Aici descoperim
dreptul tehnologiei

crop-hands-holding-heart-with-cross_23-2147796552.jpg

În noiembrie 2019, Google a anunțat că urmează să cumpere Fitbit, o companie care vinde dispozitive de monitorizare a sănătății – brățări, ceasuri. Datele colectate de către Fitbit și care vor ajunge la Google sunt, printre altele, în funcție de opțiunile fiecărui utilizatori: numărul de pași, ritmul cardiac, caloriile consumate, intensitatea exercițiilor și data efectuării acestora, calitatea somnului și orele de somn, kilogramele pierdute, date privind ciclul menstrual, date privind alimentele consumate zilnic.

Potrivit Privacyinternational.org, efectele nedorite ale acestei tranzacții sunt, printre altele, următoarele:

1.Probleme cu privire concurența loială în contextul în care această concentrare economică care rezultă din cumpărarea Fitbit de către Google va afecta ceilalți furnizori de produse similare din UE, dar va prejudicia în cele din urmă consumatorul final ale cărui date provenite de la Fitbit ar putea fi corelate cu datele deținute deja de Google. Acest lucru ar putea conduce către o profilare excesivă pe date sensibile (medicale), cu efecte nedorite asupra vieții private. Comitetul European pentru Protecția Datelor, a afirmat deja, în contextul investigației asupra achiziției Shazam de către Apple, faptul că „concentrările economice în piețele digitale pot fi o amenințare la adresa datelor personale și la adresa libertății utilizatorilor”. 

2.Probleme cu privire la viața privată. În urma achiziției, există riscul ca Google să folosească datele ca să afișeze utilizatorilor de internet reclame la produse și servicii legate de situația particulară medicală a fiecăruia. Potrivit privacyinternational.org, există riscul ca Google să afișeze reclame și în funcție de starea emoțională, obiceiurile sau ciclul menstrual al utilizatorilor/utilizatoarelor.

Asta nu înseamnă neapărat că Google va afișa femeilor aflate în perioada fertilă reclame la anti-concepționale sau femeilor însărcinate reclame la întreruperi de sarcină, dar există riscul să se întâmple și asta. Există riscul ca utilizatorii să primească și reclame la steroizi celor care efectuează des exerciții de forță sau reclame la diverse produse nesănătoase precum pastile de slăbit.

Sau, de ce nu, reclame la programări la cardiolog pentru cei care au un ritm cardiac anormal. Aici problema e legată și de exactitatea acestor date pentru că, în calitate de utilizator Fitbit de peste 3 ani, pot spune că ceasurile dau des erori la afișarea ritmului cardiac. Și cred că nimănui nu i-ar plăcea să îi apară reclame cu sugestii de programare la un medic pentru o problemă care nu există.

Decizia de a afișa reclame nu aparține unui om, ci unui AI programat de Google în acest sens, iar integrarea eticii în AI reprezintă un lux pentru majoritatea companiilor.

Interesant de urmărit este costul total al tranzacției care împărțit la numărul utilizatorilor Fitbit ne poate ajuta să aflăm cât valorează datele noastre și mă întreb dacă nu cumva Google ne va oferi dispozitivele gratuit pentru că oricum va face o avere cu aceste date.

Comisia Europeană a deschis o investigație cu privire la această potențială tranzacție și urmează să o aprobe sau să o dezaprobe.

Margrethe Vestager, vice-președinte executiv al Comisiei, a spus că „Se așteaptă ca folosirea dispozitivelor de tip wearable de către consumatorii europeni să crească masiv în anii ce urmează. Acest lucru merge mână în mână cu creșterea exponențială a datelor generate de aceste dispozitive. Aceste date furnizează informații-cheie despre viața privată și starea de sănătate a utilizatorilor. Investigația noastră are drept obiectiv să se asigure că nu se vor încălca regulile privind concurența prin controlul Google asupra datelor colectate prin intermediul acestor dispozitive”. 



closeup-shot-person-holding-small-globe-with-two-hands_181624-8185.jpg

Comitetul European pentru Protecția Datelor a răspuns la cele mai frecvente întrebări cu privire la căderea Scutului de confidențialitate UE-SUA („Privacy Shield”).

1.Ce a decis Curtea de Justiție în hotărârea sa?

În hotărârea sa, Curtea a examinat validitatea Deciziei 2010/87/CE a Comisiei Europene privind clauzele contractuale standard („CCS”) și a considerat că este validă. Într-adevăr, validitatea acestei decizii nu este pusă în discuție prin simplul fapt că, având în vedere natura lor
contractuală, clauzele standard de protecție a datelor din decizia respectivă nu obligă autoritățile din țăriile terțe în care pot fi transferate datele. Cu toate acestea, această validitate, a adăugat Curtea, depinde de faptul dacă Decizia din 2010/87/CE include mecanisme eficiente care fac posibilă, în practică, asigurarea respectării nivelului de protecție în esență echivalent cu cel garantat de RGPD în UE și că transferurile de date cu caracter personal în conformitate cu aceste clauze sunt suspendate sau interzise în cazul încălcării acestor clauze sau este imposibilă onorarea acestora.

În această privință, Curtea subliniază, în special, că Decizia din 2010/87/CE impune obligația unui exportator de date și a destinatarului („importatorul de date”) de a verifica, înainte de orice transfer și, ținând seama de circumstanțele transferului, dacă acest nivel de protecție este respectat în țara terță și că Decizia din 2010/87/CE impune importatorului de date să informeze exportatorul de date cu privire la orice incapacitate de a respecta clauzele standard de protecție a datelor și, dacă este necesar, orice măsuri suplimentare celor oferite de clauza respectivă, acesta din urmă fiind, la rândul său, obligat să suspende transferul de date și/sau să rezilieze contractul cu primul.

De asemenea, Curtea a examinat validitatea Deciziei privind Scutul de confidențialitate (Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UESUA), deoarece transferurile în joc, în contextul litigiului național care conduce la solicitarea unei decizie preliminare, a avut loc între UE și Statele Unite („SUA”).

KIT GDPR Premium

 

Curtea a considerat că cerințele legislației interne americane, în special anumite programe care permit accesul autorităților publice americane la datele cu caracter personal transferate din UE în SUA în scopuri de securitate națională, duc la limitarea protecției datelor cu caracter personal care nu sunt circumscrise într-un mod care satisface cerințele ce sunt în esență echivalente cu cele impuse de legislația UE și că această legislație nu acordă persoanelor vizate drepturi acționabile în fața instanțelor împotriva autorităților americane. Ca urmare a unui astfel de grad de interferență cu drepturile fundamentale ale persoanelor ale căror date sunt transferate în țara terță, Curtea a declarat invalidă Decizia privind caracterul adecvat al Scutului de confidențialitate.

2. Hotărârea Curții are implicații asupra instrumentelor de transfer, altele decât Scutul de confidențialitate?

În general, pentru țările terțe, pragul stabilit de Curte se aplică, de asemenea, tuturor garanțiilor adecvate prevăzute la articolul 46 din RGPD utilizate pentru a transfera date din SEE în orice țară terță. Legea americană menționată de Curte (de exemplu, secțiunea 702 FISA și EO 12333) se aplică oricărui transfer către SUA prin mijloace electronice care intră în sfera de aplicare a acestei legislații, indiferent de instrumentul de transfer utilizat pentru transfer.

3. Există vreo perioadă de grație în care pot continua transferul de date în SUA fără a evalua temeiul meu legal pentru trasnfer?

Nu, Curtea a invalidat Decizia privind Scutul de confidențialitate fără a-i păstra efectele, deoarece legea americană evaluată de Curte nu oferă un nivel esențial de protecție echivalent nu cel din UE. Această evaluare trebuie luată în considerare pentru orice transfer în S.U.A.

4. Am transferat date către un importat de date din SUA care a aderat la Scutul de confidențialitate, ce ar trebui să fac acum?

Transferurile îm baza acestui cadru legal sunt ilegale. Dacă doriți să continuați să transferați date în SUA, trebuie să verificați dacă puteți face acest lucru în condițiile prezentate mai jos.

 

Te-ar putea interesa și:

 

5. Folosesc CCS cu un importator din SUA, ce ar trebui să fac?

Curtea a constatat că legislația din SUA (adică Secțiunea 702 FISA și EO 12333) nu asigură un nivel esențial de protecție echivalent.

Dacă puteți sau nu transfera date cu caracter personal pe baza CCS, va depinde de rezultatul evaluării dvs., ținând cont de circumstanțele transferurilor și de măsurile suplimentare pe care le-ați putea pune în aplicare. Măsurile suplimentare, împreună cu CCS, în urma unei analize de la caz la caz a circumstanțelor din jurul transferului, ar trebui să se asigure că legislația SUA nu afectează nivelul adecvat de protecție pe care îl garantează.

Dacă ajungeți la concluzia că, luând în considerare circumstanțele transferului și eventualele măsuri suplimentare, nu ar fi asigurate garanții adecvate, vi se cere să suspendați sau să încetați transferul de date cu caracter personal. Cu toate acestea, dacă intenționați să continuați transferul de date, trebuie să anunțați Autoritatea de supraveghere a dvs. competentă.

6. Folosesc Reguli corporatiste obligatorii („BCRs”) cu o entitate din SUA, ce ar trebui să fac?

Având în vedere hotărârea Curții, care a invalidat Scutul de confidențialitate din cauza gradului de interferență creat de legea SUA cu drepturile fundamentale ale persoanelor ale căror date sunt transferate în țara terță și a faptului că Scutul de confidențialitate a fost de asemenea conceput pentru a oferi garanții pentru datele transferate cu alte instrumente, cum ar fi BCRsurile, evaluarea Curții se aplică și în contextul BCRs-urilor, deoarece legislația americană va avea, de asemenea, întâietate asupra acestui instrument.

Dacă puteți sau nu transfera date cu caracter personal pe baza BCRs-urilor va depinde de rezultatul evaluării dvs., ținând cont de circumstanțele transferurilor și de măsurile suplimentare pe care le-ați putea pune în aplicare. Aceste măsuri suplimentare, împreună cu BCRs-urile, în urma unei analize de la caz la caz a circumstanțelor din jurul transferului, ar trebui să se asigure că legislația SUA nu afectează nivelul adecvat de protecție pe care îl garantează.

Dacă ajungeți la concluzia că, luând în considerare circumstanțele transferului și eventualele măsuri suplimentare, nu ar fi asigurate garanții adecvate, vi se cere să suspendați sau să încetați transferul de date cu caracter personal. Cu toate acestea, dacă intenționați să continuați transferul de date, trebuie să anunțați Autoritatea de supraveghere competentă.

7. Ce se întâmplă cu celelalte instrumente de transfer în conforimitate cu articolul 46 din RGPD?

CEPD va evalua consecințele hotărârii asupra instrumentelor de transfer, altele decât CCS și BCRs. Hotărârea clarifică faptul că standardul pentru garanțiile adecvate la articolul 46 din RGPD este cel al „echivalenței esențiale”.

După cum a subliniat Curtea, trebuie menționat că articolul respectiv apare în capitolul V din RGPD și, în consecință, trebuie citit ținând cont de articolului 44 din RGPD, care prevede că „toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulamentul nu este subminat”.

 

8. Pot să mă bazez pe una dintre derogările de la articolul 49 din RGPD pentru a transfera date în SUA?

Este încă posibil să se transfere date din SEE în SUA pe baza derogărilor prevăzute la articolul 49 din RGPD, cu condiția să se aplice condițiile prevăzute în prezentul articol. CEPD face trimitere la orientările sale cu privire la această prevedere.

Trebuie reamintit, în special, că atunci când transferurile se bazează pe consimțământul persoanei, acesta ar trebui să fie:

 explicit,
 specific pentru transferul de date sau setul de transferuri specifice (ceea ce înseamnă că
exportatorul de date trebuie să se asigure că obține consimțământul specific înainte de
punerea în aplicare a transferului, chiar dacă acest lucru se produce după colectarea
datelor), și
 informat, în special cu privire la riscurile posibile ale transferului (în sensul că persoana vizată
ar trebui să fie, de asemenea, informată cu privire la riscurile specifice care rezultă din
faptul că datele sale vor fi transferate într-o țară care nu oferă o protecție adecvată și că nu
sunt implementate garanții adecvate pentru a asigura protecția datelor).

În ceea ce privește transferurile necesare pentru executarea unui contract între persoana vizată și operator, trebuie avut în vedere faptul că datele cu caracter personal pot fi transferate numai atunci când transferul este ocazional. Ar trebui să fie stabilit de la caz la caz dacă transferurile de date ar fi determinate ca fiind „ocazionale” sau „neocazionale”. În orice caz, această derogare poate fi bazată doar atunci când transferul este obiectiv necesar pentru îndeplinirea contractului.

În legătură cu transferurile necesare din motive importante de interes public (care trebuie recunoscute în legislația UE sau a statelor membre), CEPD reamintește că cerința esențială pentru aplicabilitatea acestei derogări este constatarea unui interes public important și nu a naturii organizației și, deși această derogare nu se limitează la transferuri de date care sunt „ocazionale”, acest lucru nu înseamnă că transferurile de date pe baza derogării de interes public important pot avea loc pe scară largă și în mod sistematic. Mai degrabă, trebuie
respectat principiul general, conform căruia derogările prevăzute la articolul 49 din RGPD nu artrebui să devină „regula” în practică, ci trebuie să fie limitate la situații specifice și fiecare exportator de date trebuie să se asigure că transferul îndeplinește testul strict de necesitate.

9. Pot continua să folosesc CCS și BCRs pentru a transfera date într-o altă țară terță decât SUA?

Curtea a indicat că CCS, de regulă, pot fi utilizate în continuare pentru a transfera date într-o țară terță, cu toate că pragul stabilit de Curte pentru transferurile în SUA se aplică pentru orice țară terță. Același lucru este valabil și pentru BCRs. Curtea a subliniat că este responsabilitatea exportatorului de date și a importatorului de date să evalueze dacă nivelul de protecție cerut de legislația UE este respectat în țara terță în cauză pentru a stabili dacă garanțiile oferite de CCS sau de BCRs pot fi respectate în practică. Dacă acest lucru nu este cazul, ar trebui să evaluați dacă puteți oferi măsuri suplimentare pentru a asigura un nivel esențial echivalent de protecție, astfel cum este prevăzut în SEE și dacă legea țării terțe nu va afecta aceste măsuri suplimentare pentru a preveni eficacitate.

Puteți contacta importatorul dvs. de date pentru a verifica legislația țării sale și pentru a colabora pentru evaluarea acesteia. În cazul în care dumneavoastră sau importatorul de date din țara terță stabiliți că datelor transferate în conformitate cu CCS sau cu BCRs nu li se oferă un nivel de protecție în esență echivalent cu cel garantat în SEE, ar trebui să suspendați imediat transferurile. În caz contrat, trebuie să notificați Autoritatea de supraveghere competentă.

Cu toate că, după cum a subliniat Curtea, este responsabilitatea principală a exportatorilor de date și a importatorilor de date să autoevalueze dacă legislația țării terțe de destinație permite importatorului de date să respecte clauzele standard de protecție a datelor sau BCRs-urile înainte de a transfera date cu caracter personal către respectiva țară terță, AS vor avea, de asemenea, un rol esențial atunci când se aplică RGPD și atunci când se emit alte decizii cu privire la transferurile către țări terțe.

Așa cum a fost menționat de Curte, pentru a evita deciziile divergente, acestea vor lucra în continuare în cadrul CEPD pentru a asigura coerența, în special dacă transferurile către țări terțe trebuie interzise.

10. Ce fel de măsuri suplimentare pot introduce dacă folosesc CCS sau BCRs pentru a transfera date în țări terțe?

Măsurile suplimentare pe care le-ați putea prevedea acolo unde este necesar ar trebui să fie furnizate de la caz la caz, ținând cont de toate circumstanțele transferului și în urma evaluării legislației țării terțe, pentru a verifica dacă aceasta asigură un nivel adecvat de protecție.

Curtea a subliniat că este responsabilitatea principală a exportatorului de date și a importatorului de date să facă această evaluare și să prevadă măsurile suplimentare necesare. CEPD analizează în prezent hotărârea Curții pentru a determina tipul de măsuri suplimentare
care ar putea fi furnizate în plus față de CCS sau BCRs, fie că sunt măsuri legale, tehnice sau organizatorice, pentru a transfera date către țări terțe în care CCS sau BCRs nu vor oferi un nivel suficient de garanții pe cont propriu.

CEPD analizează în ce ar putea consta aceste măsuri suplimentare și va oferi mai multe îndrumări în continuare.

11. Folosesc o persoană împuternicită care prelucrează date pentru care sunt responsabil în calitate de operatori, cum pot ști dacă această persoană împuternicită transferă date în SUA sau în altă țară terță?

Contractul pe care l-ați încheiat cu persoana dvs. împuternicită în conformitate cu articolul 28 alineatul (3) din RGPD va prevedea dacă transferurile sunt autorizate sau nu (trebuie avut în vedere că chiar și furnizarea accesului la date dintr-o țară terță, de exemplu în scopuri de administrare, reprezintă la un transfer).

De asemenea, persoanele împuternicite trebuie să primească autorizație pentru a încredința altor persoane împuternicite să transfere date în țări terțe. Ar trebui să fiți atenți deoarece o mare varietate de soluții de calcul poate implica transferul datelor cu caracter personal într-o
țară terță (de exemplu, în scopuri de stocare sau întreținere).

12. Ce pot face pentru a continua să folososesc serviciile persoanei împuternicite dacă contractul semnat în conformitate cu articolul 28 alineatul (3) din RGPD indică faptul că datele pot fi transferate în SUA sau într-o altă țară terță?

Dacă datele dvs. pot fi transferate în SUA și nu pot fi furnizate măsuri suplimentare pentru a se asigura că legislația SUA nu afectează nivelul esențial echivalent de protecție prevăzut în SEE, furnizat de instrumentele de transfer, și nici nu se aplică derogările prevăzute la articolul 49 din RGPD, singura soluție este să negociați o modificare sau o clauză suplimentară a contractului dvs. pentru a interzice transferurile în SUA. Datele nu trebuie doar stocate, ci și administrate în altă parte decât în SUA.

Dacă datele dvs. pot fi transferate într-o altă țară terță, trebuie să verificați și legislația țării terțe pentru a vedea dacă acestea sunt conforme cu cerințele Curții și cu nivelul de protecție a datelor cu caracter personal. Dacă nu se găsește un motiv adecvat pentru transferuri către o țară terță, datele personale nu ar trebui transferate în afara teritoriului SEE și toate activitățile de prelucrare ar trebui să aibă loc în SEE.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



black-blue-padlock-icon-hexagons-3d-rendering_117023-287.jpg

Hotărârea în cauza C-311/18
Data Protection Commissioner/Maximillian Schrems et Facebook Ireland

Curtea declară nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției
oferite de Scutul de confidențialitate UE-SUA

În schimb, aceasta statuează că Decizia 2010/87 a Comisiei privind clauzele contractuale tip
pentru transferul de date cu caracter personal către persoanele împuternicite de către operator
stabilite în țări terțe este validă

Regulamentul general privind protecția datelor (RGPD) prevede că transferul unor astfel de date către o țară terță, în principiu, se poate realiza numai dacă țara terță în cauză asigură un nivel de protecție adecvat în privința acestor date. Potrivit acestui regulament, Comisia poate să decidă că o țară terță asigură, ca urmare a legislației sale interne sau a angajamentelor sale internaționale, un nivel de protecție adecvat. În absența unei asemenea decizii privind caracterul adecvat al nivelului de protecție, un astfel de transfer se poate realiza numai dacă exportatorul datelor cu caracter personal, stabilit în Uniune, oferă garanții adecvate, care pot să rezulte în special din clauze standard de protecție a datelor adoptate de Comisie, și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate. Pe de altă parte, RGPD stabilește, în mod precis, condițiile în care se poate realiza un astfel de transfer în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate.

Domnul Maximillian Schrems, resortisant austriac cu reședința în Austria, este un utilizator al Facebook din anul 2008. La fel ca în cazul celorlalți utilizatori cu reședința în Uniune, datele cu caracter personal ale domnului Schrems sunt, în tot sau în parte, transferate de Facebook Ireland către servere care aparțin Facebook Inc., situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrări. Domnul Schrems a depus o plângere la autoritatea de supraveghere irlandeză, având ca obiect, în esență, interzicerea acestor transferuri. El a susținut că dreptul și practicile Statelor Unite nu oferă o protecție suficientă împotriva accesului autorităților publice la datele transferate către această țară. Plângerea menționată a fost respinsă în special pentru motivul că în Decizia 2000/5205 (denumită „Decizia Sfera de siguranță”) Comisia constatase că Statele Unite asigurau un nivel de protecție adecvat. Prin Hotărârea din 6 octombrie 2015, Curtea, sesizată cu o întrebare preliminară adresată de High Court (Înalta Curte, Irlanda), a declarat nevalidă această decizie (denumită în continuare „Hotărârea Schrems I”).

KIT GDPR Premium

 

În urma Hotărârii Schrems I și a anulării consecutive, de către instanța irlandeză, a deciziei prin care s-a respins plângerea domnului Schrems, autoritatea de supraveghere irlandeză l-a invitat să își reformuleze plângerea ținând seama de declararea nevalidității de către Curte a Deciziei 2000/520. În plângerea sa reformulată, domnul Schrems susține că Statele Unite nu oferă o protecție suficientă a datelor transferate către această țară. El solicită să se suspende sau să se interzică, pentru viitor, transferurile datelor sale cu caracter personal din Uniune către Statele Unite, pe care Facebook le realizează în prezent în temeiul clauzelor standard de protecție care figurează în anexa la Decizia 2010/877. Întrucât a considerat că soluționarea plângerii domnului Schrems depinde, în special, de validitatea Deciziei 2010/87, autoritatea de supraveghere irlandeză a inițiat o procedură în fața High Court (Înalta Curte) pentru ca aceasta să sesizeze
Curtea cu o cerere de decizie preliminară. După deschiderea acestei proceduri, Comisia a adoptat Decizia (UE) 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (denumită „Decizia Scutul de confidențialitate”).

Prin cererea sa de decizie preliminară, instanța de trimitere solicită Curții să se pronunțe cu privire la aplicabilitatea RGPD în cazul unor transferuri de date cu caracter personal întemeiate pe clauze standard de protecție care figurează în Decizia 2010/87, cu privire la nivelul de protecție impus de acest regulament în cadrul unui astfel de transfer și cu privire la obligațiile care revin autorităților de supraveghere în acest context. În plus, High Court ridică problema validității atât a Deciziei 2010/87, cât și a Deciziei 2016/1250.
Prin hotărârea pronunțată astăzi, Curtea constată că analiza Deciziei 2010/87 în raport cu Carta drepturilor fundamentale ale Uniunii Europene nu evidențiază niciun element de natură să afecteze validitatea sa. În schimb, aceasta declară nevalidă Decizia 2016/1250.
Curtea consideră, în primul rând, că dreptul Uniunii și, în special, RGPD, se aplică în cazul unui transfer de date cu caracter personal efectuat în scopuri comerciale de un operator economic stabilit într-un stat membru către un alt operator economic stabilit într-o țară terță, chiar dacă, în cursul sau în urma acestui transfer, datele menționate sunt susceptibile de a fi prelucrate de autoritățile țării terțe în cauză în scopuri de siguranță publică, de apărare și de securitate a statului. Ea precizează că acest tip de prelucrare a datelor de către autoritățile unei țări terțe nu poate exclude un asemenea transfer din domeniul de aplicare a RGPD.
În ceea ce privește nivelul de protecție impus în cadrul unui astfel de transfer, Curtea statuează că cerințele prevăzute în acest scop de dispozițiile RGPD, care se referă la garanții adecvate, drepturi opozabile și căi de atac eficiente, trebuie interpretate în sensul că persoanele ale căror date cu caracter personal sunt transferate către o țară terță în temeiul unor clauze standard de protecție a datelor, trebuie să beneficieze de un nivel de protecție în esență echivalent cu cel garantat în cadrul Uniunii de regulamentul menționat, interpretat în lumina cartei. În acest context, ea precizează că evaluarea acestui nivel de protecție trebuie să ia în considerare atât stipulațiile contractuale convenite între exportatorul datelor stabilit în Uniune și destinatarul transferului stabilit în țara terță în cauză, cât și, în ceea ce privește un eventual acces al autorităților publice ale acestei țări terțe la datele cu caracter personal astfel transferate, elementele relevante ale sistemului său juridic.
În ceea ce privește obligațiile care revin autorităților de supraveghere în contextul unui astfel de transfer, Curtea declară că, cu excepția cazului în care există o decizie privind caracterul adecvat al nivelului de protecție adoptată în mod valabil de Comisie, aceste autorități sunt în special obligate să suspende sau să interzică un transfer de date cu caracter personal către o țară terță atunci când consideră, în lumina tuturor împrejurărilor proprii transferului menționat, că clauzele standard de protecție a datelor nu sunt sau nu pot fi respectate în această țară și că protecția datelor transferate impusă de dreptul Uniunii, nu poate fi asigurată prin alte mijloace, în cazul în care însuși exportatorul stabilit în Uniune nu a suspendat ori nu a încetat un astfel de transfer.
Curtea analizează apoi validitatea Deciziei 2010/87. Potrivit Curții, validitatea acestei decizii nu este repusă în discuție prin simplul fapt că clauzele standard de protecție a datelor care figurează în aceasta nu sunt obligatorii, ca urmare a caracterului lor contractual, pentru autoritățile țării terțe către care poate fi efectuat un astfel de transfer. În schimb, precizează Curtea, această validitate depinde de aspectul dacă decizia menționată cuprinde mecanisme eficiente care permit, în practică, să se asigure respectarea nivelului de protecție impus de dreptul Uniunii și suspendarea sau interzicerea transferurilor de date cu caracter personal, întemeiate pe astfel de clauze, în cazul încălcării acestor clauze sau al imposibilității de a le onora. Curtea constată că Decizia 2010/87 prevede asemenea mecanisme. În această privință, ea subliniază, în special, că decizia menționată instituie o obligație a exportatorului datelor și a destinatarului transferului de a verifica, în prealabil, respectarea acestui nivel de protecție în țara terță în cauză și că ea obligă acest destinatar să informeze exportatorul datelor cu privire la eventuala sa imposibilitate de a asigura conformitatea cu clauzele menționate, ultimul având în acest caz sarcina de a suspenda transferul de date și/sau de a rezilia contractul încheiat cu primul.
Curtea procedează, în sfârșit, la analiza validității Deciziei 2016/1250 în raport cu cerințele care decurg din RGPD, interpretat în lumina dispozițiilor cartei care garantează respectarea vieții private și de familie, protecția datelor cu caracter personal și dreptul la protecție jurisdicțională efectivă. În această privință, Curtea arată că decizia menționată consacră, asemenea Deciziei 2000/520, supremația cerințelor privind securitatea națională, interesul public și respectarea legislației americane, făcând astfel posibile unele ingerințe în drepturile fundamentale ale persoanelor ale căror date sunt transferate către această țară terță. Potrivit Curții, limitările protecției datelor cu caracter personal care decurg din reglementarea internă a Statelor Unite privind accesul și utilizarea de către autoritățile publice americane a unor astfel de date transferate din Uniune către această țară terță și pe care Comisia le-a evaluat în Decizia 2016/1250 nu sunt circumscrise astfel încât să îndeplinească cerințe în esență echivalente cu cele prevăzute, în dreptul Uniunii, de principiul proporționalității, în sensul că programele de supraveghere întemeiate pe această reglementare nu sunt limitate la strictul necesar. Întemeindu-se pe constatările care figurează în această decizie, Curtea arată că, pentru anumite programe de supraveghere, respectiva reglementare nu evidențiază în niciun mod existența unor limitări ale abilitării pe care o presupune pentru punerea în aplicare a acestor programe, și nici existența unor garanții pentru persoane care nu sunt cetățeni americani potențial vizate. Curtea adaugă că, deși aceeași reglementare prevede cerințe pe care trebuie să le respecte autoritățile publice cu ocazia punerii în aplicare a programelor de supraveghere în cauză, ea nu conferă persoanelor vizate drepturi opozabile autorităților americane în fața instanțelor judecătorești.
În ceea ce privește cerința protecției jurisdicționale, Curtea statuează că, în mod contrar celor considerate de Comisie în Decizia 2016/1250, mecanismul de tip Ombudsman prevăzut de decizia menționată nu furnizează acestor persoane o cale de atac în fața unui organ care oferă
garanții în esență echivalente cu cele impuse de dreptul Uniunii de natură să asigure atât independența Ombudsmanului prevăzut de acest mecanism, cât și existența unor norme care să abiliteze Ombudsmanul menționat să adopte decizii obligatorii în privința serviciilor
americane de informații. Pentru toate aceste motive, Curtea declară nevalidă Decizia 2016/1250.

 

Sursa: Curia

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



male-hand-breaks-through-red-paper-shows-his-thumb-up_79720-132.jpg

Cauza C‑40/17, Fashion ID împotriva Verbraucherzentrale NRW eV, cu participarea Facebook Ireland Ltd., ECLI:EU:C:2019:629, 29.07.2019

 

Litigiul principal

Verbraucherzentrale NRW eV, o organizație de protecție a consumatorilor din Germania, s-a adresat instanței de judecată împotriva Fashion ID, un magazin online de modă, pe motivul plasării pe website-ul Fashion ID a unui buton de ”Like” al Facebook. Plasarea acestui buton implică o transmitere de date cu caracter personal ale vizitatorilor site-ului Fashion ID către serverele Facebook. Acest lucru se întâmplă:

a) Fără informarea vizitatorilor site-ului

b) Indiferent dacă vizitatorul este un utilizator Facebook

c) Indiferent dacă acesta apasă butonul de Like sau nu

Potrivit organizației germane de protecție a consumatorilor, Fashion ID (operatorul de date) nu furnizează persoanelor vizate informațiile necesare și nici nu le solicită acestora consimțământul la prelucrarea datelor lor cu caracter personal, potrivit Directivei (Directiva 95/46, înlocuită ulterior prin Regulamentul UE 2018/679).

În acest context, curtea din Dusseldorf a sesizat CJUE cu șase întrebări preliminare.

Cadrul legislativ relevant

Directiva 95/46 privind protecția datelor. Relevante sunt articolele 7 și 10 din această Directivă, care prevăd că prelucrarea datelor cu caracter personal se poate realiza numai dacă, printre altele, persoana vizată și-a dat consimțământul neechivoc sau prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate. De asemenea, operatorul are obligația de a furniza persoanei vizate cel puțin informațiile următoare: „identitatea operatorului și, dacă este cazul, a reprezentantului; scopul prelucrării căreia îi sunt destinate datele; orice alte informații suplimentare, cum ar fi destinatarii sau categoriile de destinatari ai datelor; dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;  existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal.”

Directiva 2002/58/CE :  „Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete”.

Directiva 2009/22/CE privind acțiunile în încetare în ceea ce privește protecția intereselor consumatorilor: organizațiile colective de protecție a consumatorilor se pot adresa instanțelor judecătorești pentru apărarea intereselor consumatorilor, în vederea  încetării sau interzicerii oricărei încălcări.

Regulamentul 2016/679 (GDPR):   Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile prevăzute de lege. Această entitate are, de asemenea, dreptul de a se adresa Autorității de Supraveghere.

KIT GDPR Premium

 

 

Întrebările preliminare

  1. Poate o organizație de protecție a intereselor consumatorilor să se adreseze unei instanțe cu o cerere în materia protecției datelor?
  2. Are calitatea de ”operator asociat” operatorul unui website pe care apare conținut al unui alt furnizor (precum butonul de ”Like” al Facebook afișat pe website-ul Fashion ID), determinând motorul de căutare al vizitatorului website-ului să transmită date cu caracter personal deținătorului conținutului afișat (Facebook), având în vedere că operatorul website-ului (Fashion ID) are o influență limitată asupra prelucrării datelor respective?
  3. Dacă se constată că cei doi (Facebook și Fashion ID) au calitatea de operatori asociați, care dintre ei este responsabil pentru furnizarea informațiilor necesare și pentru colectarea consimțământului vizitatorilor website-ului?

 

Te-ar putea interesa și:

 

Concluziile Curții

1. Referitor la prima întrebare, statele membre pot permite organizațiilor de consumatori să se adreseze instanțelor cu cereri în vederea protejării drepturilor și intereselor fundamentale ale persoanelor vizate. De asemenea, GDPR (art. 80) permite în mod explicit organizațiilor non-profit să se adreseze instanțelor, indiferent dacă sunt mandatate în acest sens de către persoanele vizate sau nu.

2. Facebook și Fashion ID sunt operatori asociați, având în vedere că Fashion ID are calitatea de operator, având influență asupra prelucrării datelor cu caracter personal și prelucrându-le în scopuri proprii. Prin decizia de a afișa pe site butonul de ”Like”, Fashion ID obține un avantaj comercial prin faptul că produsele sale se bucură de o publicitate crescută pe rețeaua de socializare Facebook. De asemenea, Fashion ID influențează, în mod decisiv, colectarea și transmiterea de date cu caracter personal către Facebook, aceste operațiuni neavând loc în lipsa butonului de ”Like”. Curtea precizează că o entitate poate avea calitatea de operator de date, chiar dacă nu are acces efectiv la acele date, ci doar le colectează și le transmite spre prelucrare unui terț.

3. Curtea concluzionează că Fashion ID este un operator asociat numai cu privire la două operațiuni de prelucrare: colectarea datelor și transmiterea acestora către Facebook, nu și în privința operațiunilor subsecvente de prelucrare realizate de către Facebook.

4. În privința partajării responsabilității între cei doi operatori asociați, Curtea decide că Fashion ID trebuie să îndeplinească obligația de informare a persoanelor vizate și să colecteze consimțământul acestora, deoarece aceste obligații trebuie îndeplinite înainte ca datele să fie colectate și transmise, iar aceste operațiuni se realizează în momentul în care o persoană vizitează website-ul Fashion ID. Aceste obligații sunt limitate la operațiunile de colectare și transmitere a datelor către Facebook.

Prin această hotărâre, curtea creează o abordare orientată către etapele prelucrării datelor cu caracter personal a noțiunii de ”operatori asociați”. Așadar, aceste etape, chiar și în cazul prelucrărilor complexe, trebuie să fie clar delimitate.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



top-view-hand-alarm-clock_1150-6835.jpg

Despre durata de stocare a datelor cu caracter personal, fac precizarea că una dintre cele mai frecvente întrebări primite în calitate de specialist GDPR a fost „Și totuși, cât păstrăm datele cu caracter personal?” . Pe scurt, datele cu caracter personal trebuie stocate pe o perioadă minimă pentru a se respecta principiul limitării stocării despre care vom discuta în acest articol. Tot în acest articol, vom prezenta și un scurt ghid despre ce e de făcut concret pentru a se respecta durata de stocarea a datelor personale.

Principiul limitării stocării este unul dintre cele șapte principii esențiale GDPR, printre care legalitatea, echitatea și transparența, reducerea la minimum a datelorlimitări legate de scop, exactitatea, integritate și confidențialitate și responsabilitate. Pentru nerespectarea acestui principiu, GDPR prevede sancțiuni (avertismentul și amenda).

Durata de stocare a datelor personale – privire de ansamblu

  • Nu trebuie să păstrați date cu caracter personal pe o perioadă mai mare decât aveți nevoie.
  • Trebuie să vă gândiți și să puteți justifica durata de stocare a datelor personale. Acest lucru va depinde de scopurile în care dețineți datele.
  • Aveți nevoie de o politică de stabilire a unor perioade standard de păstrare (Politică de retenție) oricând este posibil pentru a vă conforma cu cerințele de întocmire a documentației. O astfel de Politică de retenție se găsește în KIT-ul nostru GDPR Premium, împreună cu celelalte documente obligatorii pentru implementare.
  • Ar trebui să revizuiți în mod periodic datele pe care le dețineți și să le ștergeți sau să le anonimizați atunci când nu mai aveți nevoie de ele.
  • Trebuie să analizați cu atenție orice contestații privind păstrarea datelor de către dumneavoastră. Persoanele au dreptul la ștergerea datelor dacă nu mai aveți nevoie de datele respective.
  • Puteți să păstrați date cu caracter personal pe perioade mai lungi dacă le păstrați doar în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice.

 

Te-ar putea interesa și:

 

Ce avem de făcut? Pe scurt…

  • Știm ce date cu caracter personal deținem și de ce avem nevoie de ele. Pentru a afla ce date prelucrați, puteți utiliza chestionarele din
  • KIT-ul nostru GDPR Premium, împreună cu celelalte documente obligatorii pentru implementare.
  • Am analizat cu atenție și putem justifica perioada pentru care păstrăm datele cu caracter personal.
  • Avem o politică de retenție, acolo unde este posibil, în conformitate cu obligațiile privind documentația.
  • Revizuim cu regularitate informațiile pe care le deținem și ștergem sau anonimizăm datele cu caracter personal atunci când nu mai avem nevoie de ele.
  • Avem procese adecvate pentru a răspunde cererilor de ștergere ale persoanelor în temeiul „dreptului de a fi uitat”.
  • Identificăm în mod clar orice date cu caracter personal pe care trebuie să le păstrăm în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice.

Despre durata de stocare în GDPR…

Articolul 5 alineatul (1) litera (e) din GDPR menționează că:

“1. Datele cu caracter personal sunt:

(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate („limitări legate de stocare”)”.

KIT GDPR Premium

 

Așadar, chiar dacă colectați și utilizați date cu caracter personal în mod echitabil și legal, nu puteți să le păstrați pe perioade mai lungi decât aveți într-adevăr nevoie.

Există legături strânse cu principiul reducerii la minim a datelor și cu principiul exactității.

RGPD nu stabilește limite specifice de timp pentru diferitele tipuri de date. Acest lucru depinde de dumneavoastră și va depinde de perioada pentru care aveți nevoie de datele respective în vederea îndeplinirii scopurilor dumneavoastră specificate.

De ce este importantă durata de stocare a datelor cu caracter personal și limitarea acesteia?

A vă asigura că ștergeți sau anonimizați datele cu caracter personal atunci când nu mai aveți nevoie de ele va reduce riscul ca acestea să devină irelevante, excesive, inexacte sau depășite. Pe lângă faptul că acest principiu vă ajută să vă conformați principiilor privind reducerea la minim a datelor și exactitatea, reduce și riscul utilizării eronate a unor astfel de date și vă pune la adăpost de eventualele amenzi GDPR.

Datele cu caracter personal păstrate pentru prea mult timp vor deveni, prin definiție, inutile. Este puțin probabil să aveți un temei juridic pentru o astfel de păstrare.

Dintr-o perspectivă mai practică, este ineficient să păstrați mai multe date cu caracter personal decât aveți nevoie și pot exista costuri inutile asociate cu stocarea și securitatea datelor respective.

Rețineți că trebuie, de asemenea, să răspundeți la solicitările de acces ale persoanei vizate la orice date cu caracter personal pe care le dețineți. Acest lucru poate fi îngreunat dacă dețineți date vechi pe o perioadă mai lungă decât aveți nevoie.

O bună practică în privința limitărilor legate de stocare, cu politici clare privind perioadele de păstrare și ștergere, poate reduce povara necesității tratării unor întrebări referitoare la păstrarea datelor și a solicitărilor individuale de ștergere a acestora.

De ce avem nevoie de o Politică de retenție?

Politicile de retenție enumeră tipurile de evidențe sau informațiile pe care le dețineți, scopurile în care le utilizați și perioada pentru care intenționați să le păstrați. Aceste politici vă ajută să stabiliți și să documentați perioadele standard de păstrare pentru diferite categorii de date cu caracter personal.

Pentru a vă conforma cerințelor de întocmire a documentației, trebuie să stabiliți și să consemnați perioadele standard de păstrare pentru diferitele categorii de informații pe care le dețineți, ori de câte ori este posibil. De asemenea, este recomandabil să aveți un sistem pentru a vă asigura că organizația dumneavoastră respectă aceste perioade de păstrare în practică și pentru a revizui perioadele de păstrare la intervale de timp adecvate. Mai mult, politica dumneavoastră trebuie să fie suficient de flexibilă pentru a permite ștergerea timpurie, dacă este cazul. De exemplu, dacă nu folosiți efectiv o înregistrare, atunci ar trebui să reevaluați necesitatea păstrării acesteia.

O astfel de Politică de retenție se găsește în KIT-ul nostru GDPR Premium, împreună cu celelalte documente obligatorii pentru implementare.

Cum ar trebui să stabilim durata de stocare a datelor cu caracter personal?

RGPD nu prevede perioada pentru care ar trebui să păstrați datele cu caracter personal. Justificarea acestei perioade depinde de dumneavoastră, în funcție de scopurile dumneavoastră de prelucrare. Vă aflați în cea mai bună poziție pentru a hotărî perioada pentru care aveți nevoie de datele respective.

De asemenea, trebuie să fiți în măsură să justificați de ce aveți nevoie să păstrați datele cu caracter personal într-o formă care permite identificarea persoanelor. Dacă nu trebuie să identificați persoanele, atunci ar trebui să anonimizați datele astfel încât identificarea să nu mai fie posibilă.

De exemplu:

  • Ar trebui să vă evaluați scopurile declarate pentru prelucrarea datelor cu caracter personal. Puteți să păstrați aceste date cât timp scopurile precizate sunt valabile, dar nu ar trebui să păstrați datele pe o durată nedeterminată „doar în caz că” sau doar dacă există o mică posibilitate de a le utiliza în viitor.

Exemplu: O bancă deține date cu caracter personal despre clienții săi. Acestea includ detalii despre fiecare client privind adresele, datele de naștere și numele de fată al mamei. Banca utilizează aceste informații ca parte din procedurile sale de securitate. Este indicat ca banca să păstreze aceste date pe perioada în care clientul are un cont la banca respectivă. Chiar și după închiderea contului, banca ar putea fi nevoită să păstreze în continuare unele dintre aceste informații din motive legale sau operaționale pentru o perioadă suplimentară de timp.

Exemplu: O bancă ar putea fi nevoită să păstreze imagini de la un sistem CCTV instalat pentru a preveni frauda la un bancomat pe o perioadă de mai multe săptămâni, având în vedere că o tranzacție suspectă ar putea să nu fie identificată înainte ca victima să primească extrasul de cont. În schimb, un bar ar putea fi nevoit să păstreze imagini de la sistemul CCTV pentru o perioadă mai scurtă de timp, întrucât incidentele vor fi descoperite foarte repede. Cu toate acestea, dacă o infracțiune este raportată poliției, barul va trebui să păstreze imaginile pe o perioadă suficientă pentru ca poliția să le poată colecta.

Exemplu: O agenție de localizare deține date cu caracter personal despre un debitor pentru a putea identifica acea persoană în numele unui creditor. Odată ce a găsit persoana și a raportat-o creditorului, s-ar putea să nu mai fie nevoită să păstreze informațiile despre debitor, iar agenția ar trebui să o elimine din sistemele sale, cu excepția cazului în care are motive întemeiate să le păstreze. Astfel de motive ar putea să includă și situația în care agenția a fost solicitată să colecteze și datoria sau aceasta este autorizată să folosească informațiile pentru a localiza debitorii în numele altor creditori.

KIT GDPR Premium

 

!Ar trebui să evaluați dacă aveți nevoie să păstrați o evidență a relației contractuale cu o persoană odată ce respectiva relație încetează. S-ar putea să nu fiți nevoiți să ștergeți toate datele cu caracter personal atunci când relația contractuală încetează. Este posibil să fiți nevoiți să păstrați unele informații astfel încât să puteți confirma faptul că relația a existat și că aceasta a încetat, precum și câteva din detaliile acestei relații. De asemenea, este posibil să aveți nevoie de acest date în eventualitate unui litigiu, de aceea este recomandat să le păstrați cel puțin 3 ani (termenul general de prescripție)

Exemplu: O societate ar putea fi nevoită să păstreze unele date cu caracter personal privind un client anterior pentru a putea trata eventuale plângeri pe care clientul respectiv le-ar putea formula privind serviciile pe care aceasta le-a furnizat.

Exemplu: Un angajator ar trebui să revizuiască datele cu caracter personal pe care le deține despre un angajat atunci când acesta părăsește organizația. Acesta va fi nevoit să păstreze suficiente date pentru a permite organizației să trateze, de exemplu, solicitări de recomandări sau referitoare la pensii.  Cu toate acestea, organizația ar trebui să șteargă datele cu caracter personal de care este puțin probabil să mai aibă nevoie, precum datele de contact în caz de urgență, adresele anterioare sau detaliile privind beneficiarul indemnizației de deces la locul de muncă.

Exemplu: O societate primește o notificare din partea unui fost client prin care i se solicită să înceteze prelucrarea datelor personale ale acelui client pentru activități de marketing direct. Este indicat pentru acea societate să păstreze suficiente informații despre fostul client pentru ca aceasta să înceteze includerea persoanei respective în activitățile viitoare de marketing direct.

 

!!!Ar trebui să analizați dacă aveți nevoie să păstrați informații pentru a apărarea în cazul unor eventuale viitoare reclamații în justiție. Cu toate acestea, ați putea șterge informațiile care nu ar putea fi relevante unei astfel de reclamații. Cu excepția cazului în care există un alt motiv pentru păstrarea lor, datele cu caracter personal ar trebui șterse atunci când o astfel de reclamație nu ar mai putea să intervină (de exemplu, s-a împlinit termenul de prescripție în care puteați fi acționat în instanță).

Exemplu: Un angajator primește mai multe candidaturi pentru un loc de muncă vacant. Cu excepția cazului în care există un motiv comercial clar, angajatorul nu ar trebui să păstreze evidențele de recrutare în privința candidaților respinși peste perioada legală în care poate fi formulată o reclamație privind procesul de recrutare.

 

Ar trebui să analizați orice cerințe legale sau de reglementare. Există diferite cerințe legale  privind păstrarea anumitor tipuri de evidențe, de exemplu, în scopuri fiscale, contabile sau de dreptul muncii. Dacă păstrați date cu caracter personal pentru a respecta o astfel de cerință legală, nu se va considera că ați păstrat informațiile cu depășirea perioadei necesare

Trebuie să vă gândiți să adoptați o abordare proporțională, punând în balanță nevoile dumneavoastră și impactul păstrării asupra vieții private a persoanelor. Nu uitați că păstrarea de către dumneavoastră a datelor trebuie, de asemenea, să fie întotdeauna echitabilă și legală.

Când trebuie să revizuim durata de stocare a datelor personale?

Ar trebui să examinați dacă aveți nevoie în continuare de datele cu caracter personal la sfârșitul oricărei perioade standard de păstrare și să le ștergeți sau să le anonimizați, cu excepția cazului în care există o justificare clară pentru păstrarea lor pentru mai mult timp. Sistemele automate pot marca evidențele care trebuie revizuite sau pot șterge informații după o perioadă de timp prestabilită.  Acestea sunt utile în special dacă dețineți mai multe evidențe de același tip.

De asemenea, este o bună practică să examinați păstrarea datelor cu caracter personal la intervale regulate de timp înainte, mai ales dacă perioada standard de păstrare este îndelungată sau există posibilitatea unui impact semnificativ asupra persoanelor.

Dacă nu ați stabilit o perioadă de păstrare pentru datele cu caracter personal, trebuie să efectuați o analiză periodică asupra necesității păstrării lor.

Totuși, nu există nicio normă strictă în privința regularității acestor revizuiri. Un factor relevant în acest caz ar putea fi reprezentat de resursele dumneavoastră, alături de riscul la adresa vieții private a persoanelor. Aspectul important de reținut este că trebuie să fiți în măsură să justificați păstrarea, precum și regularitatea cu care o revizuiți.

De asemenea, trebuie să examinați dacă aveți nevoie în continuare de datele cu caracter personal dacă persoana vă solicită ștergerea lor. Persoanele au dreptul absolut la ștergerea datelor cu caracter personal de care nu mai aveți nevoie în scopurile dumneavoastră specificate.

Ce ar trebui să facem cu datele cu caracter personal de care nu mai avem nevoie?

Puteți fie să le ștergeți, fie să le anonimizați.

Trebuie să rețineți că există o diferență importantă între ștergerea permanentă a datelor cu caracter personal și mutarea lor offline. Dacă datele cu caracter personal sunt stocate offline, acest lucru ar trebui să le reducă disponibilitatea și riscul unei utilizări necorespunzătoare sau al unei greșeli. Cu toate acestea, dumneavoastră prelucrați în continuare date cu caracter personal. Ar trebui să le stocați doar offline (mai degrabă decât să le ștergeți) dacă puteți să justificați în continuare deținerea lor. Trebuie să fiți pregătiți să răspundeți solicitărilor de acces ale persoanelor vizate la datele cu caracter personal stocate offline și trebuie să respectați în continuare toate principiile și drepturile.

Termenul „ștergere” poate însemna mai multe lucruri în legătură cu datele electronice și admitem că nu este întotdeauna posibil ca toate urmele datelor să fie șterse. Problema esențială este asigurarea că nu mai folosiți datele respective. Dacă este indicat să ștergeți datele cu caracter personal dintr-un sistem în timp real, ar trebui să le ștergeți și din orice copii de rezervă ale informațiilor din sistemul respectiv.

În mod alternativ, puteți să anonimizați datele astfel încât acestea să nu mai fie „într-o formă care să permită identificarea persoanelor vizate”.

Datele cu caracter personal care au fost pseudonimizate, de exemplu date codificate la sursă, vor permite, de regulă, identificarea în continuare. Pseudonimizarea poate fi un instrument util pentru conformarea cu celelalte principii, precum reducerea la minim a datelor și securitatea, dar principiul limitărilor legate de stocare se aplică în continuare.

 

Cum se aplică durata de stocare schimbului de date?

Dacă faceți schimb de date cu caracter personal cu alte organizații, ar trebui să conveniți împreună asupra procedurii de urmat în cazul în care nu mai sunteți nevoiți să comunicați acele date. În unele cazuri, ar putea fi mai bine să înapoiați datele partajate organizației care le-a furnizat fără a păstra o copie a acestora. În alte cazuri, toate organizațiile implicate ar trebui să-și șteargă copiile datelor cu caracter personal.

Exemplu: Datele cu caracter personal despre clienții societății A sunt comunicate societății B, care desfășoară negocieri pentru a cumpăra afacerea societății A. Societățile convin ca societatea B să păstreze informațiile confidențiale și să le utilizeze doar în legătură cu tranzacția propusă. Vânzarea nu are loc și societatea B înapoiază informațiile despre clienți societății A fără a păstra o copie a acestora.

Organizațiile implicate într-o inițiativă de schimb de informații pot să-și stabilească fiecare propriile perioade standard de păstrare deoarece unele dintre ele pot avea motive întemeiate să păstreze datele cu caracter personal pe perioade mai lungi decât altele. Totuși, dacă toate organizațiile păstrează datele în scopurile inițiativei de schimb de date și aceste date nu mai sunt necesare pentru îndeplinirea inițiativei respective, atunci toate organizațiile care dețin copii ale acestor informații ar trebui să le șteargă.

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



86237011_slide-6ba210eaa472dc8ff7a7a90efb6c7cecf2394b99-s800-c85.jpg

Cu ocazia celebrării a 2 ani de la aplicarea directă a RGPD în România, Silvia Uscov (Avocat) și Ruxandra Sava (Avocat) au transmis către ANSPDCP, în temeiul art. 51 din Constituția României, o petiție către ANSPDCP prin care solicită a se răspunde la 23 de întrebări pentru interpretarea și aplicarea unitară a GDPR cu privire la subiectul termoscanării.  Cele două avocate sunt de părere că ar trebui găsit un echilibru între protecția sănătății și protecția datelor cu caracter personal și consideră necesară intervenția ANSPDCP deoarece, în prezent, este autoritatea publică al cărei punct de vedere contează în privința termoscanării.

ANSPDCP a răspuns în termenul legal petiției, spunând faptul că dacă datele cu caracter personal prelucrate (temperatura corpului) se înregistrează, GDPR devine aplicabil, iar pentru nerespectarea obligațiilor în temeiul GDPR, operatorii publici și privați riscă sancțiuni corective sau amenzi care pot ajunge până la 4% din cifra de afaceri. Dacă datele privind temperatura nu se înregistrează, GDPR nu se aplică.

 

Răspunsul ANSPDCP integral poate fi descărcat aici. 

 

Extras din răspunsul ANSPDCP:

„(…) Prin urmare, numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se colectează, înregistrează, stochează, etc. într-un sistem de evidență, potrivit diferitelor mijloace de prelucrare, dispozițiile Regulamentului (UE) 2016/679 devin aplicabile.”

Opinia comună a specialistelor (Ruxandra Sava și Silvia Uscov): „Deși putem cădea ușor în capcana de a afirma că termoscanarea nu înregistrează datele, trebuie să avem în vedere că unele dispozitive (de exemplu camere termografice cu soft integrat sau dispozitive de tip wearable) înregistrează datele personale by default. Totodată, chiar și în situația în care se utilizează un termometru digital non-contact (fără soft integrat) putem vorbi de un proces de înregistrare a datelor, dacă aceste date se coroborează cu alte date (de exemplul imaginile colectate prin CCTV)”

 

Extras din răspunsul ANSPDCP:

 

„(…) Totodată, subliniem faptul că oricare ar fi temeiul de prelucrare a datelor, operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informaţiile menţionate la articolele 13 şi 14, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Aceasta informare se poate realiza și pe site-ul operatorului sau în locurile accesibile publicului. De asemenea, operatorii sunt obligați să respecte, în orice activitate de prelucrare a datelor personale, toate principiile de bază statuate de art. 5 din
RGPD.

Totodată, art. 24 alin. (1) din Regulamentul (UE) 2016/679 prevede faptul că operatorii pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Ca atare, operatorului îi revine obligația de a pune în aplicare măsurile tehnice şi organizatorice adecvate care, dacă este necesar, se revizuiesc şi se actualizează, pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu RGPD. (…)

Art. 4 pct. 12 din RGPD definește „încălcarea securității datelor cu caracter personal” ca fiind o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;”.

În situația înregistrării în activitatea de prelucrare a datelor a unui incident de securitate sau a unei breșe de securitate, acest eveniment se notifică Autorității de Supraveghere, iar operatorul informează persoana vizată potrivit dispozițiilor art. 33 și 34 din RGPD sau ale art.
3 din Legea nr. 506/2004. (…)

Raportat la realizarea unei evaluări de impact, operatorul este obligat să procedeze la o asemenea evaluare în condițiile art. 35 din RGPD coroborate cu prevederile Deciziei nr. 171/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal. În acest context, în măsura în care operatorul apreciază că prelucrarea ar genera un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, poate efectua o evaluare de impact și în alte situații decât cele stabilite de dispozițiile legale mai sus menționate.

Referitor la consultarea prealabilă a Autorității de Supraveghere, aceasta are loc în condițiile art. 36 din RGPD, respectiv ”înainte de prelucrare atunci când evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.” și este condiționată de furnizarea, de către operatorul în cauză, a unor informații detaliate asupra prelucrării în cauză, precum și orice alte informații apreciate de către Autoritatea de Supraveghere ca fiid necesare.

În ceea ce privește calitatea de operatori asociați sau împuterniciți, raportat la art. 4 pct. 7 din RGPD care definește „operatorul”, coroborat cu art. 26 și 28 din regulament, Autoritatea de Supraveghere apreciază faptul că entitățile în cauză sunt în măsură să își stabilească calitatea, având în vedere cunoașterea în detaliu a activității de prelucrare a datelor în anumite scopuri și folosind anumite mijloace, precum și a drepturilor și obligațiilor fiecărei părți, fără ca aceasta să aducă atingere adoptării măsurilor legale necesare de către Autoritatea Națională de Supraveghere în îndeplinirea atribuțiilor sale raportat la situații concrete ivite în practică.

Raportat la evidențele activităţilor de prelucrare, acestea se întocmesc și se țin de către operatori potrivit art. 30 din RGPD, și trebuie să conțină, printre altele, informații precum ”scopurile prelucrării” și ”o descriere a categoriilor de persoane vizate şi a
categoriilor de date cu caracter personal”.

Cât privește respectarea normelor de protecție a datelor în contextul stării de alertă declarate potrivit legii, în măsura în care persoana vizată apreciază că drepturile sale privind protecția datelor nu sunt respectate în conformitate cu dispozițiile legale în vigoare, are posibilitatea să își exercite drepturile față de operatorul respectiv și să se adreseze cu plângere sau sesizare ANSPSCP.

În acest context, drepturile persoanelor vizate sunt garantate de art. 15-22 raportate la art. 12 coroborat cu art. 13 și 14 din RGPD și se exercită în condițiile prevăzute de aceste dispoziții legale.

Referitor la un proces decizional automatizat, acesta se subsumează tuturor condițiilor stabilite de art. 22 din RGPD coroborat cu art. 3 din Legea nr. 190/2018.

În ceea ce privește consimțământul persoanei vizate pentru prelucrarea datelor sale, atunci când constituie condiție de legalitate a prelucrării, acesta trebuie să îndeplinească condițiile prevăzute de art. 4 pct. 11 coroborat cu art. 7 din RGPD, în măsura în care acest
regulament este aplicabil.

Sancțiunile pentru nerespectarea dispozițiilor RGPD, inclusiv a principiilor, a drepturilor garantate persoanei vizate și a condițiilor privind transferul datelor către o țară terță sau o organizație internațională, sunt stabilite în art. 58 alin. (2) coroborat cu art. 83
din Regulament și art. 15 din Legea nr. 102/2005, republicată, sub forma măsurilor corective, a avertismentului și amenzilor (de maxim 10 mil. sau 20 mil. de euro), care se aplică în funcție de circumstanțele fiecărui caz și gravitatea încălcării.

În ceea ce privește regimul sancționator pentru autoritățile și organismele publice, acesta este stabilit de Legea nr. 190/2018.  (…)”

 

Răspunsul ANSPDCP integral poate fi descărcat aici. 

 

Te-ar putea interesa și:



phone-hand-tik-tok-application-icon-phone-close-up_72464-809.jpg

Comitetul European privind Protecția Datelor (CEPD) a decis în ultima plenară să inițieze o acțiune prin care să supraveghere activităților de prelucrare ale aplicației din TikTok în Uniunea Europeană.

În scrisoarea deschisă adresată unui jurist, CEPD a indicat că deja a emis ghiduri și recomandări care ar trebui respectate de toate companiile pentru a respecta GDPR, îndeosebi în situațiile unor transferuri internaționale de date. Potrivit CEPD, îngrijorările sunt cu atât mai mari când vorbim de date privind minorii. CEPD reamintește că GDPR se aplică și companiilor din afara Uniunii Europene atunci când acestea oferă bunuri sau servicii persoanelor fizice din Uniune.

 

Te-ar putea interesa și:

 

De asemenea, CEPD și-a arătat îngrijorarea și cu privire la tehnologiile de recunoaștere facială ale Clearview AI precizând că acestea pot fi prelucrate de către autoritățile publice doar cu respectarea unor condiții stricte. CEPD este de părere că este posibil ca utilizarea unui serviciu de recunoaștere facială, cum este cel oferit de Clearview AI  de către autoritățile de aplicare a legii din Uniunea Europeană să nu respecte legislația privind protecția datelor.

Sursa: Comunicat de presă CEPD aici

KIT GDPR Premium

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



IMG-20200520-WA0000.jpg




Termoscanarea este un subiect pe buzele tuturor în perioada asta. Părerile sunt împărțite: o parte din oameni se tem de noile tehnologii, alții cred că cei din prima categorie sunt paranoici. Adevărul este undeva la mijloc și în majoritatea cazurilor depinde de tehnologia folosită. Dacă se folosesc termometre clasice care nu prelucrează și imagini faciale sau alte date biometrice, nu ar trebui să ne îngrijorăm. Însă dacă se folosesc camere termale cu soft integrat, motivele de îngrijorare pot fi întemeiate având în vedere că acestea prelucrează date biometrice care pot identifica unic o persoană.

Motivele de îngrijorare pot fi cu atât mai mari cu cât tehnologiile provin sau sunt fabricate în state care nu au un nivel adecvat de protecție a datelor potrivit Comisiei Europene. Vorbim de state precum China sau Rusia.

Indiferent de nivelul de securitate (criptare, anonimizare, pseudonimizare) al acestor tehnologii, adevărul că nicio măsură de securitate nu este complet sigură, iar procesul de criptare/anonimizare/pseudonimizare poate fi inversat ajungându-se la identificarea persoanei. În consecință, furnizorii de soluții IT din statele care au pus în circulație astfel de produse pot accesa date personale ale cetățenilor Uniunii Europene deși nu protejează datele potrivit Comisiei Europene.

Potrivit Comisiei Europene, în afară de statele membre al Uniunii, doar următoarele state prezintă un nivel adecvate de protecție a datelor: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Suedia, Uruguay,  Guernsey și SUA (limitat doar pentru organizațiile care se află în Privacy Shield).

Prin urmare, atunci când achiziționezi o cameră termală cu soft integrat trebuie să te asiguri că ea provine din Uniunea Europeană sau că provine din următoarele state: Andorra, Insulele Feroe, Canada,  Guernsey, Israel, Insula Man, Japonia, Insula Jesey, Noua Zeelandă, Uruguay,  Guernsey, Argentina.

Cu privire la SUA trebuie să verifici dacă furnizorul (producătorul) este inclus în această listă. 

Dacă furnizorul/producătorul nu se află în statele de mai sus, iar tu folosești o cameră termală cu soft integrat din alt stat, vei încălca GDPR. Amenda poate ajunge până la 4% din cifra de afaceri și având în vedere că vorbim de un transfer date sensibile („biometrice”) către state netolerate din punct de vedere al protecției datelor, amenzile se pot orienta către maxim.

Te-ar putea interesa și:

KIT GDPR Premium

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



covid-19app.jpg




Aplicațiile COVID-19, brățările electronice sau ambele? Cât de periculoase sunt aceste tehnologii?
 
M-am apucat să studiez ca să vă răspund la curiozități. Frumos, documentat, din surse de încredere și cu ajutorul colegei Maria Enescu, care studiază Data Law la Bruxelles.
 
Probabil lucrarea noastră va fi publicată la jumătatea săptămânii următoare, însă, până atunci las câteva informații pentru a înțelege contextul.
 
Numeroase aplicații COVID-19 au fost deja dezvoltate și propuse spre utilizare cu suportul guvernelor în anumite teritorii și jurisdicții.
 
În Asia, se colectează un volum mare de date sensibile, iar viața privată este în pericol. În Europa, se pare că legislația este suficient de puternică (GDPR și e-Privacy) și se va merge pe prelucrarea unor date minime și anonimizate pentru a se diminua riscurile. Dar riscurile continuă să existe. Din punctul nostru de vedere, prelucrarea datelor, chiar dacă sunt anonimizate, prezintă în continuare riscuri, deoarece așa cum a subliniat EDPB , nicio tehnică de anonimizare nu este complet sigură, procesul putând fi inversat, iar persoana fizică poate fi identificată.
 
 
📲În Europa, Comitetul European pentru Protecția Datelor (EDPB) și Comisia Europeană au tras semnale de alarmă cu privire la riscurile asociate utilizării acestor aplicații și au lansat două ghiduri orientative care ar trebui urmate în procesul de dezvoltare al aplicațiilor.
 
📲În România nu există niciun punct de vedere oficial cu privire la lansarea unor astfel de aplicații, însă în luna aprilie în România, Orange, Telekom și Vodafone și alți operatori de telefonie mobile au acceptat să furnizeze informații legate de localizarea utilizatorilor către autorități.
 
📲În SUA, Apple și Google au anunțat la mijlocul lui mai faptul că vor îmbunătăți procesele de colectare ale datelor de localizare prin Bluetooth astfel încât să protejeze viața privată. Procesul dezvoltat de Apple și Google nu ar utiliza date de localizare și alte date cu caracter personal. Dacă telefoanele sunt apropiate unele de altele, telefoanele ar interacționa prin identificatori anonimi Bluetooth, iar procesul ar dura doar 15 minute astfel încât nu ar exista o urmărire ulterioară.
În timp ce o parte dintre specialiștii în domeniul privacy sunt sceptici cu privire la utilizarea datelor de către Apple și Google, aceștia din urmă spun că tehnologia va fi dezactivată atunci când nu este necesară.
 
📲Italia, a doua cea mai afectată țară de pandemia COVID-19, plănuiește să lanseze o aplicație de urmărire și localizare în parteneriat cu un start-up din Milano, Bending Spoons.
Comentariu personal: În măsura în care se vor realiza transferuri de date între guvern și acest start-up, riscurile la adresa confidențialității datelor sunt mari.
 
📲Franța introduce la 11 mai spre testare aplicația StopCOVID, care va colecta date bluetooth, iar nu date de localizare.
 
📲Coreea de Sud are deja două aplicații: Corona 100m și Corona Map. Corona 100m este o aplicație care avertizează utilizatorii dacă urmează să se apropie de o persoană infectată pe o rază de 100m. Aplicația a avut peste un milion de descărcări și utilizează o serie de date, printre care: locație, vârstă, sex, naționalitate, istoric medical. Cea de-a doua aplicație, Corona Map arată o hartă a persoanelor infectate, astfel încât utilizatorii să evite acele locații.
 
📲În Singapore există o aplicație voluntară de urmărire a contactelor, TraceTogether. Când utilizatorul utilizează aplicația, se colectează numărul de telefon și un ID anonim. Potrivit surselor, nu ar fi colectate date privind locația, ci doar semnale Bluetooth între telefoanele apropiate pe baza unor identificatori criptați anonimi. Cum nicio tehnică de criptare sau de anonimizare nu este complet sigură, accesul guvernului din Singapore la cheia de decriptare poate prezenta riscuri la adresa vieții private.
 
📲În India, a fost lansată o aplicație care a fost instalată de peste 50 de milioane de utilizatori în 13 zile. Aplicația prelucrează semnale bluetooth, date de geo-localizare, numele, date nașterii și informații sensibile biometrice. Absența unei legislații în protecția datelor în India înseamnă riscuri mari pentru viața privată și mulți utilizatori din India sunt îngrijorați de acest aspect.
 
📲În Israel există aplicația HaMagen care compară datele de localizare ale utilizatorilor cu bazele de date ale Ministerului Sănătății. Aplicația este voluntară, dar există riscuri asociate cu hacking-ul bazei de date și dezvăluirea neautorizată a datelor de localizare.
 
📲În Hong Kong, cei plasați în carantină sunt obligați să descarce și să utilizeze aplicația StayHomeSafe și să poarte brățara de localizare conectată la aplicație. În timp ce alte aplicații se focusează spre a limita interacțiunile, această aplicație se focusează spre limitarea mișcării.
Va urma 🙂
O parte din aplicații funcționează conform imaginii de mai jos:
 


building-1839464_1280-1200x800.jpg




Amplasarea de camere de supraveghere la bloc (de către Asociațiile de proprietari) sau acasă de către persoanele fizice trebuie să respecte GDPR. Pentru montarea nelegală, persoanele fizice și Asociațiile de proprietari pot fi amendate de Autoritatea de supraveghere din România (ANSPDCP).

În Austria, o persoană fizică a fost amendată în 2018 cu 2000 de euro pentru amplasarea nelegală de camere de supraveghere acasă. Potrivit răspunsului oficial al ANSPDCP și în România persoanele fizice pot fi amendate pentru nerespectarea GDPR. 

În România în cursul anului 2019, o Asociație de proprietari a fost amendată pentru amplasarea nelegală de camere de supraveghere la bloc.

Potrivit informațiilor oferite de Autoritatea de supraveghere din Austria, persoana fizică a fost amendată deoarece a amplasat camere de supraveghere acasă care supravegheau domenii din afara proprietății: aleea centrului rezidențial, străzi, clădiri și grădini din apropiere. Amenda a fost dată deoarece zona monitorizată nu se afla în proprietatea și în controlul persoanei fizice și era frecventată de către alte persoane.

Dacă dorești să amplasezi camere de supraveghere la bloc sau acasă, trebuie să cunoști faptul că GDPR îți interzice să monitorizezi mai mult decât este necesar. Prin urmare, dacă locuiești la casă, poți supraveghea curtea și gardul, însă nu poți supraveghea și aleea frecventată de alte persoane sau curtea vecinului. Dacă locuiești la bloc, nu poți monta camere de supraveghere care să surprindă vizitatorii atunci când sună la interfon sau camere care să surprindă holurile și alte locuri comune din bloc și nici camere de supraveghere care să surprindă priveliștea de pe balcon. Cu Asociațiile de proprietari, lucrurile stau puțin diferit și vom discuta despre modalitatea în care acestea pot monta camere de supraveghere la bloc în cele ce urmează.

Având în vedere că GDPR nu face diferențe între proprietari, chiriași sau vizitatori ai unui bloc, Asociațiile de proprietari nu pot monta camere de supraveghere la bloc chiar dacă au acordul tuturor proprietarilor. În acest sens, dacă se dorește unor astfel de camere de supraveghere la bloc, se poate folosi temeiul juridic al interesului legitim doar dacă s-a realizat o analiză juridică documentată a tuturor aspectelor. Analiza trebuie să fie reală, concretă, iar părerea proprietarilor și a chiriașilor ar trebui cerută.

Atunci când faci o astfel de analiză trebuie să ai în vedere următoarele:



1. Analiza trebuie documentată în scris și păstrată pentru un eventual control de la Autoritatea de Supraveghere.

2. Locația echipamentului. Locația echipamentului trebuie determinată cu atenție pentru a asigura conformitatea imaginilor capturate cu GDPR (a nu se supraveghea mai mult decât este necesar). Trebuie depuse toate diligențele pentru a poziționa camerele astfel încât acestea să asigure o acoperire limitată. Sistemul CCTV nu va fi utilizat în lifturi sau în alte locuri unde persoanele au o așteptare ridicată cu privire la confidențialitate. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private a trecătorilor sau a oricărei alte persoane.

3. Informarea. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune. Semnalizarea corespunzătoare va fi de asemenea afișată în mod proeminent la intrare. Semnalizarea va include numele și detaiile de contact ale operatorului de date (Asociația de proprietari), precum și scopurile specifice pentru care camera CCTV este plasată în fiecare locație și indicații unde se pot obține informații mai multe (de exemplu: link și/sau cod QR către nota de informare de pe site).

KIT GDPR Premium

 

4. Depozitarea și stocarea

  • Înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se va ține o evidență a accesului la înregistrări. Accesul la sistemul CCTV și la imaginile stocate va fi permis doar personalului autorizat. La momentul accesării imaginilor, doi membri ai personalului autorizat trebuie să fie prezenți. Se va întocmi un raport scris al accesului. Aceste rapoarte vor fi păstrate.
  • Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații (numele acelei persoane și întreprinderea pe care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații.
  • Datele vor fi furnizate ca răspuns al unor cereri autorizate într-un format permament, atunci când acest lucru este posibil. Dacă acest lucru nu este posibil, persoanei vizate i se va oferi posibilitatea să vizualizeze înregistrarea.
  • În circumstanțe relevante, înregistrările CCTV vor putea fi accesate de către organele de poliție sau vor putea fi furnizate instanțelor de judecată sau altor autorități publice atunci când legea impune.

5. Cererile persoanelor vizate 

  • Persoanelor fizice li se acordă dreptul de accesa înregistrările CCTV cu privire la ele însele, potrivit GDPR.
  • Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații pentru a se putea asigura identificarea întregistrării cu privire la acestea. De exemplu, data, ora și locația.
  • Asociația de proprietari va răspunde acestor cereri într-un termen de o lună de la primirea cererii.
  • Asociația de proprietari își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când acest lucru ar duce atingere drepturilor prevăzute de lege ale unor persoanelor fizice sau ar putea prejudicia o investigație în curs de desfășurare.
  • Se va ține o evidență a datei când divulgarea a avut loc, împreună cu detaliile persoanei către care aceste informații au fost furnizate (numele persoanei și întreprinderea pe care o reprezintă), precum și cu motivele acestei cereri.
  • În activitatea de furnizare către o persoană a unei copii a datelor sale, se vor pune la dispoziție o fotografie/o serie de fotografii, o casetă sau un disc magnetic cu imaginile relevante. Totuși, imaginile altor persoane vor fi ascunse înainte ca aceste date să îi fie înmânate.
  • Atunci când înregistrarea conține imagini referitoare la terți, se vor lua măsurile necesare pentru a masca și a proteja identitatea acelor indivizi.

6. Durata minimă. Înregistrările vor fi stocate pe o durată minimă, dar nu mai mult de 30 de zile

Dacă ai nevoie de consultanță juridică și întocmirea documentației pentru montarea camerelor de supraveghere la bloc îmi poți scrie la adresa ruxandra.sava@legalup.ro.

Ce pot face dacă au fost montate camere de supraveghere la bloc nelegal?

Dacă s-au montat camere de supraveghere în mod nelegal și există riscul ca imaginile captate să fie dezvăluite către destinații neautorizate, ar trebui să comunici îngrijorările tale Asociației și să o îndrumi spre conformarea supravegherii CCTV cu GDPR astfel încât dreptul la viață privată să fie respectat. În situația în care nu se iau măsuri pentru a limita accesul la înregistrări, în situațiile în care imaginile captate sunt dezvăluite fără acordul tău sau fără a exista unui temei legal sau în alte situații (camere de supraveghere în lift, absența informării, nerepectarea drepturilor GDPR), te poți adresa cu o plângere la ANSPDCP sau îmi poți scrie la adresa ruxandra.sava@legalup.ro pentru a te ajuta cu mai multe informații.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]