Aici descoperim
dreptul tehnologiei

blonde-influencer-recording-make-up-video_23-2148135466.jpg




Instagram ia poziție față de protecția juridică a fotografiilor, spunând clar într-un e-mail transmis publicației Ars Technica  faptul că nu acordă o licență de utilizare site-urilor atunci când aceștia integrează imagini de pe instagram folosind API-ul pus la dispoziție de Instagram. Anunțul făcut de Instagram a venit ca o surpriză neplăcută pentru utilizatorii care credeau că dacă folosesc API-ul pus la dispoziție de Instagram nu încalcă drepturile de autor ale titularilor conturilor de Instagram.

Totuși, anunțul este o veste bună pentru creatorii de conținut de pe internet deoarece au mai mult control asupra conținutului și o poziție avantajoasă în negocierea contractelor.

Potrivit Instagram, platforma nu oferă licență și cere site-urilor să obțină acordul direct de la titularii drepturilor de autor asupra imaginilor pentru publicare și/sau distribuirea imaginilor, inclusiv atunci când se folosește un API.

În concret, atunci când dorești să integrezi postarea cuiva de pe Instagram într-un articol de pe site-ul tău, trebuie să obții acordul persoanei care deține drepturile de autor (creatorul de conținut). Dacă nu realizezi acest lucru, ai putea încălca drepturile de autor ale titularului și poți fi dat în judecată. În mod corelativ, dacă cineva îți utilizează imaginile fără acordul tău, te poți adresa instanțelor de judecată pentru protecția intereselor și drepturilor tale.

Instagram ia în calcul noi măsuri pentru protecția juridică a fotografiilor și spune că explorează posibilitatea de a da creatorilor de conținut mai mult control asupra fotografiilor. În prezent, utilizatorii de instagram pot bloca integrarea imaginilor lor pe site-uri terțe prin utilizarea funcției contului privat.

Poziția Instagram este conformă cu legislația drepturilor de autor în România (Legea nr. 8/1996) care prevede faptul că trebuie să existe acordul prealabil al titularului dreptului de autor.

 

Te-ar putea interesa și:

KIT GDPR Premium

 

 

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



mobile-phone-opened-google-application_1421-1751.jpg




Potrivit, Thenextweb, Google este dat în judecată și i se cer daune de 5 miliarde de dolari pentru urmărirea utilizatorilor în Chrome – chiar și în modul incognito.

Potrivit Reuters procesul, care a fost înregistrat marți în instanța federală din San Jose, California, acuză compania că a colectat informații despre utilizatori, despre vizitele acestora pe site-uri și paginile pe care le accesează, inclusiv atunci când utilizează modul incognito.

Reclamanții susțin faptul că prelucrarea datelor despre utilizatori prin Google Analytics, Google Ad Manager și alte aplicații asemănătoare ajută compania Google să afle date suplimentare despre contactele cele mai apropiate ale utilizatorilor, hobby-urile, obiceiurile de dietă și chiar date despre cele mai intime informații pe care utilizatorii le caută online.

Google „nu poate continua să se angajeze în colectarea de date ascunse și neautorizate de la aproape fiecare american care are un computer sau un telefon”, susțin reclamanții. Ei solicită despăgubiri de cel puțin 5 miliarde de dolari pentru încălcarea legilor federale ale confidențialității datelor din California pentru „milioane” de persoane care au folosit modul incognito începând cu 1 iunie 2016.




„După cum afirmăm clar de fiecare dată când deschideți o nouă filă incognito, site-urile web ar putea să colecteze informații despre activitatea dvs. de navigare”, a declarat pentru Reuters purtătorul de cuvânt al Google, Jose Castaneda, adăugând compania că are toate mecanismele pentru a se apăra în instanță.

Activiștii pentru viața privată au avertizat de mult timp faptul că Google, Facebook și alți giganți IT colectează date despre utilizatori chiar și atunci când se folosește modul incognito.

Skeptics have long been warning companies like Google and Facebook’s pervasive tracking practices collect data about users even when using incognito mode. Cercetătorii de la Microsoft susțin că site-urile și aplicațiile au coduri de urmărire inserate din alte părți, iar despre aceste practici utilizatorii de internet nu sunt conștienți. „Un astfel de cod„ terț” permite companiilor să monitorizeze acțiunile utilizatorilor fără cunoștința sau consimțământul lor și să construiască profiluri detaliate ale obiceiurilor și intereselor lor. “

Google a mai fost acuzat de personalizarea rezultatelor de căutare în modul incognito de rivalul său, DuckDuckGo care susține că modul incognito nu este atât de anonim așa cum am putea crede.

 

KIT GDPR Premium

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



maxresdefault-1200x675.jpg




Subiectul teroscanării a stârnit controverse în România. Redacția LegalUp.ro a intervievat zece specialiști în protecția datelor cu privire la acest subiect. 

 

1. LegalUp: Este temperatura o dată cu caracter personal? În ce condiții putem spune că termoscanarea implică prelucrarea datelor personale?

 

Silvia Uscov (Avocat, Specialist GDPR și CEDO): „Sunt de părere că temperatura este o dată cu caracter personal, iar ea este calificată astfel și în cele mai recente comunicate ale autorităților pentru protecția datelor din UE. Aceste autorități au atras atenția asupra prelucrării datelor privind sănătatea în contextul termoscanării. Prelucrarea datelor cu caracter personal poate avea loc printr-o mulțime de tehnici, cele mai intruzive fiind cele care presupun și corelarea acestei date cu datele biometrice.”

 

Mirela Morar (Avocat, Specialist GDPR și securitatea informației): „Într-adevăr, există o opinie minoritară la nivelul autorităților privind protecția datelor cu caracter personal referitoare la faptul că ”temperatura corporală nu reprezintă o dată cu caracter personal per se atât timp cât nu este combinată cu alte tipuri de date cu caracter personal” (Autoritatea privind Protecția Datelor din Belgia), dar opinia covârșitoare a autorităților europene privind protecția datelor desemnează temperatura ca fiind o dată cu caracter special, făcând referire la sănătatea persoanei.

În primă instanță, am tins spre opinia Autorității privind Protecția Datelor din Belgia, considerând temperatura o dată variabilă care, colectată singură, nu poate fi considerată dată cu caracter personal. Am considerat inițial că această temperatură nu prezintă relevanță până la momentul depășirii valorii de 37.3 grade Celsius, când persoana devine suspect de infectare cu COVID-19 și poate fi obligat la comunicarea altor date cu caracter personal; implicit, poate fi supus unor discriminări atât pe termen scurt cât și pe termen mediu. Totuși, am revenit asupra opiniei mele destul de repede – Acum consider temperatura corporală o dată cu caracter special pentru că aceasta poate confirma/infirma starea de sănătate a unei persoane fizice la un moment dat.

Potrivit art. 4 pct. 15 din Regulamentul UE 2016/679 sunt considerate date privind sănătatea orice date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia”; Așadar, apreciez că simpla catalogare a unei persoane ca fiind sănătoasă/nesănătoasă e o dată cu caracter personal, legea nu face diferențiere asupra acestui aspect. Chiar dacă o persoană este considerată sănătoasă și nu pare a exista riscul unei discriminări,  nu schimbă faptul că datele sale tot au fost supuse unei prelucrări de date.

Consider că simpla măsurare a temperaturii corporale este o prelucrare de date întrucât este o colectare de informații, chiar dacă nu este înregistrată. Potrivit art. 4 pct. 2 din Regulamentul UE 2016/679, prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea (…);

În plus, persoană vizată poate fi orice persoană fizică identificată sau identificabilă. Sub acest aspect, tind să afirm că, atât timp cât persoana responsabilă cu efectuarea triajului epidemiologic privește persoana a cărei temperatură o măsoară, o poate identifica în circumstanțe ulterioare, în caz de necesitate; la fel se pune problema camerelor termografice cu soft integrat sau alte soluții tehnice. Adițional, această prelucrare, dacă este dublată de supravegherea video sporește gradul de identificare a persoanei. Deci, doar în condiții neverosimile, în care nu s-ar identifica caracteristicile fizice ale unei persoane fizice prin niciun mijloc tehnic și de către nicio persoană, ar putea fi considerată o neprelucrare a datelor.”

 

Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): „Da, consider că temperatura corpului este o dată cu caracter personal referitoare la sănătatea persoanei, pentru motivele expuse anterior și preluând opinia CNIL (Autoritatea de supraveghere din Franța). De asemenea, temperatura poate deveni parte integrantă dintr-un sistem biometric, atunci când este corelată cu alte date biometrice precum imaginea facială sau imaginea retinei. Un exemplu relevant pentru această situație o reprezintă camerele termale cu soft integrat, care prelucrează datele privind temperatura și le corelează cu imaginea facială (dată biometrică). Așadar, prelucrarea datelor privind temperatura ar trebui să se bucure de o protecție sporită, sub imperiul articolului 9 din GDPR.”



Roxana Constantinescu (Avocat, Specialist GDPR): În general, datele cu caracter personal prelucrate în legătură cu COVID-19 sunt în principal date privind sănătatea, fiindcă furnizează informații despre starea de sănătate, iar simptomele unei boli sau existența febrei ce reprezintă la rândul ei un simptom și care se confirmă prin măsurarea temperaturii reprezintă date cu caracter personal. Mai mult decât atât, datele privind sănătatea au un regim special în GDPR și ar trebui să li se acorde atenția cuvenită în acest sens.”  

 

Anamaria Francu (Avocat, Specialist GDPR): Temperatura este o dată cu caracter personal, având în vedere că prin dată cu caracter personal se înțelege: ”ORICE informație privind o persoană identificată sau identificabilă”, iar temperatura unei persoane este o informație despre persoana respectivă. 

Da, termoscanarea implică  prelucrarea datelor cu caracter personal, având în vedere că prin prelucrare se înțelege orice operațiune, inclusiv consultarea, înregistrarea, colectarea, stocarea, etc. Aceste două noțiuni sunt definite de art. 4 din Regulamentul (UE) 2016/679, nefiind definite în altă parte. 

Dacă rigorile și obligațiile prevăzute de Regulament în sarcina operatorilor de date se aplica sau nu termoscanării este însă o alta poveste… Cu privire la acest aspect a apărut în presă o opinie care i-ar aparține ANSPDCP în sensul că în măsura în care rezultatele termoscanării nu fac parte dintr-un sistem de evidență sau nu sunt destinate să facă parte dintr-un sistem de evidentă a datelor, prevederile Regulamentului (UE) 2016/679 nu sunt aplicabile. Această opinie este discutabilă prin prisma interpretării textului pe care te întemeiază, respectiv prevederile art. 2 din Regulament care prevede ca: ”Prezentul regulament se aplica prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.” Ori aceasta prevedere are două teze, respectiv două situații: 

  1. când prelucrarea este efectuată total sau parțial prin mijloace automatizate (cum este și termoscanarea), prelucrarea totala sau partiala prin aceste mijloace fiind considerată că prezintă un risc suficient pentru a atrage aplicabilitatea și rigorile Regulamentului;
  2. când prelucrarea (prin alte mijloace decât cele automatizate) se face asupra datelor cu caracter personal care fac parte dintr-un sistem de evidență sau sunt destinate să facă parte dintr-un sistem de evidență;

Dacă legiuitorul nu ar fi avut în vedere aceste două ipoteze, ci doar una singură, textul ar fi sunat altfel, respectiv:”Prezentul regulament se aplică prelucrării, efectuată total sau parțial prin mijloace automatizate sau prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.”

In concluzie, temperatura este o data cu caracter personal și termoscanarea reprezintă o prelucrare a datelor cu caracter personal (cel puțin, consultare, înregistrare) căreia i se aplică prevederile Regulamentului (UE) 2016/679.”




Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): „Părerea mea este că temperatura este o dată cu caracter personal, iar în contextul actual, pentru că cel mai adesea este corelată și cu date biometrice, prelucrarea acesteia devine foarte periculoasă, aflându-se sub umbrela unui scop aparent legitim (protecția socială/sănătatea publică), dar care de multe ori nu este justificat. Cred că această pandemie ne-a demonstrat cât de nepregătiți suntem la nivel național în domeniul protecției datelor, aceste lacune plecând în primul rând de la un nivel foarte înalt, cum ar fi executivul, legislativul și chiar ANSPDCP, care a rostit timid câteva fraze despre situația existentă, creând mai multe întrebări, decât răspunsuri.

Aș îndrăzni să spun că termoscanarea implică prelucrarea datelor personale în sensul GDPR în orice situație, deoarece simpla măsurare este o prelucrare, dar aproape niciodată nu este vorba doar de o simplă măsurare. Cea mai puțin intruzivă modalitate de măsurare a temperaturii, termometrele digitale, stochează un anumit număr de măsurători, existând un număr infim pe piață de termometre ce nu stochează date. Dacă există și un sistem CCTV care poate corela imaginea persoanei cu temperatura, lucrurile se complică, dar fiecare situație implică prelucrarea de date cu caracter personal.”

 

Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software) „Sunt de părere că valoarea temperaturii unei persoane nu poate fi tratată separat de starea de sănătate sau de comportamentul biologic al persoanei respective. Din acest motiv, valoarea temperaturii se poate încadra în definiția din art. 4 (Regulamentul GDPR) ca fiind dată care dezvăluie informații despre starea de sănătate a persoanei vizate.

ANSPDCP a transmis presei din România un punct de vedere prin care consideră că temperatura corporală este dată cu caracter personal, doar în măsura în care informațiile colectate se înregistreză într-un sistem de evidență.

Se ridică întrebarea dacă verificarea temperaturii se face prin înregistrarea într-un sistem de evidență sau nu. La prima vedere, răspunsul pare simplu: se verifică temperatura fară ca datele să fie stocate într-un registru dedicat. Însă, în realitate, cerința este ca verificarea temperaturii să fie făcută printr-un dispozitiv electronic contactless – care de cele mai multe ori stocheaza valorile măsurate în memoria internă a aparatului (sau care trebuie configurat explicit pentru a nu stoca datele) sau înregistrează și alte date suplimentare. O altă problemă este că verificarea temperaturii trebuie făcută la intrarea în spațiile operatorilor, intrare care este de regulă monitorizată prin sisteme CCTV care stochează imaginea persoanelor vizate timp de 30 de zile.

Iată cum, de regulă, sunt întrunite toate premizele existenței unui sistem de evidență, iar temperatura devine dată cu caracter personal.”

 

Slageana BRANCOV (Avocat, specialist GDPR). Temperatura corpului poate fi considerată o dată cu caracter personal, încadrându-se chiar în categoria datelor cu privire la sănătatea umană. În acest context, termoscanarea poate implica, în anumite situații, o prelucrare de date cu caracter personal. În formularea unui răspuns la întrebarea ”Când anume se aplică Regulamentul GDPR în contextul termoscanării?”, mă voi ralia opiniei formulate de autoritatea de supraveghere din Franța (CNIL), în conformitate cu care, prevederile Regulamentului GDPR devin aplicabile atunci când (i) se efectuează o prelucrare automată de date precum și atunci când (ii) prelucrarea este efectuată prin alte mijloace decât cele automate iar datele astfel prelucrate fac parte dintr-un sistem de evidență a datelor. Prin urmare, dacă termoscanarea se efectuează prin mijloace automate (cum ar fi, de exemplu, camerele de imagistică termică), ea implică o prelucrare de date cu caracter personal iar dacă se efectuează prin mijloace manuale, ea implică o prelucrare de date cu caracter personal atunci când se creează evidențe ale acestor date (spre exemplu, dacă se folosește un termometru manual dar operatorul înregistrează temperaturile pentru a avea o evidență a rezultatelor triajului epidemiologic efectuat). Tot CNIL spune că, simpla verificare a temperaturii cu ajutorul unui termometru manual (cum ar fi, de exemplu, un termometru cu infraroșu, fără contact), fără a se păstra nici o evidență a rezultatelor și fără a se efectua nici o altă operațiune, nu intră sub incidența reglementărilor privind protecția datelor.”

 

Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Temperatura este o dată cu caracter personal, deoarece întotdeauna spui „X are temperatura Y”, unde X este o persoană. Chiar dacă ne referim la persoană ca „omul cu cămașă bleu”, ne referim la ea ca la o persoană unică. Și este fix definiția datelor cu caracter personal – orice date sau set de date ce pot identifica direct sau indirect o persoană. Temperatura nu are sens ca valoare fără ca această valoare să fie atribuită cuiva unic.

Referitor la termoscanare, ordinul de ministru precizează că aceasta se face în zona de triaj, în punctele de intrare în locație. De obicei la punctele de intrare în locație avem camere care înregistrează pentru maximum 30 de zile tot, inclusiv procesul de termoscanare. Camerele nu văd valoarea temperaturii, însă văd dacă un om este rejectat sau nu. Om rejectat = om cu temperatură peste 37.3 grade, om acceptat = om cu temperatură sub 37.3 grade. Practic avem o metadată (temperatură peste/sub 37.3 grade) asociată unei persoane unice, care este stocată pe cameră, deci avem o prelucrare de date cu caracter personal ce intră sub acoperirea GDPR.”

 

Ruxandra SAVA (Avocat, CIPP/e): „Da, temperatura corpului se încadrează în noțiunea datelor cu caracter personal așa cum vom arăta în cele ce urmează și, mai mult decât atât, se încadrează în noțiunea datelor cu caracter special(datele privind starea de sănătate) având un regim de prelucrare în condiții mai stricte față de datele cu caracter personal obișnuite așa cum vom arăta în continuare.

Potrivit art. 4 pct. 1, date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).

Pentru a analiza dacă temperatura corpului în contextul termoscanării este o dată cu caracter personal în temeiul RGPD, vom avea în vedere cele patru elemente folosind raționamentul propus de Comitetul European pentru Protecția Datelor în Avizul nr. 4/2007 privind conceptul de date cu caracter personal (denumit în continuare CEPD):
– „orice informație”;
– „referitoare la”;
– „persoană fizică identificată sau identificabilă”;
– „persoană fizică.”

1.Primul element: „Orice informații”

Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter personal cuprinde orice afirmație referitoare la o persoană, prin urmare temperatura corpului poate fi o dată cu caracter personal, în măsura în care sunt respectate și celelalte condiții.

2. Al doilea element: „referitoare la”

Discutăm, în acest caz, despre o legătură de cauzalitate între informație și persoana fizică.

Potrivit CEPD, „informaţiile pot fi considerate că „se referă” la o persoană atunci când acestea sunt despre persoana respectivă. (…) În multe situaţii, această legătură poate fi uşor stabilită. (…) Cu toate acestea, pot fi menţionate unele situaţii în care nu este întotdeauna la fel de clar (…) dacă informaţiile „se referă” la o persoană (…). Pentru ca datele „să se refere” la o persoană, trebuie să existe un element „conţinut” SAU un element „scop” ORI un element „rezultat”.



(…)

Elementul „conţinut” este prezent în cazurile în care – în conformitate cu percepţia cea mai evidentă şi obişnuită dintr-o societate a cuvântului „se referă” – informaţiile sunt oferite cu privire la o anumită persoană, indiferent de scopul urmărit de operator sau de o parte terţă ori de impactul pe care informaţiile respective îl pot avea asupra persoanei vizate.

(…)

Elementul „scop” poate determina, de asemenea, dacă informaţiile respective „se referă” la o anumită persoană. Acest element „scop” există atunci când datele sunt utilizate sau este probabil că vor fi utilizate, ţinând seama de toate circumstanţele legate de cazul specific, în scopul evaluării, tratării într-un anumit fel sau a influenţării statutului sau a comportamentului unei persoane.”

Cu privire la elementul „scop” facem precizarea că datele privind temperatura unei persoane sunt utilizate în scopul permiterii accesului într-o incintă, prin urmare, datele se referă la o persoană fizică mergând pe raționamentul propus de CEPD.

3. Al treilea element: „identificată sau identificabilă”

Potrivit CEPD, „În termeni generali, o persoană fizică poate fi considerată ca fiind „identificată” atunci când, în cadrul unui grup de persoane, acesta/aceasta „se distinge” de ceilalţi membri ai grupului. (…) În consecinţă, persoana fizică este „identificabilă” atunci când, cu toate că persoana nu a fost încă identificată, este posibil să se realizeze acest lucru (acesta este înţelesul sufixului „-bil”).

(…)

Identificarea se realizează, în mod obişnuit, cu ajutorul informaţiilor denumite „identificatori” şi care prezintă o legătură extrem de privilegiată şi strânsă cu o anumită persoană. Exemplele se pot referi la semnele exterioare ale înfăţişării persoanei precum înălţimea, culoarea părului, îmbrăcămintea etc. sau o calitate a persoanei care nu poate fi percepută imediat, precum, profesia, funcţia sau numele etc. (…)”

Exemplul 1: Organizația ABC utilizează termometre digitale non-contact în vederea realizării triajului epidemiologic. Organizația ABC SRL are amplasate sisteme CCTV pentru a monitoriza video incinta locației. Sistemele CCTV au rază directă către zona unde se ia temperatura angajaților, având vizibilitate directă către fața angajatului care urmează să fie termoscanat și către ecranul dispozitivului. La data de 25 mai 2020, ora 14.14, angajatului Y i se ia temperatura, iar rezultatul este 37.4. La aceeași dată și oră (25 mai 2020, ora 14.14), responsabilul cu supravegherea sistemului CCTV vede pe înregistrările CCTV fața angajatului și rezultatul temperaturii. Deoarece sunt colegi de muncă, responsabilul cu supravegherea sistemului CCTV cunoaște numele persoanei, prin urmare identificarea a fost realizată. Îl identifică drept Ion Ionescu. Mai departe există riscul ca responsabilul supravegherea sistemului CCTV să transmită altor colegi faptul că angajatului termoscanat (Ion Ionescu) nu i s-a permis accesul în locație deoarece a avut o temperatură de 37.4.

Exemplul 2: Organizația ABC utilizează camere termografice cu soft integrat în vederea realizării triajului epidemiologic. Aceste camere pot vedea și fața persoanei. Aceste camere sunt monitorizate de un responsabil uman pentru realizarea triajului epidemiologic. Deoarece are acces la imaginile faciale și la rezultatul temperaturii și cunoaște persoanele deoarece sunt colegi de muncă, responsabilul cu supravegherea camerelor poate identifica, în orice moment, persoanele termoscanate și poate spune ce temperatură au avut. Risurile sunt cu atât mai mari cu cât perioada de stocare este mai lungă sau mai multe persoane au acces la înregistrări.

Exemplul 3: Organizația ABC SRL a decis să oblige angajații să poarte dispozitive „wearable” (brățări) pentru a cunoaște în timp real temperatura oricărui angajat în orice moment al prezenței sale la locul de muncă în vederea realizării triajului epidemiologic. Pentru a ști cui aparține temperatura și cui nu i se va permite accesul în incintă, compania ABC SRL a introdus un element de identificare. Să spunem că a introdus numele persoanei. Prin urmare, în această ipoteză, organizația ABC cunoaște în orice moment ce temperatură are fiecare angajat și identificarea este realizată automat de softul dispozitivelor.

4. Al patrulea element: persoană fizică

Protecţia conferită de dispoziţiile Regulamentului se aplică persoanelor fizice, adică fiinţelor umane. Având în vedere că vorbim de temperatura unor persoane fizice în viață, nu mai este nevoie de argumente suplimentare.

În concluzie, temperatura corpului în contextul termoscanării poate fi o dată cu caracter personal în temeiul RGPD în funcție de contextul termoscanării și tehnologia utilizată.”

 

2. Este teama de termoscanare justificată sau nu?

Silvia Uscov (Avocat, Specialist GDPR și CEDO): „Din punctul de vedere al prelucrării datelor cu caracter personal mă situez în colțul persoanelor care urmăresc o prelucrare la un nivel minim și doar în măsura strict necesară pentru că la acest moment nu cunoaște modul în care acestea vor fi utilizate pe viitor. Având în vedere că starea febrilă poate fi determinată de un număr mare de cauze (atât medicale, cât și non-medicale),  apreciez că termoscanarea nu este justificată, mai cu seamă că nu se oferă garanții suficiente în ceea ce privește ingerințele aduse dreptului la viață privată.”

Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): „Consider că teama de termoscanare în rândul cetățenilor este fundamentată pe lipsa transparenței cu privire la această procedură, luând în considerare două aspecte: pe de-o parte, faptul că toată această situație generată de pandemia COVID-19 și, implicit, procedura termoscanării,  reprezintă un aspect de noutate și nu există un punct de referință sau un exemplu din trecut despre cum ar trebui să procedăm și să reacționăm, și, pe de altă parte, faptul că oamenii sunt conștienți că astăzi au mai multe drepturi ca niciodată, însă majoritatea nu le cunosc cu exactitate și, mai ales, nu știu cum să le exercite în mod efectiv. 

Pentru cei care înțeleg gravitatea situației și implicațiile termoscanării, teama devine și mai pregnantă în fața unei proceduri inedite care nu oferă garanții corespunzătoare pentru drepturile omului, precum dreptul la viață privată și protecția datelor cu caracter personal (articolele 7 și 8 din Carta Drepturile Fundamentale a Uniunii Europene) sau nediscriminarea (articolul 21). De asemenea, se poate dezbate și o încălcare a altor drepturi fundamentale precum demnitatea umană (articolul 1) sau interzicerea unor tratamente degradante (articolul 4), dacă analizăm procedura termoscanării în profunzime și ne imaginăm situația unui angajat dintr-un supermarket aflat cu un ”pistol” de termoscanare îndreptat spre capul unui client, în văzul altor persoane, pentru a-i putea permite accesul la alimente de bază în vederea asigurării traiului. 

Teama de termoscanare, dacă nu este fundamentată pe lipsa garanțiilor adecvate pentru drepturile omului, cu siguranță va fi justificată de implicațiile pe care această procedură le va avea, în lipsa acestor garanții. Câteva exemple se referă la discriminare, stigmatizare, îngrădirea accesului la produse și servicii de bază, îngrădirea accesului la locul de muncă (cu consecințele economice de rigoare), și chiar violență. Oamenii sunt diferiți și reacționează diferit. Iar teama de a se îmbolnăvi sau de a le fi îngrădite anumite drepturi poate genera reacții imprevizibile. Bineînțeles, aceste temeri sunt augumentate în situația în care persoana a cărei temperatură excede limitele considerate a fi ”sigure”, chiar dacă starea febrilă este cauzată de alți factori, nu neapărat de virusul COVID-19 (de exemplu, o infecție dentară, o indigestie sau orice altă condiție medicală necontagioasă).

De asemenea, pe lângă problema transparenței, se adresează întrebarea dacă măsura termoscanării respectă principiile necesității și proporționalității. Acestea trebuie respectate ori de câte ori se ia o măsură care poate aduce atingere unor drepturi fundamentale, precum dreptul la viață privată și la protecția datelor cu caracter personal. 

  1. O măsură este necesară atunci când este aptă să conducă la atingerea obiectivului propus (stoparea răspândirii virusului). Consider că, într-o anumită măsură, termoscanarea poate fi considerată necesară, deoarece se reduce semnificativ riscul ca o persoană infectată să intre în contact cu alte persoane. 
  2. O măsură este proporțională atunci când s-a ales metoda cea mai puțin intruzivă pentru atingerea obiectivului. Consider că termoscanarea nu respectă principiul proporționalității deoarece, așa cum am expus deja, starea febrilă poate fi cauzată de o varietate de factori, nu numai de infecția cauzată de virusul COVID-19. Așadar, măsura are o eficiență redusă raportat la atingerile aduse drepturilor fundamentale. Teama oamenilor în privința termoscanării poate izvorâ și din acest dezechilibru care se creează, având în vedere că se pot alege metode mult mai eficiente și semnificativ mai puțin intruzive pentru viața privată și celelalte drepturi fundamentale în vederea atingerii aceluiași obiectiv. De exemplu, se poate opta, la nivel național, pentru adoptarea unui sistem de urmărire digitală a contactelor, bazată pe tehnologia Bluetooth descentralizată (considerată a fi măsura cea mai puțin invazivă de către Comisia Europeană).”

 

Roxana Constantinescu (Avocat, Specialist GDPR): „Cred că justificarea unei temeri ține de resorturi subiective însă, cu siguranță se pot aduce argumente în ceea ce privește acest tip de intruziune în viața privată și acestea sunt legate în principal de necesitatea și finalitatea acestei măsuri. O persoană infectată cu coronavirus nu are neapărat febră, astfel încât măsurarea temperaturii sale nu poate identifica în mod clar persoana ca purtătoare a virusului. În al doilea rând, febra nu este un simptom decisiv și atunci când este detectată o temperatură crescută a corpului, nu indică neapărat o infecție cu coronavirus. În cele din urmă, deoarece perioada de incubație este de până la 14 zile, un individ, chiar dacă prezintă simptome de febră asociate infecției cu coronavirus, ar fi putut oricum avea o formă neidentificată a virusului până atunci.”

 

Mirela Morar (Avocat, Specialist GDPR și securitatea informației): Mă voi raporta atât la percepția autorităților de protecție a datelor cât și la persoanele vizate cu privire la temerea justificată asupra termoscanării.

În primul rând, la o analiză comparativă a ghidurilor emise la nivel european de către autoritățile de protecție a datelor cu caracter personal cu privire la modalitatea de prelucrare a datelor în contextul identificării persoanelor infectate de COVID-19, putem distinge trei opinii referitoare la justificarea măsurării temperaturii angajaților și a vizitatorilor de către angajator/persoană responsabilă.

Prima opinie, este cea susținută de către Autoritățile de protecție a datelor din Spania și Italia, care afirmă că măsurarea temperaturii este justificată și poate fi desfășurată și implementată pe scară largă. Spre exemplu, Autoritatea de protecție a datelor din Spania, motivează acest răspuns – „întrucât Spania se confruntă cu un focar major de COVID-19, efectuarea controalelor de temperatură, ca măsură de precauție pentru prevenirea răspândirii infecției cu COVID-19 pot fi justificate pe baza interesului public, din motive de interes public în domeniul sănătății publice sau, acolo unde este necesar, pentru îndeplinirea obligațiilor și exercitarea drepturilor specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și a securității sociale”.

Autoritățile de protecție a datelor din Slovacia, Germania, Cehia și Ungaria oferă o soluție de compromis, considerând că justificarea măsurii de termoscanare depinde de mai mulți factori, nu poate fi luată ca o măsură unitară. Germania consideră că măsurarea temperaturii va depinde în totalitate de circumstanțele individuale, în special dacă angajatorul consideră această măsură necesară și proporțională. Cehia, în schimb, consideră proporționată măsurarea temperaturii angajaților, dar disproporționată măsurarea temperaturii vizitatorilor per se și trebuie analizată aplicarea măsurii de la caz la caz (de exemplu, timpul petrecut de vizitator la locul de muncă, regularitatea vizitelor, tipul de activitate desfășurat de vizitator). Controlul temperaturii la, de exemplu, poștași/curieri sau persoane care doar livrează bunurile ar fi considerate disproporționate. Pe de altă parte, pot fi verificate temperaturile dacă sunt conduse pentru personalul unei agenții de curățenie. La opinia Cehiei se raliază și Slovacia. În schimb, Ungaria aduce precizări de importanță semnificativă – este justificată măsurarea temperaturii doar în situațiile în care angajatorul concluzionează în evaluarea riscului că aceste măsuri sunt necesare pentru anumite locuri de muncă care sunt îndeosebi afectate de expunerea la virus și sunt, de asemenea, proporționale și necesare;

În schimb, autoritățile de protecție a datelor din Olanda, Luxemburg, Franța, inclusiv Belgia – care nu consideră justificată măsurarea temperaturii dacă sunt prelucrate date cu caracter personal – (N.B. Autoritatea de protecția a datelor din Belgia nu consideră simpla măsurare a temperaturii corporale ca fiind o prelucrare de date) resping vehement această idee de măsurare a temperaturii neconsiderând-o justificată. Ca o concluzie unitară a acestor autorități este percepția asupra faptului că instituirea unei obligații de măsurare a temperaturii pentru toate persoanele, angajați și vizitatori, este disproporționată; În plus, Olanda consideră că se impune aplicarea unei astfel de măsuri doar în locațiile sau localitățile unde au fost identificate focare de infectare cu COVID-19.

Din perspectiva persoanelor vizate, unde a fost adoptată obligația de măsurare a temperaturii în mod unitar, fără o diferențiere (spre exemplu România), consider că e justificată temerea de termoscanare a persoanelor din mai multe puncte de vedere:

  1. Persoanelor nu le sunt explicate, într-o manieră transparentă, care sunt consecințele în situația în care temperatura lor corporală depășește 37.3 grade Celsius, creând un sentiment de nesiguranță și disconfort.
  2. Din cauza unei date variabile care depinde de mai mulți factori interni sau externi, persoanelor cărora li se măsoară temperatura pot deveni anxioase și să sporească starea de nervozitate întrucât procurarea celor necesare din magazine sau desfășurarea activității la locul de muncă depinde de un aspect care se poate schimba într-un termen foarte scurt.
  3. În plus, în prea puține locuri măsurarea temperaturii se poate face în regim de confidențialitate și intimitate, astfel, măsurarea temperaturii poate naște stigmatizări, discriminări și intruziuni considerabile în viața privată a indivizilor.
  4. La acest moment, în România, conceptul de protejare a datelor cu caracter personal nu este înțeles pe deplin și nici măsurile care trebuie implementate nu sunt cunoscute pe scară largă. În acest sens, consider că riscurile unei prelucrări neadecvate sau ilegale nerespectând măsurile tehnice și organizatorice menite să protejeze datele cu caracter personal sunt destul de ridicate.
  5. În ultimul rând, din practicile societăților și autorităților, am constatat că sunt desemnate persoane responsabile cu efectuarea triajului epidemiologic desfășurat prin măsurarea temperaturii fără o instruire adecvată a pașilor necesari de urmat sau fără să fi avut măcar o pregătire avizată de către un cadru medical întrucât, prin neștiință sau neinformare, poate să aducă atingeri grave demnității persoanelor.”




Anamaria Francu (Avocat, Specialist GDPR): „Teama nu e justificată și așa cum spunea Frank Herbert, ”Fear is the mind-killer”, deci nu e nici utilă. În acest context teama izvorăște din neștiință, iar teama de termoscanare în sine, cred că există doar când nu ești informat corespunzător. În momentul în care ai informații certe cu privire la aparatura folosită, la datele cu caracter personal pe care le colectează, unde și cum sunt stocate, dacă și unde sunt transferate, unde ajung și cine ce face cu ele, precum și dacă au fost implementate măsuri de securitate corespunzătoare, teama nu mai există, deoarece deții suficiente informații pentru a lua decizii conștiente și raționale, respectiv decizi dacă intri în magazinul sau instituția respectivă sau găsești alte soluții, inclusiv una practică de a avea propriul sistem de măsură (termometrul), pentru a putea contesta în timp util înregistrarea, respectiv înainte de a produce efecte sau consecințe reale. Pe de altă parte am constatat, prin propria experiență că această procedură este una formală, având în vedere că aparatele fie dau erori, fie sunt setate intenționat cu 2 grade în minus.

Însă ar fi fost util ca în momentul în care în legislație s-a prevăzut obligativitatea termoscanării, să se prevadă și caracteristicile aparatelor ce urmează a fi folosite, astfel încât un simplu cetățean să nu fie pus în situația împovărătoare de a culege informații și a avea suspiciuni, uneori justificate, cu privire la tipul de date care îi sunt prelucrate efectiv prin aparatele folosite pentru termoscanare. Și o intervenție a ANSPDCP ar fi fost utilă, care să traseze niște linii directoare pentru operatorii care trebuie să efectueze termoscanarea, la fel de puțin informați și ei.”

 

Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): Teama de orice vine, de multe ori, din necunoaștere. Domeniul protecției datelor în țara noastră începea ușor să ia avânt, existând puțini experți, mulți care ,,știu de la televizor și de pe Facebook care e treaba cu GDPR-ul ăsta” și extrem de mulți care nu voiau să știe. Mulți din ultima categorie sunt cei care refuză termoscanarea din motive închipuite, nu din motive bine documentate sau pertinente. Acum, ca DPO, îmi pun întrebarea: cum să reușesc să și respect prevederea legală și protecția datelor, în același timp? Este extrem de greu, mai ales din prisma imprevizibilității și neclarității cadrului legislativ, dar și din perspectiva timpului scurt de conformare. Totuși, ca o concluzie, teama de termoscanare este justificată doar dacă există din motive bine documentate, iar operatorul nu respectă protecția datelor, puțini fiind aceia care sunt și bine documentați și își pot da seama dacă nu le sunt respectate drepturile.”

 

Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software): Teama de termoscanare este justificată atunci când se pune problema prelucrării ilegale a datelor sau a lipsei de securitate aferente.

Prelucrarea ilegală poate însemna de exemplu o prelucrare fără temei legal, în exces, în scopuri diferite celor pentru care au fost colectate datele sau fără o informare corespunzătoare a persoanei vizate.

Prelucrarea nesecurizată a datelor poate să consiste de exemplu, în transmiterea datelor către persoane neautorizate, sau pur și simplu în lipsa de conștientizare deplină a întregului proces de prelucrare care are loc, și a tuturor implicațiilor.

Prelucrări de date se fac tot timpul, iar persoanele vizate ar putea să conteste necesitatea sau oportunitatea lor, însă operatorii care prelucrează datele trebuie să ofere suficiente garanții că datele sunt prelucrate în conformitate cu cerințele legale.

Articolul 3 din legea 190/2020 ne informează despre condițiile în care pot fi prelucrate datele genetice, biometrice sau cele care privesc sănătatea:

„Art. 3. – (1) Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decisional automatizat sau pentru crearea de profiluri, este permisă cu consimţământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziţii legale exprese, cu instituirea unor măsuri corespunzătoare.

(2) Prelucrarea datelor privind sănătatea realizată în scopul asigurării sănătăţii publice, astfel cum este definită în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă nu se poate efectua ulterior, în alte scopuri, de către terţe entităţi.”

Așadar, în lipsa măsurilor corespunzătoare, teama de termoscanare este perfect justificată.”

 

Slageana BRANCOV (Avocat, specialist GDPR): Sunt de părere că nu termoscanarea în sine generează (sau ar trebui să genereze) teamă în rândul cetățenilor. În situația particulară a termoscanării, elementele susceptibile să genereze teamă sunt (cel puțin) următoarele trei (i) cadrul legislativ (și aici mă voi limita la a preciza inconsecvența în reglementare, lipsa de claritate a reglementării și lipsa unor garanții adecvate pentru drepturile omului), (ii) modalitatea în care această procedură este pusă în practică (nesocotirea principiului transparenței prelucrării, utilizarea unor tehnologii al căror grad de intruziune în viața privată a persoanelor este mult prea ridicat raportat la principiile necesității și al proporționalității, lipsa unor măsuri de securitate adecvate etc.) și (iii) consecințele pe care această procedură le poate avea în lipsa oferirii unor garanții suficiente (iar consecințele trebuie privite dincolo de materia protecției datelor). Prin urmare, pentru a răspunde întrebării, apreciez că da, teama de termoscanare trebuie apreciată ca fiind justificată atât timp cât, în rândul operatorilor, gradul de conștientizare a importanței protejării datelor este unul mult prea redus, ceea ce face ca majoritatea operațiunilor de prelucrare de date să se efectueze în afara cadrului legal. Or, doar dintr-o vădită necunoaștere sau ignoranță am putea afirma că prelucrarea datelor cu caracter personal în afara cadrului legal nu reprezintă o ingerință în sfera dreptului nostru la viață privată.”

 

Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Este justificată deoarece temperatura de peste 37.3 grade nu indică neapărat prezența bolii COVID-19. Sunt multiple cauze ce pot duce la creșterea temperaturii! Practic unei persoane i se refuză accesul într-o clădire doar pe baza unei măsurări de temperatură, nu pe baza unui test care să releve clar că o persoană are COVID-19.”

 

3. În situația termoscanării, putem vorbi, în anumite condiții, de un proces decizional automatizat interzis de art. 3 din alin. (1) din Legea nr. 190/2018 în lipsa consimțământului explicit?

 

Silvia Uscov (Avocat, Specialist GDPR și CEDO): „E cu siguranță o întrebare deosebit de interesantă în contextul în care ai un prag (37.3 grade Celsius) și un sistem automat (termoscanerul) care îți oferă acces sau nu într-un anumit spațiu în urma depășirii acestui prag. Consider că da, în anumite condiții, poate fi încadrat ca proces decizional automatizat, cu consecințele de rigoare.”

 

Maria Enescu (Avocat stagiar, Specialist în Dreptul Datelor și GDPR): Legea nr. 190/2018 este legea națională ce instituie măsurile de aplicare ale GDPR în România. Articolul 22 din GDPR interzice ca persoana vizată să facă obiectul unei decizii bazate exclusiv pe prelucrarea automată care produce efecte juridice care o privesc sau o afectează în mod similar într-o măsură semnificativă. Totuși, acest proces decizional individual automatizat este permis dacă: (1) există consimțământul explicit al persoanei vizate sau (2) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, atât timp cât măsura este necesară și se instituie garanții corespunzătoare pentru protecția drepturilor fundamentale și ale intereselor persoanei vizate.

În primul rând, prin procedura termoscanării, este clar că ne aflăm în prezența unui proces decizional individual automatizat. Termometrul utilizat, indiferent de funcționalitățile sale, indică, în mod automat, temperatura persoanei. Temperatura afișată va sta la baza deciziei de a permite sau de a refuza accesul acelei persoane într-o anumită incintă (loc de muncă, supermarket etc.). 

În al doilea rând, consider că, în absența unui consimțământ expres din partea persoanei vizate, măsura ar putea fi întemeiată pe interesul public major, având în vedere că stoparea pandemiei COVID-19 s-ar putea încadra în această categorie. Totuși, așa cum am demonstrat deja, măsura nu este proporțională cu scopul urmărit și, mai ales, nu există garanții corespunzătoare pentru protejarea drepturilor fundamentale și ale intereselor persoanei vizate.

Așadar, termoscanarea privită ca proces decizional automatizat ar trebui interzisă în temeiul Legii nr. 190/2018, însă nu neapărat pe motivul lipsei consimțământului expres al persoanei vizate, ci pe motivul disproporționalității măsurii în raport de interesul public major urmărit și al lipsei garanțiilor corespunzătoare pentru protejarea drepturilor fundamentale.”

 

Roxana Constantinescu (Avocat, Specialist GDPR):Chiar dacă trecem peste lipsa consimțământului expres și temeiul rămâne excepția privind interesul public major, în opinia mea, de asemenea, nu sunt îndeplinite condițiile de necesitate și de proporționalitate a măsurii în situațiile în care termoscanarea ia forma unui proces decizional automatizat.”

 

Anamaria Francu (Avocat, Specialist GDPR):Ordinul nr. 874/22.05.2020 privind instituirea obligativităţii purtării măştii de protecţie, a triajului epidemiologic şi dezinfectarea obligatorie a mâinilor pentru prevenirea contaminării cu virusul SARS-CoV-2 pe durata stării de alertă prevede în Anexa I art.II pct. 3 că: ”a) Intrarea într-o incintă este permisă doar pentru persoanele care, în mod rezonabil, au motive justificate de a se afla în acea incintă. c) Dacă este necesară intrarea în incintă, sunt obligatorii triajul epidemiologic şi dezinfectarea mâinilor. Triajul epidemiologic nu implică înregistrarea datelor cu caracter personal (n.b. mențiune care vrea probabil să justifice faptul că Regulamentul nu s-ar aplica, aspect nereal deoarece de înregistrat, temperatura se inregistreaza, altfel nu ar fi afișată de aparat, chiar dacă ulterior se stochează sau nu) şi constă în:

  a) măsurarea temperaturii prin termometru noncontact (temperatura înregistrată nu trebuie să depăşească 37,3ºC);b) observarea semnelor şi simptomelor respiratorii (de tipul: tuse frecventă, strănut frecvent, stare generală modificată).

  În cazul în care temperatura înregistrată depăşeşte 37,3ºC, se recomandă repetarea măsurării temperaturii, după o perioadă de 2-5 minute de repaus.

Dacă se constată menţinerea unei temperaturi peste 37,3ºC sau/şi prezenţa altor simptome respiratorii, persoanei nu i se permite accesul în incintă.”

Aici se naște o nouă poveste generată de o exprimare nefericită: ”sau/și”. Este neclar când nu i se permite accesul în incintă unei persoane: este suficient să aibă temperatură de peste 37,3 C sau doar dacă are temperatură+ alte simptome respiratorii (și aici avem o întreagă altă discuție cu privire la prelucrarea altor date de sănătate: tuse frecventă, strănut, stare generală modificată, iar în acest caz depinde de pregătirea sau capacitatea salariatului instituției sau operatorului economic de a o aprecia).

Prima problemă care se pune este dacă avem sau nu o decizie, în sensul Regulamentului, respectiv o decizie „care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.”(art. 22 al.1 din Regulament). Acest aspect va trebui analizat de la caz la caz, deoarece interzicerea intrării într-un magazin de haine din care nu aveam o intenție reală să cumpăr ceva, neavând bani la mine nu ar putea produce efecte juridice reale și nici să mă afecteze într-o măsură semnificativă, în timp ce interzicerea intrării în școală pentru a-mi susține examenul de BAC, cu siguranță mă va afecta într-o măsură semnificativă.

A doua problemă este dacă avem sau nu un proces decizional automatizat.

Un proces decizional individual automatizat are loc atunci când se iau decizii în privința persoanei vizate bazate EXCLUSIV pe prelucrarea automată (automatizată), conform art. 22 al. (1) din Regulament. Potrivit prevederilor art. 2 lit. c din Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981, ”prelucrarea automatizată înseamnă următoarele operaţiuni efectuate în totalitate sau parţial cu ajutorul procedeelor automatizate: înregistrarea datelor, aplicarea acestor date prin operaţiuni logice şi/sau aritmetice, modificarea lor, ştergerea, extragerea sau difuzarea; ” Chiar dacă termoscanerul realizează o prelucrare automatizată, procesul decizional nu este bazat exclusiv pe prelucrarea automatizată, existând o intervenție umană. Această intervenție umană, constă în repetarea măsurării temperaturii după 2-5 minute de repaus. Această intervenție umană va putea consta inclusiv în faptul că persoana care utilizează termoscanerul ar putea decide (la instrucțiuni, sau din oficiu) să seteze aparatul cu un grad mai jos, sau să permită intrarea unei persoane care are 37.3 dar fără alte semne de sănătate alterată, sau ar putea chiar să-i permită persoanei compararea temperaturii cu cea arătată de termometrul propriu.  



Este adevărat că dispozițiile legale exprese, nu instituie măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate și deci, prin prisma prevederilor art. 3 din Legea nr. 190/2018, am avea nevoie de consimțământ, dar existența sau inexistența unui proces decizional automatizat, care presupune rigori suplimentare și care ar atrage aplicarea prevederilor art. 3 din Legea nr. 190/2018 va trebui analizat de la caz la caz.”

 

Evelina Bălășoiu (Responsabil cu Protecția Datelor, Expert Conformitate): Consider că putem vorbi de un proces decizional automatizat, ținând cont de faptul că această măsură produce efecte juridice ce poate afecta persoana în cauză. Cazul consimțământului explicit consider că este extrem de complicat de gestionat, cu tot ce implică acesta (obținerea unui consimțământ care să îndeplinească toate condițiile de validitate, stocare, distrugere etc.), iar prelucrarea necesară din motive de interes public major nu prezintă garanții, fără să îndrăznesc să pronunț ,,garanții suficiente”. Până acum nu am văzut vreo informare referitoare la procesul de termoscanare în vreun magazin sau la vreun operator vizitat în această perioadă, deci nu poate fi vorba nici măcar de ,,câteva garanții”.”

 

Paul Stoica (Inginer, Consultant GDPR, DPO, dezvoltator soluții software) Tehnologia ia de multe ori fața  legislației și apar des situații pe care autoritățile nu le prevăd. În cazul de față, ordinul de ministru parcă vine în preîntâmpinarea posibilității unui proces decizional automat, prin precizarea că în cazul în care temperatura măsurată depășește valoarea stabilită, procedura de termometrizare se va relua după câteva minute – ceea ce pare să implice o intervenție umană.

Ce facem însă cu operatorii care doresc eficiență și rapiditate, și care își permit să investească în automatizări? Este cunoscut cazul unui operator hotelier din România care a investit într-un sistem de automatizare a deschiderii ușilor comandat de senzori care verifică dacă turistul poartă mască și dacă temperatura acestuia este sub 37.3 grade C.

O altă situație este cea a fabricilor sau marilor intreprinderi, atunci când sute de muncitori ajung la lucru în același timp și soluția termometrizării individuale nu ar fi fiabilă.

În contextul dezvoltării tehnologice actuale și a migrării către automatizarea proceselor, problematica procesului decizional automat va fi din ce în ce mai importantă și va fi nevoie de dezvoltarea unor noi mecanisme care să implementeze o informare corectă și completă a persoanei vizate și obținerea (ne-forțată) a consimțământului acesteia.”

 

Slageana BRANCOV (Avocat, specialist GDPR). Apreciez că, în anumite situații, ar putea fi vorba despre un proces decizional exclusiv automatizat, caz în care, în lipsa consimțământului explicit al persoanelor vizate prelucrarea poate fi privită ca fiind în afara cadrului legal întrucât nu avem nicio dispoziție legală expresă, la nivel intern, care să o permită și care să instituie măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

 

Tudor GALOȘ (consultant de privacy & transformare digitală, European Center for Privacy and Cybersecurity – Maastricht University – Certified DPO): „Sunt două aspecte: când este implicat un algoritm și când nu este implicat un algoritm. Există implementări de termoscanare unde o cameră cu termoviziune determină temperatura persoanei și nu o lasă să treacă de o anumită barieră. Acolo vorbim clar de un proces decizional automatizat. Mai interesant însă este când avem un om cu termometrul în mână și a cărui termometru arată peste 37.3 grade. În acest caz este decizia omului cu termometrul ce face: repetă măsurarea, întoarce persoana din drum sau o lasă să intre. Ordinul Ministerului Sănătății spune doar că măsurarea temperaturii este obligatorie, iar în cazul „se constată menținerea unei temperaturi peste 37,3ºC sau/și prezența altor simptome respiratorii, persoana este trimisă pentru consult la medicul de familie”. Pe 26 Mai Ministerul Sănătății a venit cu un comunicat în care spune așa: „în cazul în care un client are temperatura peste 37,3 grade Celsius, refuză dezinfectarea mâinilor sau purtarea măștii de protecție i se poate interzice intrarea în spațiul închis.” Nimic despre obligativitate; deci este la latitudinea „cerberului” dacă lasă persoana să intre sau nu. Deci avem o intervenție umană clară – a celui care măsoară temperatura și ia decizia dacă lasă persoana să intre sau nu. Într-un asemenea caz nu vorbim de un proces decizional automatizat, așa cum este el foarte bine descris în ghidul WP251 emis de EDPB (fostul Grup de Lucru 29), care la capitolul IV punctul A dă următorul exemplu: „Un proces automat are ca rezultat ceea ce este, de fapt, o recomandare cu privire la o persoană vizată. Dacă o ființă umană examinează și ține cont de alți factori în luarea deciziei finale, decizia respectivă nu ar fi „bazată exclusiv” pe prelucrarea automată.”

 

Ruxandra SAVA (Avocat, CIPP/e): „Art. 3 alin. (1) din Legea nr. 190/2018 prevede că „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

Temperatura corpului se încadrează în categoria datelor privind sănătatea.

Potrivit art. 22 din RGPD pentru a fi în situația unui proces decizional trebuie îndeplinite în mod cumulativ două condiții:
(1) Decizia este bazată exclusiv pe prelucrare automată și
(2) Decizia produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Indiferent de tehnologia folosită pentru termoscanare (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”), suntem în prezența unui proces decizional automatizat deoarece sunt îndeplinite cumulativ ambele condiții de mai sus așa cum vom arăta în cele ce urmează.

Cu privire la îndeplinirea primei condiție, facem precizarea că nu există nicio implicare umană în luarea deciziei dacă să se permită sau nu accesul unei persoane. Decizia este luată în acest caz de o mașină care afișează temperatura. Nu există nicio intervenție umană care să aibă vreo influență asupra rezultatului termoscanării. Dacă temperatura este peste 37.3, persoanei nu i se va permite accesul și nu se ține cont de alți factori.

Cu privire îndeplinirea celei de-a doua condiție, facem precizarea că decizia poate produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă (discriminare, îngrădirea dreptului la muncă, stigmatizare etc.)

Având în vedere cele expuse mai sus, tragem concluzia că termoscanarea este un proces decizional automatizat în sensul art. 3 alin. (1) din Legea nr. 190/2018 coroborat cu art. 22 din RGPD și că ea poate fi realizată doar dacă nu se înregistrează deloc date cu caracter personal sau dacă s-a obținut consimțământul explicit al tuturor persoanelor.”

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



neon-fingerprint-background_23-2148381462-1.jpg




Autoritatea de supaveghere din Olanda a amendat o companie cu 725.000 euro pentru prelucrarea nelegală a amprentei (dată biometrică) în scopuri de monitorizare a prezenței la locul muncă și a duratei timpului de lucru.

În temeiul GDPR, datele biometrice (amprente, imagini faciale care permit identificare unică etc) prelucrate pentru scopul identificării unice a unei persoane sunt considerate categorii speciale de date. În consecință, în temeiul art. 9 din GDPR, este interzisă prelucrarea acestora dacă nu există o excepție în acest sens.

Te-ar putea interesa și: Patru specialiaști GDPR confirmă. Temperatura poate fi o dată biometrică

 

Autoritatea de supraveghere din Olanda a argumentat că organizația în cauză nu poate invoca nicio excepție pentru prelucrarea datelor biometrice (amprentele). Organizația nu a putut să facă dovada că a obținut un consimțământ valabil al angajaților deoarece dacă un angajat ar fi refuzat amprentarea, urma o ședință cu directorul pentru clarificarea situației. Autoritatea de Supraveghere din Olanda a argumentat că acordul angajatului nu a fost dat în mod liber.

KIT GDPR Premium

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



GDPR-2018.jpg




La data de 4 mai 2020, Comitetul European pentru Protecția Datelor („CEPD”) a adoptat o versiune actualizată a ghidului privind consimțământul GDPR . Noile recomandări sunt destinate să asigure un consimțământ lipsit de ambiguitate. Vom indica mai jos, pe scurt, principalele modificări:

1. CEPD a statuat că „consimțământul nu poate fi considerat ca acordat în mod liber dacă un operator argumentează că acordul este liber pentru că persoana vizată poate să aleagă între a-și da consimțământul pentru utilizarea serviciilor sale sau a alege un serviciu echivalent al altui operator”. CEPD consideră că, în acest context, „un furnizor de servicii nu poate interzice accesul la servicii pentru simplul fapt că persoana vizată nu își dă consimțământul.

Te-ar putea interesa și: Consimțământul GDPR. Ghid complet pentru operatorii de date

2. CEPD statuează că “access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user”. În continuare, CEPD oferă drept exemplu ferestrele pop-up de cookies care interzic utilizatorilor care nu acceptă utilizarea modulelor cookies care nu sunt necesare să acceseze site-ul. Potrivit CEPD, aceste practici de cookies nu sunt conforme cu GDPR deoarece utilizatorul (persoana vizată) nu are o alegere reală.

3. CEPD consideră că acțiuni precum scrollul în interiorul unei pagini web sau orice alte activități similare ale utilizatorului nu reprezintă o acțiune clară și afirmativă, iar consimțământul nu este valabil din punct de vedere GDPR. Cu alte cuvinte, bannerele de cookies care statuează că navigarea implică acceptul utilizării modulelor cookies nu sunt conforme cu GDPR, deoarece nu există o alegere reală a utilizatorului.

 

KIT GDPR Premium

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



GDPR-2018.jpg




Nu e un titlu click-bait, ci este o situație reală. Pe scurt, Ministerul Muncii și Protecției Sociale a decis să rezolve rapid situația în care angajații nu ar fi de acord cu termometrizarea și și-a dat chiar el consimțământul pentru toți angajații din sectorul public și privat.

Potrivit art. 2 din Ordinul 3577/831/2020, pe durata stării de alertă, toți angajații din sectorul public și privat au obligația să accepte verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu.

Am discutat în acest articol despre cum verificarea temperaturii este o prelucrare de date cu caracter special, iar organizațiile trebuie să respecte prevederile GDPR , iar în acest articol mă voi opri spre a dezbate consimțământul în noua formă adoptată de către Ministerul Muncii.

Ce prevede GDPR? 

GDPR instituie standarde ridicate pentru consimțământ, iar potrivit art.4 pct. 11 din GDPR, consimțământul este o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

Care sunt problemele?

Noua formă de consimțământ introdusă recent de Ministerul Muncii și-a pierdut caracterul liber. Ministerul Muncii și-a dat deja acordul în numele tuturor angajaților. În consecință, vorbim despre un Ordin al Ministerului care încalcă în mod flagrant un Regulament european care continuă să se aplice, inclusiv în stare de alertă.

Aș recomanda companiilor și responsabililor cu protecția datelor să privească cu o doză ridicată de scepticism această nouă formă de consimțământ, având în vedere, printre altele, prioritatea dreptului european față de dreptul intern.

Toate organizațiile vor trebui să ia temperatura angajaților și recomand, pentru a evita încălcarea GDPR, să se meargă și pe alte temeiuri legale de la art. 9 GDPR. Cred că, în situația actuală, temeiul potrivit este interesul vital, iar el ar trebui documentat intern (în registrul activităților de prelucrare), dar și comunicat persoanelor vizate prin actualizarea notelor de informare.

Potrivit GDPR, interesul vital poate fi utilizat ca răspuns la pandemie atunci când nu poate fi utilizat un alt temei legal. Considerentul (46) din GDPR prevede că „Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia (…)”.

KIT GDPR Premium

 

Chiar dacă luarea temperaturii este acum o obligație legală, GDPR continuă să se aplice și pentru a evita reclamațiile persoanelor vizate și investigațiile ANSPDCP, recomand companiilor să lectureze și acest articol pentru a ști ce este de făcut pentru alinierea la GDPR în aceasta situație.

Important de menționat ar fi și faptul că deși GDPR impune ca legislația internă să prevadă și măsuri pentru drepturile persoanelor, Ordinul Ministerului Muncii nu conține astfel de prevederi vis-a-vis de viața privată și pasează întreaga răspundere către organizații. În concret și oarecum absurd, organizațiile care iau temperatura angajaților ca să se conformeze obligațiilor legale, dar care nu respectă GDPR, pot fi amendate tot de către statul român (prin ANSPDCP) pentru neconformarea la GDPR.

Sperăm totuși că în viitor legislația va fi modificată și vor fi introduse și prevederi pentru protecția vieții private și a datelor cu caracter personal.

 

Te-ar putea interesa și: 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



girl-playing-tablet-game-evening_23-2147833833.jpg




Protecția datelor cu caracter personal ale copiilor este un subiect important, iar părinții, educatorii și profesorii ar trebui să îi instruiască cu privire la siguranța lor pe internet. Procesul de instruire ar trebui să fie continuu. Rezumăm mai jos câteva informații și reguli elementare care ar trebui cunoscute de toți copiii care utilizează internetul.

Siguranța online a copiilor. Ce ar trebuie să știe copiii despre datele cu caracter personal? 

Datele personale sunt informații precum numele și prenumele, numărul de telefon, adresa de acasă, fotografie, interese și multe alte informații cu privire la o persoană.

Datele sensibile includ, de exemplu, religia, opiniile politice, informațiile despre sănătate și rasa.

Siguranța online a copiilor. Reguli și lucruri de ținut minte pentru copii: 

1. Nu dau datele mele personale sau datele familiei mele decât dacă părinții sau tutorii mei își dau acordul.

2. La școală cer să fiu informat despre colectarea datelor mele.

3. Școala trebuie să aibă grijă de securitatea datelor mele.

4. Nu încărc nimic online fără permisiunea părinților mei.

5. Cunosc faptul că orice urc pe internet rămâne acolo.

6. Nu apăs butonul de trimitere, notificare sau postare decât dacă am permisiunea părinților mei.

7. Comentez și încărc postări care nu dezvăluie date personale ale mele, ale familiei sau ale prietenilor mei.

8. Am citit cu atenție politica aplicațiilor / termenilor de utilizare a datelor înainte să accept.

9. Cer să fiu informat într-un limbaj pe înțelesul meu despre utilizarea datelor.

10. Nu răspund străinilor pe internet și nu comunic cu aceștia.

11. Mă gândesc de două ori înainte să trimit cuiva o fotografie cu mine.

12. Mă gândesc de trei ori înainte să urc pe internet o fotografie cu mine.

13. Aleg parole puternice care includ cel puțin 9 cifre constând din litere mari și minuscule, numere și simboluri, de exemplu Wfhg56818934Ns&*%!?

14. Nu spun parola nimănui.

15. Schimb parola des.

16. Nu folosesc calculatoare partajate.

17. Verific dacă dispozitivul are antivirus înainte să îl folosesc.

 

Vrei să afli mai multe despre cum îți poți proteja copilul în mediul online? Înscrie-te la cursul nostru online aici. 

 

Sursa: Autoritatea de supraveghere din Cipru

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



covid-19app.jpg




Aplicațiile COVID-19, brățările electronice sau ambele? Cât de periculoase sunt aceste tehnologii?
 
M-am apucat să studiez ca să vă răspund la curiozități. Frumos, documentat, din surse de încredere și cu ajutorul colegei Maria Enescu, care studiază Data Law la Bruxelles.
 
Probabil lucrarea noastră va fi publicată la jumătatea săptămânii următoare, însă, până atunci las câteva informații pentru a înțelege contextul.
 
Numeroase aplicații COVID-19 au fost deja dezvoltate și propuse spre utilizare cu suportul guvernelor în anumite teritorii și jurisdicții.
 
În Asia, se colectează un volum mare de date sensibile, iar viața privată este în pericol. În Europa, se pare că legislația este suficient de puternică (GDPR și e-Privacy) și se va merge pe prelucrarea unor date minime și anonimizate pentru a se diminua riscurile. Dar riscurile continuă să existe. Din punctul nostru de vedere, prelucrarea datelor, chiar dacă sunt anonimizate, prezintă în continuare riscuri, deoarece așa cum a subliniat EDPB , nicio tehnică de anonimizare nu este complet sigură, procesul putând fi inversat, iar persoana fizică poate fi identificată.
 
 
📲În Europa, Comitetul European pentru Protecția Datelor (EDPB) și Comisia Europeană au tras semnale de alarmă cu privire la riscurile asociate utilizării acestor aplicații și au lansat două ghiduri orientative care ar trebui urmate în procesul de dezvoltare al aplicațiilor.
 
📲În România nu există niciun punct de vedere oficial cu privire la lansarea unor astfel de aplicații, însă în luna aprilie în România, Orange, Telekom și Vodafone și alți operatori de telefonie mobile au acceptat să furnizeze informații legate de localizarea utilizatorilor către autorități.
 
📲În SUA, Apple și Google au anunțat la mijlocul lui mai faptul că vor îmbunătăți procesele de colectare ale datelor de localizare prin Bluetooth astfel încât să protejeze viața privată. Procesul dezvoltat de Apple și Google nu ar utiliza date de localizare și alte date cu caracter personal. Dacă telefoanele sunt apropiate unele de altele, telefoanele ar interacționa prin identificatori anonimi Bluetooth, iar procesul ar dura doar 15 minute astfel încât nu ar exista o urmărire ulterioară.
În timp ce o parte dintre specialiștii în domeniul privacy sunt sceptici cu privire la utilizarea datelor de către Apple și Google, aceștia din urmă spun că tehnologia va fi dezactivată atunci când nu este necesară.
 
📲Italia, a doua cea mai afectată țară de pandemia COVID-19, plănuiește să lanseze o aplicație de urmărire și localizare în parteneriat cu un start-up din Milano, Bending Spoons.
Comentariu personal: În măsura în care se vor realiza transferuri de date între guvern și acest start-up, riscurile la adresa confidențialității datelor sunt mari.
 
📲Franța introduce la 11 mai spre testare aplicația StopCOVID, care va colecta date bluetooth, iar nu date de localizare.
 
📲Coreea de Sud are deja două aplicații: Corona 100m și Corona Map. Corona 100m este o aplicație care avertizează utilizatorii dacă urmează să se apropie de o persoană infectată pe o rază de 100m. Aplicația a avut peste un milion de descărcări și utilizează o serie de date, printre care: locație, vârstă, sex, naționalitate, istoric medical. Cea de-a doua aplicație, Corona Map arată o hartă a persoanelor infectate, astfel încât utilizatorii să evite acele locații.
 
📲În Singapore există o aplicație voluntară de urmărire a contactelor, TraceTogether. Când utilizatorul utilizează aplicația, se colectează numărul de telefon și un ID anonim. Potrivit surselor, nu ar fi colectate date privind locația, ci doar semnale Bluetooth între telefoanele apropiate pe baza unor identificatori criptați anonimi. Cum nicio tehnică de criptare sau de anonimizare nu este complet sigură, accesul guvernului din Singapore la cheia de decriptare poate prezenta riscuri la adresa vieții private.
 
📲În India, a fost lansată o aplicație care a fost instalată de peste 50 de milioane de utilizatori în 13 zile. Aplicația prelucrează semnale bluetooth, date de geo-localizare, numele, date nașterii și informații sensibile biometrice. Absența unei legislații în protecția datelor în India înseamnă riscuri mari pentru viața privată și mulți utilizatori din India sunt îngrijorați de acest aspect.
 
📲În Israel există aplicația HaMagen care compară datele de localizare ale utilizatorilor cu bazele de date ale Ministerului Sănătății. Aplicația este voluntară, dar există riscuri asociate cu hacking-ul bazei de date și dezvăluirea neautorizată a datelor de localizare.
 
📲În Hong Kong, cei plasați în carantină sunt obligați să descarce și să utilizeze aplicația StayHomeSafe și să poarte brățara de localizare conectată la aplicație. În timp ce alte aplicații se focusează spre a limita interacțiunile, această aplicație se focusează spre limitarea mișcării.
Va urma 🙂
O parte din aplicații funcționează conform imaginii de mai jos:
 


building-1839464_1280-1200x800.jpg




Amplasarea de camere de supraveghere la bloc (de către Asociațiile de proprietari) sau acasă de către persoanele fizice trebuie să respecte GDPR. Pentru montarea nelegală, persoanele fizice și Asociațiile de proprietari pot fi amendate de Autoritatea de supraveghere din România (ANSPDCP).

În Austria, o persoană fizică a fost amendată în 2018 cu 2000 de euro pentru amplasarea nelegală de camere de supraveghere acasă. Potrivit răspunsului oficial al ANSPDCP și în România persoanele fizice pot fi amendate pentru nerespectarea GDPR. 

În România în cursul anului 2019, o Asociație de proprietari a fost amendată pentru amplasarea nelegală de camere de supraveghere la bloc.

Potrivit informațiilor oferite de Autoritatea de supraveghere din Austria, persoana fizică a fost amendată deoarece a amplasat camere de supraveghere acasă care supravegheau domenii din afara proprietății: aleea centrului rezidențial, străzi, clădiri și grădini din apropiere. Amenda a fost dată deoarece zona monitorizată nu se afla în proprietatea și în controlul persoanei fizice și era frecventată de către alte persoane.

Dacă dorești să amplasezi camere de supraveghere la bloc sau acasă, trebuie să cunoști faptul că GDPR îți interzice să monitorizezi mai mult decât este necesar. Prin urmare, dacă locuiești la casă, poți supraveghea curtea și gardul, însă nu poți supraveghea și aleea frecventată de alte persoane sau curtea vecinului. Dacă locuiești la bloc, nu poți monta camere de supraveghere care să surprindă vizitatorii atunci când sună la interfon sau camere care să surprindă holurile și alte locuri comune din bloc și nici camere de supraveghere care să surprindă priveliștea de pe balcon. Cu Asociațiile de proprietari, lucrurile stau puțin diferit și vom discuta despre modalitatea în care acestea pot monta camere de supraveghere la bloc în cele ce urmează.

Având în vedere că GDPR nu face diferențe între proprietari, chiriași sau vizitatori ai unui bloc, Asociațiile de proprietari nu pot monta camere de supraveghere la bloc chiar dacă au acordul tuturor proprietarilor. În acest sens, dacă se dorește unor astfel de camere de supraveghere la bloc, se poate folosi temeiul juridic al interesului legitim doar dacă s-a realizat o analiză juridică documentată a tuturor aspectelor. Analiza trebuie să fie reală, concretă, iar părerea proprietarilor și a chiriașilor ar trebui cerută.

Atunci când faci o astfel de analiză trebuie să ai în vedere următoarele:



1. Analiza trebuie documentată în scris și păstrată pentru un eventual control de la Autoritatea de Supraveghere.

2. Locația echipamentului. Locația echipamentului trebuie determinată cu atenție pentru a asigura conformitatea imaginilor capturate cu GDPR (a nu se supraveghea mai mult decât este necesar). Trebuie depuse toate diligențele pentru a poziționa camerele astfel încât acestea să asigure o acoperire limitată. Sistemul CCTV nu va fi utilizat în lifturi sau în alte locuri unde persoanele au o așteptare ridicată cu privire la confidențialitate. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private a trecătorilor sau a oricărei alte persoane.

3. Informarea. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune. Semnalizarea corespunzătoare va fi de asemenea afișată în mod proeminent la intrare. Semnalizarea va include numele și detaiile de contact ale operatorului de date (Asociația de proprietari), precum și scopurile specifice pentru care camera CCTV este plasată în fiecare locație și indicații unde se pot obține informații mai multe (de exemplu: link și/sau cod QR către nota de informare de pe site).

KIT GDPR Premium

 

4. Depozitarea și stocarea

  • Înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se va ține o evidență a accesului la înregistrări. Accesul la sistemul CCTV și la imaginile stocate va fi permis doar personalului autorizat. La momentul accesării imaginilor, doi membri ai personalului autorizat trebuie să fie prezenți. Se va întocmi un raport scris al accesului. Aceste rapoarte vor fi păstrate.
  • Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații (numele acelei persoane și întreprinderea pe care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații.
  • Datele vor fi furnizate ca răspuns al unor cereri autorizate într-un format permament, atunci când acest lucru este posibil. Dacă acest lucru nu este posibil, persoanei vizate i se va oferi posibilitatea să vizualizeze înregistrarea.
  • În circumstanțe relevante, înregistrările CCTV vor putea fi accesate de către organele de poliție sau vor putea fi furnizate instanțelor de judecată sau altor autorități publice atunci când legea impune.

5. Cererile persoanelor vizate 

  • Persoanelor fizice li se acordă dreptul de accesa înregistrările CCTV cu privire la ele însele, potrivit GDPR.
  • Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații pentru a se putea asigura identificarea întregistrării cu privire la acestea. De exemplu, data, ora și locația.
  • Asociația de proprietari va răspunde acestor cereri într-un termen de o lună de la primirea cererii.
  • Asociația de proprietari își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când acest lucru ar duce atingere drepturilor prevăzute de lege ale unor persoanelor fizice sau ar putea prejudicia o investigație în curs de desfășurare.
  • Se va ține o evidență a datei când divulgarea a avut loc, împreună cu detaliile persoanei către care aceste informații au fost furnizate (numele persoanei și întreprinderea pe care o reprezintă), precum și cu motivele acestei cereri.
  • În activitatea de furnizare către o persoană a unei copii a datelor sale, se vor pune la dispoziție o fotografie/o serie de fotografii, o casetă sau un disc magnetic cu imaginile relevante. Totuși, imaginile altor persoane vor fi ascunse înainte ca aceste date să îi fie înmânate.
  • Atunci când înregistrarea conține imagini referitoare la terți, se vor lua măsurile necesare pentru a masca și a proteja identitatea acelor indivizi.

6. Durata minimă. Înregistrările vor fi stocate pe o durată minimă, dar nu mai mult de 30 de zile

Dacă ai nevoie de consultanță juridică și întocmirea documentației pentru montarea camerelor de supraveghere la bloc îmi poți scrie la adresa ruxandra.sava@legalup.ro.

Ce pot face dacă au fost montate camere de supraveghere la bloc nelegal?

Dacă s-au montat camere de supraveghere în mod nelegal și există riscul ca imaginile captate să fie dezvăluite către destinații neautorizate, ar trebui să comunici îngrijorările tale Asociației și să o îndrumi spre conformarea supravegherii CCTV cu GDPR astfel încât dreptul la viață privată să fie respectat. În situația în care nu se iau măsuri pentru a limita accesul la înregistrări, în situațiile în care imaginile captate sunt dezvăluite fără acordul tău sau fără a exista unui temei legal sau în alte situații (camere de supraveghere în lift, absența informării, nerepectarea drepturilor GDPR), te poți adresa cu o plângere la ANSPDCP sau îmi poți scrie la adresa ruxandra.sava@legalup.ro pentru a te ajuta cu mai multe informații.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



anonymous-girl-browsing-laptop_23-2147833754.jpg




În ultimele decenii lumea a evoluat într-un ritm fantastic, chiar de la o zi la alta. Progresul tehnologiei, de altfel uimitor a încercat să țină pasul cu nevoile oamenilor. În acest context a apărut și Internetul, una dintre cele mai revoluționare descoperiri științifice, care a schimbat complet viața oamenilor. 

Internetul ne oferă o mulțime de avantaje: acces la informații din toate domeniile (politic, administrativ, juridic, etc.), comerț electronic, cursuri online pe diverse teme și nu în ultimul rând, posibilitatea de a comunica cu persoane aflate la mii de kilometrii distanță.

Astăzi, aproximativ orice lucru poate fi făcut printr-un simplu click. Treptat, Internetul a devenit parte integrantă în viețile noastre. Oamenii au ajuns să fie atât de conectați cu tehnologia, încât și-au transformat propriile vieți într-unele „virtuale.”

Preocuparea pentru telefoane, tablete, calculatoare de ultimă generație ne face să nu mai observăm ceea ce se întâmplă în jurul nostru. Tinerii, adolescenții și copii devin dependenți de mediul online, încât limitează interacțiunea cu alte persoane față în față, fiind mult mai ușor să vorbească din spatele unui computer.

 

Te-ar putea interea și:

 

Accesul adolescenților și copiilor la tehnologie înseamnă acces nelimitat la informații. Întrebarea care se pune este dacă acest lucru este într-adevăr benefic. Răspunsul trebuie nuanțat. Pe de o parte, aceștia sunt mult mai bine informați chiar și asupra unor subiecte considerate de vechile generații tabu. Pe de altă parte fiind învățați să mânuiască dispozitivele tehnologice de mici au nu au capacitatea de selecta informațiile bune de cele rele. Capacitatea aceasta se dobândește cu vârsta. 

Un exemplu destul de clasic dar cu o aplicabilitate extrem de largă este cel al jocurilor video. În 2017, un elev de 16 ani dintr-un oraș din Franța, fan al jocului Hatred, a deschis focul de armă în liceul său. El a încercat să aducă în viața reală un personaj din joc care detesta societatea. Din păcate acest caz nu e singular.  

Fie că vorbim de copii care sunt de obicei, naivi sau despre adolescenți, care încearcă să descopere viața și se simt de cele mai multe ori neînțeleși de părinți, pericolul de a întâlni pe Internet persoane „ dornice să-i ajute” este extrem de ridicat.

Rețelele de socializare și site-urile de întâlniri online sunt adevărate capcane pentru aceste categorii de persoane, extrem de vulnerabile. Tinerii întâlnesc persoane, aparent cu interese comune și se împrietenesc cu acestea. Uneori așa-zișii „prieteni” se transformă în adevărați monștrii. 

KIT GDPR Premium

 

Tacticile folosite de escroci pentru a-i ademeni pe tineri sunt extrem de diversificate. Fie aleg victime care sunt extrem de vulnerabile: cu o situație financiară precară, fără părinți sau rude sau aflate într-un „război” cu propriile familii care nu le înțelege deloc și le devin cei mai buni prieteni/ iubiți, fie își crează profile atractive așteptând ca victimile să între în contact cu ei.

Odată stabilită o conexiune sentimentală cu victima scenariile variază: hărțuire, șantaj, furt de identitate, pornografie infantilă, proxenetism sau chiar trafic de persoane. 

Tot rețelele de socializare, site-urile de online dating au condus la fenomenul de Cyber-prostituție. Cifrele sunt alarmante: 99 % din persoanele obligate să se prostituieze la nivel mondial sunt femei iar 48 % în Europa sunt copii.

Un raport al Uniunii Europene din anul 2020, arată că în România experiențele negative din mediul online, în rândul copiilor au crescut 12% (33% în 2018 vs 21% în 2010). Grupa de vârstă cu cel mai mare risc este dată de copiii de 9-10 ani ( 29%), ceea ce denotă o expunere din ce în ce mai precoce la mediul online.  

Riscurile sunt numeroase dar oare protecția este pe măsură?

La nivel internațional există numeroase instrumente juridice. Convenția cu privire la drepturile copilului, adoptată de Adunarea Generală  a Organizaţiei Naţiunilor Unite la 20 noiembrie 1989 definește copilul ca fiind „orice fiinţă umană sub vârsta de 18 ani, exceptând cazurile în care legea aplicabilă copilului stabileşte limita majoratului sub această vârstă.” Aceasta îi acordă o serie de drepturi și libertăți fundamentale, inclusiv cel la viață privată „nici un copil nu va fi supus unei imixtiuni arbitrare sau ilegale în viaţa sa privată, în familia sa, în domiciliul său ori în corespondenţa sa, precum şi nici unui fel de atac ilegal la onoarea şi reputaţia sa.”

Protocolul facultativ la Convenţia cu privire la drepturile copilului, referitor la vânzarea de copii, prostituţia copiilor şi pornografia infantilă, semnat la New York la 6 septembrie 2000 ilustrează perfect angajamentul statelor de a lupta „pentru a elimina principalii factori care fac vulnerabili copiii la vânzare, prostituţie, pornografie şi turism pedofil, îndeosebi sărăcia şi subdezvoltarea.”

Protocolul privind prevenirea, reprimarea şi pedepsirea traficului de persoane, în special al femeilor şi copiilor, adiţional la Convenţia Naţiunilor Unite împotriva criminalităţii transnaţionale organizate vine să întărească dispozițiilor celor două instrumente menționate anterior conținând dispoziții referitoare la traficul de persoane, care poate porni și din mediul online.




La nivel european aveam Convenția Consiliului Europei privind criminalitatea informatică ce conține dispoziții referitoare la infracţiunile referitoare la pornografia infantilă. Astfel, legea este aspră, deoarece este considerată pornografie infantilă nu doar producerea, transmiterea și procurarea de materiale pornografice ci și „posesia de materiale pornografice având ca subiect copii, într-un sistem informatic sau într-un mijloc de stocare de date informatice.” Dispoziții asemănătoare regăsim și în Convenția Consiliului Europei pentru protecţia copiilor împotriva exploatării sexuale şi a abuzurilor sexuale.

În strânsă legătură cu protecția copiilor Uniunea Europeană a adoptat în 2011 Directiva 2011/92/UE A Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile. Prezenta directivă este fundamentală întrucât dovedește existența pericolului din mediul online diverse forme de abuz sexual asupra copiilor și de exploatare sexuală a copiilor care sunt facilitate de utilizarea tehnologiilor informației și comunicațiilor, precum ademenirea copiilor online în scopuri sexuale prin rețelele de socializare și camerele virtuale de discuții.” și necesitatea unor pedepse eficace. Uniunea Europeană se axează și pe prevenție. Amintim în acest sens Programul european pentru un internet mai sigur care a activat în perioada 2009-2013.

În concluzie există instrumente la nivel internațional de protecție a copilului pentru pericolele din mediul online dar principala responsabilitate cade în sarcina părinților. În cazul copiilor, aceștia trebuie să vegheze asupra timpului petrecut de micuți în fața calculatorului, să verifice ce jocuri online și site-uri sunt accesate și nu în ultimul rând să-l învețe ca viața reală e mult mai frumoasă decât cea virtuală.

În cazul adolescenților aceste lucruri sunt mult mai greu de realizat dar nu imposibil. Părinții trebuie să le explice în detaliu la ce pericole se expun în mediul online, sfătuindu-i să fie atenți când acceptă prietenii pe rețele de socializare și ce date transmit în scopul creării de conturi pe acestea. 

Bibliografie:

Alexandra Edip, La violence dans les jeux vidéo rend-elle agressif ?, disponibil online: aici

Convenția cu privire la drepturile copilului, adoptată de Adunarea Generală  a Organizaţiei Naţiunilor Unite la 20 noiembrie 1989, disponibilă online: aici

Convenția Consiliului Europei privind criminalitatea informatica. 

Convenția Consiliului Europei pentru protecţia copiilor împotriva exploatării sexuale şi a abuzurilor sexuale.

Directiva 2011/92/UE A Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile diponibilă online: aici

Protocolul facultativ la Convenţia cu privire la drepturile copilului, referitor la vânzarea de copii, prostituţia copiilor şi pornografia infantilă, semnat la New York la 6 septembrie 2000 disponibil online: aici

Protocolul privind prevenirea, reprimarea şi pedepsirea traficului de persoane, în special al femeilor şi copiilor, adiţional la Convenţia Naţiunilor Unite împotriva criminalităţii transnaţionale organizate disponibil online:aici

Raport EU Kids Online 2020. Survey results from 19 countries. disponibil online: aici

Sandrine Berthaud-Clair, Cyberprostitution : « Enfants et jeunes majeurs sont désormais les premières victimes », disponibil online: aici

 

Te-ar putea interesa și: