Aici descoperim
dreptul tehnologiei

Un-rinichi-sau-datele-personale-ale-altcuiva_.png

Instanța: Judecătoria Sectorului 2 București

Nr. Hotărârii: 7764/2019

Sursa: rolii.ro

Situația de fapt. Ce s-a întâmplat pe scurt?

Reclamantul (îl vom numi Andrei ca să ne fie mai ușor) a dat în judecată Vodafone România pentru că o alta persoană (necunoscută în prezentul dosar) i-a folosit datele de identificare pentru a face un abonament RED 25 Plus în numele acestuia pentru a intra în posesia unui Iphone X nou-nouț.

Andrei a aflat de această situație atunci când a primit factura pe e-mail, factură pe care a și plătit-o pentru a nu i se întrerupe serviciile de telefonie mobilă.

Ulterior, reclamantul a dat în judecată Vodafone România solicitând, printre altele, daune morale pe tărâmul răspunderii civile delictuale pentru fapta salariaților Vodafone de a nu proceda la identificarea persoanei care a făcut abonamentul în numele lui.

S-a menționat, totodată, că în cauza de față sunt îndeplinite condițiile angajării răspunderii civile delictuale, după cum urmează:

a) fapta ilicită – prin care a fost încălcat un drept și a fost cauzat un prejudiciu – alocarea unui nou abonament voce și achiziționarea unui telefon mobil marca Apple Iphone X, de către o terță persoană, cu utilizarea datelor personale ale reclamantului și implicit emiterea unei facturi semnificative pe numele subsemnatului.

b) săvârșirea cu vinovăție, constând în intenția, neglijența sau imprudența celui care a acționat – terțul a achiziționat un telefon cu o valoare de piață semnificativă, fără a-i fi verificată identitatea de către salariatul pârâtei și fără a încheia și semna un contract. Angajatul societății pârâte avea obligația să legitimeze și să identifice persoana respectivă.

c) existența unui prejudiciu – rezultatul dăunător de natură patrimonială, nepatrimonială, ca efect al încălcării drepturilor și interesului legitim – a achitat o factură cu o valoare enormă față de valoarea lunară a abonamentului, determinând o diminuare a patrimoniului subsemnatului. De asemenea, a fost necesar să aloce un timp mai mult decât rezonabil soluționării acestei situații, prin învoirea de la serviciu și prin deplasare personală din Călărași până la sediul pârâtei, întrucât aceasta nu a dat curs sesizărilor transmise în format electronic.

 

Te-ar putea interesa și:

 

d) raportul de cauzalitate între prejudiciu și fapta ilicită – s-a produs un prejudiciu moral, nefiind respectată confidențialitatea ce trebuia păstrată cu privire la datele cu caracter personal, fiind distrusă încrederea în serviciile prestate de societatea pârâtă. Stresul și pierderea de timp au avut efecte negative, iar după după ce a fost sesizată, societatea pârâtă nu a dat dovadă că înțeles consecințele produse prin fapta sa, în vederea evitării apariției în viitor a unor situații similare.

Potrivit reclamantului, conform art. 5 din GDPR, datele cu caracter personal trebuie să fie prelucrate într-un mod care să asigure securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva procesării neautorizate sau ilegale și împotriva pierderi accidentale, distrugeri sau deteriorări, utilizând corespunzător măsuri tehnice sau organizatorice corespunzătoare.

De asemenea, dispozițiile art. 32 din Regulament stabilesc clar obligația operatorilor de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, dar și capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică.

Persoana fizică identificată sau identificabilă, definită „persoană vizată” în sensul GDPR (art. 4 pct. 1), adică persoană vizată de prelucrarea datelor sale cu caracter personal de către un operator de date cu caracter personal, poate pretinde de la operatorul care nu respectă prevederile GDPR daune materiale sau morale. Astfel, potrivit art. 79 alin. 1 din GDPR “fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament”.

Conform art. 82 alin. 1 din GDPR, orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a Regulamentului, are dreptul să obțină despăgubiri de la operator și, corelativ, orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă regulamentul (art. 82 alin. 2 din GDPR). Exonerarea de răspundere este posibilă doar dacă operatorul dovedește că nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul (art. 82 alin. 3 din GDPR), ceea ce înseamnă că răspunderea este angajată și în caz de culpă.

Potrivit art. 33 alin. 1 din GDPR “în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”

Rezultă astfel că societatea pârâtă avea obligația legală de a efectua toate demersurile necesare pentru a verifica și clarifica situația, pentru a anunța autoritățile competente și pentru a întreprinde acțiuni în vederea preîntâmpinării  unor astfel de situații. Lipsa unei reacții prompte din partea societății pârâte nu face decât să încurajeze astfel de procedee, fie din partea salariaților, fie din partea terților, beneficiari de telefoane achiziționate fraudulos.

 

 

Rezultă astfel că societatea pârâtă avea obligația legală de a efectua toate demersurile necesare pentru a verifica și clarifica situația, pentru a anunța autoritățile competente și pentru a întreprinde acțiuni în vederea preîntâmpinării  unor astfel de situații. Lipsa unei reacții prompte din partea societății pârâte nu face decât să încurajeze astfel de procedee, fie din partea salariaților, fie din partea terților, beneficiari de telefoane achiziționate fraudulos.

 

Ce a decis instanța?

Instanța a „dat dreptate” reclamantului și a hotărât angajarea răspunderii Vodafone România pentru fapta angajaților săi de a nu proceda la verificarea identității persoanei care a făcut abonamentul în numele reclamantului prin plata unor daune morale de 2000 de lei. 

„La stabilirea faptei ilicite, instanța are în vedere și aplicabilitatea dispozițiilor Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în continuare, „Regulament”) ,raportat la data intrării în vigoare a acestui act normativ – 25.05.2018, și data încheierii contractului – 26.06.2018, dispoziții pe care în mod corect reclamantul și-a întemeiat acțiunea.

Astfel, conform art. 4 pct. 1, 2 și 7 din Regulament, pârâta deține calitatea de operator , iar informațiile reclamantului, a căror accesare a fost permisă de pârâta – CNP, adresă de domiciliu, telefon, cetățenie, reprezintă fără îndoială date cu caracter personal, operațiunea de utilizare și accesare a acestora reprezentând „prelucrare”, în sensul Regulamentului. Conform art. 5 alin. 1 lit. a) și f) din Regulament, datele cu caracter personal se impun a fi prelucrate în mod legal, echitabil și transparent față de persoana vizată, iar operațiunea de prelucrare trebuie realizată într-un mod care asigură securitatea adecvată acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate și confidențialitate”) . Cu privire la legalitatea prelucrării, trebuie subliniat că în speță nu au fost respectate dispozițiile art. 6 alin. 1 din Regulament, accesarea datelor personale ale reclamantului fiind realizată fără consimțământul persoanei vizate și fără un temei legal în dreptul intern . Totodată, în cauză nu sunt incidente nici dispozițiile de excepție ale art. 6 alin. 4, care permit prelucrarea fără consimțământ, sarcina probei acestor cazuri revenind pârâtei și nefiind complinită.

 

 

Răspunderea operatorului pentru prelucrarea datelor cu caracter personal cu nesocotirea principiilor sus-expuse intervine în temeiul art. 5 alin. 2, raportat la art. 24 din Regulament, care stabilesc în sarcina acestuia obligația de a pune în aplicare o politică adecvată de protecție a datelor cu caracter personal și de a implementa măsuri tehnice și administrative eficiente pentru a atinge acest rezultat . Or, prin modalitatea în care pârâta a acționat – fără a putea dovedi că reclamantul a semnat contractul de abonament, fără a proba parcurgerea unei eventuale operațiuni de legitimare a persoanei care a încheiat contractul și fără a prezenta un mandat (în cazul încheierii acestuia de către un terț), s-au nesocotit flagrant dispozițiile legale privind prelucrarea datelor cu caracter personal, sus-citate.

c) Cu privire la cea de-a treia condiție, și aceasta este îndeplinită, din moment ce, la data săvârșirii faptei ilicite, presupusul se afla în exercitarea atribuțiilor conf erite de către angajatorul său, aspect necontestat.

d) În ceea ce privește raportul de cauzalitate dintre faptă și prejudiciu , se reține că în cauză legătura de cauzalitate este directă, lanțul cauzal nefiind întrerupt : urmare a acțiunii prepusului pârâtei, a fost posibilă încheierea pe numele reclamantului a unui contract de către o persoană rămasă neidentificată.

e ) Referitor la prejudiciul cauzat , instanța reține, cu titlu preliminar, că, raportat atât la conținutul acțiunii introductive, cât și la precizările incluse în răspunsul la întâmpinare, prin prezenta acțiune se solicită exclusiv repararea prejudiciului moral.

KIT GDPR Premium

 

La modul general, î n ceea ce privește condițiile reparării prejudiciului, se reține că dreptul de a cere obligarea autorului faptei ilicite la reparare se naște dacă sunt îndeplinite cumulativ două condiții, respectiv ca prejudiciul să fie cert și să nu fi fost reparat încă. Referitor la caracterul cert al prejudiciului, se reține că prejudiciul este cert atunci când este sigur, atât sub aspectul existenței, cât si al întind erii sale. Este considerat cert prejudiciul actual, precum și prejudiciul viitor , în măsura în care sunt sigure atât apariția acestui prejudiciu, cât și posibilitatea de a fi determinat .

Sub aspectul evaluării prejudiciului , instanța are în vedere faptul că daunele morale nu pot fi probate, ci cuantumul acestora trebuie să fie echitabil, de natură a oferi o compensație rezonabilă, prin raportare la consecințele negative concrete suferite de reclamant pe plan psihic, gravitatea vătămării, importanța valorilor lezate, măsura în care au fost lezate aceste valori, intensitatea cu care au fost percepute consecințele vătămării. Nu în ultimul rând, trebuie subliniat faptul că se prezumă existența unui prejudiciu moral din simpla accesare a datelor cu caracter personal de către o terță persoană (neidentificată), devenită posibilă prin concursul pârâtei.

Totodată , instanța are în vedere și principiul potrivit căruia antrenarea răspunderii civile delictuale nu trebuie să reprezinte o îmbogățire fără justă cauză a reclamantului. Or , instanța apreciază suma de xxxxx euro solicitată cu titlu de daune morale ca fiind vădit disproporționată și neavând un caracter de reparație a unui prejudiciu suferit, ci, mai degrabă, de îmbogățire fără just temei a reclamantului .

Pentru a reține astfel, se are în vedere vătămarea concretă adusă reclamantului , constând în starea de stres cauzată acestuia prin emiterea unei facturi care includea în sarcina sa costuri pe care nu le-a contractat, de o valoare medie , precum și faptul că durata de soluționare a sesizării reclamantului a fost de o lună, aspect necontestat de pârâtă. Totodată, se are în vedere și faptul că aspectele semnalate de reclamant au ocazionat în sarcina acestuia deplasări din localitatea rurală de domiciliu a acestuia la sediul pârâte i , ca urmare a refuzului pârâtei de a da curs sesizărilor electronice formulate , aspect, de asemenea, necontestat.

Nu în ultimul rând, se are în vedere și atitudinea pârâtei, care a încercat a minimiza prejudiciul produs prin ajustarea soldului facturilor și a remediat situația semnalată anterior sesizării instanței.

Pe cale de consecință, pentru a asigura un echilibru just între dimensiunea punitivă si cea reparatorie a daunelor morale, dar și a evita crearea premiselor pentru o eventuală îmbogățire fără justă cauză a reclamantului , neputându-se corecta consecințele unei fapte ilicite printr-un alt abuz, instanța urmează a admite în parte cererea formulată, în limita sumei de 2000 lei cu titlu de daune morale , pe care instanța o apreciază ca fiind su ficientă și rezonabilă ȋn cauză.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Avocatul-General-CJUE_-Facebook-transferă-datele-în-siguranță.png

Curtea de Justiție a Uniunii Europene
COMUNICAT DE PRESĂ nr. 165/19
Luxemburg, 19 decembrie 2019
Concluziile avocatului general în cauza C-311/18
Data Protection Commissioner/Facebook Ireland Limited, Maximilian
Schrems

Potrivit avocatului general Saugmandsgaard Øe, Decizia 2010/87/UE a Comisiei
privind clauzele contractuale tip pentru transferul de date cu caracter personal către
persoane împuternicite de către operator stabilite în țări terțe este validă

 

Regulamentul general privind protecția datelor (RGPD), asemenea Directivei privind prelucrarea datelor cu caracter personal pe care a înlocuit-o, prevede că datele cu caracter personal pot fi transferate către o țară terță dacă aceasta din urmă asigură un nivel adecvat de protecție a acestor date. În lipsa unei decizii a Comisiei prin care se constată caracterul adecvat al nivelului de protecție asigurat în țara terță în cauză, operatorul poate totuși efectua transferul dacă acesta este prevăzut cu garanții corespunzătoare. Aceste garanții pot în special lua forma unui contract între exportatorul și importatorul de date care să conțină clauze tip de protecție prevăzute într-o decizie a Comisiei. Prin Decizia 2010/87/UE 3, Comisia a instituit clauze contractuale tip pentru transferul de date cu caracter personal către persoane împuternicite de către operator stabilite în țări terțe. Prezenta cauză privește validitatea acestei decizii.

Situația de fapt și istoricul litigiului principal

Litigiul principal are în istoricul său o procedură inițiată de domnul Maximillian Schrems, un utilizator austriac al Facebook, și în care s-a pronunțat deja o Hotărâre a Curții de Justiție la 6 octombrie 2015 (denumită în continuare „Hotărârea Schremsˮ).

Datele utilizatorilor de Facebook care au reședința în Uniune, precum domnul Schrems, sunt transferate, în tot sau în parte, de la Facebook Ireland, filiala irlandeză a Facebook Inc., pe servere situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. În 2013, domnul Schrems a depus o plângere la autoritatea irlandeză responsabilă de supravegherea aplicării dispozițiilor de protecție a datelor cu caracter personal (denumită în continuare „autoritatea de supraveghereˮ), considerând că, având în vedere dezvăluirile făcute de domnul Edward Snowden cu privire la activitățile serviciilor de informații ale Statelor Unite (în special National Security Agency sau „NSA”), dreptul și practicile din Statele Unite nu asigură o protecție suficientă a datelor transferate către această țară împotriva supravegherii de către autoritățile publice. Autoritatea de supraveghere a respins această plângere, în special pentru motivul că în decizia sa din 26 iulie 2000, Comisia a apreciat că în cadrul regimului denumit al „sferei de siguranțăˮ, Statele Unite asigură un nivel adecvat de protecție a datelor cu caracter personal transferate. Prin Hotărârea Schrems, Curtea de Justiție, răspunzând la o întrebare adresată de High Court (Înalta Curte de Justiție, Irlanda), a declarat nevalidă Decizia „Sfera de siguranțăˮ.

 

 

Ca urmare a Hotărârii Schrems, instanța de trimitere a anulat decizia prin care autoritatea de supraveghere a respins plângerea domnului Schrems și a trimis-o la această autoritate spre reexaminare. Aceasta a deschis o investigație și a solicitat domnului Schrems să își reformuleze plângerea ținând seama de declararea caracterului nevalid al Deciziei „Sfera de siguranțăˮ.

În acest scop, domnul Schrems a solicitat Facebook Ireland să precizeze temeiurile juridice pe care sunt întemeiate transferurile datelor cu caracter personal ale utilizatorilor Facebook din Uniune către Statele Unite. Facebook Ireland a menționat un acord de transfer și de prelucrare a datelor (data transfer processing agreement) încheiat între ea însăși și Facebook Inc., aplicabil începând cu 20 noiembrie 2015, și a invocat Decizia 2010/87.

În plângerea sa reformulată, domnul Schrems susține, pe de o parte, că clauzele conținute în acest acord nu sunt conforme cu clauzele contractuale tip prevăzute de Decizia 2010/87 și, pe de altă parte, că aceste clauze contractuale tip nu ar putea, indiferent de situație, să justifice transferul datelor cu caracter personal care îl privesc către Statele Unite. Domnul Schrems afirmă, astfel, că nicio cale de atac nu permite persoanelor vizate să își valorifice în Statele Unite drepturile la respectarea vieții private și la protecția datelor cu caracter personal. În aceste condiții, domnul Schrems solicită autorității de supraveghere să suspende acest transfer în temeiul Deciziei 2010/87.

Prin investigația sa, autoritatea de supraveghere urmărea să stabilească dacă Statele Unite asigură o protecție adecvată a datelor cu caracter personal ale cetățenilor Uniunii și, în cazul unui răspuns negativ, dacă utilizarea clauzelor contractuale tip prezintă garanții suficiente în ceea ce privește protecția libertăților și a drepturilor fundamentale ale acestora din urmă. Apreciind că instrumentarea plângerii domnului Schrems depinde de aspectul dacă Decizia 2010/87 este validă, autoritatea de supraveghere a inițiat o procedură în fața High Court pentru ca aceasta să se adreseze Curții în legătură cu acest subiect. High Court a efectuat trimiterea preliminară solicitată de această autoritate.

În concluziile prezentate astăzi, avocatul general Henrik Saugmandsgaard Øe propune Curții de Justiție să răspundă că analiza întrebărilor nu a evidențiat elemente de natură să afecteze validitatea Deciziei 2010/87.

Avocatul general observă cu titlu introductiv că litigiul principal are unica miză de a se stabili dacă Decizia 2010/87, prin care Comisia a instituit clauzele contractuale tip invocate în sprijinul transferurilor vizate în plângerea domnului Schrems, este validă.

Avocatul general consideră în primul rând că dreptul Uniunii se aplică transferurilor de date cu caracter personal către o țară terță atunci când aceste transferuri sunt subordonate unor finalități comerciale, deși datele transferate sunt susceptibile să facă obiectul unei prelucrări în scopuri de securitate din partea autorităților publice din această țară terță

KIT GDPR Premium

 

În al doilea rând, avocatul general constată că dispozițiile RGPD referitoare la transferurile către țări terțe au scopul de a asigura continuitatea unui nivel ridicat de protecție a datelor cu caracter personal, indiferent dacă datele sunt transferate în temeiul unei decizii privind caracterul adecvat sau pe baza unor garanții adecvate furnizate de exportator. În opinia lui, modul de atingere a acestui obiectiv diferă însă în funcție de temeiul juridic al transferului. Pe de o parte, o decizie privind caracterul adecvat are ca obiect constatarea faptului că o țară terță determinată asigură, în considerarea dreptului și a practicilor aplicabile în aceasta, un nivel de protecție a drepturilor fundamentale ale persoanelor ale căror date sunt transferate care să fie în esență echivalent celui rezultat din RGPD, interpretat în lumina cartei. Pe de altă parte, garanțiile adecvate furnizate de exportator, în special pe cale contractuală, trebuie să asigure în sine un asemenea nivel de protecție. În acest sens, clauzele contractuale tip adoptate de Comisie prevăd un mecanism general aplicabil transferurilor indiferent de țara terță de destinație și de nivelul de protecție asigurat în aceasta.

Te-ar putea interesa și:

Avocatul general efectuează în al treilea rând o analiză a validității Deciziei 2010/87 din perspectiva cartei. El apreciază că faptul că această decizie și clauzele contractuale tip pe care le prevede nu sunt obligatorii pentru autoritățile țării terțe de destinație și așadar nu le împiedică să impună importatorului obligații incompatibile cu respectarea acestor clauze nu determină în sine caracterul nevalid al deciziei amintite. Conformitatea Deciziei 2010/87 cu carta depinde de aspectul dacă există mecanisme suficient de solide care permit să se asigure suspendarea sau interzicerea transferurilor întemeiate pe clauze contractuale tip în cazul încălcării acestor clauze sau al imposibilității de a le respecta.

 

În opinia lui, această situație se regăsește în măsura în care există o obligație – ce revine operatorilor și, în cazul inacțiunii acestora din urmă, autorităților de supraveghere – de a suspenda sau de a interzice un transfer atunci când, din cauza unui conflict între obligațiile care decurg din clauzele tip și cele impuse de dreptul țării terțe de destinație, aceste clauze nu pot fi respectate.

Avocatul general constată pe de altă parte că instanța de trimitere repune în discuție în mod indirect anumite aprecieri efectuate de Comisie în Decizia din 12 iulie 2016, denumită „Scutul de confidențialitateˮ. În această decizie, Comisia a constatat că Statele Unite asigură un nivel
adecvat de protecție a datelor transferate din Uniune în cadrul regimului stabilit prin această decizie, având în vedere în special garanțiile cu privire la accesul autorităților din serviciul de informații americane la aceste date, precum și protecția juridică oferită persoanelor ale căror date sunt transferate. În opinia avocatului general, soluționarea litigiului principal nu necesită pronunțarea Curții cu privire la validitatea Deciziei „Scutul de confidențialitateˮ întrucât acest litigiu are ca obiect numai validitatea Deciziei 2010/87. Avocatul general prezintă însă cu titlu subsidiar motivele care îl fac să ridice problema validității Deciziei „Scutul de confidențialitateˮ din perspectiva drepturilor la respectarea vieții private și la protecția datelor cu caracter personal, precum și a dreptului la o cale de atac eficientă.

Sursa

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



friends-getting-photo_1153-166.jpg

Când am primit întrebarea din titlu de la prietena mea Andrada, răspunsul a venit natural: depinde. Dacă poți sau nu fi amendat de GDPR pentru că ai filmat un prieten (sau un membru al familiei) fără acordul lui depinde de foarte mulți factori: dacă relația este doar personală sau și profesională, contextul, ce vei face cu materialul și alți factori despre care vom discuta în continuare. Conform răspunsului oficial ANSPDCP, GDPR se aplică și persoanelor fizice.

Dar înainte să vorbesc despre excepții, adică acele invenții ale legiuitorului român care ne plac nouă avocaților pentru că jonglăm frumos cu ele (și mai facem și un ban cinstit de pe urma lor), o să expun regula. Regula este că GDPR nu se aplică activităților exclusiv personale sau domestice. Ca să explic regula de mai sus, voi da un exemplu: la petrecerea de Crăciun, prietenul tău Alin, după câteva shot-uri, sărută o altă fată decât prietena lui, iar tu surprinzi momentul pe cameră. Presupunând că petrecerea de Crăciun este un mediu exclusiv sau domestic (doar cu persoane din anturaj) și nu o petrecere publică sau o petrecere a unei companii și nu urmează să faci nimic cu acel material video, ci doar să îl păstrezi în telefon, GDPR nu se va aplica, iar tu nu poți fi amendat, în absența altor factori.

Dar cum excepția activităților exclusiv personale sau domestice este de strictă interpretare și dacă datele speței se schimbă este posibil să fii amendat sau nu în temeiul GDPR, în funcție de contextul clar: este contextul exclusiv domestic sau nu?

 

Te-ar putea interesa și:

Situația #1. Alin este un coleg de muncă

Să presupunem că petrecerea nu este organizată de o companie, ci de tine și de prietenii tăi, dar pentru că Alin, colegul tău de la muncă îți este prieten foarte bun, este invitat la petrecere și își face de cap. Având în vedere că natura relației tale cu Alin nu este exclusiv personală, ci este și una profesională, atunci contextul iese din sfera excepției GDPR, iar tu poți fi amendat de GDPR, dacă Alin decide să îți facă o plângere la ANSPDCP.

Situația #2. Petrecerea este organizată de compania la care lucrezi

Dacă petrecerea este organizată de o companie, indiferent că lucrezi la ea sau ești un simplu invitat, GDPR se va aplica, iar tu poți fi amendat de ANSPDCP dacă filmezi o persoană fără acordul ei sau nu ai alt temei legal. În principiu, în această situație, companiile ar trebui să se asigure să obțină consimțământul tuturor persoanelor la petrecere pentru a apărea în filmări sau să se bazeze pe interes legitim dacă un astfel de interes este justificat după o analiză prealabilă. În oricare situație, persoanele trebuie informate cu privire la posibilitatea ca evenimentul să fie înregistrat audio-video prin intermediul unei note de informare care poate fi afișată la intrarea la eveniment sau comunicată prin alte canale (de exemplu, pe e-mail) participanților.

 

 

Situația #3. Petrecerea este privată, dar tu postezi materialul pe Facebook

În această situație, nu este niciun fel de context profesional sau comercial. Alin îți este doar prieten, iar petrecerea este privată, dar, având în vedere că Facebook este un spațiu public conform Înaltei Curți de Casație și Justiție, GDPR se va aplica, iar tu poți fi amendat în temeiul GDPR. Aceeași este situația și celorlalte rețele de socializare: LinkedIn, Youtube, Instagram etc.

 

Situația #4. Petrecerea este privată, iar tu trimiți materialul în privat unui alt prieten

Întrucât în această situație nu există un context profesional de nicio natură, iar natura conversației este privată, GDPR nu se va aplica, iar tu nu poți fi amendat de GDPR, dar nu este etic. Deși nu poți fi amendat în temeiul GDPR, poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat. Cu toate acestea, dacă persoana care primește materialul decide să o facă publică, ea poate fi amendată de GDPR. De asemenea, dacă persoana căreia îi trimiți filmarea este un coleg de muncă al lui Alin, contextul pur domestic dispare, iar tu poți fi amendat de GDPR.

KIT GDPR Premium

 

Situația #5. Petrecerea este privată, iar tu trimiți materialul prietenei lui Alin

Cu excepția situației când prietena lui Alin este și colega lui de muncă sau există un alt raport profesional între ei, tu nu poți fi amendat în temeiul GDPR, dar poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat.

 

Concluzii

În principiu, GDPR nu intervine în situații amicale sau domestice, cu toate acestea, așa cum am văzut în exemplele de mai sus, linia dintre domestic și non-domestic este foarte subțire și chiar și în situația în care GDPR nu se aplică, putem fi trași la răspundere pentru prejudiciul cauzat în temeiul legislației civile. Situațiile au fost construite pornind de la exemplul inițial, dar dacă exemplul ar fi fost altul: ca de exemplu, Alin ar fi fost violent față de o persoană, cu siguranță că am fi avut un temei să îl filmăm și să transmitem materialul către organele abilitate. Cu toate acestea, chiar și în această situație, putem fi amendați de GDPR dacă publicăm filmulețul pe internet. Dreptul la viață privată este rezervat oricui și nu distinge între o persoană cu o conduită morală înaltă sau o persoană fără o astfel de conduită.

Dreptul la viață privată capătă importanță din ce în ce mai mare în actualul context digital și înainte să facem o mișcare care ar putea afecta viața privată a unei persoane, ar trebui să ne punem întrebarea dacă acțiunea noastră este etică sau nu. Nefiind o acțiune etică, pot exista consecințe juridice, chiar dacă nu neapărat în temeiul GDPR. În principiu, când e vorba de viața privată, atunci când o acțiune nu este etică, în principiu, nu respectă Regulamentul.

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



scanning-fingerprint-identification_99433-1109.jpg

Regulamentul (UE) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) instituie măsuri de protecție în privința datelor biometrice. La nivel jurisprudențial însă, nu au fost respectate măsurile de protecție cu privire la aceste date. În cele ce urmează vom analiza jurisprudența Curții Europene a Drepturilor Omului (CEDO) în ceea ce privește stocarea amprentelor digitale și păstrarea într-o bază de date electronică, după solicitarea reclamantului de a fi șterse.

Amprentele digitale și regimul lor juridic

În raport de Regulamentul (UE) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), amprentele digitale intră în categoria datelor biometrice. Regulamentul definește datele biometrice ca fiind:

  • Date cu caracter personal;
  • Date ce rezultă în urma unor tehnici de prelucrare specifice care se referă la:
    • Caracteristici fizice;
    • Caracteristici fiziologice;
    • Caracteristici comportamentale ale unei persoane fizice.
  • Date care permit identificarea unică a unei persoane;
  • Date care confirmă identificarea unică a unei persoane.

Astfel de date, în raport de prezentul Regulament, sunt chiar imaginile faciale și datele dactiloscopice. În această din urmă categorie specificăm amprentele digitale. Cu privire la prelucrarea datelor dactiloscopice, art. 9 din Regulamentul privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, este interzisă prelucrarea datelor cu caracter personal care dezvăluie datele biometrice pentru identificarea unică a unei persoane. În cazuri punctuale însă, prelucrarea datelor biometrice se poate realiza dacă:

  • Persoana vizată și-a dat consimțământul explicit pentru prelucrarea datelor, fie în unul fie în mai multe scopuri specifice, cu derogările prevăzute de Regulament;
  • Prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării de drepturi specifice ale operatorului sau persoanei vizate în domeniul ocupării forței de muncă, al securității și protecției sociale, cu autorizările prevăzute de Regulament;
  • Prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, în situațiile de incapacitate fizică sau juridică ale persoanei fizice de a-și da consimțământul (a se vedea în acest sens Regulamentul (UE) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

Informațiile prezentate anterior au caracter limitativ.

Pentru verificarea integrală a cazurilor de prelucrare a datelor biometrice reccomandăm consultarea acestui articol. 

 

 

Amprentele digitale în viziunea Curții Europene a Drepturilor Omului (CEDO)

În jurisprudența Curții Europene a Drepturilor Omului se urmărește tot mai mult respectarea protecției persoanelor. Sesizarea Curții Europene a Drepturilor Omului (CEDO) a fost făcută în nenumărate rânduri cu privire la încălcarea art. 8 din Convenția Europeană a Drepturilor Omului (CoEDO), articol ce face referire la dreptul la respectarea vieții private și de familie. Conform art. 8 din prezenta Convenție, orice persoană are dreptul la respectarea vieții private și de familie, a domiciliului și a corespondenței sale. O prevedere aparte este reprezentată de interzicerea imixtiunii autorităților publice în exercitarea dreptului la viață privată. Derogarea se poate realiza numai în măsura în care legea prevede acest lucru și imixtiunea ar reprezenta o măsură necesară pentru următoarele subdomenii:

  • Securitate națională;
  • Siguranță publică;
  • Bunăstare economică a țării;
  • Apărarea ordinii;
  • Prevenirea faptelor penale;
  • Protecția sănătății;
  • Protecția moralei;
  • Protecția drepturilor și libertăților altor persoane.

În materie de jurisprudență a Curții Europene a Drepturilor Omului (CEDO) considerăm relevantă Cauza M.K. împotriva Franței, nr. 19522/09 din 18 aprilie 2013. Pornind de la situația de fapt, aflăm că reclamantul a reprezentat obiectul a două anchete ce vizau furtul de cărți. În primul proces instanța a pronunțat achitarea reclamantului. În al doilea proces s-a dispus încetarea procesului penal. Atât în primul, cât și în al doilea proces, reclamantului i-au fost prelevate amprentele digitale. Amprentele prelevate au fost înregistrate în baza de date.

 

 

Ulterior, reclamantul a solicitat ștergerea amprentelor din baza de date, însă cererea a fost admisă numai pentru amprentele luate în cazul primului proces. După ce a introdus căile de atac prevăzute de lege, acestea au fost respinse de către instanțele naționale. Ulterior, prin sesizarea Curții Europene a Drepturilor Omului, s-a constatat faptul că păstrarea amprentelor digitale ale reclamantului în baza de date a constituit încălcarea dreptului la respectarea vieții private a acestuia. Aprecierea Curții a fost una justă, prin constatarea faptului că reținerea amprentelor digitale ale reclamantului a reprezentat o ingerință disproporționată în dreptul privind respectarea vieții privată. Măsura de păstrare a amprentelor digitale a fost considerată de Curtea Europeană a Drepturilor Omului (CEDO)  ca fiind una ce nu poate să fie necesară într-o societate democratică. S-a invocat de asemenea lipsa echilibrului între interesul public și cel privat. Lipsa condamnării persoanei în cauză a constituit un punct esențial pentru justificarea ștergerii datelor ce conțineau amprentele digitale ale reclamantului (a se vedea în acest sens platforma online www.echr.coe.int).

De asemenea, prin raportare la Regulamentul (UE) privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), dreptul ,,de a fi uitat” este unul esențial pentru persoană. Prin raportare la pct. (65) din prezentul Regulament, o persoana vizată ar trebui să aibă dreptul ,,de a fi uitată” în cazul în care păstrarea datelor încalcă prevederile Regulamentului, dreptul Uniunii sau dreptul intern. A fortiori, persoanele vizate ar trebui să aibă dreptul ca datele dactiloscopice să fie șterse și să nu mai fie prelucrate în situația în care nu mai sunt necesare pentru scopul în care sunt colectate sau prelucrate, sau atunci când persoanele vizate își retrag consimțământul pentru prelucrare ori se opun acesteia (a se vedea în acest sens platforma online eur-lex.europa.eu).

KIT GDPR Premium

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



hacker-holding-mask_23-2147985363.jpg

Prelucrarea datelor cu caracter personal a început să devină din ce în ce mai cunoscută odată cu aplicarea Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

Cum putem însă cunoaște faptul că prelucrarea datelor noastre este una legală?

Deși consimțământul este cel mai cunoscut temei legal, fiind vorba despre manifestarea de voință a persoanei care dorește ca datele sale să fie obiect al prelucrării, el reprezintă doar una dintre situațiile în care putem prelucra datele cu caracter personal. 

Astfel, putem prelucra datele legal atunci când se aplică cel puțin una dintre următoarele condiții:

1. Persoana vizată și-a dat consimțământul pentru a prelucra datele sale cu caracter personal pentru unul sau mai multe scopuri specifice;

Consimțământul este un element esențial; în dreptul național, intern, consimțământul este înțeles ca manifestare de voință realizată în scopul de a produce anumite efecte juridice. În temeiul prezentului Regulament privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date, prin consimțământ se înțelege orice manifestare de voință realizată liber, fiind specifică, informată și lipsită de ambiguitate. Manifestarea se realizează prin acceptare, declarație sau acțiune fără echivoc din partea persoanei vizate cu privire la prelucrarea datelor sale personale.

 

 

2. Prelucrarea datelor este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

În atare caz nu este precizat însă tipul de contract la care o persoană este parte, fiind aplicabil principiul libertății de a contracta. Aceeași situație este aplicabilă și în cazul în care se fac demersuri la cererea unei persoane înainte de încheierea contractului.

3. Prelucrarea datelor este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

Existența unei obligații care este prevăzută prin lege și necesitatea îndeplinirii acestei obligații face ca prelucrarea să respecte principiul legalității.

 

Te-ar putea interesa și ce am mai scris noi despre temeiurile legale:

 

4. Prelucrarea datelor este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

Atunci când este vorba despre interesele vitale ale unei persoane, fie că este persoana vizată, fie că este o altă persoană fizică, prelucrarea respectă principiul legalității. În completare, conform pct. (46) din Regulament, prelucrarea de date ce are ca temei interesele vitale ale unei alte persoane fizice trebuie să fie efectuată numai în situația în care prelucrarea nu se poate realiza în baza unui alt temei juridic. Tot Regulamentul prevede faptul că anumite tipuri de prelucrare pot să servească atât problemelor de interes public, cât și intereselor vitale ale persoanelor vizate. Exemplul conturat de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) este cel ce are ca obiect prelucrarea în scopuri umanitare. La acesta se adaugă monitorizarea unei epidemii și a răspândirii sale, situațiile de urgență umanitare precum dezastrele naturale.

5. Prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

6. Prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

În această situație, chiar dacă prelucrarea este necesară pentru realizarea intereselor legitime pe care un operator sau o parte terță le urmărește, au prioritate datele cu caracter personal ce vizează interesele, drepturile și libertățile fundamentale ale persoanei. Aceest caz se aplică mai ales în situația în care persoana vizată este reprezentată de un copil (a se vedea în acest sens eur-lex.europa.eu, Regulamentul(UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)).

KIT GDPR Premium

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



building-1839464_1280-1200x800.jpg

Autor Roxana Constantinescu, Avocat Baroul Cluj

Supravegherea video a angajaților și a altor persoane vizate necesită implementarea unor procese tehnice și organizatorice adecvate pentru a respecta GDPR. În prezentul articol vom explica ce anume trebuie să facă operatorii pentru a respecta GDPR atunci când utilizează sisteme de supraveghere CCTV.

1.Introducere – despre monitorizarea CCTV

CCTV înseamnă televiziune cu circuit închis, cunoscută și sub denumirea de supraveghere video. Sistemele de supraveghere video monitorizează comportamentul, activitățile sau alte informații ale persoanelor prin intermediul unui echipament electronic.

Supravegherea video poate include orice, de la sistem de supraveghere cu circuit închis sau sisteme automate de recunoaștere, la orice alt sistem pentru înregistrarea, stocarea, primirea sau vizualizarea imaginilor vizuale în scopuri de supraveghere.

În conformitate cu GDPR, angajatorii au dreptul să monitorizeze activitatea angajaților dacă au o bază legală pentru a face acest lucru, iar scopul monitorizării lor este clar comunicat angajaților în avans prin intermediul unei note de informare.

2.Temeiul legal – Interes legitim. Consimțământ

Din cauza dezechilibrului de putere în relația angajator-angajat, angajatorii nu se pot baza în decât în cazuri excepționale pe consimțământ pentru prelucrarea datelor angajaților. Pentru întreprinderi, cel mai potrivit temei legal este interesul legitim al angajatorului.

Există multe motive de interes legitim pentru care angajatorii monitorizează angajații folosind CCTV. Bazele legale ale monitorizării includ securitatea, sănătatea și siguranța angajaților prin prevenirea infracțiunilor, prevenirea comportamentului incorect al angajaților, asigurarea respectării procedurilor de sănătate și siguranță, monitorizarea și îmbunătățirea productivității etc.

Angajatorii se bazează în general pe interesele legitime ca bază legală adecvată pentru prelucrarea datelor cu caracter personal – implică responsabilitatea organizațională și permite utilizarea responsabilă a datelor cu caracter personal, protejând în același timp drepturile angajaților.

Angajatorii care se bazează pe interese legitime ca bază legală pentru prelucrare trebuie să ia în considerare legitimitatea interesului lor declarat (și potențial interesele terților) și trebuie să echilibreze acel interes cu interesele, drepturile și libertățile angajaților lor. Cu alte cuvinte, angajatorii trebuie să realizeze o analiză a interesul legitim, prin intermediul căreia să pună în balanță interesele companiei și interesele și drepturile persoanelor fizice vizate. Dacă în urma analizei, rezultă că primează interesele companiei, supravegherea CCTV se va putea realiza. Dacă în urma analizei rezultă că primează drepturile și interesele persoanelor fizice vizate, atunci supravegherea CCTV nu va putea fi realizată pe temeiul interesului legitim.

Exemplu #1: O companie care deține o parcare a identificat probleme cu furturile în mașinile parcate. Parcarea este deschisă publicului și poate fi accesată cu ușurință de către oricine. Compania are un interes legitim (prevenirea furturilor) să monitorizeze zona expusă riscului. Persoanele vizate sunt monitorizate pe o perioadă limitată de timp, nu se află în timpul unor activități recreaționale și este, de asemenea, în interesul lor ca furturile să fie prevenite. În acest caz, interesul legitim al companiei depășește dreptul la viață privată.[1]

Exemplu #2: Un restaurant decide să instaleze camere video în toalete pentru a supraveghea efectuarea curățeniei. În acest caz, drepturile persoanelor vizate depășesc în mod clar interesul legitim, iar supravegherea video nu poate avea loc.[2]

În plus, angajatorii trebuie să aplice, de asemenea, măsuri de protecție și de conformitate pentru a se asigura că drepturile angajaților nu sunt prejudiciate în niciun caz.

 

 

În cazul în care un angajat se opune utilizării camerelor de televiziune CCTV într-o anumită zonă, GDPR pune în sarcina angajatorului de a demonstra că are „motive legitime convingătoare” pentru prelucrare.

Monitorizarea angajaților prin supraveghere CCTV ar trebui să se limiteze la zonele în care riscul de a încălca drepturile angajaților este scăzut. Utilizarea camerelor CCTV care monitorizează în mod constant un grup specific de angajați dintr-o anumită zonă este mai probabil să fie considerat intruziv și abuziv decât cele care monitorizează toți angajații dintr-o zonă de intrare generală.

Scopul CCTV ar trebui să fie clar transmis angajaților prin intermediul unei notificări. În conformitate cu cerințele GDPR, angajatorii au obligația angajaților de a face acest lucru într-un mod clar și fără ambiguitate. Află mai multe despre pachetul nostru GDPR pentru supraveghere video aici. 

Simpla presupunere generală că utilizarea CCTV la locul de muncă se realizează în scopuri de securitate, dar este utilizat și pentru monitorizarea performanței sau conduitei angajaților nu este conformă. Prin urmare, angajații trebuie să fie anunțați clar înainte de a folosirea datele lor personale în acest scop. Aceeași abordare a notificării trebuie adoptată și dacă scopul supravegherii CCTV este și din motive de sănătate și siguranță.

Conform articolului 35 GDPR, orice utilizare excesivă a monitorizării CCTV pentru angajații este considerată profilare „cu risc ridicat”, în conformitate cu orientările emise de Grupul de Lucru Art. 29. Aceasta necesită o evaluare a impactului privind protecția datelor („DPIA”). O DPIA ia în considerare dacă supravegherea este necesară și proporțională cu ceea ce un angajator încearcă să obțină, având în vedere riscurile pentru drepturile persoanelor vizate, inclusiv luarea în considerare a oricăror garanții sau măsuri de securitate pe care operatorul le va pune în aplicare.

KIT GDPR Premium

3. Informarea angajatului. Cum o facem, ce trebuie să cuprindă

Angajatorii ar trebui să țină seama de noile cerințe GDPR dacă intenționează să instaleze camere CCTV, oricare ar fi scopul acestora. Angajatorii trebuie să rețină faptul că toate datele personale colectate trebuie utilizate și păstrate numai pentru a-și îndeplini scopul inițial, iar notificarea conformă cu GDPR trebuie să fie afișată în locuri vizibile. Un model de notificare, împreună cu celalalte documente necesare GDPR pentru utilizarea camerelor de supraveghere găsiți aici. 

Este recomandabil ca angajatorii să elaboreze o serie de politici de protecție a datelor referitoare la utilizarea camerelor CCTV. Aceste politici ar trebui să abordeze scopurile pentru care se realizează supravegherea CCTV, condițiile în care va avea loc monitorizarea, natura monitorizării, modul în care vor fi utilizate datele personale ale persoanelor obținute, cât timp va fi păstrat materialul, precum și impactul asupra drepturilor persoanelor.

Angajatorii ar trebui să se asigure că semnalizează proeminent și adecvat zonele în care sunt instalate camere CCTV. Angajatorii ar trebui de asemenea, să pună la dispoziție măsuri tehnice și organizatorice adecvate pentru atenuarea oricăror riscuri pentru drepturile unui angajat în cazul unei încălcări a datelor, conform cerințelor GDPR.

Sistemele CCTV sunt, în mod inerent, vulnerabile la atacurile cibernetice atunci când sunt conectate la internet sau la cloud, iar securitatea și confidențialitatea datelor deținute este asigurată cel mai bine prin restricționarea accesului la ele și dispunerea de sisteme solide pentru a preveni atacurile transmise prin internet. Să nu uităm că utilizarea de către angajator a CCTV la locul de muncă poate ridica probleme juridice complexe, în funcție de noile cerințe GDPR și în funcție de scopul supravegherii.

Există o serie de întrebări de verificare pe care le puteți pune:

  • Dacă supravegheați video angajații, care este motivul/temeiul luat în considerare pentru a avea un sistem CCTV?
  • Ați afișat o notificare pentru a anunța că sunt monitorizați?
  • Cât timp păstrați imaginile și de ce? Ați efectuat o evaluare a riscurilor pentru a stabili și documenta aceste motive?
  • Unde sunt stocate datele (imaginile)? Sunteți sigur că nu vor fi distribuite terților, v-ați luat măsuri în acest sens?
  • Dacă există o încălcare, care este planul de acțiune?

4. Transparența și poziționarea semnului

Persoanele vizate trebuie să fie informate cu privire la faptul că supravegherea video este în funcțiune într-o manieră detaliată cu privire la locurile monitorizate.

În ceea ce privește supravegherea video, informațiile cele mai importante ar trebui să fie afișate pe semnul de avertizare în sine,  în timp ce alte detalii pot fi furnizate prin alte mijloace.

Semnul ar trebui să fie poziționat la o distanță rezonabilă de locurile monitorizate  în așa fel încât persoana vizată să poată recunoaște cu ușurință circumstanțele supravegherii anterior intrării în zona monitorizată (aproximativ la nivelul ochilor). Nu este necesar să se precizeze exact amplasarea echipamentului de supraveghere, atâta timp cât nu există niciun dubiu. Subiectul trebuie să fie capabil să estimeze ce zonă este capturată de o cameră, astfel încât el sau ea să poată evita supraveghează sau adaptează comportamentul, dacă este necesar. Informațiile din cadrul semnului de avertizare ar trebui să transmită cele mai importante informații, de exemplu detaliile scopurilor prelucrării, identitatea operatorului și existența drepturilor persoanei vizate. Trebuie, de asemenea, să se refere la celelalte informații obligatorii și unde pot fi găsite. Un model de semn de avertizare conform GDPR găsiți aici. 

5. Ce aduce nou legislația română prin Legea 190/2018?

Legea nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului GDPR nr. 679/2016 prevede anumite condiţii în care se va putea realiza supravegherea video a angajaților la locul de muncă de către angajator.

Mai exact, articolul 5 (“Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă”) stabilește că atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, pentru a realiza interesele legitime urmărite de angajator, este posibilă numai dacă:

”a) interesele legitime urmărite de angajator sunt temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;

d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi

e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.”

În concluzie, conform Legii nr. 190/2018, supravegherea video poate fi realizată de către angajator numai dacă acesta poate demonstra ca interesele sale legitime sunt temeinic justificate și prevalează drepturilor și libertăților persoanelor. Totodată, angajatorul trebuie să facă dovada faptului ca alte metode prin care și-ar fi putut atinge scopul au eșuat anterior și astfel, singura soluție rămâne supravegherea video. În egală măsură, trebuie să asigura informarea angajaților și să se consulte cu sindicatul salariaților (dacă acesta există) sau cu reprezentanții acestora. Perioada de stocare nu poate depăși 30 de zile.

Implementarea și respectarea obligațiilor în materie de supraveghere video cu siguranță nu e floare-la-ureche, piece of cake sau alte formulări care vă plac, însă pachetul nostru monitorizare CCTV vă ia o grijă de pe umeri.

[1] Sursa aici

 

[2] Idem.

 

 


 

Te-ar putea interesa și:

 


people-holding-social-media-icons_53876-63368.jpg

Hotărârea în cauza C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV

 

Administratorul unui site internet echipat cu butonul „îmi place” al Facebook poate
fi operator, împreună cu Facebook, în privința colectării și a transmiterii către
Facebook a datelor cu caracter personal ale vizitatorilor site-ului său

În schimb, acesta nu este, în principiu, operator în ceea ce privește prelucrarea ulterioară a
acestor date de către Facebook singur

Fashion ID, întreprindere germană care comercializează online articole de modă, a inserat pe siteul său internet butonul „îmi place” al  Facebook. Această inserare pare să fi avut drept consecință faptul că, atunci când un vizitator consultă site-ul internet al Fashion ID, date cu caracter personal ale acestui vizitator sunt transmise către Facebook Ireland. Se pare că această transmitere se realizează fără ca respectivul vizitator să fie conștient de ea și indiferent dacă el este membru al rețelei sociale Facebook sau dacă a clicat pe butonul „îmi place”.

Verbraucherzentrale NRW, asociație germană de utilitate publică pentru apărarea intereselor consumatorilor, reproșează societății Fashion ID că a transmis societății Facebook Ireland date cu caracter personal aparținând vizitatorilor site-ului său internet, pe de o parte, fără consimțământul acestora din urmă și, pe de altă parte, cu încălcarea obligațiilor de informare prevăzute de dispozițiile referitoare la protecția datelor personale.

Sesizat cu litigiul, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) solicită Curții să interpreteze mai multe dispoziții ale vechii directive din 1995 privind protecția datelor (care rămâne aplicabilă acestei cauze și care a fost înlocuită de Regulamentul General din 2016 privind Protecția Datelor aplicabil de la 25 mai 2018).

 

În hotărârea sa de astăzi, Curtea precizează, mai întâi, că vechea directivă privind protecția datelor nu se opune ca asociațiilor pentru apărarea intereselor consumatorilor să li se confere dreptul de a introduce acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Curtea arată că noul regulament general privind protecția datelor prevede în prezent în mod expres o asemenea posibilitate.

Curtea constată în continuare că Fashion ID pare să nu poată fi considerată operator în privința operațiunilor de prelucrare de date efectuate de Facebook Ireland după transmiterea lor către aceasta din urmă. Astfel, este exclus, la prima vedere, ca Fashion ID să stabilească scopurile și mijloacele acestor operațiuni.

În schimb, Fashion ID poate fi considerată operator împreună cu Facebook Ireland în privința operațiunilor de colectare și de dezvăluire prin transmitere către Facebook Ireland a datelor în cauză, din moment ce se poate considera (sub rezerva verificărilor pe care urmează să le efectueze Oberlandesgericht Düsseldorf) că Fashion ID și Facebook Ireland le determină împreună scopurile și mijloacele. 

Te-ar putea interesa și:

Se pare printre altele că inserarea de către Fashion ID a butonului „îmi place” al Facebook pe siteul său internet îi permite să optimizeze publicitatea pentru produsele sale făcându-le mai vizibile pe rețeaua socială Facebook atunci când un vizitator al site-ului său internet clichează pe butonul respectiv. Tocmai pentru a putea beneficia de acest avantaj comercial, Fashion ID, prin inserarea unui asemenea buton pe site-ul său internet, pare să își fi dat consimțământul, cel puțin implicit,pentru colectarea și dezvăluirea prin transmitere a datelor cu caracter personal ale vizitatorilor site-ului său. Astfel, aceste operațiuni de prelucrare par să fie efectuate în interesul economic atât al Fashion ID, cât și al Facebook Ireland, pentru care posibilitatea de a dispune de aceste date în propriile scopuri comerciale constituie contrapartida avantajului oferit societății Fashion ID.

Curtea subliniază că administratorul unui site internet, cum este Fashion ID, în calitate de operator asociat în privința anumitor operațiuni de prelucrare a datelor vizitatorilor site-ului său, precum colectarea datelor și transmiterea lor către Facebook Ireland, trebuie să furnizeze, la momentul colectării, anumite informații acestor vizitatori, cum ar fi, de exemplu, identitatea sa și scopurile prelucrării. Dacă folosești butonul like de la Facebook, ar trebui să explici acest lucru vizitatorului pe site. Află cum să redactezi și să implementezi corect politica de confidențialitate pe site-ul tău aici

Curtea oferă de asemenea precizări în privința a două dintre cele șase cazuri de prelucrare legitimă a datelor cu caracter personal, prevăzute de directivă.

Astfel, în ceea ce privește cazul în care persoana vizată și-a dat consimțământul, Curtea decide că administratorul unui site internet, cum este Fashion ID, trebuie să obțină acest consimțământ în prealabil (numai) pentru operațiunile în privința cărora este operator asociat, și anume colectarea și transmiterea datelor.

În ceea ce privește cazurile în care prelucrarea de date este necesară pentru realizarea unui interes legitim, Curtea decide că fiecare dintre persoanele care au calitatea de operator asociat în privința prelucrării, și anume administratorul site-ului internet și furnizorul modulului social, trebuie să urmărească, prin intermediul colectării și al transmiterii datelor cu caracter personal, un interes legitim pentru ca aceste operațiuni să fie justificate în privința sa.

 

Te-ar putea interesa și:

Sursa Curia

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

Vrei să înveți cum să implementezi corect GDPR în domeniul medical? Îți recomandăm cursul online creat de specialiștii GDPR în domeniu medical care poate fi accesat aici.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

KIT GDPR Premium

 

 

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-2.png

Prin hotărârea nr. 747/2019, Judecătoria Sectorului 5 București a obligat Compania Națională „Aeroporturi București” SA să achite reclamantei suma de 10.000 lei daune morale pentru publicarea pe pagina de internet (platforma http://www.bucharestairports.ro) a unei hotărâri societare care conținea datele personale ale reclamantei (CNP, adresă, număr și serie de buletin etc). Instanța a considerat că încălcarea confidențialității acestor date încalcă principiile prelucării datelor: limitarea la ceea ce este necesar (principiul minimizării). 

Ce s-a întâmplat?

Reclamanta a introdus acțiune împotriva pârâtei Compania Națională „Aeroporturi București” SA, solicitând:

  • înlăturarea (ștergerea) datelor personale constând în adresa de domiciliu, cod numeric personal,  data și locul eliberării cărții de identitate publicate și menținute de către societatea pârâtă în cadrul platformei online http://www.bucharestairports.ro;
  • obligarea acesteia la plata unor daune morale în cuantum de 60 000 lei pentru prejudiciul continuu cauzat, constând în lezarea drepturilor garantate privind protecția datelor cu caracter personal prin prelucrarea în cadrul platformei online indicate anterior a datelor cu caracter personal; și
  • obligarea acesteia la plata cheltuielilor de judecată ocazionate de acest proces.

În drept, reclamanta a invocat prevederile Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, prevederile Legii nr. 190/2018 privind măsurile de punere în aplicare a Regulamentului nr. 679/2016, dispozițiile art. 70-77 C.civ., art. 252-253 C.civ., art. 1349 C.civ., art. 1357-1358 C.civ., art. 1382-1382 C.civ., art. 1385-1386 C.civ., art. 194 și următoarele C.proc.civ.

KIT GDPR Premium

 

Ce a decis instanța?

Instanța a considerat că fapta ilicită de a publica datele cu caracter personal fără a avea un temei juridic atrage răspunderea civilă delictuală a societății și, în consecință:

  • a obligat pârâta să  inlature (stergerea) datelor personale ale reclamantei constand in adresa de domiciliu, cod numeric personal,  data si locul eliberarii cartii de identitate, publicate si mentinute de parata in cadrul platformei online http//www.bucharestairports.ro;
  • a obligat pârâta la plata către reclamantă a sumei de 10.000 lei – daune morale;
  • a obligat pârâta la plata catre reclamanta a sumei de 625 lei cheltuieli de judecata.

Pentru a decide în sensul celor precizate anterior, instanța a avut în vedere inexistența unui temei legal.

„Cu privire la fondul litigiul, instanța reține că art. 6 din Regulamentul nr. 679/2016 reglementează că prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una din următoarele condiții: persoana vizată și-a dat consimțământul (…), prelucrarea este necesară pentru executarea unui contract , prelucrarea este necesară în vederea îndeplinirii unei obligații legale ce revine operatorului, prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice, prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public  sau prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță”

Deși pârâta s-a apărat, invocând că a obținut consimțământul reclamantei, instanța a apreciat că „având în vedere lipsa unui consimțământ expres al reclamantei în sensul publicării datelor sale personale pe site-ul pârâtei și în lipsa unor elemente din care să se întrevadă existența unui consimțământ tacit în același sens, instanța reține inaplicabilitatea art. 6 alin. (1) lit. (a) din Regulamentul nr. 679/2016” .Dacă vrei să afli mai multe despre consimțământul GDPR, poți consulta ghidul nostru de aici, iar formulare de consimțământ la standardele GDPR găsești în pachetul nostru de formulare (click aici)

Recomandări. Concluzii

Decizia instanței întărește concluzia că protecția datelor cu caracter personal este un subiect de maximă importanță în actualul context economic și social. Se spune că datele sunt noua monedă de schimb, prin urmare companiile trebuie să întreprindă acțiuni concrete pentru a respecta drepturile persoanelor fizice cu privire la protecția și confidențialitatea datelor cu caracter personal. Pentru a evita litigiile, vă recomandăm următoarele:

Înțelegeți noile prevederi europene și naționale în materie de protecție a datelor. Externalizarea poate părea o soluție la îndemână, însă personalul companiei trebuie să fie instruit corespunzător pentru a proteja datele și a respecta drepturile persoanelor vizate. Vă recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. 

Înțelegeți că GDPR este despre protecția datelor persoanelor fizice, de aceea, aveți grijă să aveți focusul potrivit – către persoana fizică vizată. Clientul, angajatul, candidatul, colaboratorul, reprezentatul sau persoana de contact din cadrul unei companii sunt persoane vizate, iar datele lor trebuie protejate. Înțelegeți-le drepturile și respectați-le. 

Numiți un responsabil cu protecția datelor, chiar dacă nu este necesar. În mod ideal, ar trebui că responsabilul să fie un angajat care să fie la curent cu activitățile de zi cu zi ale companiei, însă, în măsura în care doriți să apelați la un responsabil extern, asigurați-vă că îl țineți la curent cu toate activitățile companiei care pot afecta viața privată a persoanelor fizice. De aemenea, responsabilul cu protecția datelor ar trebui verificat că își îndeplinește sarcinile, deoarece răspunderea este a companiei, indiferent că a numit sau nu un responsabuil cu protecția datelor. În situația unei amenzi sau a unor despăgubiri, compania se poate îndrepta împotriva responsabilului dacă prin acțiunea sau inacțiunea lui a declanșat premisele unei răspunderi.

Implementați juridic, tehnic și organizatoric prevederile GDPR și aveți grijă să documentați în scris toate procesele. Având în vedere că atât în instanță, cât și în fața ANSPDCP pot fi aduse înscrisuri care să ateste că v-ați respectat obligațiile, documentația nu este opțională, ci obligatorie. Vă recomandăm KIT-ul nostru de implementare, care conține documentația standard și adaptabilă oricărei companii (click aici).

 

Te-ar putea interesa și:

 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-1.png

Regulamentul General privind Protecția Datelor (GDPR) ridică multe întrebări cu privire la impactul GDPR asupra relațiilor de muncă. Nu este o noutate faptul că în cadrul majorității organizațiilor, angajații au fiecare câte o adresă de e-mail de serviciu pe formatul nume.prenume@companie.ro. În prezentul articol voi aborda un subiect de actualitate și întâlnit frecvent în practică: poate un angajator să acceseze adresa de e-mail de serviciu a unui fost angajator?

Înainte de a răspunde la întrebare, vom discuta, cu titlu preliminar, câteva aspecte deosebit de importante pentru înțelegerea problematicii abordate.

Este adresa de e-mail o dată cu caracter personal?

Orientările europene sunt în sensul în care o adresă de e-mail pe formatul nume.prenume@companie.ro sau chiar pe formatul nume@companie.ro, este o dată cu caracter personal. Adresele de e-mail pe formatul office@companie.ro nu sunt date cu caracter personal, însă acest lucru nu înseamnă că acestea nu ar trebui protejate deoarece conțin informații sensibile. Conținutul e-mailurilor pot conține de asemenea, o multitudine de informații personale, precum datele de contact ale clienților, informații financiare, date medicale, iar în cazurile nefericite, inclusiv discuțiile private ale angajatului/fostului angajat.

De asemenea, Deciziei civile nr. 34/09.03.2017 a Curții de Apel București, Secția a VIII-a Contencios Administrativ și Fiscal (nepublicată), s-a statuat, în mod definitiv, faptul că adresele de e-mail a căror denumire cuprinde numele, prenumele și locul de muncă al unei persoane (de exemplu, ion.ionescu@companie.ro), reprezintă informații ce servesc la identificarea persoanei fizice, respectiv sunt date cu caracter personal în sensul legislației privind protecția datelor.

În acest sens, a statuat și Înalta Curte de Casație și Justiție în decizia privind dezlegarea unor chestiuni de drept, decizia nr. 37 din 7 decembrie 2015, potrivit căreia în interpretarea și aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 și art. 3 alin. 91) lit. a) din Legea nr. 677/2001, numele și prenumele unei persoane reprezintă informații referitoare la date cu caracter personal, indiferent dacă, într-o situație dată, sunt sau nu suficiente pentru identificarea persoanei.

KIT GDPR Premium

 

Te-ar putea interesa și:

 

Conversații private pe e-mail-ul de serviciu…

Comoditatea îi determină pe unii angajați să folosească adrese de e-mail de serviciu pentru activități domestice, precum achiziții online sau chiar discuții personale. Cât de permis este acest lucru de GDPR? În primul rând, e lesne de înțeles că angajatorul nu poate controla cum folosește un angajat e-mailul de serviciu. Însă, având în vedere că (1) GDPR impune angajaților să nu colecteze mai multe date decât sunt necesare și (2) orice operator (în speță, angajatorul) trebuie să implementeze măsuri tehnice și organizatorice adecvate, aș spune că angajatorii ar trebui să cunoască faptul că… nu ar trebui să amestece viața personală cu atribuțiile de serviciu. Organizația ar trebui să aibă politici adecvate prin care angajaților li se aduce la cunoștință nu doar cum să protejeze datele personale ale organizației, ci cum să își protejeze datele lor personale. Compania ar trebui să explice angajaților că nu ar trebui să folosească e-mail-ul de serviciu în scop personal atât prin training-uri și ar trebui să aibă proceduri implementate (actualizarea ROI cu un capitol privind protecția datelor, acorduri de confidențialitate, politici de confidentialitate/securitate etc) pentru protecția datelor personale, inclusiv protecția propriilor informații personale.

Cu alte cuvinte, conversațiile private pe e-mailul de serviciu nu sunt interzise per se de Regulament, însă angajatorii ar trebui să depună diligențe pentru a atrage atenția angajaților asupra riscurilor la care se pot expune, mai ales în situația în care e-mailurile de serviciu sunt monitorizate 🙂

 

 

E-mail-uri de serviciu monitorizate

Vă amintiți de celebru caz de la CEDO Bărbulescu vs România? Pe scurt, domnul Bărbulescu a fost obligat de către angajator să își creeze o adresă de yahoo messenger pentru a ține legătura cu clienții, însă conversațiile de pe yahoo messenger cu logodnica și fratele său au fost monitorizate de către companie, fără ca dnul Bărbulescu să aibă cunoștință de acest lucru. Peste ceva timp, domnul Bărbulescu a fost concediat deoarece încălcase regulamentul intern care îl obliga să nu folosească internetul în scop personal. A contestat fără succes decizia la instanțele din România invocând violarea secretului corespondenței. În cele din urmă, CEDO (Marea Camera) a dat o decizie cel puțin interesantă, prin care statuat, printre altele, că monitorizarea conversațiilor electronice la locul de muncă este permisă dacă se îndeplinesc cumulativ următoarele condiții:

  • există un interes legitim al companiei de a monitoriza (supravegherea îndeplinirii sarcinilor de serviciu, securitate etc);
  • nu au fost găsite metode mai puțin intruzive pentru atingerea scopului;
  • angajatul a fost informat în prealabil cu privire la faptul că e-mailul este supravegheat.

În această situație, temeiul juridic nu este consimțământul angajatului (care, conform opiniei WP29, în majoritatea cazurilor, este invalid, existând un dezechilibru de putere), ci interesul legitim.

Cu privire la monitorizare ar trebui să ne amintim că Legea 190/2018 privind măsurile de punere în aplicare al GDPR impune următoarele condiții:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate – prin urmare trebuie documentată o analiză a interesului legitim și păstrată pentru un eventual control. 

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;- notele de informare către angajați trebuie să prevadă că se utilizează mijloace de monitorizare.

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

 

 

Putem accesa e-mailul fostului angajat? 

Pe scurt, da, însă doar dacă sunt respectate anumite condiții pe care le vom indica mai jos.

„Atunci când un angajat părăsește organizația, angajatorul ar trebui să ia măsurile tehnice și organizatorice necesare, astfel încât poșta electronică a angajatului să fie dezactivată în mod automat. În cazul în care, pentru buna funcționare a organizației, este necesar să fie recuperat conținutul poștei electronice a unui angajat, angajatorul ar trebui să adopte măsurile adecvate pentru recuperarea conținutul acesteia înainte de plecarea angajatului și, dacă este posibil, în prezența lui.” – CEDO, Cauza Bărbulescu vs România.

Așadar, atunci când un angajat părăsește compania, e-mailul trebuie dezactivat și redirecționat către o nouă adresă, iar conținutul ar trebui recuperat înainte de plecarea angajatului. Dacă totuși, angajatul e plecat deja, iar compania nu avea cunoștință de acest lucru, va trebui să recupereze și să dezactiveze în cel mai scurt timp, deoarece un timp îndelungat poate conduce către un cuantum al amenzii mai mare. 

În cursul anului 2016, o societate din România a fost amendată de ANSPDCP deoarece a păstrat mai mult decât era cazul (aproximativ un an) un e-mail al unui fost colaborator, invocând, printre altele, că a trebuit să păstreze adresa de e-mail deoarece clienții societății erau obișnuiți să contacteze această adresă de e-mail. Procesul-verbal a fost contestat la Tribunalul București. S-a pierdut în fond și s-a făcut apel la Curtea de Apel București.

Prin Decizia Civilă nr. 34/09.03.2017, Curtea de Apel București a statuat, printre altele, că:

există un interes legitim („Tribunalul reține că redirecționarea e-mailurilor este similară noțiunii de acces la informații, din moment ce poate vizualiza conținutul e-mailurilor trimise pe adresa de e-mail vizată. De asemenea, la data de ___, toate e-mailurile au fost recuperate, petenta având acces la conținutul acestora. Tribunalul reține că intervenția petentei pentru a urmări modul în care și-a desfășurat activitatea fostul angajat a fost legitimă.”)

nu este nevoie consimțământ, angajatorul se poate baza pe interes legitim („Totuși, potrivit art. 5 alin. (2) lit. e) din lege, consimțământul persoanei vizate nu este cerut când prelucrarea este necesară în vederea realizării unui interes legitim al operatorului sau al terțului căruia îi sunt dezvăluite datele, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. Tribunalul reține că petenta avea dreptul de a verifica dacă obligațiile asumate în desfășurarea raporturilor contractuale cu clienții au fost respectate și nu se poate reține vreun prejudiciu față de angajatul care avea obligația de a presta activitatea pentru societate. Pentru aceste motive, Tribunalul reține că fapta sub aspectul accesării și prelucrării informațiilor din e-mailurile cu caracter profesional nu se confirmă, pe de-o parte, conținutul e-mailurilor profesionale nefiind date cu caracter personal, iar, pe de altă parte, intră sub regimul excepției reglementate de art. 5 alin. (2) lit. e) din lege.”)

angajatorii ar trebui să nu acceseze niciodată discuții personale și să le șteargă în cel mai scurt timp („Cu toate acestea, aprecierile instanței nu rămân valabile în privința e-mailurilor cu conținut privat sau din alte activități. Deși intervenienta avea obligația să utilizeze e-mailul doar în scop profesional și petenta nu avea așteptarea să regăsească aceste e-mailuri în contul intervenientei, totuși acestea au fost recuperate și stocate pentru un an, fapt ce presupune prelucrarea lor în sensul art. 3 lit. b) din lege. Interdicția impusă intervenientei nu schimbă caracterul de date cu caracter personal al e-mailurilor personale sau din alte activități. […] Pentru aceste motive, fapta se confirmă în ceea ce privește prelucrarea e-mailurilor cu caracter personal sau din alte activități.”)

La o primă lectură, apare un paradox. CEDO spune că angajatorul ar trebui să recupereze e-mailurile înainte de plecarea angajatului, iar Curtea de Apel București spune că recuperarea se poate face și după plecare, însă, în cel mai scurt timp. Luând în calcul (1) formularea „ar trebui” în loc de „trebuie” a CEDO și (2) faptul că accesul la conținutul e-mailului poate fi extrem de important, de la caz la caz, se poate aprecia dacă există un interes legitim de a accesa adresa de e-mail a fostului angajat.

 

Recomandări. Soluții. 

Având în vedere cele expuse mai sus putem concluziona și putem emite chiar o soluție care poate fi utilă companiilor aflate în această situație:

  1. Pe viitor, companiile ar trebui să aibă grijă să recupereze conținutul e-mailului înainte de plecare și, dacă se poate, în prezența angajatului.
  2. Dacă nu s-a respectat punctul 2., companiile ar trebui să recupereze în cel mai scurt timp conținutul necesar, să redirecționeze și să șteargă e-mailul. Poate fi util să informeze în acest sens angajatul și să îi propună ștergerea conținutului confidențial.
  3. În toate cazurile în care se merge pe interes legitim pentru monitorizarea și/sau accesarea e-mail-urilor după plecarea angajatului, trebuie documentată o analiză a interesului legitim care să îi permită angajatorului să aibă acces.

Rețineți faptul că GDPR nu cere perfecțiune, ci o abordare bazată pe risc, și, atâta timp cât compania depune eforturi constante pentru respectarea Regulamentului, nu ar trebui să existe probleme. Iar când e vorba despre protecția datelor cu caracter personal, ar trebui să ne punem mai des întrebări.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 


arhive-temeiuri-juridice-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord