și reprezintă o măsură pentru demonstrarea conformității la GDPR. Cu alte cuvinte, în situație în care este obligatorie efectuarea unei evaluări de impact, operatorul trebuie să demonstreze că a efectuat-o pentru a sta la adăpost de sancțiunile GDPR. Neefectuarea unei evaluări de impact, atunci când aceasta este obligatorie, poate conduce către amenzi de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare. Poți citi aici și alte situații care pot conduce la amenzi GDPR. 

Când este obligatorie efectuarea evaluării de impact?

GDPR impune operatorilor o abordare bazată pe risc. Evaluarea de impact (DPIA) nu este obligatorie în orice situație, ci doar atunci când o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele vizate. („ar putea duce la un risc ridicat petnru drepturile și libertățile persoanelor fizice” (art. 35(1) GDPR)

Următoarea figură arată principiile de bază după care trebuie să ne ghidăm pentru a afla dacă suntem obligați sau nu să realizăm o evaluare de impact.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

Cu toate acestea, ANSPDCP a publicat o listă orientativă privind cazurile în care evaluarea de impact este obligatorie prin Decizia nr. 174/2018. A se remarca faptul că lista nu este exhaustivă, ci oferă doar câteva exemple unde efectuarea unei evaluări de impact este obligatorie. Această concluzie rezultă din art. 1 alin. (1) din Decizia nr. 174/2018 : „Evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri”

Totuși, chiar dacă nu ne regăsim în niciuna din situațiile din decizia ANSPDCP, este posibil să avem obligația să realizăm o evaluare de impact deoarece, așa cum am precizat deja, lista de mai sus nu este exhaustivă și pot exista situații care nu se regăsesc mai sus, dar sunt susceptibile să genereze un risc ridicat pentru persoanele fizice.

În continuare, pentru a putea identifica dacă este obligatorie sau nu realizarea unei evaluări de impact, vom analiza ce spune fostul Grup de Lucru Art. 29 (actual Comitet European pentru Protecția Datelor) despre cazurile în care evaluarea de impact (DPIA) este obligatorie.

Pentru a identifica dacă o anumită activitate de prelucrare este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”, trebuie luați în calcul mai mulți factori, dar următoarele întrebări pot fi utile în a afla dacă este necesară sau nu efectuarea unei evaluări de impact:

1.Există activități de evaluare sau scoring, inclusiv profilare sau preconizare care pot avea un impact ridicat asupra drepturilor și libertăților persoanelor vizate?

Exemple: evaluarea performanței la locul de muncă, monitorizarea clienților de către o societate de asigurări pentru a preveni frauda, monitorizarea clienților de către o bancă pentru a preconiza comportamentul viitor etc.

2.Prelucrarea poate conduce la excluderea sau discriminarea persoanelor?

3.Datele sunt sensibile sau sunt de natură foarte personală?

Datele sensibile sunt datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, datele privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate.

Date sensibile sunt și datele copiilor sub 16 ani, dar și datele privitoare la condamnări și infracțiuni.

 

 

4. Sunt datele prelucrate pe scară largă?

Pentru a identifica dacă o activitate prelucrare este efectuată pe scară largă, Grupul de Lucru Art. 29 recomandă luarea în calcul a următorilor factori:

  • Numărul persoanelor vizate;
  • Suprafața geografică unde se întinde activitatea de prelucrare;
  • Volumul datelor;
  • Durata activității de prelucrare.

5. Sunt utilizate noi tehnologii în respective activitate de prelucrare?

 Exemple: amprentă digitală, recunoaștere facială, internet of things.

În principiu, pentru orice nouă tehnologie ar trebui efectuată o evaluare de impact pentru a afla impactul potential asupra drepturilor și libertăților persoanei vizate. Fiind o tehnologie nouă, este posibil ca potențialele riscuri asupra drepturilor persoanelor vizate să nu fie cunoscute în prezent.

În principiu, dacă răspunsul este „DA” la mai mult de două întrebări de mai sus, realizarea unei evaluări de impact (DPIA) este obligatorie.

 

Te-ar putea interesa și:

 

PROCEDURA. CUM REALIZĂM EVALUAREA DE IMPACT (DPIA)

1. Când se realizează evaluarea de impact?

Potrivit GDPR, evaluarea de impact se realizează anterior activității de prelucrare și se actualizează pe măsură ce în procesul de prelucrare intervin noi modificări. Potrivit Grupului de Lucru Art. 29, efectuarea DPIA este un proces continuu, iar nu un exercițiu unic. Evaluarea de impact (DPIA) face parte din documentația GDPR. 

2. Cine este obligat să efectueze evaluarea de impact (DPIA)?

Organizația este obligată să efectueze DPIA și o poate face cu resurse interne (ca de exemplu șabloane) sau poate externaliza acest proces unui avocat. În ambele situații, operatorul este responsabil pentru efectuarea ei.  La efectuarea evaluării de impact și, îndeosebi, pe raportul final, trebuie cerut avizul responsabilului cu protecția datelor (DPO).

Dacă activitatea de prelucrare este realizată de persoana împuternicită, aceasta din urmă este obligată să participe și să sprijine concret operatorul la efectuarea evaluării de impact și să ofere toate informațiile necesare.

Operatorul este obligat să solicite avizul persoanelor vizate sau al reprezentanților acestora la efectuarea evaluării de impact. Acest aviz poate fi obținut, de exemplu, prin sondaje. Dacă nu obține avizul persoanelor vizate, operatorul ar trebui să documenteze în scris motivul pentru care a decis să nu obțină acest aviz.

KIT GDPR Premium

 

Cum realizăm evaluarea de impact (DPIA)?

RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și Considerentele 84 și 90):

  • „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării ”;
  • „o evaluare a necesității și proporționalității prelucrării”;
  • „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
  • „măsurile preconizate în vederea abordării riscurilor și demonstrării conformității cu GDPR”

Următoarea figură ilustrează procesul descris anterior.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

 

Pentru gestionarea riscurilor se vor utiliza următorii pași:

  • Stabilirea contextului;
  • Evaluarea riscurilor (probabilitatea și gravitatea riscurilor);
  • Tratarea riscurilor (măsuri propuse pentru atenuarea riscurilor).

Structura și forma concretă a unei evaluări de impact este lăsată la libera apreciere a Organizației, cu toate aceastea, ea trebuie să ilustreze o evaluare reală a riscurilor. Noi am inclus în KIT GDPR Premium, un șablon editabil Word și precompletat pentru efectuarea unei evaluări de impact, împreună cu o procedură operațională pentru efectuarea evaluării de impact (află mai multe aici).

Când trebuie consultată Autoritatea de supraveghere?

Atunci când, din raportul DPIA rezultă că riscurile sunt ridicate și măsurile identificate nu sunt suficiente pentru a atentua riscurile, trebuie consultată Autoritatea de supraveghere. Dacă totuși riscurile sunt ridicate, însă au fost găsite măsuri care atenuează concret aceste riscuri, Autoritatea de supraveghere nu trebuie consultată.

Alte criterii pentru efectuarea corectă a unei DPIA

Metologia descrisă de Grupul de Lucru Art. 29 pentru efectuarea corectă a unei DPIA este următoarea:

  1. Descrierea prelucrării
  2. Evaluarea necesității și proporționalității
  3. Identificarea riscurilor
  4. Gestionarea riscurilor și propunerea măsurilor pentru atenuarea riscurilor
  5. Implicarea părților interesate (avizul DPO, avizul persoanelor vizate).

Ai nevoie de un șablon pentru efectuarea unei evaluări de impact? O găsești în KIT-ul nostru de implementare. 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]




Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator.

Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

O trăsătură comună au aceste persoane împuternicite: ele prelucrează datele provenite de la clienții lor doar pentru aceștia din urmă. Atâta timp cât respectă acest lucru și nu prelucrează datele în scopuri proprii, ele au mai puține obligații de respectat pe GDPR.

Dacă se abat de la această regulă și prelucreze datele în alte scopuri, vor fi transformați în operatori și vor avea obligația respectării celorlalte dispoziții ale GDPR, dar sunt pasibili și de a fi sancționați pentru nerespectarea obligației de a prelucra numai pentru scopul operatorului.

Exemplu: O firmă de organizări evenimente organizează, la cererea clientului său, o societate de avocatură, o conferință cu o temă juridică. Firma de organizări evenimente va colecta datele participanților la evenimente doar în scopul indicat de către societatea de avocatură, respectiv pentru organizarea conferinței. În cazul în care, peste o anumită perioadă de timp, firma de organizări organizează un eveniment similar și se gândește să îl promoveze, transmițând e-mailuri participanților la conferința juridică, iese din sfera persoanei împuternicite și se transformă în operator. În acest caz, va fi obligată să respecte toate cerințele impuse de GDPR operatorului.  Cu toate acestea, o astfel prelucrarea va fi ilegală.

 

Vrei să îți faci singur implementarea GDPR? În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.



Cine este persoana împuternicită de operator (furnizorul de servicii)?

Persoana împuternicită este definită de GDPR drept persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului[1]

În general, persoana împuternicită de operator va fi și operator de date în legătură cu prelucrarea pe care o efectuează în scopurile proprii, de exemplu, prelucrarea datelor angajaților sau a clienților.

Persoanele împuternicite sunt foarte diverse în actualul context economic, de la companiile de HR, contabilitate, programele de facturare, furnizorii de servicii IT,  până la clinicile medicale care au acces la datele medicale ale angajaților.

Exemplu: O fabrică de bere are numeroși angajați. Aceasta semnează un contract cu o societate de administrare a statelor de plată, pentru efectuarea plății salariilor angajaților. Fabrica de bere îi spune societății de administrare a statelor de plată când trebuie plătite salariile, când un angajat părăsește fabrica sau primește o mărire de salariu și îi furnizează toate celelalte date pentru fluturașul de salariu și pentru plată. Societatea de administrare a statelor de plată furnizează sistemul informatic și stochează datele angajaților. Fabrica de bere este operatorul de date, iar societatea de administrare a statelor de plată este persoana împuternicită de operator. Exemplu: Un magazin online are numeroși clienți. Acesta decide să externalizeze contabilitatea și încheie un contract cu o firmă de contabilitate, căreia îi transmite periodic documente contabile, o parte din ele conținând și date personale ale clienților, precum numele, prenumele, adresa. Magazinul online va fi operatorul de date, iar firma de contabilitate va fi persoana împuternicită.

Contractul dintre operator și persoana împuternicită (furnizorul de servicii)

GDPR cere ca între operator și persoana împuternicită să existe un contract care: [1]

  • stabilește obiectul și durata prelucrării;
  • stabilește natura și scopul prelucrării;
  • prevede tipul de date cu caracter personal;
  • stabilește categoriile de persoane vizate;
  • stabilește obligațiile și drepturile operatorului.

Respectivul contract prevede în principiu că persoana împuternicită:

  • prelucrează datele personale numai pe baza instrucțiunilor operatorului, neputând să se abată de la ele;
  • se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidențialitatea;
  • adoptă toate măsurile necesare în conformitate cu articolul 32 din Regulament (pseudonimizarea și criptarea datelor cu caracter personal, confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor, restabilirea disponibilității datelor în cazul unui incident de securitate, testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării);
  • nu recrutează o altă persoană să prelucreze datele fără acordul scris și prealabil al operatorului;
  • răspunde pentru persoana pe care o recrutează;
  • oferă asistență operatorului pentru a răspunde cererile persoanelor vizate;
  • oferă asistență operatorului cu privire incidentele de securitate și evaluările de impact;
  • șterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare;
  • permite desfășurarea auditurilor, inclusiv a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.

În practică, poate fi un contract, o anexă la contract, un act adițional sau clauze incluse în contractele de prestări servicii. GDPR nu spune cine trebuie să inițieze acest contract, însă opinia majoritară este în sensul în care, ambii actori, și operatorul și persoana împuternicită au sarcina inițierii.

Vreau un model de contract

 

 

[1] Art. 26 alin. (3) din Regulamentul (EU) 679/2016.

 

[1] Art. (4) pct. 8 din Regulamentul (EU) 679/2016.



“Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (“carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc.”

În conformitate cu articolul extras mai sus, atragem atenția asupra persoanelor fizice că trebuie să se documenteze înainte să-și ofere consimțământul pentru ca aplicațiile din mediul online, companiile, autoritate publică sau un organism public și orice instituție cu care intră în contact să se folosească de datele lor personale. Fiind titularul imaginii și propriilor noastre date personale, prin acordul de voința pentru a folosi spre exemplu aplicația dorită, împuternicim (adică oferim dreptul) companiei ce deține aplicația să se folosească de imaginea și de orice date personale menționăm.

Persoana împuternicită reprezintă entitatea cu care operatorul are relații de cooperare și care, prin prisma acestor relații prelucrează la rândul său date cu caracter personal, în numele operatorului. Între operator și persoana împuternicită se încheie un contract care prevede asumarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal prelucrate.
Operatorul încheie acest contract cu persoana împuternicită, dar aceasta, la rândul său trebuie să respecte toate prevederile Regulamentului, având uneori obligații mai complexe decât ale operatorului cu care conlucrează datorită obiectului său de activitate, al tipurilor de date prelucrate și al operatorilor cu care desfășoară relații.

Extras din Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE. CAPITOLUL III: Drepturile persoanei vizate. Secţiunea 2: Informare şi acces la date cu caracter personal.

 

Art. 13: Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată.

(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile următoare:

  1. a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului acestuia;
  2. b) datele de contact ale responsabilului cu protecţia datelor, după caz;
  3. c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al prelucrării;
  4. d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terţă;
  5. e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
  6. f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în care acestea au fost puse la dispoziţie.

KIT GDPR Premium

 

(2) În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:

  1. a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
  2. b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi a dreptului la portabilitatea datelor;
  3. c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia;
  4. d) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
  5. e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt eventualele consecinţe ale nerespectării acestei obligaţii;
  6. f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei astfel de prelucrări pentru persoana vizată.

Operatorul sau persoana împuternicită de operator, în ceea ce privește raporturile cu responsabilul cu protecția datelor, este obligat să:

  • publice datele de contact ale responsabilului (adresă poștală, număr de telefon alocat special și/sau o adresă de email alocată special).
  • comunice datele de contact ale responsabilului către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

Anghel Diana

Universitatea „Transilvania”, Brașov


hacking-3112539_1920-1200x675.png

Autor Miruna – Casiana Dumitrașcu

Ce trebuie sã știm despre contractul încheiat între operatori și persoanele imputernicite?

  • Ori de câte ori un operator utilizează un tert pentru prelucrarea datelor cu caracter personal, trebuie să aibă un contract în acest sens.
  • Contractul este important pentru ca ambele părți să-și înțeleagă responsabilitățile și rãspunderea pe care o au.
  • GDPR stabilește ce trebuie să fie inclus în contract.
  • Pe viitor, clauzele contractuale standard pot fi furnizate de către Comisia Europeană și pot face parte din sistemele de certificare.
  • Cu toate acestea, în prezent NU au fost elaborate clauze standard.
  • Operatorii sunt responsabili pentru conformitatea cu GDPR și trebuie să numească numai persoane împuternicite care pot oferi “garanții suficiente” pentru ca cerințele GDPR să fie respectate și drepturile persoanelor vizate să fie protejate. În viitor, utilizarea unui prelucrãtor care aderă la un cod de conduită aprobat sau la o schemă de certificare poate ajuta controlorii să îndeplinească această cerință – deși din nou, astfel de scheme NU sunt disponibile în prezent.
  • Persoanele împuternicite trebuie să acționeze numai pe instrucțiunile din partea unui operator. Cu toate acestea, aceștia vor avea anumite responsabilități directe în cadrul GDPR și pot face obiectul unor amenzi sau alte sancțiuni dacă nu se conformează.

Ce este de făcut?

Contractele trebuie sã conținã:

  • obiectul și durata prelucrării;
  • natura și scopul prelucrării;
  • tipul de date cu caracter personal și categoriile de persoane vizate;
  • obligațiile și drepturile operatorului.

Contractele conțin urmãtorii termeni obligatorii:

  • persoana împuternicită trebuie să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului (cu excepția cazului în care legea solicită să acționeze fără astfel de instrucțiuni);
  • persoana împuternicită trebuie să se asigure că persoanele care prelucrează datele sunt supuse unei obligații de confidențialitate;
  • persoana împuternicită trebuie să ia măsurile adecvate pentru a asigura securitatea prelucrării;
  • persoana împuternicită trebuie să angajeze un subimputernicit numai cu acordul prealabil al operatorului de date și un contract scris;
  • persoana împuternicită trebuie să ajute operatorului de date în asigurarea accesului persoanei și să permită persoanelor vizate să-și exercite drepturile în temeiul RGPD;
  • persoana împuternicită trebuie să asiste operatorul de date în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcărilor securitãții datelor cu caracter personal și evaluările impactului asupra protecției datelor;
  • persoana împuternicită trebuie să șteargã sau să transmitã toate datele cu caracter personal către operator, așa cum se solicită la sfârșitul contractului;
  • persoana împuternicită trebuie să prezinte informațiile cerute la nivelul inspecțiilor, să furnizeze operatorului orice informație necesară pentru a se asigura că ambii îndeplinesc obligațiile prevăzute în articolul 28 și să le comunice imediat operatorului dacă i se cere să facă ceva care încalcă GDPR sau alte legi privind protecția datelor a UE sau a unui stat membru.

Ca o chestiune de bună practică, contractele:

  • Precizeazã că nimic din acesta NU-l scutește pe persoana împuternicită de responsabilitățile și obligațiile sale directe în cadrul GDPR;
  • Conține indemnizațiile ce au fost stabilite de părți.

 

KIT GDPR Premium

 

Responsabilitãțile și rãspunderea persoanelor împuternicite

În plus față de obligațiile contractuale prevăzute la articolul 28.3 din lista de verificare a contractelor de operatori și de persoana împuternicită, o persoana împuternicită are următoarele responsabilități directe în cadrul GDPR. Persoana împuternicită trebuie:

  1. acționeze DOAR pe baza instrucțiunilor scrise ale operatorului (articolul 29);
  2. NU utilizeze un subprelucrãtor fără autorizarea scrisă prealabilă a operatorului (articolul 28.2);
  3. cooperează cu autoritățile de supraveghere  în conformitate cu articolul 31;
  4. asigură securitatea prelucrării sale în conformitate cu articolul 32;
  5. țină evidența activităților sale de prelucrare în conformitate cu articolul 30.2;
  6. notifice controlorului o încălcare a securitãții datelor cu caracter personal în conformitate cu articolul 33;
  7. să angajeze un ofițer de protecție a datelor, dacă este necesar, în conformitate cu articolul 37; și
  8. desemnează (în scris) un reprezentant în cadrul Uniunii Europene, dacă este necesar, în conformitate cu articolul 27.

O persoana împuternicită ar trebui sã fie conștientă cã:

  1. acesta poate fi supus verificãrii potrivit competențelor de investigare și corectare a autorităților de supraveghere în temeiul articolului 58 din GDPR;
  2. în cazul în care NU își îndeplinește obligațiile, poate fi supus unei amenzi administrative conform articolului 83 din GDPR;
  3. în cazul în care NU îndeplinește obligațiile GDPR, aceasta poate fi supusă unei sancțiuni în temeiul articolului 84 ​​din GDPR;
  4. în cazul în care NU îndeplinește obligațiile GDPR, poate fi obligat să plătească despăgubiri în temeiul articolului 82 din GDPR.

Pe scurt…

  • GDPR face contracte scrise între operatori și persoane împuternicite – este o cerință generală, și nu doar o modalitate de a demonstra conformitatea cu cel de-al șaptelea principiu de protecție a datelor (măsurile de securitate corespunzătoare) în cadrul DPA.
  • Aceste contracte trebuie să includă, în prezent, niște termeni specifici.
  • Acești termeni sunt concepuți pentru a se asigura că procesarea efectuată de o persoana împuternicită îndeplinește toate cerințele GDPR (nu numai cele legate de păstrarea datelor cu caracter personal securizate).
  • GDPR permite clauzelor contractuale standard ale Comisiei Europene sau ale unei autorități de supraveghere să fie utilizate în contractele dintre operatori și persoane împuternicite- deși nu a fost elaborat până în prezent unul.
  • GDPR prevede că aderarea unui subimputernicit la un cod de conduită aprobat sau la o schemă de certificare poate fi utilizată pentru a ajuta operatorii să demonstreze că au ales o persoana imputernicită adecvată. Clauzele contractuale standard pot face parte dintr-un astfel de cod sau schemă, deși, din nou, nu sunt disponibile în prezent scheme.
  • GDPR oferă prelucrãtorilor responsabilități, iar persoana imputernicită și operatorii pot fi acum obligați să plătească despăgubiri sau să fie supuși unor amenzi sau altor sancțiuni.

Ai nevoie de un model de contract operator-persoană împuternicită pe care să îl utilizezi în activitatea ta? Îl găsești aici 

Când este necesar un contract?

Ori de câte ori un operator utilizează o persoana imputernicită (un terț care prelucrează date cu caracter personal în numele operatorului), trebuie să aibă un contract scris în vigoare. În mod similar, dacă o persoana imputernicită utilizează o alta persoana imputernicita, trebuie să aibă un contract scris în vigoare.

De ce sunt importante contractele între operatori șpersoane imputernicite ?

Contractele dintre operatori și persoane imputernicite asigură înțelegerea obligațiilor din ambele pãrți, drepturile și obligații. Ei îi ajută să se conformeze GDPR și să ajute operatorii să demonstreze conformitatea cu GDPR. Utilizarea contractelor de către operatori și persoane imputernicite poate, de asemenea, să crească încrederea persoanelor vizate în gestionarea datelor lor cu caracter personal.

Ce trebuie să fie inclus în contract?

Contractele trebuie să stabilească obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului.

Contractele trebuie să includă clauze care să solicite persoanei imputernicite sã:

  1. să acționeze DOAR pe baza instrucțiunilor scrise ale operatorului;
  2. să se asigure că persoanele care prelucrează datele sunt supuse unei obligații de confidențialitate;
  3. ia măsurile adecvate pentru a asigura securitatea prelucrării;
  4. să angajeze subimputerniciti NUMAI cu acordul prealabil al operatorului și în baza unui contract scris;
  5. să asiste operatorul în asigurarea accesului persoanelor vizate și să le permită să-și exercite drepturile în temeiul GDPR;
  6. sã asiste operatorul în îndeplinirea obligațiilor GDPR în ceea ce privește securitatea prelucrării, notificarea încălcărilor de date cu caracter personal și evaluările impactului asupra protecției datelor;
  7. șteargã sau transmitã toate datele cu caracter personal către operator, după cum se solicită la sfârșitul contractului;
  8. să prezinte controalelor și inspecțiilor informațiile, să furnizeze operatorului orice informație necesară pentru a se asigura că ambii îndeplinesc obligațiile prevăzute la articolul 28 și să informeze imediat operatorului în cazul în care i se cere să facă ceva care încalcă GDPR sau alte legi privind protecția datelor din UE sau un stat membru.

Pot fi folosite clauze standard de contracte?

GDPR permite ca clauzele contractuale standard ale Comisiei Europene sau ale unei autorități de supraveghere să fie utilizate în contractele încheiate între operatori și persoane imputernicite. Cu toate acestea, NU sunt disponibile clauze standard.

De asemenea, GDPR permite ca aceste clauze contractuale standard să facă parte dintr-un cod de conduită sau mecanism de certificare pentru a demonstra prelucrarea conformă. Cu toate acestea, în prezent NU sunt disponibile scheme.

Ce responsabilități au persoanele imputernicite?

O persoana imputernicita trebuie să acționeze numai pe baza instrucțiunilor operatorului. Dacă o persoană imputernicita determină scopul și mijloacele de prelucrare (mai degrabă decât să acționeze numai conform instrucțiunilor operatorului), atunci acesta va fi considerat a fi un operator și va avea aceeași răspundere ca un operator.

Pe lângă obligațiile contractuale față de operator, în cadrul GDPR o persoana imputernicita are, de asemenea, următoarele responsabilități directe:

  1. NU utilizeze un subimputernicit fără autorizarea scrisă prealabilă a operatorului;
  2. coopereze cu autoritățile de supraveghere;
  3. asigure securitatea prelucrarii;
  4. țină evidența activităților de prelucrare;
  5. notifice administratorilor de date orice încălcări a securitãții datelor cu caracter personal;
  6. angajeze un responsabil cu protectia datelor;
  7. numească (în scris) un reprezentant în cadrul Uniunii Europene, dacă este necesar.

Dacă o persoanã imputernicitã NU îndeplinește oricare dintre aceste obligații sau acționează în afara sau împotriva instrucțiunilor operatorului, acesta poate fi obligat să plătească despăgubiri în procedurile judiciare sau să facă obiectul unor amenzi sau al altor sancțiuni sau măsuri corective.

Dacă o persoana persoanã imputernicitã folosește un subimputernicit, atunci, ca persoana imputernicita va rămâne direct răspunzător față de operator pentru îndeplinirea obligațiilor subimputernicitului.

Cum te putem ajuta?

  • Consultanță și implementare GDPR. Scrie-ne pe LinkedIn sau pe Facebook
  • KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici
  • Curs GDPR online care 28 de module care acoperă integral, teoretic și practic, materia. Află mai multe aici
  • Model de contract operator – persoană împuternicită pe care îl găsești aici. 

 

 

SURSA


arhive-persoana-mputernicit-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord