Aici descoperim
dreptul tehnologiei

people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


human-hand-fills-last-missing-elements-surface-from-jigsaw-puzzle_76080-2335.jpg

Termeni și Condiții? Evoluția tehnologică și contextul economic actual au schimbat fundamental modalitatea în care sunt încheiate contractele astăzi. Semnarea fizică a unui contract presupune costuri operaționale ridicate și risipă de energie și timp. În ceea ce privește activitatea de e-commerce, atât consumatorul, cât și profesionistul sunt interesați de încheierea cu celeritate a contractului pentru a-și atinge cât mai rapid scopul: executarea contractului de vânzare (cumpărarea și vânzarea bunurilor). Cu toate acestea, chiar într-un mediu automatizat și de cele mai multe ori, în absența unui contact direct, ci intermediat prin intermediul platformei de e-commerce, consumatorul are o serie de drepturi, printre care acela de a fi informat, într-o manieră adecvată și în conformitate cu legislația înainte de încheierea contractului. Cu alte cuvinte, consumatorul trebuie să știe ce anume acceptă înainte de a accepta.

Documentul „Termeni și Condiții” reprezintă o inovație a practicienilor în dreptul tehnologiei care are, în principal, următoarele scopuri:

(i) stocarea detaliilor unei relații contractuale dintre profesionist și consumator;

(ii) informarea adecvată a consumatorului de încheierea contractelor;

(iii) garanții adecvate pentru profesionist și consumator;

(iv) conformarea cu legislația comerțului electronic;

(v) o funcție probatorie pentru dovedirea existenței și conținutului contractului în situația unui litigiu.

Înainte de a desfășura o activitate de e-commerce trebuie să vă asigurați că aveți un document denumit „Termeni și Condiții” („Termene și Condiții”, „Condiții de utilizare” sau orice altă denumire care își atinge scopul) și care respectă anumite condiții de formă și de conținut prevăzute de legislație care vor fi prezentate pe scurt în cele ce urmează. În articolul de azi, vom detalia condițiile de formă, iar în articolul următor condițiile de fond.

Dacă ai nevoie de un model de Termeni și Condiții pentru activitatea de e-commerce îl găsești aici.

Cadrul legislativ: 

Condiții de formă

a) Condiția „accesibilității”

Conținutul documentului trebuie să fie accesibil consumatorului înainte de a fi acceptat. Pentru a se respecta cerința accesibilității nu se recomandă ascunderea documentului prin intermediul unei fraze și în spatele unui hyperlink, cum se întâmplă pe majoritatea site-urilor în prezent. „Sunt de acord cu Termenii și Condițiile”.

În mod ideal documentul ar trebui să apară în integralitate consumatorului pentru a putea fi citit înainte de a fi acceptat ca în exemplul de mai jos:

Tot în legătură cu respectarea condiției accesibilității, recomandăm ca aceste documente să fie disponibile pe site într-un loc accesibil, de exemplu în footer sau în meniu.

b) Condiția „lizibilității”

Legea nu definește concret ce înțelege prin lizibilitate, de aceea ne vom orienta către definiția din DEX, respectiv calitatea textului de a fi ușor de citit. Prin urmare se recomandă evitarea folosirii exagerate a jargonului juridic și/sau tehnic, a frazelor complicate, a fonturilor mici. Textul trebuie să fie scris pentru a putea fi înțeles de un cititor fără cunoștințe juridice sau tehnice.

c) Condiția „limbajului simplu și inteligibil”

Cu privire la îndeplinirea acestei condiții rămân valabile aspectele discutate anterior la punctul (b) de mai sus.

d) Condiția „suportului durabil”

Informația virtuală conținută de contractele electronice se poate pierde ușor dacă nu s-au luat suficiente măsuri pentru stocarea acesteia. Termenii și condițiile de pe site-uri se pot modifica oricând și se poate ajunge în situația în care consumatorul nu va ști ce anume a acceptat. Consumatorul are dreptul de a avea acces și ulterior la informația conținută de contractul la care a devenit parte. Contractul este cel în vigoare la data la care acordul de voințe dintre consumator și profesionist s-a împlinit, în cele mai multe cazuri, printr-o simplă acceptare a Termenilor de către consumator. Însă, acești Termeni pot fi modificați ulterior, iar consumatorul poate fi ajunge în situația de a nu mai avea acces la ce anume a acceptat. Pentru a preveni această situație, legea a prevăzut ca informația să fie stocată pe un „suport durabil” pentru a putea fi descărcatată sau accesată de consumator înainte, în timpul și după încheierea contractului.

În prezent, foarte puține site-uri din România respectă cerința suportului durabil.

 

Te-ar putea interesa și:

 

Această cerință a suportului durabil se poate respecta prin mai multe modalități. De exemplu, site-ul ar putea da posibilitatea consumatorului ca, prin logarea în contul de utilizator de pe site, să poată accesa versiunea termenilor și condițiilor și data la care au fost acceptați, precum și posibilitatea de a descărca aceste documente.

De asemenea, după încheierea contractului, profesionistul trebuie să trimită confirmarea încheierii contractului împreună cu informațiile conținute de Termeni și Condiții, cu excepția situației în care utilizatorul a primit anterior aceste informații pe un suport durabil. Pentru a înțelege mai bine acest aspect voi oferi un exemplu:

Exemplu #1: Maria dorește să cumpere o bicicletă de la un magazin online, abc.ro. Odată ce a adăugat produsul în coș și a ajuns pe pagina de plasare a comenzii, va trebui să accepte un document juridic, denumit „Termeni și condiții”, a cărei formă de la data acceptării va guverna relația contractuală dintre Maria și abc.ro. Înainte de a accepta, Maria ar trebui să aibă posibilitatea să descarce documentul pentru a avea acces la el și ulterior pentru a preveni situațiile în care acest document se va modifica. 

În funcție de decizia Mariei, respectiv dacă va descărca sau nu documentul, intervin două situații:

(1) Maria a descărcat documentul, iar abc.ro are posibilitatea să dovedească acest lucru.

În această situație, abc.ro va trebui doar să confirme încheierea contractului fără a trebui să trimită o copie a Termenilor pe e-mail Mariei.

(2) Maria nu a descărcat documentul

În această situația, abc.ro va trebui doar să confirme încheierea contractului și să trimită o copie a Termenilor pe e-mail Mariei.

Ca o scurtă paranteză, aspectele tehnice discutate anterior sunt orientative, legislația care prevede cerința suportului „durabil” permite orice alte soluții tehnice care să fie în spiritul legii. Exemplele și soluțiile prezentate în prezentul articol se află în acord cu know-how-ul meu tehnic pe care îl dețin în prezent. Cu toate acestea, oricât de multe eforturi aș depune ca avocat specializat în dreptul tehnologiei pentru a oferi cele mai bune soluții la intersecția dintre drept și tehnologie, mă bazez pe tehnic pentru a folosi informațiile prezentate într-o manieră care să fie în concordonța cu cele mai noi și eficiente soluții pentru tehnologie, pornind de la cele recomandate anterior. Doar printr-o comunicare eficientă între tehnic și juridic se poate ajunge la găsirea de soluții adecvate și eficiente la intersecția dintre drept și tehnologie. 

(Va urma)

Cum te putem ajuta noi?

  • Șablon Termeni și Condiții pentru magazine online în format Word scris de avocați specializați în dreptul tehnologiei care poate fi descărcat de aici;
  • Redactare Termeni și Condiții la cerere pentru magazine online și platforme online. Ne poți cere o ofertă aici

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



jbareham_180405_1777_facebook_0003.0-1200x800.jpg

Autoritea de supraveghere a prelucrării datelor din Italia a amendat Facebook cu un milion de euro pentru încălcarea legislației naționale italiene cu privire la protecția datelor cu caracter personal, în legătură cu scandalul Cambridge Analytica.

Anul trecut s-a aflat că datele personale a aproape 87 de milioane de utilizatori Facebook au fost culese ilegal de către o aplicație de data mining cu scop politic, Cambridge Analytica.

Aceste acuzații au apărut înainte de aplicarea directă a Regulamentului GDPR din 25 mai 2018  care prevede amenzi de până la 20.000.ooo euro, astfel justificându-se amenda relativ mică aplicată Facebook în acest caz. Autoritatea de supraveghere din Italia și-a întemeiat amenda pe legislația națională în vigoare înainte de aplicarea GDPR, amendând Facebook cu un milion de euro.

 

 

Autoritatea de supraveghere din Italia precizează că 57 de utilizatori Facebook au downloadat Testul Thisisyourdigitallife, test psihologic folosit pentru a colecta în masă datele personale ale utilizatorilor platformei, date care ar fi fost folosite ulterior pentru manipularea campaniilor electorale. Facebook a permis acestei aplicații accesul la lista de prieteni a fiecărei persoane care a descărcat aplicația, în consecință, potrivit Autorității de supraveghere din Italua, datele a 214,077 italieni au fost prelucrate, în lipsa consimțământului sau al altui temei legal, de către aplicație.

Potrivit informațiilor transmise de Autoritatea de supraveghere din italia, cuantumul amenzii a fost stabilit luându-se în calcul numărul utilizatorilor afectați, situația economică a Facebook și numărul utilizatorilor globali și italieni ai companiei. 

Anul trecut, Facebook a fost amendată de Autoritatea de Concurență din Italia cu 10 milioane de euro pentru vânzarea datelor personale fără a informa corect utilizatorii.

Totodată, în 2017, Facebook a fost amendat cu 3 milioane de euro pentru partajarea ilegală a datelor utilizatorilor cu Whatsapp.

Vrei să înveți cum să implementezi corect GDPR și să eviți amenzile? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Sursa

 


 

Te-ar putea interesa și:


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-2.png

Prin hotărârea nr. 747/2019, Judecătoria Sectorului 5 București a obligat Compania Națională „Aeroporturi București” SA să achite reclamantei suma de 10.000 lei daune morale pentru publicarea pe pagina de internet (platforma http://www.bucharestairports.ro) a unei hotărâri societare care conținea datele personale ale reclamantei (CNP, adresă, număr și serie de buletin etc). Instanța a considerat că încălcarea confidențialității acestor date încalcă principiile prelucării datelor: limitarea la ceea ce este necesar (principiul minimizării). 

Ce s-a întâmplat?

Reclamanta a introdus acțiune împotriva pârâtei Compania Națională „Aeroporturi București” SA, solicitând:

  • înlăturarea (ștergerea) datelor personale constând în adresa de domiciliu, cod numeric personal,  data și locul eliberării cărții de identitate publicate și menținute de către societatea pârâtă în cadrul platformei online http://www.bucharestairports.ro;
  • obligarea acesteia la plata unor daune morale în cuantum de 60 000 lei pentru prejudiciul continuu cauzat, constând în lezarea drepturilor garantate privind protecția datelor cu caracter personal prin prelucrarea în cadrul platformei online indicate anterior a datelor cu caracter personal; și
  • obligarea acesteia la plata cheltuielilor de judecată ocazionate de acest proces.

În drept, reclamanta a invocat prevederile Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, prevederile Legii nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului nr. 679/2016, dispozițiile art. 70-77 C.civ., art. 252-253 C.civ., art. 1349 C.civ., art. 1357-1358 C.civ., art. 1382-1382 C.civ., art. 1385-1386 C.civ., art. 194 și următoarele C.proc.civ.

Ce a decis instanța?

Instanța a considerat că fapta ilicită de a publica datele cu caracter personal fără a avea un temei juridic atrage răspunderea civilă delictuală a societății și, în consecință:

  • a obligat pârâta să  inlature (stergerea) datelor personale ale reclamantei constand in adresa de domiciliu, cod numeric personal,  data si locul eliberarii cartii de identitate, publicate si mentinute de parata in cadrul platformei online http//www.bucharestairports.ro;
  • a obligat pârâta la plata către reclamantă a sumei de 10.000 lei – daune morale;
  • a obligat pârâta la plata catre reclamanta a sumei de 625 lei cheltuieli de judecata.

Pentru a decide în sensul celor precizate anterior, instanța a avut în vedere inexistența unui temei legal.

„Cu privire la fondul litigiul, instanța reține că art. 6 din Regulamentul nr. 679/2016 reglementează că prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una din următoarele condiții: persoana vizată și-a dat consimțământul (…), prelucrarea este necesară pentru executarea unui contract , prelucrarea este necesară în vederea îndeplinirii unei obligații legale ce revine operatorului, prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public  sau prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță”

Deși pârâta s-a apărat, invocând că a obținut consimțământul reclamantei, instanța a apreciat că „având în vedere lipsa unui consimțământ expres al reclamantei în sensul publicării datelor sale personale pe site-ul pârâtei și în lipsa unor elemente din care să se întrevadă existența unui consimțământ tacit în același sens, instanța reține inaplicabilitatea art. 6 alin. (1) lit. (a) din Regulamentul nr. 679/2016” .Dacă vrei să afli mai multe despre consimțământul GDPR, poți consulta ghidul nostru de aici, iar formulare de consimțământ la standardele GDPR găsești în pachetul nostru de formulare (click aici)

Recomandări. Concluzii

Decizia instanței întărește concluzia că protecția datelor cu caracter personal este un subiect de maximă importanță în actualul context economic și social. Se spune că datele sunt noua monedă de schimb, prin urmare companiile trebuie să întreprindă acțiuni concrete pentru a respecta drepturile persoanelor fizice cu privire la protecția și confidențialitatea datelor cu caracter personal. Pentru a evita litigiile, vă recomandăm următoarele:

Înțelegeți noile prevederi europene și naționale în materie de protecție a datelor. Externalizarea poate părea o soluție la îndemână, însă personalul companiei trebuie să fie instruit corespunzător pentru a proteja datele și a respecta drepturile persoanelor vizate. Vă recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. 

Înțelegeți că GDPR este despre protecția datelor persoanelor fizice, de aceea, aveți grijă să aveți focusul potrivit – către persoana fizică vizată. Clientul, angajatul, candidatul, colaboratorul, reprezentatul sau persoana de contact din cadrul unei companii sunt persoane vizate, iar datele lor trebuie protejate. Înțelegeți-le drepturile și respectați-le. 

Numiți un responsabil cu protecția datelor, chiar dacă nu este necesar. În mod ideal, ar trebui că responsabilul să fie un angajat care să fie la curent cu activitățile de zi cu zi ale companiei, însă, în măsura în care doriți să apelați la un responsabil extern, asigurați-vă că îl țineți la curent cu toate activitățile companiei care pot afecta viața privată a persoanelor fizice. De aemenea, responsabilul cu protecția datelor ar trebui verificat că își îndeplinește sarcinile, deoarece răspunderea este a companiei, indiferent că a numit sau nu un responsabuil cu protecția datelor. În situația unei amenzi sau a unor despăgubiri, compania se poate îndrepta împotriva responsabilului dacă prin acțiunea sau inacțiunea lui a declanșat premisele unei răspunderi.

Implementați juridic, tehnic și organizatoric prevederile GDPR și aveți grijă să documentați în scris toate procesele. Având în vedere că atât în instanță, cât și în fața ANSPDCP pot fi aduse înscrisuri care să ateste că v-ați respectat obligațiile, documentația nu este opțională, ci obligatorie. Vă recomandăm KIT-ul nostru de implementare, care conține documentația standard și adaptabilă oricărei companii (click aici).

 

Te-ar putea interesa și:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



online-shopping-ecommmerce-delivery-service-concept_36743-296.jpg

Este permisă de către legislația română vânzarea către minori în mediul online? Potrivit legislației civile, persoana fizică dobândește capacitate deplină de exercițiu la vârsta de 18 ani. Prin capacitate deplină de exercițiu se înțelege abilitatea acesteia de a încheia contracte civile. Cu toate acestea, însă, potrivit art. 41 alin. (3) din Codul Civil „minorul cu capacitate de exercițiu restrânsă poate face singur acte de conservare, acte de administrare care nu îl prejudiciază, precum și acte de dispoziție de mică valoare, cu caracter curent și care se execută la data încheierii lor.

În sfera „actelor de dispoziție de mică valoare, cu caracter curent și care se execută la data încheierii lor” este inclusă cumpărarea de către minor a unor bunuri. În domeniul vânzărilor clasice, situația este clară. Dar ne-am putea prevala oare de acest text legal pentru a vinde bunuri online către minori?

Răspunsul este, din punctul nostru de vedere, nu, deoarece, potrivit legii, pentru ca minorul să poată încheia acte de dispoziție, acestea trebuie să se execute la data încheierii lor, cum este cazul tradițiunii bunului – predarea lucrului de către vânzător sau intrarea în proprietatea bunului după plata produsului la casa de marcat. Or, în situația comerțului electronic, executarea se realizează la o dată ulterioară, fiind necesară livrarea bunului de la profesionist către consumator.

 

În consecință, în opinia mea, legislația nu permite vânzarea către minori, iar site-urile ar trebui să ia măsuri adecvate pentru a verifica vârsta utilizatorului. Cu toate acestea, măsurile de verificare nu trebuie să fie disproportionate și, în niciun caz, nu trebuie să colecteze mai multe date personale decât sunt strict necesare pentru activitatea de verificare.

Cu toate acestea, site-ul ar putea vinde către minori cu autorizarea părinților, prin urmare ar putea considera util, în măsura în care dorește să vândă către minori, o metodă adecvată pentru obținerea consimțământului părinților.

Exemplu: Un site dorește să comercializeze produse către minori. Înainte de plasarea comenzii, utilizatorul va fi întrebat ce vârstă are sau se va folosi altă metodă pentru verificare vârstei. Dacă vârsta este mai mică de 18 ani, utilizatorului i se va cere adresa de e-mail a unui părinte sau tutore pentru ca încheierea contractului să poată fi autorizată de acesta. În pratică, aceste metode de colectarea a autorizației părinților sunt deja implementate de diverse platforme de e-learning sau jocuri online.

💡Pentru a se proteja de eventualele comenzi din partea minorilor, recomandăm afacerilor online să includă la secțiunea „Termeni și Condiții” o condiție de eligibilitate pentru a putea încheia contractul: vârsta de minim 18 ani și să prevadă ce se întâmplă în situația în care comanda este plasată de către un minor.

Te-ar putea interesa și:

 


 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png

Potrivit avocatului general Szpunar, Facebook poate fi obligată să caute și să
identifice toate comentariile identice cu un comentariu calomnios a cărui
nelegalitate a fost constatată, precum și comentarii echivalente în măsura în care
acestea din urmă provin de la același utilizator

În speță, dreptul Uniunii invocat nu reglementează aspectul dacă Facebook poate fi obligată să
elimine comentariile în cauză la nivel mondial

 

Doamna Eva Glawischnig-Piesczek, care era deputată în Nationalrat (Consiliul Național austriac), președintă a grupului parlamentar die Grünen („Verzii”) și purtător de cuvânt al acestui partid la nivel federal, a solicitat instanțelor austriece să pronunțe o ordonanță privind măsuri provizorii prin care să oblige Facebook să oprească publicarea unui comentariu calomnios.

Astfel, un utilizator al Facebook a publicat, pe pagina sa personală, un articol al revistei austriece de informații online oe24.at intitulat „Verzii: în favoarea menținerii unui venit minim pentru refugiați”. Această publicare a avut ca efect generarea pe Facebook a unei „imagini în miniatură” a site-ului oe24.at, cuprinzând titlul și un scurt rezumat ale acestui articol, precum și o fotografie a doamnei Glawischnig-Piesczek. Acest utilizator a publicat în plus, cu privire la articolul respectiv, un comentariu degradant referitor la doamna Glawischnig-Piesczek. Informațiile respective puteau ficonsultate de orice utilizator al Facebook.

Întrucât Facebook nu a reacționat la cererea sa de a șterge acest comentariu, doamna Glawischnig-Piesczek a solicitat obligarea Facebook la încetarea publicării și/sau a distribuirii de fotografii cu aceasta atunci când în mesajul care le însoțește apar afirmații identice cu comentariul
în discuție și/sau cu „conținut echivalent”.

Întrucât instanța de prim grad a pronunțat ordonanța privind măsuri provizorii solicitată, Facebook a blocat în Austria accesul la informația publicată inițial.

Oberster Gerichtshof (Curtea Supremă, Austria), sesizată în cele din urmă cu această cauză, consideră că afirmațiile în discuție urmăreau să aducă atingere onoarei doamnei GlawischnigPiesczek, să o insulte și să o calomnieze.

 

Te-ar putea interesa și:

 

 

Întrucât instanța de trimitere este chemată să se pronunțe cu privire la aspectul dacă somația de încetare poate fi de asemenea extinsă, la nivel mondial, la afirmațiile cu formulare identică și/sau cu conținut echivalent de care Facebook nu are cunoștință, Oberster Gerichtshof a solicitat Curții de justiție să interpreteze în acest context directiva privind comerțul electronic2.

Potrivit acestei directive, un furnizor de servicii de hosting (și, așadar, un administrator al unei platforme de rețea socială3, precum Facebook) nu este în principiu responsabil pentru informațiile stocate de terți pe serverele sale în cazul în care nu are cunoștință de caracterul lor nelegal. Cu toate acestea, odată informat cu privire la nelegalitatea lor, el trebuie să le elimine sau să blocheze accesul la acestea. În plus, directiva prevede că nu i se poate impune unui furnizor de servicii de hosting o obligație generală de supraveghere a informațiilor pe care le stochează sau o obligație generală de a căuta în mod activ faptele sau circumstanțele care indică activități ilicite.

În concluziile sale de astăzi, avocatul general Maciej Szpunar consideră că directiva privind comerțul electronic nu se opune ca un furnizor de servicii de hosting care administrează o platformă de socializare, precum Facebook, să fie obligat, printr-o somație, să caute și să identifice, printre toate informațiile difuzate de utilizatorii acestei platforme, informațiile identice cu cea calificată drept ilicită de o instanță care a emis această somație.

 

Potrivit avocatului general, această abordare permite asigurarea unui just echilibru între drepturile fundamentale în cauză, și anume protecția vieții private și a drepturilor referitoare la personalitate, cea a libertății de a desfășura o activitate comercială, precum și cea a libertății de exprimare și de informare. Pe de o parte, ea nu necesită mijloace tehnice sofisticate, susceptibile să reprezinte o povară extraordinară. Pe de altă parte, ținând seama de ușurința reproducerii informațiilor în mediul internetului, ea se dovedește necesară pentru a asigura protecția eficientă a vieții private și a drepturilor referitoare la personalitate.

 

 

În cadrul somației, furnizorul de servicii de hosting poate fi de asemenea obligat să caute și să identifice informațiile echivalente celei calificate drept ilicită numai printre informațiile difuzate de utilizatorul care a difuzat această informație. O instanță care se pronunță cu privire la eliminarea unor astfel de informații echivalente trebuie să garanteze că efectele somației sale sunt clare, precise și previzibile. Astfel, aceasta trebuie să evalueze comparativ drepturile fundamentale în cauză și să țină seama de principiul proporționalității.

O obligație de identificare a informațiilor echivalente care provin de la orice utilizator nu ar asigura un just echilibru între drepturile fundamentale în cauză. Pe de o parte, căutarea și identificarea unor astfel de informații ar necesita soluții costisitoare. Pe de altă parte, punerea în aplicare a acestor soluții ar conduce la o cenzură, astfel încât libertatea de exprimare și de informare ar putea fi restrânsă în mod sistematic.

 

Te-ar putea interesa și:

 

În plus, potrivit avocatului general, întrucât directiva nu reglementează domeniul de aplicare teritorial al unei obligații de eliminare a informațiilor difuzate prin intermediul unei platforme de socializare, aceasta nu se opune ca un furnizor de servicii de hosting să fie obligat să elimine astfel de informații la nivel mondial. Pe de altă parte, domeniul de aplicare teritorial nu este reglementat nici de alte dispoziții ale dreptului Uniunii, în măsura în care, în speță, doamna Glawischnig-Piesczek nu se prevalează de dreptul Uniunii, ci de dispozițiile generale ale dreptului civil austriac în materie de atingeri aduse vieții private și drepturilor referitoare la personalitate, inclusiv calomnia4, care nu sunt armonizate. Atât aspectul efectelor extrateritoriale ale unei somații care impune o obligație de eliminare, cât și cel al domeniului de aplicare teritorial al unei astfel de obligații ar trebui să facă obiectul unei analize efectuate în special în lumina dreptului internațional public și privat.

De asemenea, avocatul general consideră că directiva nu se opune ca un furnizor de servicii de hosting să fie obligat să elimine informațiile echivalente celei care a fost calificată drept ilicită, din moment ce i-au fost semnalate de persoana în cauză, de terți sau în alt mod, întrucât într-un astfel de caz obligația de eliminare nu implică o supraveghere generală a informațiilor stocate.

Sursa aici



photo-1554252117-53f26a5ebdbd.jpg

Înalta Curte de Casație și Justiție a statuat, prin Decizia nr. 520 din 7 martie 2019 că o cerere adresată instanței transmisă și semnată electronic așa aceleași efecte ca o semnătură olografă pe un document fizic.

Cu toate acestea, ÎCCJ menționează că pentru a avea aceleași efectele juridice, semnătura digitală trebuie să îndeplinească condițiile Legii 455/2001, existenţa semnăturii scanate a semnatarului nefiind suficientă.

„Practic, semnătura electronică (digitală) validă oferă instanţei o garanţie a faptului că mesajul sau documentul digital este creat de către persoana care l-a semnat, iar conţinutul mesajului sau documentului digital nu a fost modificat de la data emiterii acestuia.

Aşadar, pentru a se conforma dispoziţiilor instanţei de judecată, recurentul-reclamant avea posibilitatea, fie de a transmite prin e-mail cererea de recurs, e-mail care să aibă ataşat o semnătură electronică validă, în condiţiile legii speciale anterior menţionate, fie avea posibilitatea de a expedia prin poştă un exemplar al cererii formulate, care să poarte semnătura sa olografă.”

Te-ar putea interesa și:

 


 

Decizia în integralitate mai jos:

 

R O M Â N I A
ÎNALTA CURTE DE CASAŢIE ŞI JUSTIŢIE
Secţia I civilă

Decizia nr. 520/2019

Şedinţa publică din data de 7 martie 2019

Asupra cauzei de faţă, constată următoarele:

Prin Decizia civilă nr. 585/A din data de 9 mai 2018 pronunţată de Curtea de Apel Cluj, secţia a IV-a pentru litigii de muncă şi asigurări sociale, s-a respins, ca nefondat, apelul declarat de reclamantul A. împotriva Sentinţei civile nr. 1924/F din data de 11 decembrie 2017 pronunţată de Tribunalul Bistriţa-Năsăud, secţia I civilă, în cauza având ca obiect asigurări sociale.

Împotriva acestei decizii, reclamantul A. a declarat recurs, înregistrat la data de 11 iunie 2018 pe rolul Înaltei Curţi de Casaţie şi Justiţie, secţia I civilă.

Prin rezoluţia din data de 14 iunie 2018, completul de filtru CF x, învestit prin repartizare aleatorie cu soluţionarea căii de atac, a stabilit termen la data de 20 septembrie 2018, cu citarea părţilor, în şedinţă publică, în vederea discutării admisibilităţii căii de atac.

De asemenea, recurentul-reclamant a fost citat cu menţiunea de a semna cererea sau de a expedia un exemplar semnat al cererii de recurs.

La termenul astfel stabilit, constatând lipsa părţilor şi faptul că nu s-a solicitat judecarea cauzei în lipsă, în temeiul dispoziţiilor art. 411 pct. 2 C. proc. civ., instanţa a dispus suspendarea cauzei.

La data de 18 februarie 2019, reclamantul a transmis prin e-mail cerere de repunere pe rol a cauzei. Cererea nu poartă semnătura părţii, recurentul-reclamant precizând că nu poate transmite un exemplar semnat, întrucât nu deţine scanner.

Cu privire la solicitarea de repunere pe rol a cauzei, instanţa reţine următoarele:

Potrivit dispoziţiilor art. 415 C. proc. civ., judecata cauzei suspendate se reia: 1. prin cererea de redeschidere făcută de una dintre părţi, când suspendarea s-a dispus prin învoirea părţilor sau din cauza lipsei lor.

În cauză, deşi cererea de reluare a judecăţii formulată în scris şi transmisă prin e-mail nu este semnată de către recurentul-reclamant, având în vedere poziţia procesuală a reprezentantului intimatelor-pârâte, prezent în faţa instanţei la termenul de judecată, în sensul de a se depăşi acest incident procedural şi a se relua judecata, Înalta Curte dispune repunerea cauzei pe rol şi rămâne în pronunţare asupra excepţiei nulităţii căii de atac.

Examinând cererea de recurs în raport de excepţia nulităţii pentru nesemnarea recursului, a cărei analiză este prioritară celorlalte excepţii invocate în cauză, în considerarea prevederilor art. 248 alin. (1) şi alin. (2) C. proc. civ., Înalta Curte reţine următoarele:

Conform dispoziţiilor art. 486 alin. (1) lit. e) C. proc. civ., cererea de recurs va cuprinde semnătura părţii sau a mandatarului părţii în cazul prevăzut la art. 13 alin. (2), a avocatului sau, după caz, a consilierului juridic.

Alin. (2) al aceluiaşi text de lege dispune că menţiunile prevăzute la alin. (1) lit. a) şi c) – e), precum şi cerinţele menţionate la alin. (2) sunt prevăzute sub sancţiunea nulităţii.

În cauza de faţă, se constată că deşi recurentul-reclamant A. a fost citat cu menţiunea de a semna cererea de recurs înaintată prin e-mail sau de a expedia un exemplar semnat al cererii, sub sancţiunea nulităţii, partea nu s-a conformat obligaţiei dispuse de instanţă.

Chiar mai mult decât atât, prin notele scrise depuse la dosar recurentul-reclamant a adus la cunoştinţa instanţei faptul că nu poate transmite un exemplar semnat la cererii de recurs întrucât nu deţine scanner.

Cu referire la această precizare a recurentului-reclamant, se reţine că, în situaţia în care o parte înţelege să transmită instanţei cereri în format electronic, existenţa semnăturii scanate a semnatarului nu este suficientă, având în vedere dispoziţiile speciale prevăzute de Legea nr. 455/2001, act normativ care stabileşte regimul juridic al semnăturii electronice şi al înscrisurilor în formă electronică, precum şi condiţiile furnizării de servicii de certificare a semnăturilor electronice. Semnătura electronică reprezintă date în formă electronică care sunt ataşate sau logic asociate cu alte date în formă electronică şi care servesc ca metodă de identificare.

În asemenea cazuri precum cel din speţa dedusă judecăţii, în care cererile sunt adresate instanţelor în format electronic, semnătura digitală conectează identitatea electronică a semnatarului cu documentul digital, neputând fi copiată de pe un document digital pe altul, fapt ce conferă documentului autenticitate (atestă faptul că documentul aparţine persoanei semnatare, iar autorul documentului nu îşi poate declina răspunderea pentru conţinutul documentului cu semnătură electronică valida).

Practic, semnătura electronică (digitală) validă oferă instanţei o garanţie a faptului că mesajul sau documentul digital este creat de către persoana care l-a semnat, iar conţinutul mesajului sau documentului digital nu a fost modificat de la data emiterii acestuia.

Aşadar, pentru a se conforma dispoziţiilor instanţei de judecată, recurentul-reclamant avea posibilitatea, fie de a transmite prin e-mail cererea de recurs, e-mail care să aibă ataşat o semnătură electronică validă, în condiţiile legii speciale anterior menţionate, fie avea posibilitatea de a expedia prin poştă un exemplar al cererii formulate, care să poarte semnătura sa olografă.

În lipsa semnăturii părţii, o atare cerere, privată de unul dintre elementele necesare şi esenţiale pentru asigurarea unei minime discipline procesuale, nu poate determina o legală învestire a instanţei de judecată.

Având în vedere normele procesuale stabilite de legiuitor, care statuează condiţiile în care poate fi formulată orice cerere adresată instanţei, constatând lipsa semnăturii părţii, cum recurentul-reclamant nu s-a conformat dispoziţiilor instanţei de judecată de a semna memoriul de recurs, Înalta Curte urmează a aplica sancţiunea expres prevăzută de dispoziţiile art. 486 alin. (3) C. proc. civ., respectiv anularea cererii de recurs.

PENTRU ACESTE MOTIVE

ÎN NUMELE LEGII

D E C I D E

Anulează cererea de recurs formulată de reclamantul A. împotriva Deciziei civile nr. 585/A din data de 9 mai 2018 pronunţată de Curtea de Apel Cluj, secţia a IV-a pentru litigii de muncă şi asigurări sociale.

Definitivă.

Pronunţată în şedinţă publică, astăzi, 7 martie 2019

 

 

 


photo-1520250497591-112f2f40a3f4.jpg

Avocatul general este de părere că vorbim de un serviciu al societății informaționale, iar nu o agenție imobiliară în situația platformelor de genul Airbnb. AIRBNB Ireland, societate de drept irlandez cu sediul în Dublin (Irlanda), administrează pentru toți utilizatorii din afara Statelor Unite o platformă online al cărei scop îl reprezintă stabilirea de contacte între, pe de o parte, gazde (profesioniști și particulari) care dispun de locuri de cazare de închiriat și, pe de altă parte, persoane care sunt în căutarea acestui tip de cazare.

Ca urmare a unei plângeri împotriva lui X cu constituire ca parte civilă, depusă, printre alții, de Association pour un hébergement et un tourisme professionnel (AHTOP), Parquet de Paris (Parchetul din Paris, Franța) a întocmit, la 16 martie 2017, un rechizitoriu introductiv pentru încălcări ale legii care reglementează condițiile de exercitare a activităților privind anumite tranzacții referitoare la imobile și fonduri de comerț (denumită Legea Hoguet), în special în ceea ce privește activitatea de agent imobiliar. AIRBNB Ireland contestă exercitarea unei activități de agent imobiliar și invocă inaplicabilitatea Legii Hoguet ca urmare a incompatibilității acesteia cu Directiva privind anumite aspecte juridice ale serviciilor societății informaționale.

 

Te-ar putea interesa și:

 

Judecătorul de instrucție de pe lângă tribunal de grande instance de Paris [Tribunalul de Mare Instanță din Paris, Franța] a decis să adreseze întrebări Curții de Justiție pentru ca aceasta să stabilească dacă serviciile prestate în Franța de societatea AIRBNB Ireland prin intermediul unei platforme electronice operate din Irlanda beneficiază de libertatea de prestare a serviciilor prevăzută de Directiva privind anumite aspecte juridice ale serviciilor societății informaționale și dacă normele restrictive referitoare la exercitarea profesiei de agent imobiliar în Franța, edictate prin Legea Hoguet, îi sunt opozabile.

 

 

Pentru a răspunde la prima întrebare adresată Curții, avocatul general Maciej Szpunar, în concluziile sale prezentate astăzi, analizează dacă serviciul prestat de AIRBNB Ireland poate fi considerat un serviciu al societății informaționale.

După ce a amintit definiția conținută în Directiva referitoare la procedura de furnizare de informații în domeniul normelor privind serviciile societății informaționale, avocatul general constată că trebuie stabilită natura serviciului furnizat de AIRBNB Ireland, și anume dacă acesta este un serviciu prestat la distanță, fără ca părțile să fie prezente simultan, și dacă acesta este prestat în întregime prin utilizarea unor dispozitive electronice și nu se referă la serviciile al căror conținut este material, chiar dacă acestea implică utilizarea unor dispozitive electronice.

Avocatul general subliniază că, în jurisprudența sa, Curtea a stabilit deja anumite criterii pentru serviciile mixte, constând într-un element prestat pe cale electronică și altul care nu este prestat pe această cale.

 

Te-ar putea interesa și:

 

După ce a analizat serviciul AIRBNB Ireland în lumina acestor criterii, avocatul general propune Curții să răspundă la prima întrebare preliminară în sensul că un serviciu care constă în punerea în legătură, prin intermediul unei platforme electronice, a unor potențiali chiriași cu locatori care propun servicii de cazare de scurtă durată, într-o situație în care prestatorul serviciului menționat nu exercită un control asupra condițiilor de bază ale acestor prestații, constituie un serviciu al societății informaționale. Acesta precizează că faptul că prestatorul menționat propune și alte servicii al căror conținut este material nu împiedică calificarea serviciului prestat prin mijloace electronice drept un serviciu al societății informaționale, cu condiția ca acest din urmă serviciu să nu formeze un întreg indisolubil cu serviciile respective.

 

 

În ceea ce privește posibilitatea de a face opozabilă Legea Hoguet în raport cu AIRBNB Ireland, avocatul general observă că, în ceea ce privește speța supusă atenției Curții, această lege intră a priori în domeniul de aplicare al Directivei privind comerțul electronic, întrucât este vorba de o reglementare a unui alt stat membru decât statul membru de origine, care poate restrânge serviciile societății informaționale. Acesta continuă prin a aminti că, pentru ca o cerință stabilită de un alt stat membru decât cel în care este stabilit prestatorul serviciilor societății informaționale să îi fie opozabilă acestuia și să conducă la restrângerea liberei circulații a acestor servicii, această cerință trebuie să constituie o măsură care îndeplinește condițiile de fond și procedurale prevăzute de această directivă.

Având în vedere condițiile de fond prevăzute de Directiva privind comerțul electronic, avocatul general consideră că un alt stat membru decât cel de origine poate deroga de la libera circulație a serviciilor societății informaționale numai prin măsuri adoptate „de la caz la caz”. Acesta continuă prin a arăta că, în orice caz, revine instanței naționale sarcina să determine dacă, având în vedere toate elementele care au fost aduse la cunoștința sa, măsurile în cauză sunt necesare pentru a asigura protecția consumatorului și nu depășesc ceea ce este necesar pentru atingerea obiectivului urmărit.

În ceea ce privește cerințele procedurale, avocatul general amintește că un stat membru care are în vedere adoptarea unor măsuri care restrâng libera circulație a serviciilor societății informaționale care provin dintr-un alt stat membru trebuie să notifice în prealabil Comisiei intenția sa și să solicite statului membru de origine să adopte măsuri în materia serviciilor societății informaționale. Or, acesta constată că nimic nu arată că Franța a solicitat Irlandei să adopte măsuri în materia serviciilor societății informaționale și se pare că nici condiția privind notificarea Comisiei nu a fost îndeplinită, fie înainte, fie după perioada de transpunere a directivei. Cu privire la acest ultim aspect, avocatul general consideră că lipsa notificării are ca efect sancțiunea inopozabilității unei măsuri în raport cu prestatorul acestor servicii.

Astfel, în ceea ce privește problema dacă un alt stat membru decât cel de origine poate să impună prestatorilor unei categorii de servicii ale societății informaționale, din oficiu și fără analiza condițiilor de fond, cerințe referitoare la exercitarea profesiei de agent imobiliar, precum cele prevăzute de Legea Hoguet, avocatul general consideră că directiva se opune ca un stat membru să poată restrânge, în astfel de împrejurări și în acest mod, libera circulație a serviciilor societății informaționale care provin dintr-un alt stat membru. 

Sursa aici

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Dezmoștenirea-în-Codul-Civil-3.png

Dreptul de a fi uitat sau dreptul la ștergerea datelor

GDPR introduce dreptul persoanelor fizice de a fi uitat sau de a  șterge datele cu caracter personal.

  • Dreptul la ștergere este, de asemenea, cunoscut ca “dreptul de a fi uitat”.
  • Persoanele fizice pot face o cerere de ștergere verbală sau în scris.
  • Aveți la dispoziție o lună să răspundeți la solicitare.
  • Dreptul nu este absolut și se aplică numai în anumite circumstanțe.
  • Acest drept nu este singurul mod în care GDPR vă obligă să vă hotărâți să ștergeți datele cu caracter personal.

Listă de verificare

Cum ne pregătim?

  • Știm cum să recunoaștem o cerere de ștergere și înțelegem când se aplică dreptul.
  • Avem o procedură pentru a ști concret cum să identificăm și cum să răspundem la o cerere de ștergere.
  • Avem un registru unde înregistrăm cererile. 
  • Înțelegem când putem refuza o cerere și suntem conștienți de informațiile pe care trebuie să le furnizăm persoanelor atunci când facem acest lucru.

Cum răspundem?

  • Există procese prin care ne asigurăm că răspundem la o cerere de ștergere fără întârzieri nejustificate și în termen de o lună de la primire.
  • Suntem conștienți de circumstanțele în care putem prelungi termenul pentru a răspunde la o solicitare.
  • Înțelegem că se pune un accent deosebit pe dreptul de a fi uitat dacă cererea se referă la datele colectate de la copii.
  • Avem proceduri pentru a informa destinatarii dacă ștergem orice date pe care le-am împărtășit cu ei.
  • Avem metode adecvate pentru a șterge informațiile.

 

 

Ce reprezintă dreptul de a fi uitat?

În conformitate cu articolul 17 din GDPR, persoanele fizice au dreptul de a șterge datele cu caracter personal. Acest lucru este, de asemenea, cunoscut ca “dreptul de a fi uitat”. Dreptul nu este absolut și se aplică doar în anumite circumstanțe.

 

Când se aplică dreptul de a fi uitat?

Persoanele fizice au dreptul de a șterge datele lor personale dacă:

  • datele nu mai sunt necesare pentru scopul pentru care le-ați colectat sau le-ați prelucrat inițial;
  • vă bazați pe consimțământ ca temei legal pentru păstrarea datelor și persoana își retrage consimțământul;
  • vă bazați pe interesul legitim ca temei pentru prelucrare, iar persoana obiectează la prelucrarea datelor și nu există niciun interes legitim pentru a continua această prelucrare;
  • prelucrați datele personale în scopuri de marketing direct și persoana obiectează la prelucrarea respectivă;
  • ați prelucrat datele cu caracter personal în mod ilegal;
  • trebuie să faceți acest lucru pentru a respecta o obligație legală; sau ați prelucrat datele pentru a oferi unui copil servicii ale societății informaționale.

 

Cum se aplică dreptul de ștergere datelor colectate de la copii?

Se pune accent pe dreptul de a șterge datele cu caracter personal dacă cererea se referă la datele colectate de la copii. Aceasta reflectă protecția sporită a informațiilor copiilor, în special în mediul online, în cadrul GDPR.

Prin urmare, dacă prelucrați datele colectate de la copii, trebuie să acordați o importanță deosebită oricărei solicitări de ștergere, dacă prelucrarea datelor se bazează pe consimțământul dat de un copil – în special orice prelucrare a datelor personale pe internet. Acest lucru este valabil și în cazul în care persoana vizată nu mai este copil, deoarece este posibil ca un copil să nu fi fost pe deplin conștient de riscurile implicate de prelucrare în momentul acordării consimțământului.

 

Te-ar putea interesa și: 

 

Trebuie să înștiințăm celelalte organizații despre ștergerea datelor cu caracter personal?

GDPR specifică două situații în care trebuie să comunicați altor organizații ștergerea datelor cu caracter personal:

  • datele cu caracter personal au fost divulgate; sau
  • datele personale au fost făcute publice într-un mediu online (de exemplu, pe rețelele sociale,forumuri sau site-uri web).

Dacă ați divulgat datele cu caracter personal altor persoane, trebuie să contactați fiecare destinatar și să îl informați despre ștergere, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate. Dacă vi se cere, trebuie, de asemenea, să informați persoanele despre acești destinatari.

GDPR definește un beneficiar ca fiind persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căruia i se dezvăluie datele cu caracter personal. Definiția include operatoii, persoanele împuternicite și persoanele care, sub autoritatea directă a operatorului sau a persoanei împuternicite sunt autorizate să prelucreze date cu caracter personal.

În cazul în care datele cu caracter personal au fost făcute publice într-un mediu online, ar trebui luate măsuri rezonabile pentru a informa alți operatori care prelucrează datele cu caracter personal pentru a șterge legăturile, copiile sau replicarea acestor date. Atunci când decideți ce măsuri sunt rezonabile, trebuie să țineți cont de tehnologia disponibilă și costul implementării.

 

Trebuie să ștergem datele personale din sistemele backup?

Dacă se primește o solicitare valabilă de ștergere și nu se aplică nicio excepție, va trebui să luați măsuri pentru a asigura ștergerea din sistemele backup, precum și din sistemele live. Acești pași vor depinde de circumstanțele dvs. specifice, de programul dvs. de stocare (în special în contextul copierii de rezervă) și de mecanismele tehnice disponibile.

Trebuie să fiți absolut clari când înștiințați persoanele cu privire la ce se va întâmpla cu datele lor atunci când cererea lor de ștergere este îndeplinită, inclusiv în ceea ce privește sistemele backup. Este posibil ca cererea de ștergere să poată fi îndeplinită instantaneu în ceea ce privește sistemele live, dar ca datele să rămână în backup pentru o anumită perioadă de timp, până când va fi suprascris.

Problema cheie este de a pune datele de rezervă “dincolo de utilizare”, chiar dacă nu pot fi suprascrise imediat. Trebuie să vă asigurați că nu utilizați datele din copia de rezervă pentru niciun alt scop, ceea ce înseamnă că backup-ul este pur și simplu ținut pe sistemele dvs. până când este înlocuit în conformitate cu un program stabilit. Cu toate acestea, este puțin probabil ca păstrarea datelor cu caracter personal în rezervă să reprezinte un risc semnificativ, deși acest lucru va fi specific contextului.

 

 

 

Când nu se aplică dreptul de a fi uitat?

Dreptul de a fi uitat nu se aplică în cazul în care prelucrarea este necesară pentru persoana vizată în următoarele situații:

  • când exercită dreptul la libertatea de exprimare și de informare;
  • când trebuie să respecte o obligație legală;
  • pentru îndeplinirea unei sarcini îndeplinite în interes public sau în exercitarea autorității publice;
  • pentru scopuri de arhivare în interes public, cercetare științifică istorică sau scopuri statistice, în cazul în care ștergerea este de natură să facă imposibilă sau să afecteze în mod grav realizarea prelucrării respective; sau
  • pentru stabilirea, exercitarea sau apărarea unui drept în instanță

De asemenea, GDPR specifică două situații în care dreptul de a fi uitat nu se aplică datelor de categorie specială:

  • dacă prelucrarea este necesară în scopuri de sănătate publică în interesul public (de exemplu, protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea unor standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau dispozitivelor medicale); sau
  • în cazul în care prelucrarea este necesară în scopurile medicinii preventive sau profesionale (de exemplu, în cazul în care prelucrarea este necesară pentru capacitatea de muncă a unui angajat, pentru diagnosticul medical, pentru furnizarea de asistență medicală sau socială sau pentru gestionarea sănătății sau sociale sisteme sau servicii de îngrijire). Aceasta se aplică numai în cazul în care datele sunt prelucrate de către sau sub responsabilitatea unui profesionist care face obiectul unei obligații legale privind secretul profesional (de exemplu, un profesionist în domeniul sănătății).

 

Te-ar putea interesa si:

 

Putem refuza să ne conformăm unei cereri din alte motive?

Puteți refuza să vă conformați unei solicitări de ștergere dacă este vădit nefondată sau excesivă, luând în considerare dacă cererea are un caracter repetitiv.

Dacă considerați că o cerere este vădit nefondată sau excesivă, puteți să:

  • solicitați o “taxă rezonabilă” pentru a răspunde cererii; sau
  • refuza să răspundeți la cerere.

În ambele cazuri, va trebui să vă justificați decizia.

 

Ce ar trebui să facem dacă refuzăm să dăm curs unei cereri de ștergere?

Trebuie să informați persoana respectivă fără întârzieri nejustificate și în termen de o lună de la primirea cererii.

Trebuie să informați persoana despre:

  • motivele pentru care nu acționați;
  • dreptul lor de a adresa o plângere autorității de supraveghere și posibilitatea de a-și exercita acest drept printr-o cale de atac judecătorească.

De asemenea, trebuie să furnizați aceste informații dacă solicitați o taxă rezonabilă sau aveți nevoie de informații suplimentare pentru a identifica persoana respectivă.

 

Sursa aici

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Regulamentul General privind Protecția Datelor (GDPR) ridică multe întrebări cu privire la impactul GDPR asupra relațiilor de muncă. Nu este o noutate faptul că în cadrul majorității organizațiilor, angajații au fiecare câte o adresă de e-mail de serviciu pe formatul nume.prenume@companie.ro. În prezentul articol voi aborda un subiect de actualitate și întâlnit frecvent în practică: poate un angajator să acceseze adresa de e-mail de serviciu a unui fost angajator?

Înainte de a răspunde la întrebare, vom discuta, cu titlu preliminar, câteva aspecte deosebit de importante pentru înțelegerea problematicii abordate.

Este adresa de e-mail o dată cu caracter personal?

Orientările europene sunt în sensul în care o adresă de e-mail pe formatul nume.prenume@companie.ro sau chiar pe formatul nume@companie.ro, este o dată cu caracter personal. Adresele de e-mail pe formatul office@companie.ro nu sunt date cu caracter personal, însă acest lucru nu înseamnă că acestea nu ar trebui protejate deoarece conțin informații sensibile. Conținutul e-mailurilor pot conține de asemenea, o multitudine de informații personale, precum datele de contact ale clienților, informații financiare, date medicale, iar în cazurile nefericite, inclusiv discuțiile private ale angajatului/fostului angajat.

De asemenea, Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul legislației privind protecția datelor.

În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.

 

Te-ar putea interesa și:

 

Conversații private pe e-mail-ul de serviciu…

Comoditatea îi determină pe unii angajați să folosească adrese de e-mail de serviciu pentru activități domestice, precum achiziții online sau chiar discuții personale. Cât de permis este acest lucru de GDPR? În primul rând, e lesne de înțeles că angajatorul nu poate controla cum folosește un angajat e-mailul de serviciu. Însă, având în vedere că (1) GDPR impune angajaților să nu colecteze mai multe date decât sunt necesare și (2) orice operator (în speță, angajatorul) trebuie să implementeze măsuri tehnice și organizatorice adecvate, aș spune că angajatorii ar trebui să cunoască faptul că… nu ar trebui să amestece viața personală cu atribuțiile de serviciu. Organizația ar trebui să aibă politici adecvate prin care angajaților li se aduce la cunoștință nu doar cum să protejeze datele personale ale organizației, ci cum să își protejeze datele lor personale. Compania ar trebui să explice angajaților că nu ar trebui să folosească e-mail-ul de serviciu în scop personal atât prin training-uri și ar trebui să aibă proceduri implementate (actualizarea ROI cu un capitol privind protecția datelor, acorduri de confidențialitate, politici de confidentialitate/securitate etc) pentru protecția datelor personale, inclusiv protecția propriilor informații personale.

Cu alte cuvinte, conversațiile private pe e-mailul de serviciu nu sunt interzise per se de Regulament, însă angajatorii ar trebui să depună diligențe pentru a atrage atenția angajaților asupra riscurilor la care se pot expune, mai ales în situația în care e-mailurile de serviciu sunt monitorizate 🙂

 

 

E-mail-uri de serviciu monitorizate

Vă amintiți de celebru caz de la CEDO Bărbulescu vs România? Pe scurt, domnul Bărbulescu a fost obligat de către angajator să își creeze o adresă de yahoo messenger pentru a ține legătura cu clienții, însă conversațiile de pe yahoo messenger cu logodnica și fratele său au fost monitorizate de către companie, fără ca dnul Bărbulescu să aibă cunoștință de acest lucru. Peste ceva timp, domnul Bărbulescu a fost concediat deoarece încălcase regulamentul intern care îl obliga să nu folosească internetul în scop personal. A contestat fără succes decizia la instanțele din România invocând violarea secretului corespondenței. În cele din urmă, CEDO (Marea Camera) a dat o decizie cel puțin interesantă, prin care statuat, printre altele, că monitorizarea conversațiilor electronice la locul de muncă este permisă dacă se îndeplinesc cumulativ următoarele condiții:

  • există un interes legitim al companiei de a monitoriza (supravegherea îndeplinirii sarcinilor de serviciu, securitate etc);
  • nu au fost găsite metode mai puțin intruzive pentru atingerea scopului;
  • angajatul a fost informat în prealabil cu privire la faptul că e-mailul este supravegheat.

În această situație, temeiul juridic nu este consimțământul angajatului (care, conform opiniei WP29, în majoritatea cazurilor, este invalid, existând un dezechilibru de putere), ci interesul legitim.

Cu privire la monitorizare ar trebui să ne amintim că Legea 190/2018 privind măsurile de punere în aplicare al GDPR impune următoarele condiții:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate – prin urmare trebuie documentată o analiză a interesului legitim și păstrată pentru un eventual control. 

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;- notele de informare către angajați trebuie să prevadă că se utilizează mijloace de monitorizare.

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

 

 

Putem accesa e-mailul fostului angajat? 

Pe scurt, da, însă doar dacă sunt respectate anumite condiții pe care le vom indica mai jos.

„Atunci când un angajat părăsește organizația, angajatorul ar trebui să ia măsurile tehnice și organizatorice necesare, astfel încât poșta electronică a angajatului să fie dezactivată în mod automat. În cazul în care, pentru buna funcționare a organizației, este necesar să fie recuperat conținutul poștei electronice a unui angajat, angajatorul ar trebui să adopte măsurile adecvate pentru recuperarea conținutul acesteia înainte de plecarea angajatului și, dacă este posibil, în prezența lui.” – CEDO, Cauza Bărbulescu vs România.

Așadar, atunci când un angajat părăsește compania, e-mailul trebuie dezactivat și redirecționat către o nouă adresă, iar conținutul ar trebui recuperat înainte de plecarea angajatului. Dacă totuși, angajatul e plecat deja, iar compania nu avea cunoștință de acest lucru, va trebui să recupereze și să dezactiveze în cel mai scurt timp, deoarece un timp îndelungat poate conduce către un cuantum al amenzii mai mare. 

În cursul anului 2016, o societate din România a fost amendată de ANSPDCP deoarece a păstrat mai mult decât era cazul (aproximativ un an) un e-mail al unui fost colaborator, invocând, printre altele, că a trebuit să păstreze adresa de e-mail deoarece clienții societății erau obișnuiți să contacteze această adresă de e-mail. Procesul-verbal a fost contestat la Tribunalul București. S-a pierdut în fond și s-a făcut apel la Curtea de Apel București.

Prin Decizia Civilă nr. 34/09.03.2017, Curtea de Apel București a statuat, printre altele, că:

există un interes legitim („Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă.”)

nu este nevoie consimțământ, angajatorul se poate baza pe interes legitim („Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.”)

angajatorii ar trebui să nu acceseze niciodată discuții personale și să le șteargă în cel mai scurt timp („Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.”)

La o primă lectură, apare un paradox. CEDO spune că angajatorul ar trebui să recupereze e-mailurile înainte de plecarea angajatului, iar Curtea de Apel București spune că recuperarea se poate face și după plecare, însă, în cel mai scurt timp. Luând în calcul (1) formularea „ar trebui” în loc de „trebuie” a CEDO și (2) faptul că accesul la conținutul e-mailului poate fi extrem de important, de la caz la caz, se poate aprecia dacă există un interes legitim de a accesa adresa de e-mail a fostului angajat.

 

Recomandări. Soluții. 

Având în vedere cele expuse mai sus putem concluziona și putem emite chiar o soluție care poate fi utilă companiilor aflate în această situație:

  1. Pe viitor, companiile ar trebui să aibă grijă să recupereze conținutul e-mailului înainte de plecare și, dacă se poate, în prezența angajatului.
  2. Dacă nu s-a respectat punctul 2., companiile ar trebui să recupereze în cel mai scurt timp conținutul necesar, să redirecționeze și să șteargă e-mailul. Poate fi util să informeze în acest sens angajatul și să îi propună ștergerea conținutului confidențial.
  3. În toate cazurile în care se merge pe interes legitim pentru monitorizarea și/sau accesarea e-mail-urilor după plecarea angajatului, trebuie documentată o analiză a interesului legitim care să îi permită angajatorului să aibă acces.

Rețineți faptul că GDPR nu cere perfecțiune, ci o abordare bazată pe risc, și, atâta timp cât compania depune eforturi constante pentru respectarea Regulamentului, nu ar trebui să existe probleme. Iar când e vorba despre protecția datelor cu caracter personal, ar trebui să ne punem mai des întrebări.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 


arhive-technology-law-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord