Aici descoperim
dreptul tehnologiei

Un-rinichi-sau-datele-personale-ale-altcuiva_.png

Instanța: Judecătoria Sectorului 2 București

Nr. Hotărârii: 7764/2019

Sursa: rolii.ro

Situația de fapt. Ce s-a întâmplat pe scurt?

Reclamantul (îl vom numi Andrei ca să ne fie mai ușor) a dat în judecată Vodafone România pentru că o alta persoană (necunoscută în prezentul dosar) i-a folosit datele de identificare pentru a face un abonament RED 25 Plus în numele acestuia pentru a intra în posesia unui Iphone X nou-nouț.

Andrei a aflat de această situație atunci când a primit factura pe e-mail, factură pe care a și plătit-o pentru a nu i se întrerupe serviciile de telefonie mobilă.

Ulterior, reclamantul a dat în judecată Vodafone România solicitând, printre altele, daune morale pe tărâmul răspunderii civile delictuale pentru fapta salariaților Vodafone de a nu proceda la identificarea persoanei care a făcut abonamentul în numele lui.

S-a menționat, totodată, că în cauza de față sunt îndeplinite condițiile angajării răspunderii civile delictuale, după cum urmează:

a) fapta ilicită – prin care a fost încălcat un drept și a fost cauzat un prejudiciu – alocarea unui nou abonament voce și achiziționarea unui telefon mobil marca Apple Iphone X, de către o terță persoană, cu utilizarea datelor personale ale reclamantului și implicit emiterea unei facturi semnificative pe numele subsemnatului.

b) săvârșirea cu vinovăție, constând în intenția, neglijența sau imprudența celui care a acționat – terțul a achiziționat un telefon cu o valoare de piață semnificativă, fără a-i fi verificată identitatea de către salariatul pârâtei și fără a încheia și semna un contract. Angajatul societății pârâte avea obligația să legitimeze și să identifice persoana respectivă.

c) existența unui prejudiciu – rezultatul dăunător de natură patrimonială, nepatrimonială, ca efect al încălcării drepturilor și interesului legitim – a achitat o factură cu o valoare enormă față de valoarea lunară a abonamentului, determinând o diminuare a patrimoniului subsemnatului. De asemenea, a fost necesar să aloce un timp mai mult decât rezonabil soluționării acestei situații, prin învoirea de la serviciu și prin deplasare personală din Călărași până la sediul pârâtei, întrucât aceasta nu a dat curs sesizărilor transmise în format electronic.

 

Te-ar putea interesa și:

 

d) raportul de cauzalitate între prejudiciu și fapta ilicită – s-a produs un prejudiciu moral, nefiind respectată confidențialitatea ce trebuia păstrată cu privire la datele cu caracter personal, fiind distrusă încrederea în serviciile prestate de societatea pârâtă. Stresul și pierderea de timp au avut efecte negative, iar după după ce a fost sesizată, societatea pârâtă nu a dat dovadă că înțeles consecințele produse prin fapta sa, în vederea evitării apariției în viitor a unor situații similare.

Potrivit reclamantului, conform art. 5 din GDPR, datele cu caracter personal trebuie să fie prelucrate într-un mod care să asigure securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva procesării neautorizate sau ilegale și împotriva pierderi accidentale, distrugeri sau deteriorări, utilizând corespunzător măsuri tehnice sau organizatorice corespunzătoare.

De asemenea, dispozițiile art. 32 din Regulament stabilesc clar obligația operatorilor de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, dar și capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică.

Persoana fizică identificată sau identificabilă, definită „persoană vizată” în sensul GDPR (art. 4 pct. 1), adică persoană vizată de prelucrarea datelor sale cu caracter personal de către un operator de date cu caracter personal, poate pretinde de la operatorul care nu respectă prevederile GDPR daune materiale sau morale. Astfel, potrivit art. 79 alin. 1 din GDPR “fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament”.

Conform art. 82 alin. 1 din GDPR, orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a Regulamentului, are dreptul să obțină despăgubiri de la operator și, corelativ, orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă regulamentul (art. 82 alin. 2 din GDPR). Exonerarea de răspundere este posibilă doar dacă operatorul dovedește că nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul (art. 82 alin. 3 din GDPR), ceea ce înseamnă că răspunderea este angajată și în caz de culpă.

Potrivit art. 33 alin. 1 din GDPR “în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”

Rezultă astfel că societatea pârâtă avea obligația legală de a efectua toate demersurile necesare pentru a verifica și clarifica situația, pentru a anunța autoritățile competente și pentru a întreprinde acțiuni în vederea preîntâmpinării  unor astfel de situații. Lipsa unei reacții prompte din partea societății pârâte nu face decât să încurajeze astfel de procedee, fie din partea salariaților, fie din partea terților, beneficiari de telefoane achiziționate fraudulos.

 

 

Rezultă astfel că societatea pârâtă avea obligația legală de a efectua toate demersurile necesare pentru a verifica și clarifica situația, pentru a anunța autoritățile competente și pentru a întreprinde acțiuni în vederea preîntâmpinării  unor astfel de situații. Lipsa unei reacții prompte din partea societății pârâte nu face decât să încurajeze astfel de procedee, fie din partea salariaților, fie din partea terților, beneficiari de telefoane achiziționate fraudulos.

 

Ce a decis instanța?

Instanța a „dat dreptate” reclamantului și a hotărât angajarea răspunderii Vodafone România pentru fapta angajaților săi de a nu proceda la verificarea identității persoanei care a făcut abonamentul în numele reclamantului prin plata unor daune morale de 2000 de lei. 

„La stabilirea faptei ilicite, instanța are în vedere și aplicabilitatea dispozițiilor Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în continuare, „Regulament”) ,raportat la data intrării în vigoare a acestui act normativ – 25.05.2018, și data încheierii contractului – 26.06.2018, dispoziții pe care în mod corect reclamantul și-a întemeiat acțiunea.

Astfel, conform art. 4 pct. 1, 2 și 7 din Regulament, pârâta deține calitatea de operator , iar informațiile reclamantului, a căror accesare a fost permisă de pârâta – CNP, adresă de domiciliu, telefon, cetățenie, reprezintă fără îndoială date cu caracter personal, operațiunea de utilizare și accesare a acestora reprezentând „prelucrare”, în sensul Regulamentului. Conform art. 5 alin. 1 lit. a) și f) din Regulament, datele cu caracter personal se impun a fi prelucrate în mod legal, echitabil și transparent față de persoana vizată, iar operațiunea de prelucrare trebuie realizată într-un mod care asigură securitatea adecvată acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate și confidențialitate”) . Cu privire la legalitatea prelucrării, trebuie subliniat că în speță nu au fost respectate dispozițiile art. 6 alin. 1 din Regulament, accesarea datelor personale ale reclamantului fiind realizată fără consimțământul persoanei vizate și fără un temei legal în dreptul intern . Totodată, în cauză nu sunt incidente nici dispozițiile de excepție ale art. 6 alin. 4, care permit prelucrarea fără consimțământ, sarcina probei acestor cazuri revenind pârâtei și nefiind complinită.

 

 

Răspunderea operatorului pentru prelucrarea datelor cu caracter personal cu nesocotirea principiilor sus-expuse intervine în temeiul art. 5 alin. 2, raportat la art. 24 din Regulament, care stabilesc în sarcina acestuia obligația de a pune în aplicare o politică adecvată de protecție a datelor cu caracter personal și de a implementa măsuri tehnice și administrative eficiente pentru a atinge acest rezultat . Or, prin modalitatea în care pârâta a acționat – fără a putea dovedi că reclamantul a semnat contractul de abonament, fără a proba parcurgerea unei eventuale operațiuni de legitimare a persoanei care a încheiat contractul și fără a prezenta un mandat (în cazul încheierii acestuia de către un terț), s-au nesocotit flagrant dispozițiile legale privind prelucrarea datelor cu caracter personal, sus-citate.

c) Cu privire la cea de-a treia condiție, și aceasta este îndeplinită, din moment ce, la data săvârșirii faptei ilicite, presupusul se afla în exercitarea atribuțiilor conf erite de către angajatorul său, aspect necontestat.

d) În ceea ce privește raportul de cauzalitate dintre faptă și prejudiciu , se reține că în cauză legătura de cauzalitate este directă, lanțul cauzal nefiind întrerupt : urmare a acțiunii prepusului pârâtei, a fost posibilă încheierea pe numele reclamantului a unui contract de către o persoană rămasă neidentificată.

e ) Referitor la prejudiciul cauzat , instanța reține, cu titlu preliminar, că, raportat atât la conținutul acțiunii introductive, cât și la precizările incluse în răspunsul la întâmpinare, prin prezenta acțiune se solicită exclusiv repararea prejudiciului moral.

KIT GDPR Premium

 

La modul general, î n ceea ce privește condițiile reparării prejudiciului, se reține că dreptul de a cere obligarea autorului faptei ilicite la reparare se naște dacă sunt îndeplinite cumulativ două condiții, respectiv ca prejudiciul să fie cert și să nu fi fost reparat încă. Referitor la caracterul cert al prejudiciului, se reține că prejudiciul este cert atunci când este sigur, atât sub aspectul existenței, cât si al întind erii sale. Este considerat cert prejudiciul actual, precum și prejudiciul viitor , în măsura în care sunt sigure atât apariția acestui prejudiciu, cât și posibilitatea de a fi determinat .

Sub aspectul evaluării prejudiciului , instanța are în vedere faptul că daunele morale nu pot fi probate, ci cuantumul acestora trebuie să fie echitabil, de natură a oferi o compensație rezonabilă, prin raportare la consecințele negative concrete suferite de reclamant pe plan psihic, gravitatea vătămării, importanța valorilor lezate, măsura în care au fost lezate aceste valori, intensitatea cu care au fost percepute consecințele vătămării. Nu în ultimul rând, trebuie subliniat faptul că se prezumă existența unui prejudiciu moral din simpla accesare a datelor cu caracter personal de către o terță persoană (neidentificată), devenită posibilă prin concursul pârâtei.

Totodată , instanța are în vedere și principiul potrivit căruia antrenarea răspunderii civile delictuale nu trebuie să reprezinte o îmbogățire fără justă cauză a reclamantului. Or , instanța apreciază suma de xxxxx euro solicitată cu titlu de daune morale ca fiind vădit disproporționată și neavând un caracter de reparație a unui prejudiciu suferit, ci, mai degrabă, de îmbogățire fără just temei a reclamantului .

Pentru a reține astfel, se are în vedere vătămarea concretă adusă reclamantului , constând în starea de stres cauzată acestuia prin emiterea unei facturi care includea în sarcina sa costuri pe care nu le-a contractat, de o valoare medie , precum și faptul că durata de soluționare a sesizării reclamantului a fost de o lună, aspect necontestat de pârâtă. Totodată, se are în vedere și faptul că aspectele semnalate de reclamant au ocazionat în sarcina acestuia deplasări din localitatea rurală de domiciliu a acestuia la sediul pârâte i , ca urmare a refuzului pârâtei de a da curs sesizărilor electronice formulate , aspect, de asemenea, necontestat.

Nu în ultimul rând, se are în vedere și atitudinea pârâtei, care a încercat a minimiza prejudiciul produs prin ajustarea soldului facturilor și a remediat situația semnalată anterior sesizării instanței.

Pe cale de consecință, pentru a asigura un echilibru just între dimensiunea punitivă si cea reparatorie a daunelor morale, dar și a evita crearea premiselor pentru o eventuală îmbogățire fără justă cauză a reclamantului , neputându-se corecta consecințele unei fapte ilicite printr-un alt abuz, instanța urmează a admite în parte cererea formulată, în limita sumei de 2000 lei cu titlu de daune morale , pe care instanța o apreciază ca fiind su ficientă și rezonabilă ȋn cauză.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



padlock-computer-circuit-board_93675-6912.jpg

Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație la operatorul Entirely Shipping & Trading S.R.L., constatând  următoarele:

  • încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind Protecția Datelor (RGPD);
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD.

Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate; Citește acest articol pentru a afla cum trebuie să informezi persoana vizată. 
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare); Citeste acest articol pentru a afla cum poți supraveghea video legal angajații.
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta. Citește acest articol pentru a afla în ce condiții poți accesa e-mailul unui fost angajat. 

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat), accesul se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil.

În cadrul investigației, s-au constatat următoarele:

KIT GDPR Premium

 

Totodată, operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea; (modele de note de informare conforme GDPR se găsesc aici)
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor. (modele de politici și proceduri GDPR se găsesc aici)

Sursa: dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



uber.jpg

Îți amintești de amenda aplicată de către ANSPDCP în 2018 (înainte de aplicarea GDPR în România) companiei UBER pentru breșa de securitate din 2016? Dacă nu îți amintești, nu îți face probleme, vom detalia în continuare tot ce trebuie să știi despre acest caz. Nouă ni se pare un caz interesant pentru că releva informații importante despre (1) modalitatea de desfășurare concretă a investigației ANSPDCP la sediul Uber; (2) mecanisme contractuale interesante între operatori și persoane împuternicite prin explicarea relațiilor dintre companiile afiliate Uber și (3) clarificarea anumitor elemente de drept în zona sferei online.

Nr. Hotărârii: 8719/2018, rămasă definitivă prin respingerea apelului la Tribunalul București

Instanța: Judecătoria Sectorului 1 București

Sursa: rolii.ro

Ce s-a întâmplat?

Conform informațiilor transmise de Uber prin intermediul plângerii contravenționale, în urma unei breșe de securitate a aplicației Uber, datele cu caracter personal a aproximativ 30.000 de persoane fizice au fost compromise (șoferi și călători Uber). Echipa de securitate a companiei a stabilit că persoana neautorizată, care acționase împreună cu o a doua persoană, a obținut acces la un cod sursă stocat pe o pagină pusă la dispoziția UBER de un furnizor de servicii cloud, numită GitHub. Utilizând credențialele acolo disponibile, persoana neautorizată (exterioară organizației) a reușit să acceseze și să descarce anumite date arhivate privind Șoferii și Călătorii Uber.

Echipa de securitate a stabilit rapid modul de acces, a închis accesul persoanelor neautorizate și a luat celelalte măsuri pentru a confirma faptul că persoanele au distrus și nu vor utiliza sau disemina informațiile în continuare. De asemenea, Uber a implementat măsuri suplimentare pentru îmbunătățirea securității datelor, inclusiv instituirea autentificării prin recurs la două elemente (two-factor authentication – user și parolă, plus un alt element exterior pe care numai userul autorizat ar putea să îl cunoască) pentru GitHub.

Accesul neautorizat la aceste date a început pe 13 octombrie 2016 și a ținut până pe 15 noiembrie 2016.

Întrucât printre persoanele fizice vizate se aflau și cetățeni români, ANSPDCP a sancționat în luna mai 2018 (cu doar câteva zile înainte de aplicarea GDPR), în urma unei investigații care s-a întins pe câteva luni, compania UBER SYSTEMS ROMÂNIA S.R.L. cu amendă și cu sancțiunea complementară de a notifica cei 30.000 utilizatori cu privire la breșa de securitate din anul 2016 și de a plăti amenzi cominatorii în cuantum de 5.000 lei/zi întârziere până la notificarea efectivă a utilizatorilor.

 

 

Uber a atacat procesul-verbal de constatare a contravenției în instanță și a câștigat la Judecătoria Sectorului 1 București. ANSPDCP a formulat apel împotriva hotărării și a pierdut la Tribunalul București. Pentru că în acest caz sunt informații importante despre interpretarea normelor privitoare la protecția datelor cu caracter personal, în continuare, vom prezenta sintetic apărările Uber, apărările ANSPDCP și concluziile instanței de judecată.

 

Apărările Uber pe scurt

1. Uber Systems Romania SRL nu poate fi trasă la răspundere pentru eventualele breșe de securitate, deoarece nu este operator de date, ci o persoană împuternicită a operatorului de date UBER BV cu sediul în Olanda. Conform argumentelor Uber, compania UBER BV cu sediul în Olanda este operatorul de date inclusiv pentru utilizatorii din România. Uber a detaliat mecanismul contractual prin care a reușit să scoată Uber Systems Romania SRL din sfera răspunderii în România:

„În ceea ce privește protecția datelor cu caracter personal ale utilizatorilor aplicației Uber, operatorul de date cu caracter personal este Uber BV pentru toți utilizatorii – Călători și Șoferi – care se află în afara Statelor Unite ale Americii (așa cum rezultă inclusiv din Termenii și Condițiile de folosire a aplicației)..

Ca urmare, Uber BV este operatorul care colectează și care ulterior prelucrează datele cu caracter personal ale utilizatorilor aplicației, inclusiv ale utilizatorilor de pe teritoriul României, în special deoarece aceste este singurul deținător al licenței de utilizare a aplicației Uber în afara Statelor Unite. Colectarea și prelucrarea datelor cu caracter personal se realizează în scopurile și în conformitate cu Politica de Confidențialitate a Uber BV.

 

Te-ar putea interesa și:

 

În ceea ce o privește pe Uber Systems România, activitatea acesteia nu are o implicare directă în operarea propriu-zisă a aplicației Uber. Uber Systems România realizează activități de marketing și suport pentru Uber B.V. (…)

Așadar, Uber Systems România nu este operator de date cu caracter personal în ceea ce privește utilizatorii aplicației. Uber Romania oferă anumite servicii de asistență pentru Uber B.V., respectiv asistență pentru clienți și marketing, și acționează în calitate de persoană împuternicită de către operator pentru Uber B.V. în acest scop specific.

Acest aspect rezultă din Acordul de procesare a datelor din data de 31.03.2016 încheiat între Uber BV și afiliații săi, printre care și Uber Systems România , care stipulează foarte clar:

a) Uber BV este operatorul de date cu caracter personal al utilizatorilor din afara teritoriilor Statelor Unite ale Americii; acesta este de asemenea și exportator al datelor personale colectate, date pe care afiliații acestuia urmează să le proceseze în conformitate cu Contractul și cu standardele Uber BV (așa cum rezultă din preambulul Acordului și din Anexa 1 la Clauzele contractuale standard anexate Acordului);

b) că Uber Systems Romania este doar persoană împuternicită să prelucreze date cu caracter personal după instrucțiunile Uber BV;, operațiunile de prelucrare și scopul acestora sunt descrise în Acord (în special Anexa 1 la Clauzele contractuale standard anexate Acordului);

c) care sunt datele cu caracter personal exportate, scopul și modul prelucrării acestora (Clauza 3 și Anexa 1 la Contract, astfel cum a fost ulterior completată);

d) care sunt drepturile utilizatorilor aplicației (persoanele vizate de la care se colectează datele) față de UberBV, față de afiliații acestuia și inclusiv față de subcontractorii agreați (Clauza 3 a Contractului) și cum se exercită acestea.”

Din păcate, instanța a admis plângerea contravențională pe altă argumentație, și nu a răspuns la această apărare, considerând-o ca nerelevantă pentru soluționarea cauzei, dar a oferit un indiciu important: „Referitor la apărările intimatei în sensul că a admite că Uber Systems ROMANIA S.R.L. nu este responsabilă de modalitatea de prelucrare a datelor si implicit de asigurarea securității acestora, înseamna a se ajunge în situația în care societatea nu ar raspunde sub nicio formă pentru încălcarea legilor romane privind protecția datelor, în măsura în care operatorul este situat în afara Romaniei, deși prelucreaza datele persoanelor fizice situate pe teritoriul Romaniei, prin mijloace de comunicatii electronce va fi înlăturată ca nerelevantă, întrucât în cauză s-a pus în discuție doar raspunderea contravențională a societății petente.”

KIT GDPR Premium

 

2. Dispozițiile Legii nr. 506/2004 (legea în baza căreia s-a sancționat) nu sunt aplicabile întrucât nici Uber BV nici Uber Systems România deoarece aceștia nu sunt furnizori deservicii de comunicații electronice destinate publicului.”

Este foarte important a se face distincția între servicii ale societății informaționale, pe de o parte, și servicii de comunicații electronice, pe de altă parte.

Referitor la cadrul normativ național, petenta a arătat că activitatea de furnizare de rețele si servicii de comunicații electronice este reglementata la nivelul legislației primare de către Ordonanța de urgenta a Guvernului nr. 111/2011 privind comunicațiile electronice, aprobata, cu modificări si completări, prin Legea nr. 140/2002, cu modificările si completările ulterioare („OUG nr. 111/2011”). De altfel, dispozițiile art. 2 alin. (2) din Legea nr. 506/2004 fac trimitere expresa la definițiile relevante prevăzute in cuprinsul OUG nr. 111/2011, inclusiv “rețea de comunicații electronice” (art. 4 alin. (1) pct. 6 din OUG nr. 111/2011), “furnizor de rețele de comunicații electronice” (art. 4 alin. (1) pct. 8 din OUG nr. 111/2011) si “serviciu de comunicații electronice” (art. 4 alin. (1) pct. 9 din OUG nr. 111/2011).

Se observa, așadar, ca, pentru a dobândi calitatea de furnizor de retele/servicii de comunicații electronice, este necesara transmiterea unei notificări către Autoritatea Naționala pentru Administrare si Reglementare in Comunicații (“ANCOM”).  Textul partii introductive a art. 6 alin. (1) din OUG nr. 111 /2011 face referire la “orice persoana care intenționează sa furnizeze rețele de servicii de comunicații electronice”, care “are obligația să transmită ANCOM o notificare (…)”, ceea ce inseamna ca, in lipsa/anterior transmiterii unei notificări către ANCOM, persoana respectiva nu are calitatea de furnizor de retele/servicii de comunicații electronice. De asemenea, transmiterea notificării se realizeaza “in scopul realizării unei evidente oficiale a furnizorilor”, calitatea de furnizor de retele/servicii de comunicații electronice avand-o, deci, persoanele care sunt inscrise in evidenta oficiala realizata de ANCOM pe baza notificărilor transmise.

Având in vedere, printre altele, dispozițiile art. 6 si art. 8 din OUG nr. 111 /2011, președintele ANCOM a emis Decizia nr. 987/2012 privind regimul de autorizare generală pentru furnizarea rețelelor și a serviciilor de comunicații electronice. Acest act normativ reglementează atat procedura de notificare a intenției de a furniza retele/servicii de comunicații electronice, cat si drepturile si obligațiile generale ale persoanelor care au dobândit calitatea de furnizor de rețele/servicii de comunicarii electronice în urma transmiterii notificarii (autorizația generală).

Potrivit dispozițiilor art. 8 alin. (1) din Decizia nr. 987/2012, „Solicitantul care a realizat notificarea în termenul și în condițiile prevăzute de prezenta decizie este considerat furnizor de rețele sau de servicii de comunicații electronice pentru tipurile de rețele ori de servicii de comunicații electronice indicate în notificare, denumit în continuare furnizor, și dobândește drepturile și obligațiile specifice prevăzute de autorizația generală pentru tipurile de rețele sau de servicii de comunicații electronice indicate în notificare, de la data prevăzută la art. 5 alin. (4) sau (5), după caz.” .

Așadar, calitatea de furnizor de r etele/servicii de comunicații electronice este dobândita de solicitantul care a transmis notificarea cu respectarea termenelor si cerințelor legale, in lipsa transmiterii notificării neexistand calitatea de furnizor de retele/servicii de comunicații electronice. De altfel, textul art. 8 alin. (1) din Decizia nr. 987/2012 si interpretarea acestuia sunt in deplin acord cu prevederile art. 6 alin. (1) din OUG nr. 111/2011, citate in cuprinsul paragrafului 73 de mai sus, si cu interpretarea ce rezulta din acestea, menționata in cuprinsul aceluiași paragraf.

Astfel, calitatea de furnizor de servicii de comunicații electronice este detinuta de persoanele inscrise in Registrul public al furnizorilor de retele/servicii de comunicații electronice, disponibil pe pagina de internet http://www.ancom.org.ro/furnizoricomunicatii-electronice_133, inscriere care se realizeaza in urma transmiterii unei notificări cu respectarea termenelor si cerințelor legale. Or, U___ nu este inscrisa in registru si, ca urmare, nu are calitatea de furnizor de servicii de comunicații electronice.

A menționat ca, potrivit dispozițiilor art. 142 pct. 1 din OUG nr. 111 /2011, “furnizarea rețelelor sau a serviciilor de comunicații electronice de către o persoană care nu este autorizată în condițiile art. 6 pentru acel tip de activitate” constituie contravenție.

In orice caz, pentru evitarea oricărui dubiu, petenta a aratat ca, in subsidiar, U___ nici nu avea obligația de a transmite ANCOM notificarea prevăzută la art. 6 din OUG nr. 111/2011, intrucat serviciile furnizate de U___ nu reprezintă servicii de comunicații electronice.

Petenta a susținut că serviciile furnizate de Uber nu reprezintă servicii de comunicații electronice.”

Instanța de judecată a considerat întemeiată această apărare, considerând că Uber nu poate fi subiect activ al faptei contravenționale de a nu notifica persoanele vizate afectate în temeiul Legii nr. 506/2004, deoarece nu are calitatea de furnizor de servicii de comunicații electronice. 

„În ceea ce privește considerarea petentei drept un furnizor de servicii de comunicații electronice care ar consta în întregime/în principal în transmiterea semnalelor prin rețelele de comunicații electronice, prin intermediul internetului, instanța constată că nu s-a făcut dovada că activitatea petentei constă în transmiterea semnalelor prin rețele de comunicații electronice.

Sub acest aspect, instanța constată că nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu prestarea unor servicii prin care se furnizează conținutul informației transmise prin intermediul rețelelor. De asemenea, nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu  serviciile societății informaționale, care potrivit art.1 lit.(c) din Legea nr.365/2002, constau în efectuarea unui serviciu prin transmiterea informației la cererea individuală a destinatarului.”

În concluzie, considerând această apărare întemeiată, instanța a admis plângerea contravențională și a anulat procesul verbal de contravenție și nu s-a mai pronunțat cu privire la temeinicia celorlalte apărări Uber, considerându-le nerelevante. Hotărârea instanței a rămas definitivă prin respingerea apelului declarat de către ANSPDCP.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



hands-digital-watches-boys-watch-time-wrist-orientation-is-punctual_24883-1503.jpg

Deseori prezentat drept o alternativă la smartphone-uri, ceasul conectat pentru copii se numără printre tendințele începutului anului școlar. 

Ceasurile inteligente pentru copii reprezintă aproape jumătate din piața mondială a ceasurilor conectate!

Ceasurile inteligente prezintă, în general, următoarele funcționalități:

  • comunicarea cu copilul (mesagerie, telefon), chiar primirea unui SMS, datorită unei cartele SIM integrate;
  • cunoașterea exactă a locației copilului, cu o alertă dacă acesta se îndepărtează de la drumul către școală sau de la o zonă determinată, grație unui dispozitiv de tip GPS;
  • măsurarea în timp real a sănătății copilului, grație unor senzori (ritm cardiac);
  • încurajarea copilului să facă sport, să facă mișcare, grație unui indicator (tracker) de activitate (număr de pași);
  • relaxarea copilului cu funcții de fotografiere, jocuri și aplicații (meteo).

Ce întrebări ar trebui să-și pună familia?

1.Analizați avantajele practice având în vedere riscurile în caz de abuz

Acest obiect conectat este deseori prezentat de producători ca un mijloc de a se asigura în timp real că copilul nu se găsește într-o situație anormală. Indicatorii fiziologici, sociali sau spațiali pe culoarea verde liniștesc părinții care, astfel, pot oferi mai multă autonomie copilului lor.

Însă utilizarea nerezonabilă a unui ceas conectat în cazul unui copil poate avea și consecințe nefaste, cum ar fi:

  • limitarea capacității sale de a învăța singur și de a analiza riscurile: de exemplu, anticiparea unui pericol în locul copilului dacă indicatorii sunt negativi;
  • interferența excesivă în intimitatea sa socială sau corporală: de exemplu, supravegherea modului în care copilul interacționează în recreație sau a modului în care se comportă în clasă sau în timpul unui examen;
  • afectarea raportului de încredere și a dialogului pe care le are cu părinții săi: de exemplu, generarea unui sentiment de supraveghere 24/24 care determină copilul să se autocenzureze;
  • asocierea protecției vieții sale private cu un sentiment de culpabilitate.

 

 

2. Adaptați-vă nevoile pentru a minimiza impactul asupra vieții private a copilului

Pentru a ține cont cel mai bine de impactul asupra vieții private a copilului, este necesară evaluarea funcționalităților propuse în funcție de nevoi și de riscuri:

  • Geolocalizarea în timp real este foarte invazivă și prezintă riscuri importante dacă persoane rău intenționate o deturnează. Astfel, este posibilă dezactivarea geolocalizării atunci când nu este utilă sau dorită? Un simplu ceas comunicant nu ar fi suficient?
  • Posibilitatea de a comunica direct cu copilul poate fi, de asemenea, deturnată de o terță persoană. Tipul de canal de comunicare propus răspunde nevoii garantând o securitate suficientă? Un simplu telefon nu este oare mai potrivit?
  • Dacă utilizarea este legată mai ales de activitatea sportivă, este oare necesară o comunicare la distanță în timp real? Un simplu „tracker de activitate” ar putea fi suficient?

Pe scurt, fiți atenți la ceasurile inteligente de tip „all-in-one” care colectează multe informații despre copii (și despre părinții lor) fără să răspundă în mod necesar la o nevoie reală.

3. Vorbiți cu copilul dumneavoastră de îndată ce viața sa privată este afectată

Potrivit unei recomandări din anul 2011, grupul CNIL-urilor de la nivel european a subliniat că „nu ar trebui niciodată să se întâmple ca, din motive de securitate, copiii să fie supuși unei supravegheri excesive care le limitează autonomia” și aceasta chiar din partea persoanelor din familia lor. De altfel, dacă părinții consideră că utilizarea unei astfel de aplicații este justificată în anumite circumstanțe, „copiii trebuie să fie informați în acest sens și trebuie să poată participa, dacă acest lucru este posibil în mod rezonabil, la decizia de a utiliza o astfel de aplicație”.

Ce să facem înainte de a cumpăra?

  • Informați-vă înainte de a cumpăra eventual un astfel de dispozitiv:
  • Manifestați neîncredere față de ceasurile ieftine! O jucărie conectată oferită la un preț scăzut poate afecta viața privată și propune soluții tehnice puțin sau necorespunzător securizate.
  • Citiți Politica de confidențialitate și Termenii și Condițiile. Condițiile de utilizare sunt în limba română și sunt inteligibile? Datele sunt reutilizate în alte scopuri sau sunt transmise partenerilor? Datele sunt stocate în Europa sau într-o țară terță unde protecția datelor nu este la fel de bine garantată? ? Există date sau o adresă de contact a producătorului pentru a vă exercita  drepturile privind datele cu caracter personal?
  • Securitatea înainte de toate! Putem să controlăm datele colectate, să dezactivăm anumite funcții, cum ar fi geolocalizarea? Putem să protejăm accesul la aparat și la serviciile asociate (aplicație de mobil, site web) folosind o parolă puternică sau un mod de autentificare suplimentar?

În caz de dubiu, preferați o achiziție fizică la comercianții specializați care pot să vă dea posibilitatea să testați ceasurile inteligente și vă pot oferi sfaturi tehnice. De asemenea, consultați standurile de încercare propuse de asociațiile de consumatori, comentariile utilizatorilor de internet din magazinele de aplicații și, în general, forumurile de utilizatori.

Sursa CNIL

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



metal-security-lock-with-password-computer-keyboard_35355-5620.jpg

Atunci când permitem unei persoane accesul la un sistem informatic (cel personal) prin intermediul anumitor sisteme, trebuie să avem în vedere și faptul că informațiile accesate pot să fie stocate și utilizate cu încălcarea prevederilor legale. Informațiile obținute printr-o asemenea procedură intră în sfera ilicitului, în mod special atunci când vizează modificări semnificative și urmăresc limitarea accesului persoanei la propriu sistem informatic. O atare situație este reflectată la nivel jurisprudențial național, purtând denumirea de acces fără drept la un sistem informatic în scopul obținerii de date informatice prin încălcarea măsurilor de securitate. În această situație, atunci când instanțele de judecată constată săvârșirea infracțiunii de accesare fără drept la un sistem informatic în scopul obținerii de date informatice prin încălcarea măsurilor de securitate, dispun măsurile necesare pentru sancționare și pentru reparare a prejudiciului produs.

Ce presupune accesul fără drept la un sistem informatic?

În legislația națională, accesul fără drept la un sistem informatic constituie infracțiune. Această infracțiune se pedepsește, conform Codului penal român, cu închisoarea de la 3 luni la 3 ani sau cu amendă. Conform art. 360, alin. (2) din Codul penal, atunci când accesul fără drept la un sistem informatic se realizează în scopul obținerii datelor informatice ale persoanelor, pedeapsa închisorii crește considerabil, de la 6 luni la 5 ani. Pentru săvârșirea faptei cu privire la un sistem informatic la care accesul este fie interzis, fie restricționat anumitor categorii de utilizatori, pedeapsa aplicabilă este închisoarea de la 2 la 7 ani.

 

 

Jurisprudență națională: accesul la un sistem informatic prin Team Viewer

În materie penală, vom avea în vedere Sentința nr. 1794/2013 pronunțată de Judecătoria Focșani în dosarul nr. 6981/231/213, ce face referire la accesul la un sistem informatic prin intermediul aplicației Team Viewer. Pornind de la situația de fapt, aflăm că în data de 29.01.2013 partea vătămată a oferit acces la distanță, prin intermediul calculatorului personal (instalat la domiciliul său, conectat la Internet prin aplicația Team Viewer) unei alte persoane neidentificate. Pe această din urmă persoană o cunoștea prin intermediul rețelelor de profil de pe Internet.

Persoana neidentificată și-a oferit ajutorul pentru instalarea de la distanță a unor aplicații în sistemul informatic al persoanei vătămate, prin intermediul Team Viewer. Persoana avea astfel acordul persoanei vătămate pentru instalarea aplicației Team Viewer, în scopul dezvoltării de la distanță a unor operațiuni de joc pe un anumit site (a se vedea în acest sens platforma legeaz.net). În această situație, în sistemul informatic al persoanei vătămate a fost instalată și o altă aplicație informatică cu rolul înregistrării datelor introduse de la tastatură și transmiterii lor către o destinație stabilită. Mai mult, persoana care s-a ocupat de instalare a modificat anumite setări dintr-un browser pentru facilitarea transmiterii datelor informatice către un server extern. După instalare, persoana vătămată nu a mai putut accesa contul personal de pe un anumit site, parola sa fiind schimbată. Totodată, aceasta a observat că anumite e-mail-uri primite pe o adresă electronică au fost șterse, în mod inexplicabil.

În urma efectuării de percheziții la domiciliul persoanei care efectuase instalarea, s-a identificat un sistem informatic de tip desktop, alături de 30 de medii de stocare a datelor informatice, dar și aplicația Team Viewer, împreună cu aplicația instalată în sistemul informatic al persoanei vătămate. În plus, s-au găsit fișiere ce conțineau date privind conturi și parole, metode de trecere a măsurilor de siguranță ale mai multor persoane.

Cu privire la efectuarea perchezițiilor asupra inculpatului, Codul de procedură penală al României prevede o modalitate specială de efectuare a acestora asupra sistemului informatic, denumită percheziția informatică. Conform art. 168 din Codul de procedură penală, percheziția în sistem informatic sau a unui suport de stocare a datelor informatice presupune:

  • Un procedeu de cercetare, descoperire, identificare, strângere a probelor care sunt stocate într-un sistem informatic sau care sunt stocate într-un suport de stocare a datelor informatice;
  • Un procedeu realizat prin mijloace tehnice și proceduri adecvate;
  • Un procedeu de natură să asigure integritatea informațiilor conținute.

Măsura se dispune în cursul urmăririi penale de către judecătorul de drepturi și libertăți.

Ca urmare a efectuării perchezițiilor și a descoperirii faptului că inculpatul deținea informațiile din sistemul informatic al persoanei vătămate, instanța a dispus aplicarea pedepsei cu închisoarea pentru săvârșirea infracțiunii de accesare fără drept la un sistem informatic în scopul obținerii de date informatice prin încălcarea măsurilor de securitate (a se vedea în acest sens platforma legeaz.net). Pedeapsa aplicată a fost suspendată condiționat pe durata unui termen de încercare de 3 ani și 4 luni. De asemenea, au fost confiscate sistemele de stocare a datelor.

La ce trebuie să fim atenți atunci când acordăm acces unei persoane la sistemul informatic propriu?

Deși relațiile interumane trebuie să fie guvernate de principiul bunei-credințe, în sfera online acest principiu își pierde sensul. Practic, a acorda acces la propriul sistem informatic unei persoane a cărei identitate este necunoscută este considerat fie un act de curaj, fie un act de inconștiență. Atunci când acordăm acces unei persoane la sistemul informatic propriu, trebuie să ținem cont de:

  • Posibilitatea de identificare a persoanei care are acces direct la propriul sistem informatic;
  • Evitarea pe cât posibil a utilizării aplicațiilor care conferă acces nelimitat la propriul sistem informatic;
  • Păstrarea caracterului confidențial al datelor personale precum: adrese de e-mail, parole de acces, date de contact;
  • Apelarea la specialiști în domeniu, în situații care conferă acces nelimitat la propriul sistem informatic;

Concluzionând, în urma situațiilor expuse (inclusiv de la nivel jurisprudențial), persoanele trebuie să acorde atenție sporită oricărui tip de acces la propriul sistem informatic.

KIT GDPR Premium

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



GDPR.jpg

Atunci când suntem în situația de a avea acces la date cu caracter personal, trebuie să respectăm în mod categoric Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). Cu atât mai mult în situația în care trebuie să realizăm protecția acestor date, prevederile Regulamentului trebuie să fie aplicate cu strictețe.

Cum trebuie realizată prelucrarea datelor cu caracter personal?

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) instituie principiile necesare spre a fi respectate în procesul de prelucrare a datelor cu caracter personal. Conform acestuia, datele cu caracter personal vor fi prelucrate în maniera următoare:

  • Cu respectarea principiului legalității;

Atare principiu este reflectat atât la nivel național, cât și la nivel internațional, în doctrină și în jurisprudență. Legalitatea impune faptul ca orice procedură să fie făcută în temeiul și cu respectarea dispozițiilor prevăzute de lege.

  • În mod echitabil și transparent față de persoana vizată;

Echitatea și transparența sunt două principii importante pe care prezentul Regulament le tratează. Conform acestora, prelucrarea se va face în mod echitabil, adică în manieră dreaptă, justă, dar și în mod transparent, asigurând accesul facil al persoanei vizate și informarea sa.

Cu privire la procesul de colectare a datelor cu caracter personal, acesta se va realiza:

  • În scopuri determinate;
  • În scopuri explicite;
  • În scopuri legitime;
  • Fără posibilitatea de prelucrare ulterioară în mod incompatibil cu alte scopuri.

! Prelucrarea datelor cu caracter personal realizată în scopuri de arhivare în interes public, în scop de cercetare științifică, istorică, sau în scopuri statistice, nu este considerată a fi incompatibilă cu scopurile inițiale.

 

 

Datele supuse procesului de prelucrare trebuie să fie relevante, dar și adecvate. Ele trebuie să se limiteze la ceea ce este necesar în funcție de scopul prelucrării. Totodată, ele trebuie să fie exacte și numai în situațiile în care se impune, ele se vor actualiza.

Protecția datelor cu caracter personal se va materializa numai în situația în care datele:

  1. Sunt păstrate într-o formă ce permite identificarea persoanelor vizate, dar numai pe o perioadă ce nu o depășește pe cea ncesară îndeplinirii scopurilor în care sunt prelucrate datele. Acest fapt nu exclude însă posibilitatea de prelungire a perioadelor de stocare, dacă datele sunt prelucrate în mod exclusiv în scopuri de arhivare în interes public, de cercetare (fie istorică, fie științifică) sau în scopuri statistice. Condiția ce trebuie respectată în acest din urmă caz este reprezentată de aplicarea unor măsuri de ordin tehnic și organizatoric adecvate. Aplicarea trebuie realizată pentru garantarea drepturilor și libertăților persoanelor vizate;
  2. Sunt prelucrate într-un mod prin care se asigură securitatea ,,adecvată” a datelor cu caracter personal. Acest fapt inlcude protecția împotriva prelucrării neautorizate sau ilegale. Datele vor fi prelucrate și protejate împotriva pierderii, distrugerii ori deteriorării accidentale. În acest scop se vor lua atât măsuri tehnice, cât și măsuri organizatorice care să fie corespunzătoare (a se vedea în acest sens eur-lex.europa.eu, Regulamentul(UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

 

Te-ar putea interesa și:

 

Responsabilitatea prelucrării datelor revine operatorului, care poate în orice situație să demonstreze că a respectat prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

KIT GDPR Premium

 

Prevederi speciale cu privire la prelucrarea datelor cu caracter personal

La nivel intern, prelucrarea datelor cu caracter personal este prevăzută în Codul civil român. Conform art. 77 din Codul civil român, orice prelucrare de date cu caracter personal se va putea face numai în cazurile și condițiile prevăzute de legea specială. Prelucrarea se poate realiza în accepțiunea legiuitorului român prin mijloace automate sau neautomate.

De asemenea, prin aplicarea prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), prelucrarea datelor cu caracter personal trebuie:

  • Să fie făcută în serviciul cetățenilor;
  • Să respecte normele aplicabile în materie de protecție a datelor în conformitate cu scopurile prelucrării, atunci când este realizată de către autoritățile publice;
  • Să fie legală și echitabilă;
  • Să aibă un temei în dreptul Uniunii sau în dreptul intern, atunci când prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care face parte din exercitarea autorității publice;
  • Să fie făcută cu prevederea modalităților de facilitare a exercitării de către persoana vizată a drepturilor care îi sunt conferite, cuprinzând totodată și mecanismele prin care persoana poate solicita accesul la datele sale cu caracter personal, dar și la rectificarea, ștergerea și exercitarea dreptului la opoziție (a se vedea în acest sens eur-lex.europa.eu, Regulamentul(UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)).

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



lock-key_0.png

La începutul acestei luni, Autoritatea de Supraveghere din UK (ICO) a publicat instrucțiuni de securitate în Ghidul GDPR. Instrucțiunile se concentrează în special pe criptare și parole. Aceastea indică ce trebuie făcut în procesul de implementare și conțin informații “așa da” și “asa nu” foarte utile.

Criptarea

Articolul 32 din GDPR prevede criptarea ca exemplu de măsură tehnică și organizatorică adecvată. Ghidul specifică patru lucruri care trebuie luate în considerare atunci când implementăm criptarea:

  1. Aceasta trebuie să fie adecvată și ar trebui evaluată periodic pentru a rămâne adecvată;
  2. Dimensiunea cheii. Aceasta ar trebui să fie suficient de mare pentru a asigura protecția împotriva atacurilor, iar aprecierea acesteia ar trebui evaluată în mod regulat;
  3. Software-ul. ICO afirmă că acesta trebuie să respecte standardele actuale, cum ar fi FIPS 140-2 și FIPS 197; și
  4. Securitatea cheii. Cheile trebuie să fie păstrate în siguranță și companiile trebuie să aibă procese în vigoare pentru a genera noi chei atunci când este necesar.

ICO clarifică faptul că, în funcție de contextul incidentului, trebuie pornită acțiunea de reglementare atunci când datele sunt pierdute sau distruse și nu au fost criptate.

Parolele

Deși GDPR nu include prevederi specifice referitoare la parole, acestea reprezintă un mijloc utilizat în mod obișnuit pentru a asigura accesul la sistemele care prelucrează date cu caracter personal. Îndrumările se concentrează asupra stocării parolelor, a modului în care utilizatorii trebuie să trimită parole, cereri de parole, expirare, resetări și apărare împotriva atacurilor.

 

Principalele puncte din instrucțiunile ICO includ:

  1. Parolele nu ar trebui să fie stocate într-un simplu text. Trebuie utilizat un algoritm de ștergere sau un alt mecanism adecvat.
  2. Parolele nu ar trebui să fie rulate prin algoritmi de tip hash, cum ar fi MD5 și SHA1, deoarece acestea nu sunt potrivite pentru protecția prin parolă datorită punctelor slabe de securitate cunoscute. Hashing-ul trebuie să fie efectuat pe partea de server.
  3. Utilizatorii ar trebui să introducă parolele lor pe paginile de conectare care sunt protejate cu HTTPS sau o protecție echivalentă, iar hash-ul ar trebui să fie efectuat de către server.
  4. Cu excepția cazului în care este absolut necesar, singurele restricții care trebuie aplicate parolelor sunt o lungime minimă a parolei și introducerea pe lista neagră a parolelor comune, slabe. Caractere speciale trebuie să fie permise, însă nu obligatorii.
  5. Încercările de conectare ar trebui limitate. Natura limitărilor ar trebui să se bazeze pe comportamentul observat și pe circumstanțele organizației dvs.

De asemenea, instrucțiunile evidențiază o serie de practici despre care, în mod eronat, se crede că sporesc securitatea. În schimb, ICO recomandă următoarele:

  1. Utilizatorilor nu trebuie să le fie împiedicată introducerea parolelor în câmpul de parolă. În loc de a spori securitatea, acest lucru împiedică utilizatorii să poată folosi în mod eficient administrarea de parole.
  2. Sistemele nu ar trebui să impună cerințe inutile asupra parolelor, deoarece aceasta îi determină pe utilizatori să repete parolele din alte conturi, să creeze parole slabe sau să-și uite parolele, toate acestea îngreunând inutil procesul de resetare a parolelor.
  3. Parolele ar trebui resetate numai dacă există motive întemeiate pentru a face acest lucru, cum ar fi încălcarea datelor cu caracter personal. Expirarea regulată încurajează utilizatorii să creeze o serie de parole slabe.

 

https://www.lexology.com/library/detail.aspx?g=699bd516-762d-4f28-8677-57542e82b642&utm_source=lexology%20daily%20newsfeed&utm_medium=html%20email%20-%20body%20-%20general%20section&utm_campaign=lexology%20subscriber%20daily%20feed&utm_content=lexology%20daily%20newsfeed%202018-11-09&utm_term=&fbclid=IwAR2hRh9TBnhy4Aevd_PabP9zOuvxZKLzCaQSI1ZJGbncTNhZZFpFxbGrOd4

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/security/encryption/

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/security/passwords-in-online-services/


privacy-10x10-FB-1200x1200.jpg

Spitalul Barreiro din Portugalia a fost amendat cu 400.000 de euro de către Autoritatea portugheză pentru protecția datelor pentru nerespectarea Regulamentului UE privind protecția generală a datelor (GDPR) prin faptul că nu a separat drepturile de acces la datele pacientilor.

Spitalul din sectorul public a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective.  Mai mult, datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital, iar mecanismele de autentificare a accesului au fost considerate insuficiente.

 CNPS a afirmat că au fost încălcate principiile integrității și confidențialității, principiul minimizarii datelor pentru a limita accesul la datele clinice ale pacienților și incapacitatea Spitalului de a asigura confidențialitatea și integritatea datelor din sistemul lor (securitatea datelor). Primele două încălcări au au fost amendate cu 150.000 € fiecare, în timp ce a treia a primit 100.000 €, rezultand o amenda totala de 400.ooo euro.

Spitalul a spus faptul ca va contesta decizia.

Sursa aici

Ai nevoie de o Politica de acces prin care sa te asiguri ca accesul la date se desfasoara in mod legal si ca nicio persoana neautorizata nu are acces? O gasesti in kitul nostru de implementare, impreuna cu celelalte politici tehnice si organizatorice necesare.

 


GDPR.jpg

Regulamentul general privind protecția datelor (GDPR) protejează datele personale ale rezidenților UE și a dreptul la viața privată. Oragnizațiile au deadline 25 mai să fie pregătite pentru GDPR. Firmele de recrutare trebuie să trebuie să aibă grijă să fie transparente atunci când prelucrează datele candidaților și să se asigure că respectivii candidați își pot exercita drepturile în cadrul GDPR.

Cerințele GDPR care se referă la recrutare (pe scurt):

Interesul legitim: Trebuie să aveți un interes specific, explicit și legitim pentru colectarea datelor candidatului. Pentru categoriile obișnuite de date nu aveți nevoie de consimțământ, însă trebuie efectuat un test de echilibrare a intereselor.

Consimțământul (pentru date sensibile): Ca firmă, aveți un interes legitim de a prelucra datele candidatului. Trebuie să cereți consimțământul numai dacă aveți nevoie de date sensibile, cum ar fi informații privind starea medicală sau credințele religioase ale candidaților.

Transparență: trebuie să furnizați informații candidaților cu privire la prrelucrare și să le dați posibilitatea să își exercite drepturile.

„Dreptul de a fi uitat”: Trebuie să vă conformați dorinței unui candidat de a șterge propriile date din toate sistemele în cel mult o lună.

Dreptul de a accesa și de a rectifica datele: Trebuie să vă conformați dorinței unui candidat de a accesa propriile date din toate sistemele în cel mult o lună.

Responsabilitate: Trebuie să vă asigurați că aveți procese de informare adecvată a candidaților și că aveți relații comerciale doar cu parteneri care respect GDPR.

 

Ce trebuie să faceți în cel mai scurt timp:

Auditați fluxul de date

Răspundeți la următoarele întrebări ca parte a auditului:

  • Care sunt sursele de unde colectăm datele personale și cum o facem?
  • Ce fel de date colectăm și cât de mult folosim de fapt?
  • Cum folosim datele personale în operațiunile noastre?
  • Unde stocăm datele și cine are acces la ele?
  • Cum funcționează fluxul de date în cadrul companiei noastre în cadrul proceselor / funcțiilor / departamentelor?
  • Care sunt procesele noastre de partajare, transfer, modificare și ștergere de date?

KIT GDPR Premium

 

Creați o politică de confidențialitate specifică recrutării

Asigurați-vă că includeți

  • Numele și datele de contact ale organizației dvs. și ale DPO, după caz.
  • O explicație a interesului  legitim și o declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri de recrutare.
  • Tipurile de informații despre un candidat care se află în fișierele companiei.
  • Cu cine veți împărți datele.
  • Unde ați găsit datele candidaților.
  • Temeiul legal
  • Cât timp intenționați să stocați datele candidatului.
  • Drepturile candidaților.
  • Cum facilitați exercitarea drepturilor.
  • Cum protejați datele candidatului

O notă de informare/politică de confidențialitate specială pentru candidati o găsiți aici.

 

Modificați practicile de colectare a datelor pentru a vă conforma cu GDPR

Asigurați-vă că:

  • Colectați datele candidatilor pentru scopuri specifice și legitime.
  • Colectați numai cantitatea și tipurile de date absolut necesare pentru scopurile dumneavoastră.
  • Informați candidatul cu privire la colectarea datelor sale în cel mult o lună.
  • Obțineți datele dintr-o sursă legitimă.

Creați un șablon de e-mail pentru a contacta candidații, care trebuie să conțină:

  • un link către politica de confidențialitate pentru recrutare.
  • Numele și datele de contact ale organizației.
  • declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri de recrutare.

 

Asigurați-vă că procesul de aplicare la un job este în conformitate cu GDPR

  1. Solicitați numai datele personale care sunt necesare și relevante pentru respectivul post
  2. Fiți transparent:
  • Menționați că intenționați să utilizați datele lor doar în scopuri de recrutare.
  • Specificați cât timp o să păstrați aceste date.
  • Oferiți link către politica de confidențialitate
  • Asigurați-vă că răspundeți la cererile candidaților cu pririvre la exercitarea drepturilor.

Asigurați-vă că respectați GDPR atunci când respingeți candidații

  • Ștergeți toate datele pe care le aveți despre candidații pe care nu le veți lua în considerare pentru alte roluri.
  • Informați candidații ale căror date doriți să le păstrați că veți continua să le prelucrați datele (dacă le-ați spus că le veți procesa datele numai până când ați completat poziția.)
  • Explicați de ce doriți să păstrați datele candidatului.
  • Menționați cât timp veți păstra datele.
  • Oferiți link politica de confidențialitate.
  • Spuneți candidaților că își pot retrage consimțământul (dacă este cazul) în orice moment.

 

Te-ar putea interesa și:

 

Revizuiți bazele de date existente:

  • Verificați baza de date și dacă este puțin probabil ca un candidat să fie calificat pentru roluri viitoare sau nu mai este relevant, ștergeți datele.
  • Dacă doriți să păstrați un candidat în baza de date, contactați-l pentru a-l informa că îi prelucrați datele.

Asigurați-vă că furnizorii de software sunt conformi GDPR

  • Chestionați furnizorii pentru a vă asigura că sunt conformi GDPR.
  • Cereți-le să semneze acorduri de prelucrare a datelor care îi vor obliga să prelucreze datele candidatului în conformitate cu cerințele GDPR.

Facilitați exercitarea drepturilor candidaților

  • Implementați o politică pentru a facilita exercitarea drepturilor candidaților;
  • Implementați proceduri pentru a permite candidaților să își acceseze datele;
  • Stabiliți procese pentru a șterge, restricționa sau rectifica date.
  • Creați un proces pentru a permite candidaților să își retragă consimțământul, dacă este cazul.
  • Furnizați pe site toate informațiile necesare cu privire la modalitatea în care candidații își pot exercita drepturile.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

În KIT-ul nostru de implementare GDPR, am inclus toate documentele necesare (registre, proceduri, politici, formulare de consimțământ, acorduri de confidentialitate, note de informare) astfel încât să îți protejezi afacerea. Urmând instrucțiunile și ghidurile explicate pe înțelesul tău, îți poți face chiar tu implementarea, evitând costurile consultanței.

 

 



Majoritatea firmelor prelucrează date cu caracter personal referitoare la angajații lor zi de zi. Datele personale prelucrate de firmă pot fi oricare, de la datele de identificare până la informațiile medicale prezentate de angajați pentru a justifica absența. În consecință, majoritatea întreprinderilor vor fi afectate de Regulamentul UE privind protecția generală a datelor (“GDPR”), care va reglementa prelucrarea datelor cu caracter personal atunci când devine direct aplicabil începând cu 25 mai 2018.

Acest articol cuprinde măsuri practice pe care ar trebui să le luați în considerare în ceea ce privește prelucrarea datelor angajaților.

1. Ce este GDPR?

Multe organizații se străduiesc să evalueze unde ar trebui să înceapă în ceea ce privește pregătirea pentru GDPR. Este util să ne amintim că am avut legislație privind protecția datelor în România încă din 2001 și, prin urmare, firmele care au respectat în mod serios respectarea protecției datelor sunt deja în bună formă pentru a îndeplini standardele de respectare a standardelor GDPR. GDPR se bazează și consolidează multe dintre cerințele și principiile existente privind protecția datelor în conformitate cu legislația actuală privind protecția datelor. GDPR ar trebui văzută ca o oportunitate de a revizita nivelul de protecție a datelor de către firma.

Începând cu 25 mai 2018, GDPR va înlocui Directiva din 1995 privind protecția datelor, care este legislația UE, pe care se bazează principala legislație română privind protecția datelor, Legea 677/2001. GDPR, fiind un Regulament, se va aplica direct în România, indiferent că se adoptă sau nu o lege națională.

2. „Consimțământul” în contractele de muncă

Ca și în cazul actualei legislații, pentru a prelucra datele personale ale unui angajat, firma are nevoie de o bază legală pentru a face acest lucru. Multe dintre bazele juridice pe care angajatorii le utilizează în prezent pentru a procesa datele cu caracter personal ale angajaților vor continua să existe în cadrul GDPR. Cele mai relevante baze juridice pentru angajatori, atât în ​​cadrul DPA, cât și în GDPR, sunt următoarele:

  • angajatul și-a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru executarea unui contract la care angajatul este parte;
  • prelucrarea este necesară pentru a lua măsuri la cererea angajatului înainte de a încheia un contract;
  • respectarea unei obligații legale;
  • prelucrarea este necesară pentru a proteja ale angajatului; și
  • în scopul intereselor legitime ale firmei.

În practică, constatăm că mulți angajatori tind să se bazeze pe prima bază juridică menționată mai sus pentru prelucrarea datelor, adică consimțământul, care este de obicei luat în contractul de muncă. Pentru ca consimțământul să fie valabil, acesta trebuie, printre altele, să fie „acordat în mod liber”, ceea ce ridică preocupări în contextul ocupării forței de muncă, deoarece este discutabil dacă consimțământul unui angajat este acordat în mod liber pe baza dezechilibrului puterii dintre un angajator și un angajat . Grupul de lucru „Articolul 29″, care este grupul reprezentativ al autorităților UE pentru protecția datelor, a comentat recent că un angajat este rareori în măsură să dea un consimțământ liber.

 

Te-ar putea interesa și: 

 

Un alt punct de reținut atunci când se bazează pe consimțământ este acela că anumite drepturi ale persoanelor vizate pot fi exercitate numai atunci când consimțământul este temeiul juridic, de exemplu dreptul la portabilitatea datelor și așa-numitul „drept de fi uitat”.

Având în vedere dificultățile legate de consimțământ, acum este momentul să te gândești dacă nu cumva firma ta poate invoca baze juridice alternative pentru o anumită prelucrare a datelor cu caracter personal. De exemplu, prelucrarea detaliilor unui angajat în cadrul salarizării ar putea fi întemeiată pe baza legală a executării unui contract cu angajatul. Cu toate acestea, pot exista situații în care consimțământul este singurul temei juridic adecvat pentru a se baza. O astfel de situație poate apărea, de exemplu, în contextul procesării informațiilor medicale ale unui angajat, în cazul în care o asemenea prelucrare nu este cerută de legislația muncii. În cazul în care este necesar să se bazeze pe consimțământul ca temei juridic, consimțământul ar trebui să fie obținut printr-o declarație sau alt document separat de contractul de muncă, care nu este în mod inerent legat de acceptarea de către salariat a locului de muncă în cadrul firmei.

 

 

3. Drepturile angajatului

GDPR introduce noi drepturi pentru persoanele vizate și modifică, de asemenea, unele dintre drepturile existente în cadrul legislației actuale. Un drept modificat pe care multe firme îl pot cunoaște este dreptul de acces al persoanelor vizate, care oferă în mod esențial unei persoane dreptul de a primi o copie a datelor sale personale.

Răspunsul la cerere trebuie să se facă „fără întârzieri nejustificate” și, în orice caz, în termen de o lună de la primirea solicitării.

Acest termen scurt înseamnă că firmele vor trebui să se asigure că au politicile și procedurile în vigoare pentru a se conforma unei cereri de acces primite și că dispune de personal și resurse suficiente pentru a se conforma. Cu toate acestea, în cazul în care o cerere este complexă sau dacă sunt formulate mai multe cereri, atunci termenul poate fi prelungit cu încă două luni, dacă este necesar, cu condiția ca persoana vizată să fie informată cu privire la prelungire și motivele acesteia în termen de o lună de la data la care angajatorul a primit cererea.


4. Responsabilitatea

Responsabilitatea este un principiul fundamental al GDPR. Aceasta impune ca firmele nu numai să respecte GDPR prin implementarea unor măsuri tehnice și organizatorice adecvate și a unor politici adecvate de protecție a datelor, dar trebuie, de asemenea, să poată demonstra conformitatea acestora. Ca atare, acest lucru va implica mai mult decât crearea unor politici de protecție a datelor și a unor registre de prelucrare care să respecte GDPR, ci si punerea în practică a acestor politici.

 

Te-ar putea interesa și:

KIT GDPR Premium

 

5. Informații care trebuie furnizate angajaților

Trebuie furnizate anumite informații angajaților înainte ca datele lor personale să fie colectate și prelucrate de către firmă. Informațiile vor fi în mod obișnuit furnizate sub forma unei notificări adresate candidaților, iar o politică de confidențialitate viitoare va fi furnizată angajaților, de regulă, cu ocazia încheierii contractului de muncă. În cadrul GDPR, vor fi furnizate următoarele informații:

  • numele firmei și datele de contact și numele și datele de contact responsabilului cu protectia datelor, dacă există;
  • scopul (scopurile) prelucrării, precum și temeiurile juridice pentru prelucrare;
  • în cazul în care temeiul juridic al prelucrării se bazează pe interesele legitime ale întreprinderii, aceste interese legitime trebuie identificate;
  • destinatarii sau categoriile de destinatari de date cu caracter personal;
  • dacă firma intenționează să transfere date cu caracter personal unei țări terțe și temeiul juridic al transferului;
  • perioada de păstrare a datelor cu caracter personal și criteriile utilizate pentru determinarea acesteia; modul în care angajații (sau candidații pentru locuri de muncă) își pot exercita drepturile;
  • modul în care angajații (sau candidații pentru locuri de muncă) își pot retrage consimțământul pentru prelucrare, în cazul în care prelucrarea de către firmă se bazează pe consimțământ;
  • dreptul de a depune o plângere autorității de supraveghere a protecției datelor;
  • dacă angajatul (sau candidatul la postul de loc de muncă) este obligat să furnizeze datele cu caracter personal în temeiul unei legi sau al unui contract și consecințele neconformării; și
  • existența procesului de luare a deciziilor automate, inclusiv profilarea, precum și logica și consecințele prelucrării pentru angajat (sau candidatul la un loc de muncă).

Este important să revizuiești informările oferite angajaților și candidaților pentru locuri de muncă, pentru a verifica dacă acestea includ informațiile de mai sus.

Dacă ai nevoie de modele de informare conforme GDPR pentru angajați și candidați le găsești aici, în KIT-ul nostru de implementare. 

 

 

6. Responsabilul cu protecția datelor („DPO”)

O modificare importantă introdusă de GDPR este cerința ca anumiți operatori de date și împuterniciți să numească un DPO. DPO este responsabil de supravegherea conformității unei organizații cu protecția datelor.

Un DPO este obligatoriu atunci când:

  • operatorul este o autoritate publică sau un organism public (cu excepția instanțelor de judecată);
  • operatorii de date și împuterniciții au ca activitate principală o prelucrare “care necesită o monitorizare periodică și sistematică a persoanelor vizate la scară largă”; și
  • operatorii de date și împuterniciții implicați în prelucrarea la scară largă a datelor cu caracter personal sensibile sau a datelor cu caracter personal referitoare la condamnările și infracțiunile penale.

Grupul de lucru “Articolul 29” recomandă ca operatorii și împuterniciții să se informeze dacă este necesar un DPO.

DPO poate să fie intern (angajat) sau externalizat (de exemplu, un avocat) și trebuie să aibă cunoștințe de specialitate privind protecția datelor cu caracter personal. Dacă este angajat, nu poate fi sancționat sau demis pentru îndeplinirea activităților sale. Responsabilul va fi independent în îndeplinirea sarcinilor. Acest lucru trebuie luat în calcul înainte de a numi pe cineva.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 


arhive-securitate-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord