Aici descoperim
dreptul tehnologiei

Un-rinichi-sau-datele-personale-ale-altcuiva_.png

Instanța: Judecătoria Sectorului 2 București

Nr. Hotărârii: 7764/2019

Sursa: rolii.ro

Situația de fapt. Ce s-a întâmplat pe scurt?

Reclamantul (îl vom numi Andrei ca să ne fie mai ușor) a dat în judecată Vodafone România pentru că o alta persoană (necunoscută în prezentul dosar) i-a folosit datele de identificare pentru a face un abonament RED 25 Plus în numele acestuia pentru a intra în posesia unui Iphone X nou-nouț.

Andrei a aflat de această situație atunci când a primit factura pe e-mail, factură pe care a și plătit-o pentru a nu i se întrerupe serviciile de telefonie mobilă.

Ulterior, reclamantul a dat în judecată Vodafone România solicitând, printre altele, daune morale pe tărâmul răspunderii civile delictuale pentru fapta salariaților Vodafone de a nu proceda la identificarea persoanei care a făcut abonamentul în numele lui.

S-a menționat, totodată, că în cauza de față sunt îndeplinite condițiile angajării răspunderii civile delictuale, după cum urmează:

a) fapta ilicită – prin care a fost încălcat un drept și a fost cauzat un prejudiciu – alocarea unui nou abonament voce și achiziționarea unui telefon mobil marca Apple Iphone X, de către o terță persoană, cu utilizarea datelor personale ale reclamantului și implicit emiterea unei facturi semnificative pe numele subsemnatului.

b) săvârșirea cu vinovăție, constând în intenția, neglijența sau imprudența celui care a acționat – terțul a achiziționat un telefon cu o valoare de piață semnificativă, fără a-i fi verificată identitatea de către salariatul pârâtei și fără a încheia și semna un contract. Angajatul societății pârâte avea obligația să legitimeze și să identifice persoana respectivă.

c) existența unui prejudiciu – rezultatul dăunător de natură patrimonială, nepatrimonială, ca efect al încălcării drepturilor și interesului legitim – a achitat o factură cu o valoare enormă față de valoarea lunară a abonamentului, determinând o diminuare a patrimoniului subsemnatului. De asemenea, a fost necesar să aloce un timp mai mult decât rezonabil soluționării acestei situații, prin învoirea de la serviciu și prin deplasare personală din Călărași până la sediul pârâtei, întrucât aceasta nu a dat curs sesizărilor transmise în format electronic.

 

Te-ar putea interesa și:

 

d) raportul de cauzalitate între prejudiciu și fapta ilicită – s-a produs un prejudiciu moral, nefiind respectată confidențialitatea ce trebuia păstrată cu privire la datele cu caracter personal, fiind distrusă încrederea în serviciile prestate de societatea pârâtă. Stresul și pierderea de timp au avut efecte negative, iar după după ce a fost sesizată, societatea pârâtă nu a dat dovadă că înțeles consecințele produse prin fapta sa, în vederea evitării apariției în viitor a unor situații similare.

Potrivit reclamantului, conform art. 5 din GDPR, datele cu caracter personal trebuie să fie prelucrate într-un mod care să asigure securitate adecvată a datelor cu caracter personal, inclusiv protecția împotriva procesării neautorizate sau ilegale și împotriva pierderi accidentale, distrugeri sau deteriorări, utilizând corespunzător măsuri tehnice sau organizatorice corespunzătoare.

De asemenea, dispozițiile art. 32 din Regulament stabilesc clar obligația operatorilor de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, dar și capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică.

Persoana fizică identificată sau identificabilă, definită „persoană vizată” în sensul GDPR (art. 4 pct. 1), adică persoană vizată de prelucrarea datelor sale cu caracter personal de către un operator de date cu caracter personal, poate pretinde de la operatorul care nu respectă prevederile GDPR daune materiale sau morale. Astfel, potrivit art. 79 alin. 1 din GDPR “fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament”.

Conform art. 82 alin. 1 din GDPR, orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a Regulamentului, are dreptul să obțină despăgubiri de la operator și, corelativ, orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă regulamentul (art. 82 alin. 2 din GDPR). Exonerarea de răspundere este posibilă doar dacă operatorul dovedește că nu este răspunzător în niciun fel pentru evenimentul care a cauzat prejudiciul (art. 82 alin. 3 din GDPR), ceea ce înseamnă că răspunderea este angajată și în caz de culpă.

Potrivit art. 33 alin. 1 din GDPR “în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”

Rezultă astfel că societatea pârâtă avea obligația legală de a efectua toate demersurile necesare pentru a verifica și clarifica situația, pentru a anunța autoritățile competente și pentru a întreprinde acțiuni în vederea preîntâmpinării  unor astfel de situații. Lipsa unei reacții prompte din partea societății pârâte nu face decât să încurajeze astfel de procedee, fie din partea salariaților, fie din partea terților, beneficiari de telefoane achiziționate fraudulos.

 

 

Rezultă astfel că societatea pârâtă avea obligația legală de a efectua toate demersurile necesare pentru a verifica și clarifica situația, pentru a anunța autoritățile competente și pentru a întreprinde acțiuni în vederea preîntâmpinării  unor astfel de situații. Lipsa unei reacții prompte din partea societății pârâte nu face decât să încurajeze astfel de procedee, fie din partea salariaților, fie din partea terților, beneficiari de telefoane achiziționate fraudulos.

 

Ce a decis instanța?

Instanța a „dat dreptate” reclamantului și a hotărât angajarea răspunderii Vodafone România pentru fapta angajaților săi de a nu proceda la verificarea identității persoanei care a făcut abonamentul în numele reclamantului prin plata unor daune morale de 2000 de lei. 

„La stabilirea faptei ilicite, instanța are în vedere și aplicabilitatea dispozițiilor Regulamentului nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (în continuare, „Regulament”) ,raportat la data intrării în vigoare a acestui act normativ – 25.05.2018, și data încheierii contractului – 26.06.2018, dispoziții pe care în mod corect reclamantul și-a întemeiat acțiunea.

Astfel, conform art. 4 pct. 1, 2 și 7 din Regulament, pârâta deține calitatea de operator , iar informațiile reclamantului, a căror accesare a fost permisă de pârâta – CNP, adresă de domiciliu, telefon, cetățenie, reprezintă fără îndoială date cu caracter personal, operațiunea de utilizare și accesare a acestora reprezentând „prelucrare”, în sensul Regulamentului. Conform art. 5 alin. 1 lit. a) și f) din Regulament, datele cu caracter personal se impun a fi prelucrate în mod legal, echitabil și transparent față de persoana vizată, iar operațiunea de prelucrare trebuie realizată într-un mod care asigură securitatea adecvată acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (“integritate și confidențialitate”) . Cu privire la legalitatea prelucrării, trebuie subliniat că în speță nu au fost respectate dispozițiile art. 6 alin. 1 din Regulament, accesarea datelor personale ale reclamantului fiind realizată fără consimțământul persoanei vizate și fără un temei legal în dreptul intern . Totodată, în cauză nu sunt incidente nici dispozițiile de excepție ale art. 6 alin. 4, care permit prelucrarea fără consimțământ, sarcina probei acestor cazuri revenind pârâtei și nefiind complinită.

 

 

Răspunderea operatorului pentru prelucrarea datelor cu caracter personal cu nesocotirea principiilor sus-expuse intervine în temeiul art. 5 alin. 2, raportat la art. 24 din Regulament, care stabilesc în sarcina acestuia obligația de a pune în aplicare o politică adecvată de protecție a datelor cu caracter personal și de a implementa măsuri tehnice și administrative eficiente pentru a atinge acest rezultat . Or, prin modalitatea în care pârâta a acționat – fără a putea dovedi că reclamantul a semnat contractul de abonament, fără a proba parcurgerea unei eventuale operațiuni de legitimare a persoanei care a încheiat contractul și fără a prezenta un mandat (în cazul încheierii acestuia de către un terț), s-au nesocotit flagrant dispozițiile legale privind prelucrarea datelor cu caracter personal, sus-citate.

c) Cu privire la cea de-a treia condiție, și aceasta este îndeplinită, din moment ce, la data săvârșirii faptei ilicite, presupusul se afla în exercitarea atribuțiilor conf erite de către angajatorul său, aspect necontestat.

d) În ceea ce privește raportul de cauzalitate dintre faptă și prejudiciu , se reține că în cauză legătura de cauzalitate este directă, lanțul cauzal nefiind întrerupt : urmare a acțiunii prepusului pârâtei, a fost posibilă încheierea pe numele reclamantului a unui contract de către o persoană rămasă neidentificată.

e ) Referitor la prejudiciul cauzat , instanța reține, cu titlu preliminar, că, raportat atât la conținutul acțiunii introductive, cât și la precizările incluse în răspunsul la întâmpinare, prin prezenta acțiune se solicită exclusiv repararea prejudiciului moral.

KIT GDPR Premium

 

La modul general, î n ceea ce privește condițiile reparării prejudiciului, se reține că dreptul de a cere obligarea autorului faptei ilicite la reparare se naște dacă sunt îndeplinite cumulativ două condiții, respectiv ca prejudiciul să fie cert și să nu fi fost reparat încă. Referitor la caracterul cert al prejudiciului, se reține că prejudiciul este cert atunci când este sigur, atât sub aspectul existenței, cât si al întind erii sale. Este considerat cert prejudiciul actual, precum și prejudiciul viitor , în măsura în care sunt sigure atât apariția acestui prejudiciu, cât și posibilitatea de a fi determinat .

Sub aspectul evaluării prejudiciului , instanța are în vedere faptul că daunele morale nu pot fi probate, ci cuantumul acestora trebuie să fie echitabil, de natură a oferi o compensație rezonabilă, prin raportare la consecințele negative concrete suferite de reclamant pe plan psihic, gravitatea vătămării, importanța valorilor lezate, măsura în care au fost lezate aceste valori, intensitatea cu care au fost percepute consecințele vătămării. Nu în ultimul rând, trebuie subliniat faptul că se prezumă existența unui prejudiciu moral din simpla accesare a datelor cu caracter personal de către o terță persoană (neidentificată), devenită posibilă prin concursul pârâtei.

Totodată , instanța are în vedere și principiul potrivit căruia antrenarea răspunderii civile delictuale nu trebuie să reprezinte o îmbogățire fără justă cauză a reclamantului. Or , instanța apreciază suma de xxxxx euro solicitată cu titlu de daune morale ca fiind vădit disproporționată și neavând un caracter de reparație a unui prejudiciu suferit, ci, mai degrabă, de îmbogățire fără just temei a reclamantului .

Pentru a reține astfel, se are în vedere vătămarea concretă adusă reclamantului , constând în starea de stres cauzată acestuia prin emiterea unei facturi care includea în sarcina sa costuri pe care nu le-a contractat, de o valoare medie , precum și faptul că durata de soluționare a sesizării reclamantului a fost de o lună, aspect necontestat de pârâtă. Totodată, se are în vedere și faptul că aspectele semnalate de reclamant au ocazionat în sarcina acestuia deplasări din localitatea rurală de domiciliu a acestuia la sediul pârâte i , ca urmare a refuzului pârâtei de a da curs sesizărilor electronice formulate , aspect, de asemenea, necontestat.

Nu în ultimul rând, se are în vedere și atitudinea pârâtei, care a încercat a minimiza prejudiciul produs prin ajustarea soldului facturilor și a remediat situația semnalată anterior sesizării instanței.

Pe cale de consecință, pentru a asigura un echilibru just între dimensiunea punitivă si cea reparatorie a daunelor morale, dar și a evita crearea premiselor pentru o eventuală îmbogățire fără justă cauză a reclamantului , neputându-se corecta consecințele unei fapte ilicite printr-un alt abuz, instanța urmează a admite în parte cererea formulată, în limita sumei de 2000 lei cu titlu de daune morale , pe care instanța o apreciază ca fiind su ficientă și rezonabilă ȋn cauză.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



padlock-computer-circuit-board_93675-6912.jpg

Autoritatea Națională de Supraveghere a finalizat, pe data de 13.12.2019, o investigație la operatorul Entirely Shipping & Trading S.R.L., constatând  următoarele:

  • încălcarea dispozițiilor art. 12 și art. 13 din Regulamentul General privind Protecția Datelor (RGPD);
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD;
  • încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD.

Operatorul Entirely Shipping & Trading S.R.L. a fost sancționat astfel:

  • avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din RGPD, întrucât operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate; Citește acest articol pentru a afla cum trebuie să informezi persoana vizată. 
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare); Citeste acest articol pentru a afla cum poți supraveghea video legal angajații.
  • amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din RGPD, întrucât operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive pentru viața privată a persoanelor vizate;
  • avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din RGPD, întrucât operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfăşurării activităţii societăţii, ulterior încetării relației contractuale cu acesta. Citește acest articol pentru a afla în ce condiții poți accesa e-mailul unui fost angajat. 

 

Sancțiunile au fost aplicate ca urmare a unei plângeri prin care se reclama faptul că Entirely Shipping & Trading S.R.L. a instalat camere de supraveghere audio-video în birourile angajaților, în vestiare și în sala de mese și că, în anumite locații (spații cu acces restricționat), accesul se realiza pe bază de amprentă.

De asemenea, s-a reclamat faptul că operatorul s-a folosit de identitatea unui fost angajat în transmiterea unor e-mail-uri în interes de serviciu fără ca acesta din urmă să fi fost informat în prealabil.

În cadrul investigației, s-au constatat următoarele:

KIT GDPR Premium

 

Totodată, operatorului i s-au aplicat și următoarele măsuri corective:

  • măsura corectivă de a asigura informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din RGPD și în condițiile de transparență menționate la art. 12 din RGPD, precum și de a modifica documentele prin care se realizează în prezent informarea; (modele de note de informare conforme GDPR se găsesc aici)
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control acces, cu respectarea principiului “reducerii la minimum a datelor”;
  • măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile RGPD, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor. (modele de politici și proceduri GDPR se găsesc aici)

Sursa: dataprotection.ro

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



uber.jpg

Îți amintești de amenda aplicată de către ANSPDCP în 2018 (înainte de aplicarea GDPR în România) companiei UBER pentru breșa de securitate din 2016? Dacă nu îți amintești, nu îți face probleme, vom detalia în continuare tot ce trebuie să știi despre acest caz. Nouă ni se pare un caz interesant pentru că releva informații importante despre (1) modalitatea de desfășurare concretă a investigației ANSPDCP la sediul Uber; (2) mecanisme contractuale interesante între operatori și persoane împuternicite prin explicarea relațiilor dintre companiile afiliate Uber și (3) clarificarea anumitor elemente de drept în zona sferei online.

Nr. Hotărârii: 8719/2018, rămasă definitivă prin respingerea apelului la Tribunalul București

Instanța: Judecătoria Sectorului 1 București

Sursa: rolii.ro

Ce s-a întâmplat?

Conform informațiilor transmise de Uber prin intermediul plângerii contravenționale, în urma unei breșe de securitate a aplicației Uber, datele cu caracter personal a aproximativ 30.000 de persoane fizice au fost compromise (șoferi și călători Uber). Echipa de securitate a companiei a stabilit că persoana neautorizată, care acționase împreună cu o a doua persoană, a obținut acces la un cod sursă stocat pe o pagină pusă la dispoziția UBER de un furnizor de servicii cloud, numită GitHub. Utilizând credențialele acolo disponibile, persoana neautorizată (exterioară organizației) a reușit să acceseze și să descarce anumite date arhivate privind Șoferii și Călătorii Uber.

Echipa de securitate a stabilit rapid modul de acces, a închis accesul persoanelor neautorizate și a luat celelalte măsuri pentru a confirma faptul că persoanele au distrus și nu vor utiliza sau disemina informațiile în continuare. De asemenea, Uber a implementat măsuri suplimentare pentru îmbunătățirea securității datelor, inclusiv instituirea autentificării prin recurs la două elemente (two-factor authentication – user și parolă, plus un alt element exterior pe care numai userul autorizat ar putea să îl cunoască) pentru GitHub.

Accesul neautorizat la aceste date a început pe 13 octombrie 2016 și a ținut până pe 15 noiembrie 2016.

Întrucât printre persoanele fizice vizate se aflau și cetățeni români, ANSPDCP a sancționat în luna mai 2018 (cu doar câteva zile înainte de aplicarea GDPR), în urma unei investigații care s-a întins pe câteva luni, compania UBER SYSTEMS ROMÂNIA S.R.L. cu amendă și cu sancțiunea complementară de a notifica cei 30.000 utilizatori cu privire la breșa de securitate din anul 2016 și de a plăti amenzi cominatorii în cuantum de 5.000 lei/zi întârziere până la notificarea efectivă a utilizatorilor.

 

 

Uber a atacat procesul-verbal de constatare a contravenției în instanță și a câștigat la Judecătoria Sectorului 1 București. ANSPDCP a formulat apel împotriva hotărării și a pierdut la Tribunalul București. Pentru că în acest caz sunt informații importante despre interpretarea normelor privitoare la protecția datelor cu caracter personal, în continuare, vom prezenta sintetic apărările Uber, apărările ANSPDCP și concluziile instanței de judecată.

 

Apărările Uber pe scurt

1. Uber Systems Romania SRL nu poate fi trasă la răspundere pentru eventualele breșe de securitate, deoarece nu este operator de date, ci o persoană împuternicită a operatorului de date UBER BV cu sediul în Olanda. Conform argumentelor Uber, compania UBER BV cu sediul în Olanda este operatorul de date inclusiv pentru utilizatorii din România. Uber a detaliat mecanismul contractual prin care a reușit să scoată Uber Systems Romania SRL din sfera răspunderii în România:

„În ceea ce privește protecția datelor cu caracter personal ale utilizatorilor aplicației Uber, operatorul de date cu caracter personal este Uber BV pentru toți utilizatorii – Călători și Șoferi – care se află în afara Statelor Unite ale Americii (așa cum rezultă inclusiv din Termenii și Condițiile de folosire a aplicației)..

Ca urmare, Uber BV este operatorul care colectează și care ulterior prelucrează datele cu caracter personal ale utilizatorilor aplicației, inclusiv ale utilizatorilor de pe teritoriul României, în special deoarece aceste este singurul deținător al licenței de utilizare a aplicației Uber în afara Statelor Unite. Colectarea și prelucrarea datelor cu caracter personal se realizează în scopurile și în conformitate cu Politica de Confidențialitate a Uber BV.

 

Te-ar putea interesa și:

 

În ceea ce o privește pe Uber Systems România, activitatea acesteia nu are o implicare directă în operarea propriu-zisă a aplicației Uber. Uber Systems România realizează activități de marketing și suport pentru Uber B.V. (…)

Așadar, Uber Systems România nu este operator de date cu caracter personal în ceea ce privește utilizatorii aplicației. Uber Romania oferă anumite servicii de asistență pentru Uber B.V., respectiv asistență pentru clienți și marketing, și acționează în calitate de persoană împuternicită de către operator pentru Uber B.V. în acest scop specific.

Acest aspect rezultă din Acordul de procesare a datelor din data de 31.03.2016 încheiat între Uber BV și afiliații săi, printre care și Uber Systems România , care stipulează foarte clar:

a) Uber BV este operatorul de date cu caracter personal al utilizatorilor din afara teritoriilor Statelor Unite ale Americii; acesta este de asemenea și exportator al datelor personale colectate, date pe care afiliații acestuia urmează să le proceseze în conformitate cu Contractul și cu standardele Uber BV (așa cum rezultă din preambulul Acordului și din Anexa 1 la Clauzele contractuale standard anexate Acordului);

b) că Uber Systems Romania este doar persoană împuternicită să prelucreze date cu caracter personal după instrucțiunile Uber BV;, operațiunile de prelucrare și scopul acestora sunt descrise în Acord (în special Anexa 1 la Clauzele contractuale standard anexate Acordului);

c) care sunt datele cu caracter personal exportate, scopul și modul prelucrării acestora (Clauza 3 și Anexa 1 la Contract, astfel cum a fost ulterior completată);

d) care sunt drepturile utilizatorilor aplicației (persoanele vizate de la care se colectează datele) față de UberBV, față de afiliații acestuia și inclusiv față de subcontractorii agreați (Clauza 3 a Contractului) și cum se exercită acestea.”

Din păcate, instanța a admis plângerea contravențională pe altă argumentație, și nu a răspuns la această apărare, considerând-o ca nerelevantă pentru soluționarea cauzei, dar a oferit un indiciu important: „Referitor la apărările intimatei în sensul că a admite că Uber Systems ROMANIA S.R.L. nu este responsabilă de modalitatea de prelucrare a datelor si implicit de asigurarea securității acestora, înseamna a se ajunge în situația în care societatea nu ar raspunde sub nicio formă pentru încălcarea legilor romane privind protecția datelor, în măsura în care operatorul este situat în afara Romaniei, deși prelucreaza datele persoanelor fizice situate pe teritoriul Romaniei, prin mijloace de comunicatii electronce va fi înlăturată ca nerelevantă, întrucât în cauză s-a pus în discuție doar raspunderea contravențională a societății petente.”

KIT GDPR Premium

 

2. Dispozițiile Legii nr. 506/2004 (legea în baza căreia s-a sancționat) nu sunt aplicabile întrucât nici Uber BV nici Uber Systems România deoarece aceștia nu sunt furnizori deservicii de comunicații electronice destinate publicului.”

Este foarte important a se face distincția între servicii ale societății informaționale, pe de o parte, și servicii de comunicații electronice, pe de altă parte.

Referitor la cadrul normativ național, petenta a arătat că activitatea de furnizare de rețele si servicii de comunicații electronice este reglementata la nivelul legislației primare de către Ordonanța de urgenta a Guvernului nr. 111/2011 privind comunicațiile electronice, aprobata, cu modificări si completări, prin Legea nr. 140/2002, cu modificările si completările ulterioare („OUG nr. 111/2011”). De altfel, dispozițiile art. 2 alin. (2) din Legea nr. 506/2004 fac trimitere expresa la definițiile relevante prevăzute in cuprinsul OUG nr. 111/2011, inclusiv “rețea de comunicații electronice” (art. 4 alin. (1) pct. 6 din OUG nr. 111/2011), “furnizor de rețele de comunicații electronice” (art. 4 alin. (1) pct. 8 din OUG nr. 111/2011) si “serviciu de comunicații electronice” (art. 4 alin. (1) pct. 9 din OUG nr. 111/2011).

Se observa, așadar, ca, pentru a dobândi calitatea de furnizor de retele/servicii de comunicații electronice, este necesara transmiterea unei notificări către Autoritatea Naționala pentru Administrare si Reglementare in Comunicații (“ANCOM”).  Textul partii introductive a art. 6 alin. (1) din OUG nr. 111 /2011 face referire la “orice persoana care intenționează sa furnizeze rețele de servicii de comunicații electronice”, care “are obligația să transmită ANCOM o notificare (…)”, ceea ce inseamna ca, in lipsa/anterior transmiterii unei notificări către ANCOM, persoana respectiva nu are calitatea de furnizor de retele/servicii de comunicații electronice. De asemenea, transmiterea notificării se realizeaza “in scopul realizării unei evidente oficiale a furnizorilor”, calitatea de furnizor de retele/servicii de comunicații electronice avand-o, deci, persoanele care sunt inscrise in evidenta oficiala realizata de ANCOM pe baza notificărilor transmise.

Având in vedere, printre altele, dispozițiile art. 6 si art. 8 din OUG nr. 111 /2011, președintele ANCOM a emis Decizia nr. 987/2012 privind regimul de autorizare generală pentru furnizarea rețelelor și a serviciilor de comunicații electronice. Acest act normativ reglementează atat procedura de notificare a intenției de a furniza retele/servicii de comunicații electronice, cat si drepturile si obligațiile generale ale persoanelor care au dobândit calitatea de furnizor de rețele/servicii de comunicarii electronice în urma transmiterii notificarii (autorizația generală).

Potrivit dispozițiilor art. 8 alin. (1) din Decizia nr. 987/2012, „Solicitantul care a realizat notificarea în termenul și în condițiile prevăzute de prezenta decizie este considerat furnizor de rețele sau de servicii de comunicații electronice pentru tipurile de rețele ori de servicii de comunicații electronice indicate în notificare, denumit în continuare furnizor, și dobândește drepturile și obligațiile specifice prevăzute de autorizația generală pentru tipurile de rețele sau de servicii de comunicații electronice indicate în notificare, de la data prevăzută la art. 5 alin. (4) sau (5), după caz.” .

Așadar, calitatea de furnizor de r etele/servicii de comunicații electronice este dobândita de solicitantul care a transmis notificarea cu respectarea termenelor si cerințelor legale, in lipsa transmiterii notificării neexistand calitatea de furnizor de retele/servicii de comunicații electronice. De altfel, textul art. 8 alin. (1) din Decizia nr. 987/2012 si interpretarea acestuia sunt in deplin acord cu prevederile art. 6 alin. (1) din OUG nr. 111/2011, citate in cuprinsul paragrafului 73 de mai sus, si cu interpretarea ce rezulta din acestea, menționata in cuprinsul aceluiași paragraf.

Astfel, calitatea de furnizor de servicii de comunicații electronice este detinuta de persoanele inscrise in Registrul public al furnizorilor de retele/servicii de comunicații electronice, disponibil pe pagina de internet http://www.ancom.org.ro/furnizoricomunicatii-electronice_133, inscriere care se realizeaza in urma transmiterii unei notificări cu respectarea termenelor si cerințelor legale. Or, U___ nu este inscrisa in registru si, ca urmare, nu are calitatea de furnizor de servicii de comunicații electronice.

A menționat ca, potrivit dispozițiilor art. 142 pct. 1 din OUG nr. 111 /2011, “furnizarea rețelelor sau a serviciilor de comunicații electronice de către o persoană care nu este autorizată în condițiile art. 6 pentru acel tip de activitate” constituie contravenție.

In orice caz, pentru evitarea oricărui dubiu, petenta a aratat ca, in subsidiar, U___ nici nu avea obligația de a transmite ANCOM notificarea prevăzută la art. 6 din OUG nr. 111/2011, intrucat serviciile furnizate de U___ nu reprezintă servicii de comunicații electronice.

Petenta a susținut că serviciile furnizate de Uber nu reprezintă servicii de comunicații electronice.”

Instanța de judecată a considerat întemeiată această apărare, considerând că Uber nu poate fi subiect activ al faptei contravenționale de a nu notifica persoanele vizate afectate în temeiul Legii nr. 506/2004, deoarece nu are calitatea de furnizor de servicii de comunicații electronice. 

„În ceea ce privește considerarea petentei drept un furnizor de servicii de comunicații electronice care ar consta în întregime/în principal în transmiterea semnalelor prin rețelele de comunicații electronice, prin intermediul internetului, instanța constată că nu s-a făcut dovada că activitatea petentei constă în transmiterea semnalelor prin rețele de comunicații electronice.

Sub acest aspect, instanța constată că nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu prestarea unor servicii prin care se furnizează conținutul informației transmise prin intermediul rețelelor. De asemenea, nu poate fi confundată activitatea de transmitere a semnalelor prin rețelele publice de comunicații cu  serviciile societății informaționale, care potrivit art.1 lit.(c) din Legea nr.365/2002, constau în efectuarea unui serviciu prin transmiterea informației la cererea individuală a destinatarului.”

În concluzie, considerând această apărare întemeiată, instanța a admis plângerea contravențională și a anulat procesul verbal de contravenție și nu s-a mai pronunțat cu privire la temeinicia celorlalte apărări Uber, considerându-le nerelevante. Hotărârea instanței a rămas definitivă prin respingerea apelului declarat de către ANSPDCP.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



friends-getting-photo_1153-166.jpg

Când am primit întrebarea din titlu de la prietena mea Andrada, răspunsul a venit natural: depinde. Dacă poți sau nu fi amendat de GDPR pentru că ai filmat un prieten (sau un membru al familiei) fără acordul lui depinde de foarte mulți factori: dacă relația este doar personală sau și profesională, contextul, ce vei face cu materialul și alți factori despre care vom discuta în continuare. Conform răspunsului oficial ANSPDCP, GDPR se aplică și persoanelor fizice.

Dar înainte să vorbesc despre excepții, adică acele invenții ale legiuitorului român care ne plac nouă avocaților pentru că jonglăm frumos cu ele (și mai facem și un ban cinstit de pe urma lor), o să expun regula. Regula este că GDPR nu se aplică activităților exclusiv personale sau domestice. Ca să explic regula de mai sus, voi da un exemplu: la petrecerea de Crăciun, prietenul tău Alin, după câteva shot-uri, sărută o altă fată decât prietena lui, iar tu surprinzi momentul pe cameră. Presupunând că petrecerea de Crăciun este un mediu exclusiv sau domestic (doar cu persoane din anturaj) și nu o petrecere publică sau o petrecere a unei companii și nu urmează să faci nimic cu acel material video, ci doar să îl păstrezi în telefon, GDPR nu se va aplica, iar tu nu poți fi amendat, în absența altor factori.

Dar cum excepția activităților exclusiv personale sau domestice este de strictă interpretare și dacă datele speței se schimbă este posibil să fii amendat sau nu în temeiul GDPR, în funcție de contextul clar: este contextul exclusiv domestic sau nu?

 

Te-ar putea interesa și:

Situația #1. Alin este un coleg de muncă

Să presupunem că petrecerea nu este organizată de o companie, ci de tine și de prietenii tăi, dar pentru că Alin, colegul tău de la muncă îți este prieten foarte bun, este invitat la petrecere și își face de cap. Având în vedere că natura relației tale cu Alin nu este exclusiv personală, ci este și una profesională, atunci contextul iese din sfera excepției GDPR, iar tu poți fi amendat de GDPR, dacă Alin decide să îți facă o plângere la ANSPDCP.

Situația #2. Petrecerea este organizată de compania la care lucrezi

Dacă petrecerea este organizată de o companie, indiferent că lucrezi la ea sau ești un simplu invitat, GDPR se va aplica, iar tu poți fi amendat de ANSPDCP dacă filmezi o persoană fără acordul ei sau nu ai alt temei legal. În principiu, în această situație, companiile ar trebui să se asigure să obțină consimțământul tuturor persoanelor la petrecere pentru a apărea în filmări sau să se bazeze pe interes legitim dacă un astfel de interes este justificat după o analiză prealabilă. În oricare situație, persoanele trebuie informate cu privire la posibilitatea ca evenimentul să fie înregistrat audio-video prin intermediul unei note de informare care poate fi afișată la intrarea la eveniment sau comunicată prin alte canale (de exemplu, pe e-mail) participanților.

 

 

Situația #3. Petrecerea este privată, dar tu postezi materialul pe Facebook

În această situație, nu este niciun fel de context profesional sau comercial. Alin îți este doar prieten, iar petrecerea este privată, dar, având în vedere că Facebook este un spațiu public conform Înaltei Curți de Casație și Justiție, GDPR se va aplica, iar tu poți fi amendat în temeiul GDPR. Aceeași este situația și celorlalte rețele de socializare: LinkedIn, Youtube, Instagram etc.

 

Situația #4. Petrecerea este privată, iar tu trimiți materialul în privat unui alt prieten

Întrucât în această situație nu există un context profesional de nicio natură, iar natura conversației este privată, GDPR nu se va aplica, iar tu nu poți fi amendat de GDPR, dar nu este etic. Deși nu poți fi amendat în temeiul GDPR, poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat. Cu toate acestea, dacă persoana care primește materialul decide să o facă publică, ea poate fi amendată de GDPR. De asemenea, dacă persoana căreia îi trimiți filmarea este un coleg de muncă al lui Alin, contextul pur domestic dispare, iar tu poți fi amendat de GDPR.

KIT GDPR Premium

 

Situația #5. Petrecerea este privată, iar tu trimiți materialul prietenei lui Alin

Cu excepția situației când prietena lui Alin este și colega lui de muncă sau există un alt raport profesional între ei, tu nu poți fi amendat în temeiul GDPR, dar poți răspunde juridic în alt context, de exemplu pe tărâmul răspunderii civile delictuale – Alin îți poate cere daune pentru prejudiciul cauzat.

 

Concluzii

În principiu, GDPR nu intervine în situații amicale sau domestice, cu toate acestea, așa cum am văzut în exemplele de mai sus, linia dintre domestic și non-domestic este foarte subțire și chiar și în situația în care GDPR nu se aplică, putem fi trași la răspundere pentru prejudiciul cauzat în temeiul legislației civile. Situațiile au fost construite pornind de la exemplul inițial, dar dacă exemplul ar fi fost altul: ca de exemplu, Alin ar fi fost violent față de o persoană, cu siguranță că am fi avut un temei să îl filmăm și să transmitem materialul către organele abilitate. Cu toate acestea, chiar și în această situație, putem fi amendați de GDPR dacă publicăm filmulețul pe internet. Dreptul la viață privată este rezervat oricui și nu distinge între o persoană cu o conduită morală înaltă sau o persoană fără o astfel de conduită.

Dreptul la viață privată capătă importanță din ce în ce mai mare în actualul context digital și înainte să facem o mișcare care ar putea afecta viața privată a unei persoane, ar trebui să ne punem întrebarea dacă acțiunea noastră este etică sau nu. Nefiind o acțiune etică, pot exista consecințe juridice, chiar dacă nu neapărat în temeiul GDPR. În principiu, când e vorba de viața privată, atunci când o acțiune nu este etică, în principiu, nu respectă Regulamentul.

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]




Legea fundamentală a statului român conferă protecție sporită anumitor categorii de persoane. În sensul precizat, persoanele cu handicap se bucură de protecţie specială, în conformitate cu prevederile art. 50 din Constituția României. De asemenea, legea fundamentală prevede în sarcina statului realizarea unei politici naţionale de egalitate a şanselor, de prevenire şi de tratament ale handicapului, în vederea participării efective a persoanelor cu handicap în viaţa comunităţii, respectând drepturile şi îndatoririle ce revin părinţilor şi tutorilor.

 

GDPR și protecția datelor cu caracter personal ale persoanelor cu dizabilități

La intrarea în vigoare a prevederilor Regulamentului privind protecția datelor cu caracter personal, autoritățile îndreptățite să realizeze această protecție au realizat informarea persoanelor privind protecția datelor cu caracter personal inclusiv în sfera informatică. Cu titlu de exemplu este acțiunea exercitată de către Direcțiile privind protecția copilului, astfel: ,,având în vedere prevederile Regulamentului nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, precum și aceea că Direcția Generală de Asistență Socială și Protecția Copilului sector 6este operator de date cu caracter personal, nr. 5122/11537 și 13327/2007, vă prezentăm următoare informare cu privire la protecția datelor dumneavoastră cu caracter personal”

Conform exemplului anterior, direcțiile se vor ocupa de informarea și protecția datelor cu caracter personal ale persoanelor cu dizabilități. Protecția se va aplica astfel următoarelor categorii:

  1. copiii și adulții cu handicap, cetăţeni români, cetăţeni ai altor state sau apatrizi;
  2. însoţitorii și/sau asistenții maternali/personali ai persoanelor cu handicap grav;
  3. reprezentanții legali ai persoanelor cu dizabilități

 

 

În privința datelor cu caracter personal privind starea de sănătate, Regulamentul include și datele sau informațiile referitoare la handicapul persoanelor, în următorul sens, conform pct. (35) din Regulament: ,,datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menționate în Directiva 2011/24/UE a Parlamentului European și a Consiliului; un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv din date genetice și eșantioane de material biologic; precum și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro”

Necesitatea instituirii protecției a fost o măsură fundamentală și benefică tuturor categoriilor sociale. În sensul unei protecții temeinice, exemplificăm modalitatea în care o Direcție Generală de Asistență Socială și Protecția Copilului realizează o notă de informare cu privire la aplicarea prevederile Regulamentului. În atare direcție, Direcția precizează colectarea și prelucrarea următoarelor categorii de informații:

  1. date cu caracter personal ale copiilor și familiilor;
  2. date cu caracter personal ale persoanelor vârstnice;
  3. date cu caracter personal ale persoanelor cu dizabilități;
  4. date cu caracter personal ale altor persoane, grupuri sau comunități care interacționează cu Direcția în cauză

KIT GDPR Premium

 

Direcția în cauză precizează modalitatea în care se va realiza informarea și în care se va proceda la acordarea consimțământului în sensul prelucrării unor astfel de date. Conform Direcției Generale precizată anterior consimţământul trebuie să întrunească anumite condiții și anume, el trebuie acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal.

Te-ar putea interesa și:

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



people-holding-question-marks_23-2148156498.jpg

În ceea ce privește prelucrarea datelor cu caracter personal, fiecare persoană vizată trebuie să cunoască și să aibă în vedere cadrul legislativ actual pentru a ști ce drepturi are vis-a-vis de prelucrarea unor date personale de către entitățile publice sau private. Astfel, pentru ca drepturile sale să fie respectate, acestea trebuie aprioric cunoscute, iar acest lucru se va aplica și operatorilor ce efectuează procedura de prelucrare a datelor cu caracter personal.

Ce informații trebuie să mi se furnizeze în caz de prelucrare a unor date personale?

Atunci când sunteți în situația în care vi se solicită prelucrarea datelor cu caracter personal, trebuie să cunoașteți faptul că operatorul care se va ocupa de prelucrarea unor date personale este obligat să vă furnizeze anumite informații. Conform art. 13 din Regulamentul privind Protecția Datelor cu Caracter Personal, în situația în care datele cu caracter personal referitoare la o persoană vizată sunt colectate în mod direct de la aceasta, operatorul va furniza acesteia următoarele informații:

  • Identitatea sa și datele de contact (sau ale reprezentantului operatorului);
  • Datele de contact ale responsabilului cu protecția datelor;
  • Scopurile în care se realizează prelucrarea datelor cu caracter personal, alături de temeiul juridic al prelucrării;
  • Interesele legitime pe care operatorul sau o parte terță le urmăresc (în cazurile anume prevăzute de lege);
  • Destinatarii/categoriile de destinatari ai datelor cu caracter personal, fapt ce prezintă importanță însemnată în privința furnizării unor asemenea date;
  • Intenția operatorului în cazul în care dorește să transfere datele fie către o țară terță, fie către o organizație internațională (conform platformei online;

KIT GDPR Premium

 

Față de aceste informații, operatorul va furniza, în momentul în care datele cu caracter personal sunt deja obținute, informații cu caracter suplimentar, în scopul respectării principiilor echității și transparenței în materie de prelucrare de date personale. Aceste informații vizează:

  • Perioada pentru care datele vor fi stocate;
  • Dacă perioada pentru care datele vor fi stocate nu este prevăzută, se vor transmite informații privind criteriile utilizate pentru stabilirea perioadei;
  • Existența dreptului de a solicita operatorului accesul la datele prelucrate, inclusiv rectificarea sau ștergerea lor ori restricționarea prelucrării ori a dreptului de a se opune prelucrăii. De asemenea se va avea în vedere și dreptul la portabilitatea datelor;
  • Existența dreptului persoanei de a-și retrage consimțământul în orice moment, fără să afecteze în niciun fel legalitatea prelucrării ce a fost efectuată pe baza consimțământului persoanei dat înainte de retragere;
  • Dreptul la depunerea unei plângeri în fața autorităților îndreptățite cu supravegherea;
  • Consecințele nerespectării anumitor obligații de către persoana vizată.

 

Modele de note de informare pe categorii de persoane fizice (angajați, candidați, clienți, vizitatori pe site, parteneri comerciali etc) găsiți aici.

 

 

Îmi conferă legea dreptul de a avea acces la datele prelucrate?

Cel mai important aspect este reprezentat de conferirea dreptului de acces al persoanei vizate cu privire la prelucrarea datelor sale. Conform art. 15 din Regulamentul privind Protecția Datelor cu Caracter Personal, persoana vizată are dreptul să obțină din partea operatorului o confirmare cu privire la prelucrarea sau neprelucrarea unor date personale ce o privesc pe aceasta și să obțină accesul la acele date. În plus, Regulamentul extinde accesul și la date personale ce privesc:

  1. Scopul prelucrării;
  2. Categoriile de date cu caracter personal ce sunt vizate;
  3. Destinatarii/categoriile de destinatari cărora datele le-au fost divulgate sau urmează să le fie divulgate;
  4. Perioada pentru care se preconizează că vor fi stocate datele, atunci când acest lucru este posibil;
  5. Criteriile utilizate pentru stabilirea perioadei pentru care datele vor fi utilizate;
  6. Existența dreptului de ao solicita operatorului rectificarea ori ștergerea datelor;
  7. Dreptul persoanei vizate de a depune o plângere în fața unei autorități de supraveghere;

Regulamentul privind Protecția Datelor cu Caracter Personal cuprinde prevederi referitoare la transferul datelor cu caracter personal către o țară terță sau către o organizație internațională. În această situație, este evident dreptul la informare al persoanei vizate privitor la garanțiile conferite în caz de transfer. Operatorului îi revine obligația de furnizare a unei copii a datelor cu caracter personal ce constituie obiectul prelucrării. Dacă persoana vizată dorește alte copii, este prevăzut dreptul operatorului de a percepe o taxă cu privire la acest lucru, având la bază costurile administrative apărute. Informațiile pot să fie furnizate inclusiv în sistem electronic, fiind o modalitate facilă de transmitere a informațiilor privind prelucrarea datelor cu caracter personal.

În ceea ce privește prelucrarea datelor cu caracter personal, fiecare persoană vizată trebuie să cunoască și să aibă în vedere cadrul legislativ actual. Astfel, pentru ca drepturile sale să fie respectate, acestea trebuie aprioric cunoscute, iar acest lucru se va aplica și operatorilor ce efectuează procedura de prelucrare a datelor cu caracter personal. Nimeni nu se va putea prevala la nivel intern de necunoaștere a legii. Este o obligație fundamentală ce aparține cetățenilor statului român și o garanție a faptului că legea are într-adevăr aplicabilitate în societate. Deci, atunci când aveți în vedere o prelucrare a datelor dumneavoastră cu caracter personal, trebuie să cunoașteți inclusiv ce obligații incumbă operatorului.

Te-ar putea interesa și:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



close-up-girl-s-hand-drawing-house-with-colored-pencil-paper-against-white-backdrop_23-2148026286.jpg

Datele personale ale copiilor necesită o protecție sporită. Cu privire la modalitatea prelucrării, informațiile și comunicările trebuie să fie făcute în limbaj simplu, clar, în așa fel încât un copil să le poată înțelege cu ușurință

Datele personale ale copiilor. Protecție 

S-a remarcat faptul că, atât la nivel social, cât și la nivel legislativ, copiii ar necesita o protecție sporită. Definiția termenului ,, copil” este reflectată prin intermediul Legii nr. 272/2004 privind protecția și promovarea drepturilor copilului. Astfel, conform art. 4, prin ,,copil” vom înțelege persoana care nu a împlinit vârsta de 18 ani și nu a dobândit capacitatea deplină de exercițiu. Capacitatea de exercițiu este definită și prevăzută în cadrul Codului civil român. Prin raportare la art. 37 din Codul civil român, capacitatea de exercițiu reprezintă aptitudinea persoanei de a încheia singură acte juridice civile. În completare, art. 38 din Codul civil român prevede, cu privire la capacitatea de exercițiu deplină, că aceasta începe la data când persoana devine majoră, iar în acest din urmă caz persoana devine majoră la împlinirea vârstei de 18 ani. Minorul care a împlinit 14 ani dispune de capacitate de exercițiu restrânsă (cu derogările prevăzute de legea civilă), iar actele acestuia se vor încheia cu încuviințarea părinților sau a tutorelui, în anumite cazuri fiind necesară autorizarea instanței de tutelă (a se vedea în acest sens platforma online https://legeaz.net/noul-cod-civil/art-41-capacitatea-de-exercitiu-restransa-capacitatea-de-exercitiu-capacitatea-civila-a-persoanei-fizice).

 

KIT GDPR Premium

 

În lumina prevederilor GDPR, copil înseamnă persoana sub 16 ani, iar datele copiilor sub 16 ani necesită o protecție sporită. 

Copiii dispun de protecție inclusiv în ceea ce privește datele lor cu caracter personal. În cele ce urmează vom realiza o analiză legislativă internă și o raportare la prevederile internaționale integrate la nivel statal. Conform cadrului legislativ intern, în speță Legea nr. 272/2004 privind protecția și promovarea drepturilor copilului, art. 18, anumite informații privind copilul vor respecta principiul confidențialității și a dispozițiilor privind transmiterea informațiilor cu caracter personal. Informațiile cărora li se aplică aceste precepte sunt următoarele:

  • Informațiile ce privesc părintele sau altă/alte persoane ce au dreptul de a menține relații personale cu copilul;
  • Informațiile referitoare la copil atunci când sunt transmise de către persoana la care locuiește copilul, incluzând în această categorie fotografii, evaluări medicale, evaluări școlare, către părinte sau altă/alte persoane ce au dreptul de a menține întâlniri personale cu copilul.

 

 

La nivel internațional, Regulamentul privind Protecția Datelor cu Caracter Personal (RGDP), implementat la nivel național, prevede dispoziții ce vizează protecția copiilor în materie de date cu caracter personal. Conform pct. (38), datele cu caracter personal ale copiilor au nevoie de o protecție specifică a datelor cu caracter personal. Acest fapt se datorează faptului că ei ar putea fi mai puțin conștienți de anumite riscuri ori consecințe în materie de prelucrare a datelor cu caracter personal. Regulamentul statuează faptul că protecția trebuie să se aplice în mod special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing ori pentru crearea profilurilor de personalitate sau utilizator. În ceea ce privește consimțământul titularului răspunderii părintești, acesta nu trebuie să fie în mod necesar în contextul serviciilor de consiliere sau prevenire care sunt oferite în mod direct copiilor. Conform art. 8, atunci când sunt avute în vedere serviciile societății informaționale în mod direct către un copil, prelucrarea este una legală numai dacă copilul are cel puțin vârsta de 16 ani. Per a contrario, dacă acesta are sub 16 ani, prelucrarea va fi legală numai în măsura în care consimțământul său este fie acordat, fie autorizat de titularul răspunderii părintești asupra copilului (un model de formular de consimțământ al părintelui pentru prelucrarea datelor minorului se găsește aici). Regulamentul privind Protecția Datelor cu Caracter Personal conferă dreptul statelor de a putea prevede o vârstă inferioară privind consimțământul, sub condiția ca ea să nu fie mai mică de 13 ani. Rolul operatorului este acela de a verifica dacă a fost fie acordat, fie autorizat consimțământul.

 

 

Conform art. 57 din prezentul Regulament, fiecare autoritate de supraveghere are rolul de monitorizare și aplicare a Regulamentului privind Protecția Datelor cu Caracter Personal, dar și de promovare a acțiunilor de sensibilizare și înțelegere în rândul publicului a riscurilor și drepturilor în materie de prelucrare, acordându-se atenție specială activităților ce se adresează în mod specific copiilor. Prelucrării datelor cu caracter personal ale copiilor i se aplică principiul transparenței, prevăzut la pct. (58) din Regulament, astfel că orice informație care se va adresa publiculi sau persoanei vizate trebuie să fie concisă, ușor accesibilă și ușor de înțeles. Limbajul utilizat va fi unul simplu și clar. Informațiile vor putea să fie furnizate inclusiv în format electronic, având în vedere evoluția tehnologiei de la nivel actual. Se pornește de la premisa conform căreia o persoană este în dificultate în a cunoaște și a înțelege dacă datele cu caracter personal ce o privesc sunt colectate și, mai ales, cine realizează acest proces. Exemplul elocvent este reprezentat de publicitatea online. Regulamentul privind Protecția Datelor cu Caracter Personal are în vedere protecția sporită a datelor cu caracter personal atunci când prelucrarea ar viza un copil. Cu privire la modalitatea prelucrării, informațiile și comunicările trebuie să fie făcute în limbaj simplu, clar, în așa fel încât un copil să le poată înțelege cu ușurință.

 

Te-ar putea interesa și:

 


 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



ethnic-player-with-football-using-phone-headphones_23-2148203544.jpg

Potrivit unui studiu din 2018, jocurile gratuite pe smartphone atrag aproape 60 % din utilizatorii de jocuri digitale. Un succes tot mai mare pentru aplicații de joc deseori gratuite și care cauzează dependență, utilizând uneori o cantitate mare de date.

 

Care sunt utilizările?

Printre jocurile cele mai descărcate de români se numără, în principal, cele denumite „free to play” (gratuite). Majoritatea acestor jocuri se obține gratuit în câteva clicuri și sunt, în special, adaptate situațiilor de mobilitate (tren, metrou…) sau perioadelor de inactivitate (coadă de așteptare, pauza zilnică…).

 

În spatele fiecărei afaceri cu jocuri gratuite se află colectarea de date…

Există o multitudine de modele economice pentru aplicațiile mobile de joc care variază de la publicitate (în aplicație sau în afara aplicației), microplăți sau freemium (pentru a obține avantaje și opțiuni, a grăbi evoluția sau a accesa alte nivele) la sponsoring (sponsorizare) sau promovarea serviciilor comerciale mai tradiționale.

Atunci când jocurile sunt gratuite, această gratuitate nu este în general decât una aparentă, fiindcă aplicațiile valorifică, mai mult sau mai puțin direct, datele generate de utilizatori de pe smartphone-ul lor. Acest lucru se aplică mai ales în cazul informației privind localizarea, care este “informația regină” a telefonului inteligent, una dintre veritabilele contraponderi ale jocului, care se dovedește a fi foarte prețioasă pentru a rafina ținta publicitară.

…pentru a încuraja cumpărarea

De asemenea, aplicațiile de jocuri profită de angajamentul jucătorilor pentru a colecta numeroase date comportamentale (răbdarea jucătorului, gustul riscului, descurajarea în fața unui obstacol…). Anumie aplicații doresc să exploateze la maxim comportamentul jucătorului pentru a încuraja achiziționarea care îl face să progreseze în cadrul jocului. Tehnicile se bazează pe aceleași mecanisme de frustrare și de recompense ca și la jocurile de noroc și cazinouri.

 

 

…pentru parteneriatele comerciale

În sfârșit, jocurile bazate pe localizare – cum ar fi Pokémon GO care beneficiază de o bază importantă de utilizatori – atrag persoanele către spații fizice comerciale (magazine partenere, mărci care sponsorizează locații…).

Mai concret, în loc să revândă datele utilizatorilor, autorul jocului preferă să-și determine jucătorii să-i viziteze partenerii comerciali. Aceștia îl vor remunera mai mult sau mai puțin pe autor în funcție de calitatea profilurilor care le vor trece pragul. Astfel, cu cât datele colectate de aplicație sunt mai precise, cu atât profilul jucătorului/consumatorului este mai fiabil, iar remunerarea autorului va fi mai consistentă.

 

Te-ar putea interesa și:

 

De ce să fiți vigilenți cu datele dumneavoastră?

Multe informații colectate despre dumneavoastră

Dată fiind lipsa de transparență a anumitor aplicații, mulți utilizatori nu sunt conștienți de cantitatea de informații personale pe care o pot transmite către exterior și nici nu știu unde ajunge sau în ce scopuri poate fi utilizată. Nu trebuie niciodată pierdut din vedere că un joc gratuit implică o contrapondere care se obține de la jucător.

Vigilență față de riscul aplicațiilor rău intenționate

Mulți utilizatori ai aplicațiilor de jocuri online au fost deja victime ale unui prejudiciu (virus, piratarea unui cont de joc, suprafacturarea comunicațiilor etc.). Sub pretextul oferirii unei experiențe gratuite, o aplicație rău intenționată poate accesa informații de care nu are nevoie, poate conține un virus sau, mai mult, poate fura anumite informații bancare! Alte aplicații pot pur și simplu prezenta deficiențe de securitate.

 

Recomandări pentru jucători

  • să evitați utilizarea aplicațiilor terțe neoficiale, din surse necunoscute sau să le piratați;
  • să citiți comentariile utilizatorilor în magazinul de aplicații și să setați căutarea de opinii după comentariile cele mai recente;
  • atunci când este posibil, să limitați numărul de informații furnizate în timpul înscrierii: introduceți un pseudonim, utilizați o adresă de mail spam etc.;
  • să utilizați o parolă diferită de cele utilizate pentru alte servicii online;
  • închideți aplicațiile când ați terminat de jucat și ștergeți-le după ce nu le mai utilizați;
  • dacă telefonul dumneavoastră vă permite, dezactivați accesul la conexiunea de rețea pentru ca aplicația să nu poată avea acces la internet;
  • dacă jocul vă cere să faceți fotografii, gândiți-vă la celelalte persoane din jurul dumneavoastră și nu le fotografiați fără acordul lor;
  • resetați în mod periodic identificatorul dumneavoastră publicitar.
  • Verificați permisiunile solicitate înainte de a instala o aplicație și refuzați permisiunile care nu sunt necesare:
  • nu autorizați accesul la contacte sau la microfonul dumneavoastră dacă acest lucru nu este util, în special pentru un joc video;
  • dezactivați accesul aplicației la geolocalizarea smartphone-uluiatunci când nu e necesară: dacă geolocalizarea este indispensabilă jocului, puteți închide funcționalitatea o dată ce jocul este închis.

KIT GDPR Premium

 

 

Sursa CNIL

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



hands-digital-watches-boys-watch-time-wrist-orientation-is-punctual_24883-1503.jpg

Deseori prezentat drept o alternativă la smartphone-uri, ceasul conectat pentru copii se numără printre tendințele începutului anului școlar. 

Ceasurile inteligente pentru copii reprezintă aproape jumătate din piața mondială a ceasurilor conectate!

Ceasurile inteligente prezintă, în general, următoarele funcționalități:

  • comunicarea cu copilul (mesagerie, telefon), chiar primirea unui SMS, datorită unei cartele SIM integrate;
  • cunoașterea exactă a locației copilului, cu o alertă dacă acesta se îndepărtează de la drumul către școală sau de la o zonă determinată, grație unui dispozitiv de tip GPS;
  • măsurarea în timp real a sănătății copilului, grație unor senzori (ritm cardiac);
  • încurajarea copilului să facă sport, să facă mișcare, grație unui indicator (tracker) de activitate (număr de pași);
  • relaxarea copilului cu funcții de fotografiere, jocuri și aplicații (meteo).

Ce întrebări ar trebui să-și pună familia?

1.Analizați avantajele practice având în vedere riscurile în caz de abuz

Acest obiect conectat este deseori prezentat de producători ca un mijloc de a se asigura în timp real că copilul nu se găsește într-o situație anormală. Indicatorii fiziologici, sociali sau spațiali pe culoarea verde liniștesc părinții care, astfel, pot oferi mai multă autonomie copilului lor.

Însă utilizarea nerezonabilă a unui ceas conectat în cazul unui copil poate avea și consecințe nefaste, cum ar fi:

  • limitarea capacității sale de a învăța singur și de a analiza riscurile: de exemplu, anticiparea unui pericol în locul copilului dacă indicatorii sunt negativi;
  • interferența excesivă în intimitatea sa socială sau corporală: de exemplu, supravegherea modului în care copilul interacționează în recreație sau a modului în care se comportă în clasă sau în timpul unui examen;
  • afectarea raportului de încredere și a dialogului pe care le are cu părinții săi: de exemplu, generarea unui sentiment de supraveghere 24/24 care determină copilul să se autocenzureze;
  • asocierea protecției vieții sale private cu un sentiment de culpabilitate.

 

 

2. Adaptați-vă nevoile pentru a minimiza impactul asupra vieții private a copilului

Pentru a ține cont cel mai bine de impactul asupra vieții private a copilului, este necesară evaluarea funcționalităților propuse în funcție de nevoi și de riscuri:

  • Geolocalizarea în timp real este foarte invazivă și prezintă riscuri importante dacă persoane rău intenționate o deturnează. Astfel, este posibilă dezactivarea geolocalizării atunci când nu este utilă sau dorită? Un simplu ceas comunicant nu ar fi suficient?
  • Posibilitatea de a comunica direct cu copilul poate fi, de asemenea, deturnată de o terță persoană. Tipul de canal de comunicare propus răspunde nevoii garantând o securitate suficientă? Un simplu telefon nu este oare mai potrivit?
  • Dacă utilizarea este legată mai ales de activitatea sportivă, este oare necesară o comunicare la distanță în timp real? Un simplu „tracker de activitate” ar putea fi suficient?

Pe scurt, fiți atenți la ceasurile inteligente de tip „all-in-one” care colectează multe informații despre copii (și despre părinții lor) fără să răspundă în mod necesar la o nevoie reală.

3. Vorbiți cu copilul dumneavoastră de îndată ce viața sa privată este afectată

Potrivit unei recomandări din anul 2011, grupul CNIL-urilor de la nivel european a subliniat că „nu ar trebui niciodată să se întâmple ca, din motive de securitate, copiii să fie supuși unei supravegheri excesive care le limitează autonomia” și aceasta chiar din partea persoanelor din familia lor. De altfel, dacă părinții consideră că utilizarea unei astfel de aplicații este justificată în anumite circumstanțe, „copiii trebuie să fie informați în acest sens și trebuie să poată participa, dacă acest lucru este posibil în mod rezonabil, la decizia de a utiliza o astfel de aplicație”.

Ce să facem înainte de a cumpăra?

  • Informați-vă înainte de a cumpăra eventual un astfel de dispozitiv:
  • Manifestați neîncredere față de ceasurile ieftine! O jucărie conectată oferită la un preț scăzut poate afecta viața privată și propune soluții tehnice puțin sau necorespunzător securizate.
  • Citiți Politica de confidențialitate și Termenii și Condițiile. Condițiile de utilizare sunt în limba română și sunt inteligibile? Datele sunt reutilizate în alte scopuri sau sunt transmise partenerilor? Datele sunt stocate în Europa sau într-o țară terță unde protecția datelor nu este la fel de bine garantată? ? Există date sau o adresă de contact a producătorului pentru a vă exercita  drepturile privind datele cu caracter personal?
  • Securitatea înainte de toate! Putem să controlăm datele colectate, să dezactivăm anumite funcții, cum ar fi geolocalizarea? Putem să protejăm accesul la aparat și la serviciile asociate (aplicație de mobil, site web) folosind o parolă puternică sau un mod de autentificare suplimentar?

În caz de dubiu, preferați o achiziție fizică la comercianții specializați care pot să vă dea posibilitatea să testați ceasurile inteligente și vă pot oferi sfaturi tehnice. De asemenea, consultați standurile de încercare propuse de asociațiile de consumatori, comentariile utilizatorilor de internet din magazinele de aplicații și, în general, forumurile de utilizatori.

Sursa CNIL

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



GDPR.jpg

Atunci când suntem în situația de a avea acces la date cu caracter personal, trebuie să respectăm în mod categoric Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor). Cu atât mai mult în situația în care trebuie să realizăm protecția acestor date, prevederile Regulamentului trebuie să fie aplicate cu strictețe.

Cum trebuie realizată prelucrarea datelor cu caracter personal?

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) instituie principiile necesare spre a fi respectate în procesul de prelucrare a datelor cu caracter personal. Conform acestuia, datele cu caracter personal vor fi prelucrate în maniera următoare:

  • Cu respectarea principiului legalității;

Atare principiu este reflectat atât la nivel național, cât și la nivel internațional, în doctrină și în jurisprudență. Legalitatea impune faptul ca orice procedură să fie făcută în temeiul și cu respectarea dispozițiilor prevăzute de lege.

  • În mod echitabil și transparent față de persoana vizată;

Echitatea și transparența sunt două principii importante pe care prezentul Regulament le tratează. Conform acestora, prelucrarea se va face în mod echitabil, adică în manieră dreaptă, justă, dar și în mod transparent, asigurând accesul facil al persoanei vizate și informarea sa.

Cu privire la procesul de colectare a datelor cu caracter personal, acesta se va realiza:

  • În scopuri determinate;
  • În scopuri explicite;
  • În scopuri legitime;
  • Fără posibilitatea de prelucrare ulterioară în mod incompatibil cu alte scopuri.

! Prelucrarea datelor cu caracter personal realizată în scopuri de arhivare în interes public, în scop de cercetare științifică, istorică, sau în scopuri statistice, nu este considerată a fi incompatibilă cu scopurile inițiale.

 

 

Datele supuse procesului de prelucrare trebuie să fie relevante, dar și adecvate. Ele trebuie să se limiteze la ceea ce este necesar în funcție de scopul prelucrării. Totodată, ele trebuie să fie exacte și numai în situațiile în care se impune, ele se vor actualiza.

Protecția datelor cu caracter personal se va materializa numai în situația în care datele:

  1. Sunt păstrate într-o formă ce permite identificarea persoanelor vizate, dar numai pe o perioadă ce nu o depășește pe cea ncesară îndeplinirii scopurilor în care sunt prelucrate datele. Acest fapt nu exclude însă posibilitatea de prelungire a perioadelor de stocare, dacă datele sunt prelucrate în mod exclusiv în scopuri de arhivare în interes public, de cercetare (fie istorică, fie științifică) sau în scopuri statistice. Condiția ce trebuie respectată în acest din urmă caz este reprezentată de aplicarea unor măsuri de ordin tehnic și organizatoric adecvate. Aplicarea trebuie realizată pentru garantarea drepturilor și libertăților persoanelor vizate;
  2. Sunt prelucrate într-un mod prin care se asigură securitatea ,,adecvată” a datelor cu caracter personal. Acest fapt inlcude protecția împotriva prelucrării neautorizate sau ilegale. Datele vor fi prelucrate și protejate împotriva pierderii, distrugerii ori deteriorării accidentale. În acest scop se vor lua atât măsuri tehnice, cât și măsuri organizatorice care să fie corespunzătoare (a se vedea în acest sens eur-lex.europa.eu, Regulamentul(UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

 

Te-ar putea interesa și:

 

Responsabilitatea prelucrării datelor revine operatorului, care poate în orice situație să demonstreze că a respectat prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

KIT GDPR Premium

 

Prevederi speciale cu privire la prelucrarea datelor cu caracter personal

La nivel intern, prelucrarea datelor cu caracter personal este prevăzută în Codul civil român. Conform art. 77 din Codul civil român, orice prelucrare de date cu caracter personal se va putea face numai în cazurile și condițiile prevăzute de legea specială. Prelucrarea se poate realiza în accepțiunea legiuitorului român prin mijloace automate sau neautomate.

De asemenea, prin aplicarea prevederile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), prelucrarea datelor cu caracter personal trebuie:

  • Să fie făcută în serviciul cetățenilor;
  • Să respecte normele aplicabile în materie de protecție a datelor în conformitate cu scopurile prelucrării, atunci când este realizată de către autoritățile publice;
  • Să fie legală și echitabilă;
  • Să aibă un temei în dreptul Uniunii sau în dreptul intern, atunci când prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care face parte din exercitarea autorității publice;
  • Să fie făcută cu prevederea modalităților de facilitare a exercitării de către persoana vizată a drepturilor care îi sunt conferite, cuprinzând totodată și mecanismele prin care persoana poate solicita accesul la datele sale cu caracter personal, dar și la rectificarea, ștergerea și exercitarea dreptului la opoziție (a se vedea în acest sens eur-lex.europa.eu, Regulamentul(UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)).

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



arhive-transparen-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord