Aici descoperim
dreptul tehnologiei

DPIA1.png

Ne-am propus să scriem despre GDPR dintr-o perspectivă puțin mai practică, iar azi vă prezentăm un scurt ghid despre evaluarea de impact.

Ce este evaluarea de impact (DPIA)?

Evaluarea de impact (DPIA) este un obligație nouă impusă operatorilor de date de către GDPR, fiind obligatorie doar în situațiile în care o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele fizice vizate.

Efectuarea unei evaluări de impact are drept scopuri gestionarea și prevenirea riscurilor la adresa persoanei vizate și reprezintă o măsură pentru demonstrarea conformității la GDPR. Cu alte cuvinte, în situație în care este obligatorie efectuarea unei evaluări de impact, operatorul trebuie să demonstreze că a efectuat-o pentru a sta la adăpost de sancțiunile GDPR. Neefectuarea unei evaluări de impact, atunci când aceasta este obligatorie, poate conduce către amenzi de până la 10 milioane EUR sau, în cazul unei întreprinderi, până la 2% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare. Poți citi aici și alte situații care pot conduce la amenzi GDPR. 

Când este obligatorie efectuarea evaluării de impact?

GDPR impune operatorilor o abordare bazată pe risc. Evaluarea de impact (DPIA) nu este obligatorie în orice situație, ci doar atunci când o anumită activitate de prelucrare prezintă un risc ridicat pentru persoanele vizate. („ar putea duce la un risc ridicat petnru drepturile și libertățile persoanelor fizice” (art. 35(1) GDPR)

Următoarea figură arată principiile de bază după care trebuie să ne ghidăm pentru a afla dacă suntem obligați sau nu să realizăm o evaluare de impact.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

Cu toate acestea, ANSPDCP a publicat o listă orientativă privind cazurile în care evaluarea de impact este obligatorie prin Decizia nr. 174/2018. A se remarca faptul că lista nu este exhaustivă, ci oferă doar câteva exemple unde efectuarea unei evaluări de impact este obligatorie. Această concluzie rezultă din art. 1 alin. (1) din Decizia nr. 174/2018 : „Evaluarea impactului asupra protecţiei datelor cu caracter personal de către operatori este obligatorie în special în următoarele cazuri”

Totuși, chiar dacă nu ne regăsim în niciuna din situațiile din decizia ANSPDCP, este posibil să avem obligația să realizăm o evaluare de impact deoarece, așa cum am precizat deja, lista de mai sus nu este exhaustivă și pot exista situații care nu se regăsesc mai sus, dar sunt susceptibile să genereze un risc ridicat pentru persoanele fizice.

În continuare, pentru a putea identifica dacă este obligatorie sau nu realizarea unei evaluări de impact, vom analiza ce spune fostul Grup de Lucru Art. 29 (actual Comitet European pentru Protecția Datelor) despre cazurile în care evaluarea de impact (DPIA) este obligatorie.

Pentru a identifica dacă o anumită activitate de prelucrare este „susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice”, trebuie luați în calcul mai mulți factori, dar următoarele întrebări pot fi utile în a afla dacă este necesară sau nu efectuarea unei evaluări de impact:

1.Există activități de evaluare sau scoring, inclusiv profilare sau preconizare care pot avea un impact ridicat asupra drepturilor și libertăților persoanelor vizate?

Exemple: evaluarea performanței la locul de muncă, monitorizarea clienților de către o societate de asigurări pentru a preveni frauda, monitorizarea clienților de către o bancă pentru a preconiza comportamentul viitor etc.

2.Prelucrarea poate conduce la excluderea sau discriminarea persoanelor?

3.Datele sunt sensibile sau sunt de natură foarte personală?

Datele sensibile sunt datele genetice, datele biometrice pentru identificarea unică a unei persoane fizice, datele privind sănătatea, datele privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice, datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate.

Date sensibile sunt și datele copiilor sub 16 ani, dar și datele privitoare la condamnări și infracțiuni.

 

 

4. Sunt datele prelucrate pe scară largă?

Pentru a identifica dacă o activitate prelucrare este efectuată pe scară largă, Grupul de Lucru Art. 29 recomandă luarea în calcul a următorilor factori:

  • Numărul persoanelor vizate;
  • Suprafața geografică unde se întinde activitatea de prelucrare;
  • Volumul datelor;
  • Durata activității de prelucrare.

5. Sunt utilizate noi tehnologii în respective activitate de prelucrare?

 Exemple: amprentă digitală, recunoaștere facială, internet of things.

În principiu, pentru orice nouă tehnologie ar trebui efectuată o evaluare de impact pentru a afla impactul potential asupra drepturilor și libertăților persoanei vizate. Fiind o tehnologie nouă, este posibil ca potențialele riscuri asupra drepturilor persoanelor vizate să nu fie cunoscute în prezent.

În principiu, dacă răspunsul este „DA” la mai mult de două întrebări de mai sus, realizarea unei evaluări de impact (DPIA) este obligatorie.

 

Te-ar putea interesa și:

 

PROCEDURA. CUM REALIZĂM EVALUAREA DE IMPACT (DPIA)

1. Când se realizează evaluarea de impact?

Potrivit GDPR, evaluarea de impact se realizează anterior activității de prelucrare și se actualizează pe măsură ce în procesul de prelucrare intervin noi modificări. Potrivit Grupului de Lucru Art. 29, efectuarea DPIA este un proces continuu, iar nu un exercițiu unic. Evaluarea de impact (DPIA) face parte din documentația GDPR. 

2. Cine este obligat să efectueze evaluarea de impact (DPIA)?

Organizația este obligată să efectueze DPIA și o poate face cu resurse interne (ca de exemplu șabloane) sau poate externaliza acest proces unui avocat. În ambele situații, operatorul este responsabil pentru efectuarea ei.  La efectuarea evaluării de impact și, îndeosebi, pe raportul final, trebuie cerut avizul responsabilului cu protecția datelor (DPO).

Dacă activitatea de prelucrare este realizată de persoana împuternicită, aceasta din urmă este obligată să participe și să sprijine concret operatorul la efectuarea evaluării de impact și să ofere toate informațiile necesare.

Operatorul este obligat să solicite avizul persoanelor vizate sau al reprezentanților acestora la efectuarea evaluării de impact. Acest aviz poate fi obținut, de exemplu, prin sondaje. Dacă nu obține avizul persoanelor vizate, operatorul ar trebui să documenteze în scris motivul pentru care a decis să nu obțină acest aviz.

KIT GDPR Premium

 

Cum realizăm evaluarea de impact (DPIA)?

RGPD stabilește caracteristicile minime ale unei DPIA (art. 35 (7) și Considerentele 84 și 90):

  • „o descriere a operațiunilor de prelucrare preconizate și scopurilor prelucrării ”;
  • „o evaluare a necesității și proporționalității prelucrării”;
  • „o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate”;
  • „măsurile preconizate în vederea abordării riscurilor și demonstrării conformității cu GDPR”

Următoarea figură ilustrează procesul descris anterior.

Figură din Ghidul Grupului de Lucru privind Evaluarea de Impact

 

Pentru gestionarea riscurilor se vor utiliza următorii pași:

  • Stabilirea contextului;
  • Evaluarea riscurilor (probabilitatea și gravitatea riscurilor);
  • Tratarea riscurilor (măsuri propuse pentru atenuarea riscurilor).

Structura și forma concretă a unei evaluări de impact este lăsată la libera apreciere a Organizației, cu toate aceastea, ea trebuie să ilustreze o evaluare reală a riscurilor. Noi am inclus în KIT GDPR Premium, un șablon editabil Word și precompletat pentru efectuarea unei evaluări de impact, împreună cu o procedură operațională pentru efectuarea evaluării de impact (află mai multe aici).

Când trebuie consultată Autoritatea de supraveghere?

Atunci când, din raportul DPIA rezultă că riscurile sunt ridicate și măsurile identificate nu sunt suficiente pentru a atentua riscurile, trebuie consultată Autoritatea de supraveghere. Dacă totuși riscurile sunt ridicate, însă au fost găsite măsuri care atenuează concret aceste riscuri, Autoritatea de supraveghere nu trebuie consultată.

Alte criterii pentru efectuarea corectă a unei DPIA

Metologia descrisă de Grupul de Lucru Art. 29 pentru efectuarea corectă a unei DPIA este următoarea:

  1. Descrierea prelucrării
  2. Evaluarea necesității și proporționalității
  3. Identificarea riscurilor
  4. Gestionarea riscurilor și propunerea măsurilor pentru atenuarea riscurilor
  5. Implicarea părților interesate (avizul DPO, avizul persoanelor vizate).

Ai nevoie de un șablon pentru efectuarea unei evaluări de impact? O găsești în KIT-ul nostru de implementare. 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Regulamentul General privind Protecția Datelor (GDPR) ridică multe întrebări cu privire la impactul GDPR asupra relațiilor de muncă. Nu este o noutate faptul că în cadrul majorității organizațiilor, angajații au fiecare câte o adresă de e-mail de serviciu pe formatul nume.prenume@companie.ro. În prezentul articol voi aborda un subiect de actualitate și întâlnit frecvent în practică: poate un angajator să acceseze adresa de e-mail de serviciu a unui fost angajator?

Înainte de a răspunde la întrebare, vom discuta, cu titlu preliminar, câteva aspecte deosebit de importante pentru înțelegerea problematicii abordate.

Este adresa de e-mail o dată cu caracter personal?

Orientările europene sunt în sensul în care o adresă de e-mail pe formatul nume.prenume@companie.ro sau chiar pe formatul nume@companie.ro, este o dată cu caracter personal. Adresele de e-mail pe formatul office@companie.ro nu sunt date cu caracter personal, însă acest lucru nu înseamnă că acestea nu ar trebui protejate deoarece conțin informații sensibile. Conținutul e-mailurilor pot conține de asemenea, o multitudine de informații personale, precum datele de contact ale clienților, informații financiare, date medicale, iar în cazurile nefericite, inclusiv discuțiile private ale angajatului/fostului angajat.

De asemenea, Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul legislației privind protecția datelor.

În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.

KIT GDPR Premium

 

Te-ar putea interesa și:

 

Conversații private pe e-mail-ul de serviciu…

Comoditatea îi determină pe unii angajați să folosească adrese de e-mail de serviciu pentru activități domestice, precum achiziții online sau chiar discuții personale. Cât de permis este acest lucru de GDPR? În primul rând, e lesne de înțeles că angajatorul nu poate controla cum folosește un angajat e-mailul de serviciu. Însă, având în vedere că (1) GDPR impune angajaților să nu colecteze mai multe date decât sunt necesare și (2) orice operator (în speță, angajatorul) trebuie să implementeze măsuri tehnice și organizatorice adecvate, aș spune că angajatorii ar trebui să cunoască faptul că… nu ar trebui să amestece viața personală cu atribuțiile de serviciu. Organizația ar trebui să aibă politici adecvate prin care angajaților li se aduce la cunoștință nu doar cum să protejeze datele personale ale organizației, ci cum să își protejeze datele lor personale. Compania ar trebui să explice angajaților că nu ar trebui să folosească e-mail-ul de serviciu în scop personal atât prin training-uri și ar trebui să aibă proceduri implementate (actualizarea ROI cu un capitol privind protecția datelor, acorduri de confidențialitate, politici de confidentialitate/securitate etc) pentru protecția datelor personale, inclusiv protecția propriilor informații personale.

Cu alte cuvinte, conversațiile private pe e-mailul de serviciu nu sunt interzise per se de Regulament, însă angajatorii ar trebui să depună diligențe pentru a atrage atenția angajaților asupra riscurilor la care se pot expune, mai ales în situația în care e-mailurile de serviciu sunt monitorizate 🙂

 

 

E-mail-uri de serviciu monitorizate

Vă amintiți de celebru caz de la CEDO Bărbulescu vs România? Pe scurt, domnul Bărbulescu a fost obligat de către angajator să își creeze o adresă de yahoo messenger pentru a ține legătura cu clienții, însă conversațiile de pe yahoo messenger cu logodnica și fratele său au fost monitorizate de către companie, fără ca dnul Bărbulescu să aibă cunoștință de acest lucru. Peste ceva timp, domnul Bărbulescu a fost concediat deoarece încălcase regulamentul intern care îl obliga să nu folosească internetul în scop personal. A contestat fără succes decizia la instanțele din România invocând violarea secretului corespondenței. În cele din urmă, CEDO (Marea Camera) a dat o decizie cel puțin interesantă, prin care statuat, printre altele, că monitorizarea conversațiilor electronice la locul de muncă este permisă dacă se îndeplinesc cumulativ următoarele condiții:

  • există un interes legitim al companiei de a monitoriza (supravegherea îndeplinirii sarcinilor de serviciu, securitate etc);
  • nu au fost găsite metode mai puțin intruzive pentru atingerea scopului;
  • angajatul a fost informat în prealabil cu privire la faptul că e-mailul este supravegheat.

În această situație, temeiul juridic nu este consimțământul angajatului (care, conform opiniei WP29, în majoritatea cazurilor, este invalid, existând un dezechilibru de putere), ci interesul legitim.

Cu privire la monitorizare ar trebui să ne amintim că Legea 190/2018 privind măsurile de punere în aplicare al GDPR impune următoarele condiții:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate – prin urmare trebuie documentată o analiză a interesului legitim și păstrată pentru un eventual control. 

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;- notele de informare către angajați trebuie să prevadă că se utilizează mijloace de monitorizare.

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

 

 

Putem accesa e-mailul fostului angajat? 

Pe scurt, da, însă doar dacă sunt respectate anumite condiții pe care le vom indica mai jos.

„Atunci când un angajat părăsește organizația, angajatorul ar trebui să ia măsurile tehnice și organizatorice necesare, astfel încât poșta electronică a angajatului să fie dezactivată în mod automat. În cazul în care, pentru buna funcționare a organizației, este necesar să fie recuperat conținutul poștei electronice a unui angajat, angajatorul ar trebui să adopte măsurile adecvate pentru recuperarea conținutul acesteia înainte de plecarea angajatului și, dacă este posibil, în prezența lui.” – CEDO, Cauza Bărbulescu vs România.

Așadar, atunci când un angajat părăsește compania, e-mailul trebuie dezactivat și redirecționat către o nouă adresă, iar conținutul ar trebui recuperat înainte de plecarea angajatului. Dacă totuși, angajatul e plecat deja, iar compania nu avea cunoștință de acest lucru, va trebui să recupereze și să dezactiveze în cel mai scurt timp, deoarece un timp îndelungat poate conduce către un cuantum al amenzii mai mare. 

În cursul anului 2016, o societate din România a fost amendată de ANSPDCP deoarece a păstrat mai mult decât era cazul (aproximativ un an) un e-mail al unui fost colaborator, invocând, printre altele, că a trebuit să păstreze adresa de e-mail deoarece clienții societății erau obișnuiți să contacteze această adresă de e-mail. Procesul-verbal a fost contestat la Tribunalul București. S-a pierdut în fond și s-a făcut apel la Curtea de Apel București.

Prin Decizia Civilă nr. 34/09.03.2017, Curtea de Apel București a statuat, printre altele, că:

există un interes legitim („Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă.”)

nu este nevoie consimțământ, angajatorul se poate baza pe interes legitim („Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.”)

angajatorii ar trebui să nu acceseze niciodată discuții personale și să le șteargă în cel mai scurt timp („Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.”)

La o primă lectură, apare un paradox. CEDO spune că angajatorul ar trebui să recupereze e-mailurile înainte de plecarea angajatului, iar Curtea de Apel București spune că recuperarea se poate face și după plecare, însă, în cel mai scurt timp. Luând în calcul (1) formularea „ar trebui” în loc de „trebuie” a CEDO și (2) faptul că accesul la conținutul e-mailului poate fi extrem de important, de la caz la caz, se poate aprecia dacă există un interes legitim de a accesa adresa de e-mail a fostului angajat.

 

Recomandări. Soluții. 

Având în vedere cele expuse mai sus putem concluziona și putem emite chiar o soluție care poate fi utilă companiilor aflate în această situație:

  1. Pe viitor, companiile ar trebui să aibă grijă să recupereze conținutul e-mailului înainte de plecare și, dacă se poate, în prezența angajatului.
  2. Dacă nu s-a respectat punctul 2., companiile ar trebui să recupereze în cel mai scurt timp conținutul necesar, să redirecționeze și să șteargă e-mailul. Poate fi util să informeze în acest sens angajatul și să îi propună ștergerea conținutului confidențial.
  3. În toate cazurile în care se merge pe interes legitim pentru monitorizarea și/sau accesarea e-mail-urilor după plecarea angajatului, trebuie documentată o analiză a interesului legitim care să îi permită angajatorului să aibă acces.

Rețineți faptul că GDPR nu cere perfecțiune, ci o abordare bazată pe risc, și, atâta timp cât compania depune eforturi constante pentru respectarea Regulamentului, nu ar trebui să existe probleme. Iar când e vorba despre protecția datelor cu caracter personal, ar trebui să ne punem mai des întrebări.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 



Pe scurt:

  • Datele cu caracter personal sunt orice informații care se referă la o persoană identificată sau care poate fi identificată, denumită „persoană vizată”;
  • O persoană poate fi identificată dacă se pot obține informații suplimentare cu privire la ea pentru a o identifica;
  • Datele cu caracter personal trebuie să se refere la o persoană fizică în viață;
  • Datele publice pot fi date cu caracter personal, cu excepția situației în care au fost făcute publice de către persoana vizată în mod direct, fără dubiu;
  • Există mai multe categorii de date:
    • datele obișnuite (ca de exemplu numele, adresa de e-mail, domiciliul etc), majoritatea datelor intrând în această categorie și există categorii speciale de date, și
    • așa-numitele date sensibile (datele biometrice, datele medicale, CNP-ul etc), care au un regim special și pot fi prelucrate respectând anumite condiții stricte.
  • Anonimizarea datelor înseamnă că datele nu mai conțin niciun element de identificare;
  • Pseudonimizarea datelor înseamnă că datele sunt înlocuite cu un cod.

KIT GDPR Premium

 

Datele anonimizate nu mai sunt date cu caracter personal, în schimb datele pseudonimizate sunt în continuare date cu caracter personal.

Regulamentul definește datele cu caracter personal drept orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.[1]

GDPR extinde definiția datelor cu caracter personal. Acest lucru poate include acum identificatori online și chiar date genetice și biometrice, cum ar fi amprentele digitale, scanarea retinei, recunoașterea vocală și recunoașterea facială. Parolele sunt, de asemenea, considerate date personale în cadrul GDPR.[2]

Utilizarea sintagmei „orice informație” a fost folosită în mod intenționat de legiuitorul european, pentru a nu exclude, din sfera de protecție, anumite categorii de date cu caracter personal.

Curtea de Justiție a Uniunii Europene a decis, în cauza C-582/14 faptul că inclusiv o adresă IP dinamică poate fi, în anumite circumstanțe, o dată cu caracter personal.

Asemănător, în Cauza C‑434/16, CJUE a decis că foaia de examen a unui candidat se încadrează în conceptul de date cu caracter personal.

Grupul de Lucru Art. 29 recomandă, pentru a identifica dacă o anumită informație este dată cu caracter personal, a se lua în calcul patru piloni:[3]

  • orice informație;
  • care se referă la;
  • o persoană fizică identificată sau identificabilă.

 

„Orice informație”

Domeniul este atât de vast încât nu va exista niciodată o listă exhaustivă a datelor cu caracter personal. Acestea includ numele, adresa de e-mail, datele biometrice (imagini faciale, amprente), CNP, locația unei persoane, ocupația, sexul etc. Absolut orice informație.

Datele trebuie să se refere la persoanele fizice în viață. Regulamentul nu se aplică și datelor privind persoanele decedate.[4]

Informațiile pot fi atât obiective, cât și subiective:

Exemplu: Evaluarea performanței unui angajat la locul de muncă reprezintă o informație cu caracter personal, chiar dacă reflectă doar opinia personal a supervizorului, ca de exemplu „Angajatul X este mereu obosit” sau „Angajatul X nu este dedicat muncii sale.”

Informațiile sunt date cu caracter personal, indiferent că se referă la viața privată sau viața profesională a individului.[5] De exemplu, adresa de e-mail de serviciu intră în categoria de date cu caracter personal.

Paragraful 30 din Preambulul Regulamentului spune faptul că inclusiv adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio pot fi date cu caracter personal, deoarece pot lăsa urme, care, combinate cu alte informații primite de servere pot conduce către identificarea persoanelor, prin crearea de profiluri.[6]

„Care se referă la”

Pentru a intra în sfera datelor cu caracter personal, informațiile trebuie să se refere la o persoană fizică în viață. În unele cazuri informațiile cu privire la obiecte, fapte sau procese pot fi date cu caracter personal dacă există o legătură strânsă între acestea și persoana fizică, de exemplu, mașina colegului Mihai, telefonul clientului Andrei, parola utilizatorului mihai.andrei78.

Dacă anumiți factori exteriori, cum ar fi obiectele, procesele, evenimentele, faptele pot conduce la evalua sau analiza un individ într-un anumit mod, ar trebui să se considere a fi date cu caracter personal. [7]

„O persoană fizică identificată sau identificabilă.”

Situația datelor referitoare la persoane fizice identificate este clară (domiciliul angajatului X, CNP-ul clientului Y, e-mail-urile abonaților X,Y,Z).

Ce se întâmpla, însă, dacă avem date care nu se refera la o persoana fizica deja identificată? Sunt ele date personale?

Pot fi. Dacă există mijloace care pot conduce către identificarea persoanei. Aceste mijloace trebuie să țină cont atât de tehnologia actuală, cât și de cea care va fi, în mod rezonabil, dezvoltată în viitor.

Identificarea persoanei se poate realiza prin nume. Însă, simplul fapt că nu știm numele unei persoane, nu înseamnă că aceasta nu poate fi identificată. Cei mai mulți dintre noi nu știm numele tuturor vecinilor, însă îi putem identifica. Pentru identificare, ne raportăm, potrivit Regulamentului la „un număr de identificare ori la unul sau la mai mulţi factori specifici identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale

Cu alte cuvinte, daca avem o informație care nu este atribuita unei persoanei, însă putem folosi informații suplimentare (prin orice mijloace) pentru a identifica persoana respectiva, vorbim de date cu caracter personal.

Exemplu: „Datele referitoare la salariile într-o companie nu sunt, în general, date cu caracter personal. Aceste date se pot regăsi, fără probleme, în anunțurile de recrutare. Însă, dacă într-o companie există un singur angajat pe un anumit post, salariul aferent acelui post este o informație cu caracter personal care se referă la singurul angajat care ocupa respectivul post. ”[8]

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

[1] Art. 4 pct. 1 din Regulamentul (EU) 679/2016.

[2] GDPR for Dummies. Editat de Meta Compliance Group, ce poate fi accesat aici.

[3] Opinia 4/2007 a Grupului de Lucru Art. 29, adoptată pe 20 iunie 2017, ce poate fi accesată aici.

[4] https://www.facebook.com/legalup.ro/?ref=search, Ruxandra Sava, 5 ianuarie 2018

[5] A se vedea Hotărârea CEDO din 16 februarie 2000 în cauza Amann/Elveţia, nr. 27798/95, punctul 65.

Preambul (30) din Regulamentul (EU) 679/2016: „Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.”

[7] Opinia 4/2007 a Grupului de Lucru Art. 29.

[8] A se vedea în acest sens și postarea de pe Facebook a paginii LegalUp din data de 5 ianuarie 2018, ce poate fi accesată aici.


GDPR.jpg

Datele anonimizate și datele pseudonimizate

Pe scurt

  • Datele nu trebuie stocate mai mult decât este necesar. Odată ce s-a împlinit perioada stocării, datele pot fi stocate doar dacă au fost anonimizate complet.
  • GDPR încurajează pseudonimizarea datelor, fiind unul dintre cele mai importante mijloace de protecție.
  • Pseudonimizarea se poate obţine, spre exemplu, prin înlocuirea unui element de identificare un un cod.

Datele anonimizate

Datele sunt anonimizate, atunci când orice element de identificare dispare. Dacă un element rămas poate servi, singur sau împreună cu altele, la reidentificarea persoanei, atunci anonimizarea nu a fost făcută, iar datele nu ar trebui păstrate.

Odată ce datele au fost anonimizate complet, acestea ies din sfera de protecție a Regulamentului.

Datele pseudonimizate

GDPR încurajează pseudonimizarea datelor cu caracter personal, fiind una dintre cele mai eficiente măsuri de protecție a datelor. Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de aceștia să își îndeplinească obligațiile de protecție a datelor.[1]

 

Potrivit GDPR, „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare.

Pseudonimizarea se poate obține, spre exemplu, prin înlocuirea unui element de identificare un cod.

Acest lucru nu înseamnă că datele vor fi separate definitive și irevocabil de numele persoanei, ci că asocierea între date şi elementele de identificare nu ar trebui să fie posibilă în mod direct. Pentru persoanele care nu au cheia de decodificare, reidentificarea este dificil de realizat. În schimb, pentru persoanele care au cheia de decodificare, reidentificarea se poate face cu ușurință.

F Exemplu: Propoziția „Alice Popescu, născută la 27 ianuarie 1995 are trei căței albi și iubește marea ”, poate fi pseudonimizată astfel:

„A.P. 1995 are trei căței albi și iubește marea” sau

„123 are trei căței albi și iubește marea” sau

„T67x&*j2372A are trei căței albi și iubește marea”

Persoanele care au acces la aceste date pseudonimizate nu au posibilitatea să o identifice pe „Alice Popescu, născută la 27 ianuarie 1995” din „123” sau „T67x&*j2372A”. Astfel, pseudonimizarea poate fi mai sigură împotriva utilizării incorecte.

Pseudonimizarea poate fi foarte utilă atunci când operatorii de date trebuie să lucreze cu aceleași persoane vizate, însă nu toți oamenii (cum ar fi angajații) trebuie  să cunoască identitatea reală a persoanelor vizate. Această tehnică de pseudonimizare ar trebui inclusă în sistemele avansate de prelucrare a datelor sau a noilor tehnologii, încă din stadiul dezvoltării acestora.

[1] Par. (28) din Preambulul Regulamentului (EU) 679/2016

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să îți faci singur implementarea GDPR?

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.


arhive-pseudonimizare-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord