Aici descoperim
dreptul tehnologiei

true-proportions-european-union-flag-with-texture_88653-389.jpg

Pe scurt

  • Trebuie să fiți clari de la început în privința scopurilor dumneavoastră de prelucrare.
  • Trebuie să păstrați o evidență a scopurilor dumneavoastră ca parte din obligațiile dumneavoastră privind documentația și să le indicați în declarația de confidențialitate pentru persoane.
  • Puteți să utilizați datele cu caracter personal într-un scop nou doar dacă fie acesta este compatibil cu scopul dumneavoastră inițial pentru care obțineți consimțământul, fie aveți o obligație sau o funcție clară stabilită prin lege.

Liste de verificare

  • Am identificat în mod clar scopul sau scopurile noastre pentru prelucrare.
  • Am consemnat aceste scopuri.
  • Am inclus detaliile scopurilor noastre în declarația de confidențialitate pentru persoane.
  • Verificăm cu regularitate prelucrarea noastră și, acolo unde este cazul, actualizăm documentația și declarația de confidențialitate pentru persoane.
  • Dacă intenționăm să utilizăm date cu caracter personal într-un scop nou altul decât o obligație legală sau o funcție stabilită prin lege, verificăm dacă acesta este compatibil cu scopul nostru inițial sau obținem un consimțământ specific pentru noul scop.

Ce înseamnă principiul limitărilor legate de scop?

Articolul 5 alineatul (1) litera (b) prevede că:

“1. Datele cu caracter personal sunt:

(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1);

KIT GDPR Premium

 

În practică, acest lucru înseamnă că trebuie:

  • să fiți clari de la început cu privire la scopul în care colectați datele cu caracter personal și ce intenționați să faceți cu acestea; să vă respectați obligațiile privind documentația în ceea ce privește indicarea scopurilor dumneavoastră;
  • să vă respectați obligațiile de transparență în ceea ce privește informarea persoanelor în privința scopurilor dumneavoastră; și
  • să vă asigurați că, în cazul în care intenționați să utilizați sau să divulgați datele cu caracter personal într-un scop care este suplimentar sau diferit de scopul indicat inițial, noua utilizare este echitabilă, legală și transparentă.

De ce trebuie să ne precizăm scopurile?

Această cerință urmărește să asigure că sunteți clari și deschiși în privința motivelor dumneavoastră pentru care obțineți date cu caracter personal și că ceea ce faceți cu datele respective este conform așteptărilor rezonabile ale persoanelor vizate.

Precizarea scopurilor dumneavoastră de la început vă ajută să fiți responsabili în privința prelucrării pe care o efectuați și să evitați „denaturarea funcțiilor”. De asemenea, aceasta ajută persoanele să înțeleagă modul în care le utilizați datele, să ia decizii cu privire la exprimarea acordului de a-și divulga datele și să-și exercite drepturile asupra datelor, dacă este cazul. Precizarea scopurilor este fundamentală pentru construirea încrederii publice în modul în care utilizați date cu caracter personal.

Există legături evidente cu alte principii, în special cu principiul echității, legalității și transparenței. A fi clar privind scopul în care prelucrați date cu caracter personal vă va ajuta să vă asigurați că prelucrarea dumneavoastră este echitabilă, legală și transparentă. Și, în cazul în care utilizați datele în scopuri inechitabile, ilegale sau „invizibile”, există probabilitatea să încălcați ambele principii.

Precizarea scopurilor dumneavoastră este necesară pentru a vă respecta obligațiile privind responsabilitatea.

Cum ne precizăm scopurile?

Dacă vă îndepliniți obligațiile privind documentația și transparența, mai mult ca sigur, respectați și cerința de a vă preciza scopurile, fără a face nimic în plus:

  • Trebuie să vă precizați scopul sau scopurile pentru prelucrarea datelor cu caracter personal în cadrul documentației pe care sunteți obligați să o păstrați ca parte a obligațiilor privind evidențele activităților de prelucrare (documentația) prevăzute la articolul 30.
  • De asemenea, trebuie să vă precizați scopurile în nota de informare pentru persoane.

Cu toate acestea, trebuie să rețineți, de asemenea, că nu orice consemnare și orice informare pot transforma o prelucrare fundamental inechitabilă într-una echitabilă și legală.

După ce colectăm datele cu caracter personal într-un scop precizat, putem să le folosim în alte scopuri?

RGPD nu interzice acest lucru în totalitate, dar există o serie de restricții. În esență, dacă scopurile dumneavoastră se schimbă în timp sau doriți să utilizați datele într-un scop nou pe care nu l-ați anticipat inițial, puteți să procedați astfel numai dacă:

  • noul scop este compatibil cu scopul inițial;
  • obțineți consimțământul expres al persoanei pentru noul scop.

Dacă scopul nou este compatibil, nu aveți nevoie de un nou temei juridic pentru prelucrarea ulterioară. Cu toate acestea, ar trebui să rețineți că, în cazul în care ați colectat inițial date pe baza consimțământului, în mod normal, trebuie să obțineți un nou consimțământ pentru a vă asigura că noua prelucrare este echitabilă și legală.

De asemenea, trebuie să vă asigurați că informați persoanele cu privire la noile scopuri.

Ce este un scop „compatibil”?

RGPD prevede în mod expres că următoarele scopuri ar trebui considerate ca fiind scopuri compatibile:

  • scopuri de arhivare în interesul public,
  • scopuri de cercetare științifică sau istorică și scopuri statistice.

Pe de altă parte, RGPD prevede că pentru a stabili dacă scopul nou este compatibil (sau, conform RGPD, „nu este incompatibil”) cu scopul dumneavoastră original, ar trebui să luați în considerare:

  • orice legătură dintre scopul dumneavoastră original și scopul nou;
  • contextul în care ați colectat inițial datele cu caracter personal, în special, relația dintre dumneavoastră și persoana în cauză și așteptările rezonabile ale acesteia;
  • natura datelor cu caracter personal, de exemplu dacă acestea sunt, în special, date sensibile;
  • consecințele posibile ale noii prelucrări asupra persoanelor; și
  • dacă există garanții adecvate, de exemplu criptarea sau pseudonimizarea.

Ca regulă generală, dacă scopul nou este foarte diferit de scopul inițial sau ar fi neașteptat ori ar avea un impact nejustificat asupra persoanei respective, este probabil ca acesta să fie incompatibil cu scopul dumneavoastră original. În practică, ar putea fi nevoie să obțineți consimțământul expres pentru a utiliza sau a divulga datele într-un astfel de scop.

Exemplu

Un medic de familie divulgă lista sa de pacienți soției sale, care conduce o agenție de turism, pentru ca aceasta să poată face oferte speciale de vacanțe pacienților care au nevoie de recuperare. Divulgarea informațiilor respective în acest scop ar fi incompatibilă cu scopurile în care au fost obținute.

Există aici legături clare cu principiul legalității, echității și transparenței. În practică, dacă prelucrarea avută în vedere este echitabilă, este puțin probabil să încălcați principiul limitărilor legate de scop pe motivul incompatibilității.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



Pastila-de-GDPR.png

Pe scurt

  • Trebuie să identificați motive întemeiate conform RGPD (cunoscute sub denumirea de „temei juridic”) pentru colectarea și utilizarea datelor cu caracter personal.
  • Trebuie să vă asigurați că nu utilizați datele în nicio altă situație care ar încălca orice alte legi.
  • Trebuie să utilizați datele cu caracter personal într-un mod echitabil. Acest lucru înseamnă că nu trebuie să prelucrați datele într-un mod care este pe nedrept prejudiciabil, neașteptat sau înșelător față de persoanele vizate.
  • Trebuie să fiți de la început clari, deschiși și sinceri cu persoanele vizate în ceea ce privește modul în care veți utiliza datele lor cu caracter personal.

Liste de verificare

Legalitate

  • Am identificat un temei juridic adecvat (sau temeiuri) pentru prelucrarea noastră.
  • Dacă prelucrăm date aparținând unei categorii speciale sau date privind condamnări penale, am identificat o condiție pentru prelucrarea acestui tip de date.
  • Nu întreprindem, în general, nicio acțiune nelegală cu datele cu caracter personal.

Echitate

  • Am evaluat modul în care prelucrarea ar putea afecta persoanele vizate și putem justifica orice impact negativ.
  • Tratăm datele persoanelor doar în moduri la care acestea s-ar aștepta în mod rezonabil sau putem explica de ce orice prelucrare neașteptată este justificată.
  • Nu înșelăm sau inducem în eroare persoanele atunci când le colectăm datele cu caracter personal.

Transparență

  • Suntem deschiși și sinceri și respectăm obligațiile de transparență aferente dreptului de a fi informat.

 

Ce înseamnă principiul legalității, echității și transparenței?

Articolul 5 alineatul (1) din RGPD statuează că:

“1. Datele cu caracter personal sunt:

(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”)”.

KIT GDPR Premium

 

Articolele 6-10 conțin dispoziții mai detaliate referitoare la legalitate și la „temeiul juridic pentru prelucrare”.

Articolele 13 și 14 descriu în detaliu obligațiile de transparență ca parte din „dreptul de a fi informat”.

Cele trei elemente reprezentate de legalitate, echitate și transparență se suprapun, dar trebuie să vă asigurați că le respectați pe toate trei. Nu este suficient să demonstrați că prelucrarea dumneavoastră este legală dacă este fundamental inechitabilă sau ascunsă față de persoanele vizate.

Ce este legalitatea?

Pentru ca prelucrarea datelor cu caracter personal să fie legală, trebuie să identificați motive specifice pentru prelucrare.  Acestea poartă denumirea de „temei juridic” pentru prelucrare și există șase opțiuni care depind de scopul dumneavoastră și de relația pe care o aveți cu persoana vizată. De asemenea, există condiții suplimentare specifice pentru prelucrarea unor tipuri de date deosebit de sensibile. Dacă nu se aplică niciun temei juridic, atunci prelucrarea dumneavoastră este ilegală și încalcă acest principiu.

De asemenea, într-un sens mai general, legalitatea înseamnă că nu efectuați nicio prelucrare ilegală a datelor cu caracter personal. Legalitatea presupune obligații legale și obligații prevăzute de common law, fie că sunt de natură penală sau civilă. Dacă prelucrarea implică săvârșirea unei infracțiuni, aceasta este, în mod evident, ilegală. Cu toate acestea, prelucrarea poate fi, de asemenea, ilegală dacă are drept rezultat:

  • o încălcare a unor obligații legale;
  • organizația dumneavoastră își depășește atribuțiile legale sau exercită aceste atribuții în mod necorespunzător; o încălcare a dreptului de autor;
  • o încălcare a unui acord de natură contractuală care constituie titlu executoriu;
  • o încălcare a legislației;
  • sau o încălcare a drepturilor omului.

Acestea sunt doar exemple, lista nefiind exhaustivă. Cu privire la alte cerințe legale relevante, ar putea fi nevoie să apelați la consultanță juridică.

Dacă ați prelucrat date cu caracter personal în mod ilegal, RGPD conferă persoanelor fizice dreptul de a șterge datele respective sau de a restricționa prelucrarea acelor date de către dumneavoastră.

Ce este echitatea?

Prelucrarea datelor cu caracter personal trebuie să fie întotdeauna echitabilă și legală. Dacă orice aspect al prelucrării dumneavoastră este inechitabil, veți încălca acest principiu, chiar dacă puteți demonstra că aveți un temei juridic pentru prelucrare.

În general, echitatea presupune faptul că dumneavoastră ar trebui să manipulați date cu caracter personal doar în moduri la care persoanele vizate s-ar aștepta în mod rezonabil și nu ar trebui să le utilizați în moduri care au efecte negative nejustificate asupra acestora. Trebuie să reflectați nu doar asupra modului în care puteți să utilizați datele cu caracter personal, dar și dacă ar trebui să le utilizați.

Evaluarea caracterului echitabil al prelucrării dumneavoastră depinde parțial de modul în care obțineți informațiile. În special, dacă o persoană este înșelată sau indusă în eroare atunci când se obțin datele cu caracter personal, atunci este probabil ca această prelucrare să nu fie echitabilă.

Pentru a evalua dacă prelucrați date cu caracter personal în mod echitabil, trebuie să realizați o analiză mai generală a modului în care prelucrarea afectează interesele persoanelor vizate, la nivel colectiv și individual. Există încălcarea acestui principiu și în cazul în care ați obținut și ați utilizat informații în mod echitabil în legătură cu majoritatea persoanelor la care se referă acestea, dar în mod inechitabil în legătură cu o singură persoană.

Datele cu caracter personal pot fi folosite uneori într-un mod care afectează negativ o persoană fără să fie neapărat inechitabil. Ceea ce contează este dacă acest prejudiciu este sau nu justificat.

De asemenea, ar trebui să vă asigurați că aveți un comportament echitabil față de persoanele care doresc să-și exercite drepturile asupra datelor lor. Aceasta face parte din obligația dumneavoastră de a facilita exercitarea drepturilor persoanelor. Pentru mai multe informații, citiți orientările noastre privind drepturile.

 

Ce este transparența?

Transparența este fundamental legată de echitate. Prelucrarea transparentă înseamnă claritate, deschidere și sinceritate față de  persoanele vizate de la început cu privire la identitatea dumneavoastră și la modul și scopul în care le utilizați datele cu caracter personal.

Transparența este întotdeauna importantă, dar în special în situațiile în care persoanele au de ales dacă doresc să intre sau nu într-o relație cu dumneavoastră. Dacă persoanele cunosc de la început scopurile în care le veți utiliza informațiile, acestea vor putea să ia o decizie informată cu privire la stabilirea unei relații sau la o eventuală tentativă de renegociere a termenilor acestei relații.

Transparența este importantă chiar și atunci când nu aveți o relație directă cu persoana respectivă și colectați datele sale cu caracter personal dintr-o altă sursă. În unele cazuri, aceasta poate să fie chiar mai importantă deoarece este posibil ca persoanele în cauză să nu știe că dumneavoastră le colectați și le utilizați datele lor cu caracter personal și acest lucru le afectează posibilitatea lor de a-și exercita drepturilor asupra acestor date. Această situație este denumită uneori „prelucrare invizibilă”.

Trebuie să vă asigurați că informați persoanele cu privire la prelucrare într-un mod care este ușor accesibil și ușor de înțeles. Trebuie să utilizați un limbaj clar și simplu.

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



mobile-phone-opened-google-application_1421-1751.jpg




Potrivit, Thenextweb, Google este dat în judecată și i se cer daune de 5 miliarde de dolari pentru urmărirea utilizatorilor în Chrome – chiar și în modul incognito.

Potrivit Reuters procesul, care a fost înregistrat marți în instanța federală din San Jose, California, acuză compania că a colectat informații despre utilizatori, despre vizitele acestora pe site-uri și paginile pe care le accesează, inclusiv atunci când utilizează modul incognito.

Reclamanții susțin faptul că prelucrarea datelor despre utilizatori prin Google Analytics, Google Ad Manager și alte aplicații asemănătoare ajută compania Google să afle date suplimentare despre contactele cele mai apropiate ale utilizatorilor, hobby-urile, obiceiurile de dietă și chiar date despre cele mai intime informații pe care utilizatorii le caută online.

Google „nu poate continua să se angajeze în colectarea de date ascunse și neautorizate de la aproape fiecare american care are un computer sau un telefon”, susțin reclamanții. Ei solicită despăgubiri de cel puțin 5 miliarde de dolari pentru încălcarea legilor federale ale confidențialității datelor din California pentru „milioane” de persoane care au folosit modul incognito începând cu 1 iunie 2016.




„După cum afirmăm clar de fiecare dată când deschideți o nouă filă incognito, site-urile web ar putea să colecteze informații despre activitatea dvs. de navigare”, a declarat pentru Reuters purtătorul de cuvânt al Google, Jose Castaneda, adăugând compania că are toate mecanismele pentru a se apăra în instanță.

Activiștii pentru viața privată au avertizat de mult timp faptul că Google, Facebook și alți giganți IT colectează date despre utilizatori chiar și atunci când se folosește modul incognito.

Skeptics have long been warning companies like Google and Facebook’s pervasive tracking practices collect data about users even when using incognito mode. Cercetătorii de la Microsoft susțin că site-urile și aplicațiile au coduri de urmărire inserate din alte părți, iar despre aceste practici utilizatorii de internet nu sunt conștienți. „Un astfel de cod„ terț” permite companiilor să monitorizeze acțiunile utilizatorilor fără cunoștința sau consimțământul lor și să construiască profiluri detaliate ale obiceiurilor și intereselor lor. “

Google a mai fost acuzat de personalizarea rezultatelor de căutare în modul incognito de rivalul său, DuckDuckGo care susține că modul incognito nu este atât de anonim așa cum am putea crede.

 

KIT GDPR Premium

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



GDPR-2018.jpg




Nu e un titlu click-bait, ci este o situație reală. Pe scurt, Ministerul Muncii și Protecției Sociale a decis să rezolve rapid situația în care angajații nu ar fi de acord cu termometrizarea și și-a dat chiar el consimțământul pentru toți angajații din sectorul public și privat.

Potrivit art. 2 din Ordinul 3577/831/2020, pe durata stării de alertă, toți angajații din sectorul public și privat au obligația să accepte verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu.

Am discutat în acest articol despre cum verificarea temperaturii este o prelucrare de date cu caracter special, iar organizațiile trebuie să respecte prevederile GDPR , iar în acest articol mă voi opri spre a dezbate consimțământul în noua formă adoptată de către Ministerul Muncii.

Ce prevede GDPR? 

GDPR instituie standarde ridicate pentru consimțământ, iar potrivit art.4 pct. 11 din GDPR, consimțământul este o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

Care sunt problemele?

Noua formă de consimțământ introdusă recent de Ministerul Muncii și-a pierdut caracterul liber. Ministerul Muncii și-a dat deja acordul în numele tuturor angajaților. În consecință, vorbim despre un Ordin al Ministerului care încalcă în mod flagrant un Regulament european care continuă să se aplice, inclusiv în stare de alertă.

Aș recomanda companiilor și responsabililor cu protecția datelor să privească cu o doză ridicată de scepticism această nouă formă de consimțământ, având în vedere, printre altele, prioritatea dreptului european față de dreptul intern.

Toate organizațiile vor trebui să ia temperatura angajaților și recomand, pentru a evita încălcarea GDPR, să se meargă și pe alte temeiuri legale de la art. 9 GDPR. Cred că, în situația actuală, temeiul potrivit este interesul vital, iar el ar trebui documentat intern (în registrul activităților de prelucrare), dar și comunicat persoanelor vizate prin actualizarea notelor de informare.

Potrivit GDPR, interesul vital poate fi utilizat ca răspuns la pandemie atunci când nu poate fi utilizat un alt temei legal. Considerentul (46) din GDPR prevede că „Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia (…)”.

KIT GDPR Premium

 

Chiar dacă luarea temperaturii este acum o obligație legală, GDPR continuă să se aplice și pentru a evita reclamațiile persoanelor vizate și investigațiile ANSPDCP, recomand companiilor să lectureze și acest articol pentru a ști ce este de făcut pentru alinierea la GDPR în aceasta situație.

Important de menționat ar fi și faptul că deși GDPR impune ca legislația internă să prevadă și măsuri pentru drepturile persoanelor, Ordinul Ministerului Muncii nu conține astfel de prevederi vis-a-vis de viața privată și pasează întreaga răspundere către organizații. În concret și oarecum absurd, organizațiile care iau temperatura angajaților ca să se conformeze obligațiilor legale, dar care nu respectă GDPR, pot fi amendate tot de către statul român (prin ANSPDCP) pentru neconformarea la GDPR.

Sperăm totuși că în viitor legislația va fi modificată și vor fi introduse și prevederi pentru protecția vieții private și a datelor cu caracter personal.

 

Te-ar putea interesa și: 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



maxresdefault-1200x675.jpg





În prezent, mulți specialiști emit opinii dacă termoscanarea este legală sau este ilegală. Am o dublă specializare care îmi permite să ofer o opinie fundamentată pe subiectul termoscanării. Sunt avocat în Baroul București specializat pe dreptul tehnologiei și al protecției datelor și profesionist în protecția datelor acreditat de IAPP. Articolul de mai jos a fost publicat inițial pe platforma juridice.ro.

I. Introducere, noțiune și context

În România, masura luării temperaturii a fost introdusă în mod obligatoriu prin Ordinul MS-MAI nr. 874/2020. În situațiile unde munca de la domiciliu nu este posibilă, organizațiile (publice sau private) vor asigura triajul epidemiologic constând în controlul temperaturii personalului și/sau al vizitatorilor.

Totodată, potrivit art. 3 alin. 1 din Legea nr. 190/2018 „Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

Întrucât nu există în prezent în România nicio lege care să permită utilizarea temoscanării prin prelucrarea datelor, în măsura în care se înregistrează date, termoscanarea se poate realiza doar cu acordul explicit al persoanei vizate.

II. Termoscanarea, RGPD și Legea nr. 190/2018

(1) Este termoscanarea o activitate de prelucrare de date cu caracter personal în temeiul RGPD?

Da, potrivit art. (4) pct. (2) din RGPD, termoscanarea poate fi o activitate de prelucrare de date cu caracter personal în temeiul RGPD[1] în măsura în care datele cu caracter personal sunt înregistrate într-un sistem de evidență.

Cu toate acestea, simpla luare a temperaturii prin utilizarea unui temometru și fără a permite înregistrarea nu reprezintă o activitate de prelucrare în temeiul RGPD. Însă, deși luarea manuală a temperaturii cu termometre clasice sau non-contact nu reprezintă o prelucrare în temeiul RGPD, riscurile cu privire la drepturile omului (stigmatizare, excluziune socială, discriminare etc) sunt în continuare prezente, de aceea, organizațiile ar trebui să implementeze măsuri concrete pentru drepturile omului chiar dacă se merge pe termometrizare manuală.

KIT GDPR Premium

 

(II) Se încadrează temperatura corpului în noțiunea de date cu caracter personal?

Da, temperatura corpului se încadrează în noțiunea datelor cu caracter personal[2] așa cum vom arăta în cele ce urmează și, mai mult decât atât, se încadrează în noțiunea datelor cu caracter special[3] (datele privind starea de sănătate) având un regim de prelucrare în condiții mai stricte față de datele cu caracter personal obișnuite așa cum vom arăta în continuare.

Potrivit art. 4 pct. 1, date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).

Pentru a analiza dacă temperatura corpului în contextul termoscanării este o dată cu caracter personal în temeiul RGPD, vom avea în vedere cele patru elemente folosind raționamentul propus de Comitetul European pentru Protecția Datelor în Avizul nr. 4/2007 privind conceptul de date cu caracter personal (denumit în continuare CEPD)[4]:
– „orice informație”;
– „referitoare la”;
– „persoană fizică identificată sau identificabilă”;
– „persoană fizică.”

1.Primul element: „Orice informații”

Din punctul de vedere al naturii informațiilor, conceptul de date cu caracter personal cuprinde orice afirmație referitoare la o persoană, prin urmare temperatura corpului poate fi o dată cu caracter personal, în măsura în care sunt respectate și celelalte condiții.

2. Al doilea element: „referitoare la”

Discutăm, în acest caz, despre o legătură de cauzalitate între informație și persoana fizică.

Potrivit CEPD[5]„informaţiile pot fi considerate că „se referă” la o persoană atunci când acestea sunt despre persoana respectivă. (…) În multe situaţii, această legătură poate fi uşor stabilită. (…) Cu toate acestea, pot fi menţionate unele situaţii în care nu este întotdeauna la fel de clar (…) dacă informaţiile „se referă” la o persoană (…). Pentru ca datele „să se refere” la o persoană, trebuie să existe un element „conţinut” SAU un element „scop” ORI un element „rezultat”.

(…)

Elementul „conţinut” este prezent în cazurile în care – în conformitate cu percepţia cea mai evidentă şi obişnuită dintr-o societate a cuvântului „se referă” – informaţiile sunt oferite cu privire la o anumită persoană, indiferent de scopul urmărit de operator sau de o parte terţă ori de impactul pe care informaţiile respective îl pot avea asupra persoanei vizate.

(…)

Elementul „scop” poate determina, de asemenea, dacă informaţiile respective „se referă” la o anumită persoană. Acest element „scop” există atunci când datele sunt utilizate sau este probabil că vor fi utilizate, ţinând seama de toate circumstanţele legate de cazul specific, în scopul evaluării, tratării într-un anumit fel sau a influenţării statutului sau a comportamentului unei persoane.”

Cu privire la elementul „scop” facem precizarea că datele privind temperatura unei persoane sunt utilizate în scopul permiterii accesului într-o incintă, prin urmare, datele se referă la o persoană fizică mergând pe raționamentul propus de CEPD.

3. Al treilea element: „identificată sau identificabilă”



Potrivit CEPD[6]„În termeni generali, o persoană fizică poate fi considerată ca fiind „identificată” atunci când, în cadrul unui grup de persoane, acesta/aceasta „se distinge” de ceilalţi membri ai grupului. (…) În consecinţă, persoana fizică este „identificabilă” atunci când, cu toate că persoana nu a fost încă identificată, este posibil să se realizeze acest lucru (acesta este înţelesul sufixului „-bil”).

(…)

Identificarea se realizează, în mod obişnuit, cu ajutorul informaţiilor denumite „identificatori” şi care prezintă o legătură extrem de privilegiată şi strânsă cu o anumită persoană. Exemplele se pot referi la semnele exterioare ale înfăţişării persoanei precum înălţimea, culoarea părului, îmbrăcămintea etc. sau o calitate a persoanei care nu poate fi percepută imediat, precum, profesia, funcţia sau numele etc. (…)”

Exemplul 1: Organizația ABC utilizează termometre digitale non-contact în vederea realizării triajului epidemiologic. Organizația ABC SRL are amplasate sisteme CCTV pentru a monitoriza video incinta locației. Sistemele CCTV au rază directă către zona unde se ia temperatura angajaților, având vizibilitate directă către fața angajatului care urmează să fie termoscanat și către ecranul dispozitivului. La data de 25 mai 2020, ora 14.14, angajatului Y i se ia temperatura, iar rezultatul este 37.4. La aceeași dată și oră (25 mai 2020, ora 14.14), responsabilul cu supravegherea sistemului CCTV vede pe înregistrările CCTV fața angajatului și rezultatul temperaturii. Deoarece sunt colegi de muncă, responsabilul cu supravegherea sistemului CCTV cunoaște numele persoanei, prin urmare identificarea a fost realizată. Îl identifică drept Ion Ionescu. Mai departe există riscul ca responsabilul supravegherea sistemului CCTV să transmită altor colegi faptul că angajatului termoscanat (Ion Ionescu) nu i s-a permis accesul în locație deoarece a avut o temperatură de 37.4.

Exemplul 2: Organizația ABC utilizează camere termografice cu soft integrat în vederea realizării triajului epidemiologic. Aceste camere pot vedea și fața persoanei. Aceste camere sunt monitorizate de un responsabil uman pentru realizarea triajului epidemiologic. Deoarece are acces la imaginile faciale și la rezultatul temperaturii și cunoaște persoanele deoarece sunt colegi de muncă, responsabilul cu supravegherea camerelor poate identifica, în orice moment, persoanele termoscanate și poate spune ce temperatură au avut. Risurile sunt cu atât mai mari cu cât perioada de stocare este mai lungă sau mai multe persoane au acces la înregistrări.

Exemplul 3: Organizația ABC SRL a decis să oblige angajații să poarte dispozitive „wearable” (brățări) pentru a cunoaște în timp real temperatura oricărui angajat în orice moment al prezenței sale la locul de muncă în vederea realizării triajului epidemiologic. Pentru a ști cui aparține temperatura și cui nu i se va permite accesul în incintă, compania ABC SRL a introdus un element de identificare. Să spunem că a introdus numele persoanei. Prin urmare, în această ipoteză, organizația ABC cunoaște în orice moment ce temperatură are fiecare angajat și identificarea este realizată automat de softul dispozitivelor.

4. Al patrulea element: persoană fizică

Protecţia conferită de dispoziţiile Regulamentului se aplică persoanelor fizice, adică fiinţelor umane. Având în vedere că vorbim de temperatura unor persoane fizice în viață, nu mai este nevoie de argumente suplimentare.

În concluzie, temperatura corpului în contextul termoscanării poate fi o dată cu caracter personal în temeiul RGPD în funcție de contextul termoscanării și tehnologia utilizată.

 

(III) Este termoscanarea un proces decizional automatizat în sensul Legii nr. 190/2018?

Art. 3 alin. (1) din Legea nr. 190/2018 prevede că Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proces decizional automatizat sau pentru crearea de profiluri, este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

Temperatura corpului se încadrează în categoria datelor privind sănătatea.

Potrivit art. 22 din RGPD pentru a fi în situația unui proces decizional trebuie îndeplinite în mod cumulativ două condiții:
(1) Decizia este bazată exclusiv pe prelucrare automată și
(2) Decizia produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Indiferent de tehnologia folosită pentru termoscanare (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”), suntem în prezența unui proces decizional automatizat deoarece sunt îndeplinite cumulativ ambele condiții de mai sus așa cum vom arăta în cele ce urmează.

Cu privire la îndeplinirea primei condiție, facem precizarea că nu există nicio implicare umană în luarea deciziei dacă să se permită sau nu accesul unei persoane. Decizia este luată în acest caz de o mașină care afișează temperatura. Nu există nicio intervenție umană care să aibă vreo influență asupra rezultatului termoscanării. Dacă temperatura este peste 37.3, persoanei nu i se va permite accesul și nu se ține cont de alți factori.

Cu privire îndeplinirea celei de-a doua condiție, facem precizarea că decizia poate produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă (discriminare, îngrădirea dreptului la muncă, stigmatizare etc.)

Având în vedere cele expuse mai sus, tragem concluzia că termoscanarea este un proces decizional automatizat în sensul art. 3 alin. (1) din Legea nr. 190/2018 coroborat cu art. 22 din RGPD și că ea poate fi realizată doar dacă nu se înregistrează deloc date cu caracter personal sau dacă s-a obținut consimțământul explicit al tuturor persoanelor.

KIT GDPR Premium

 

(IV) Încalcă termoscanarea RGPD?

Având în vedere că, așa cum am arătat la punctul anterior, termoscanarea este un proces decizional automatizat bazat pe prelucrarea datelor privind starea de sănătate (temperatura) interzis în mod expres de către Legea nr. 190/2018 în absența consimțământului explicit sau în absența unei legislații interne, considerăm că termoscanarea care înregistrează date este nelegală.

În prezent nu există nicio dispoziție legală care să permită termoscanarea cu înregistrarea datelor personale. Ordinul MS-MAI permite doar termoscanarea fără înregistrarea datelor.

În consecință operatorii care folosesc termoscanarea prin tehnologii care înregistrează date (termometru digital non-contact care stochează date, camere termografice cu soft integrat sau dispozitive de tip „wearable”) vor încălca principiul legalității prevăzut de RGPD (art. 5 alin. (1) lit. a)) și riscă amenzi care pot ajunge până la 4% din cifra de afaceri sau 20.000.000 euro.

(V) Este consimțământul din Ordinul nr. 3577/2020 valabil?

Potrivit art. 2 din Ordinul nr. 3577/302020, pe durata stării de alertă, pentru prevenirea răspândirii COVID-19, toți angajații din sectorul public sau privat acceptă verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu.

A se observa faptul că Ministerul Muncii și Protecției Sociale a instuit o formă de consimțământ viciat care intră în contradicție cu prevederile RGPD. Potrivit RGPD, consimțământul este „o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.[7]

(VI) Ce au de făcut organizațiile care introduc termoscanarea pentru a respecta RGPD?

Chiar dacă efectuarea triajului epidemiologic este o obligație legală potrivit legislației naționale, RGPD continuă să se aplice, iar companiile trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate a nu înregistra date personale atunci când măsoară temperatura, de exemplu să aleagă tehnologia care nu înregistrează date.

V. Tipuri de tehnologii

Ordinul MS MAI nu face diferențierea între tipurile de tehnologii disponibile și care pot fi utilizate în mod securizat astfel încât să nu se înregistreze date, de aceea considerăm că este necesară analizarea tipurilor de tehnologii disponibile pe piață pentru a descoperi gradul fiecăruia de intruziune în viața privată. Potrivit ICO, în situația termoscanării trebuie achiziționată tehnologia cu cea mai mică intruziune în viața privată.[8]Potrivit Autorității de Supraveghere din Cipru, organizațiile, înainte de a introduce termoscanarea, ar trebui să fie conștiente de capacitățile tehnice pe care le au termoscanarele și ce date cu caracter personal colectează.[9]

A. Temometre digitale non-contact

Acesta tehnologie prezintă riscuri mici pentru viața privată, cu toate acestea există posibilitatea de a se înregistra date, ca de exemplu în situația în termometrul digital non-contact are opțiunea de a memora ultimele măsurători sau de exemplu în situația în care un operator are instalate sisteme CCTV care înregistrează fața unei persoane și valoarea temperaturii pe ecranul termometrului.

Exemplu: Angajatului X i se ia temperatura printr-un termometru digital non-contact la accesul în incinta Organizației ABC care are amplasate sisteme CCTV care sunt surprind atât angajatul, cât și temperatura care apare pe termometrul digital. În aceste cazuri, se pot înregistra date deoarece sistemele CCTV pot înregistra date biometrice (imagini faciale) și rezultatul temperaturii.

Dacă se vor înregistra date personale, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.

B. Camere termografice cu soft integrat

Aceste tehnologii pot prezenta avantaje pentru anumite organizații deoarece nu mai este nevoie de intervenția unui operator uman. Aceste tehnologii înregistrează date cu caracter personal, prin urmare suntem de părere operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.

Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.





C. Dispozitive de tip „wearable” (brățări, ceasuri etc)

Aceste tehnologii înregistrează date cu caracter personal și prelucrează datele în mod continuu atâta timp cât dispozitivul este utilizat de către persoana vizată, prin urmare considerăm că operatorii nu își pot întemeia prelucrarea pe Ordinul MS MAI și trebuie să găsească un temei legal potrivit RGPD.

Riscurile asociate acestor tehnologii sunt ridicate pentru că implică o prelucrare continuă și există riscul încălcării principiului limitării stocării (art. 5 alin. (1) lit. e) RGPD) și principiului reducerii la minimum a datelor (art. 5 alin. (1) lit. c) RGPD), precum și riscul încălcării celorlalte principii RGPD.

Dacă se utilizează astfel de dispozitive, ne vom afla în situația unui proces decizional automat interzis de Legea nr. 190/2018 în absența consimțământului explicit, prin urmare consider că acest tip de tehnologii nu pot fi utilizate legal în România fără a avea acordul persoanelor.

VI. Este termoscanarea o procedură medicală?

Vom analiza în continuare noțiunea de „procedură medicală” pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală care poate fi realizată doar cu acordul informat al pacientului.

Definiție

Noțiunea de „procedură medicală” este consacrată de legislația română prin Legea drepturilor pacientului nr. 46/2003 sub noțiunea de „intervenție medicală”, noțiune pe care o vom analiza în cele ce urmează pentru a descoperi dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală.

Noțiunea de „procedură medicală” nu există în legislația română, însă, deși nu are relevență din punct de vedere juridic, vom trece în revistă definiția oferită de Wikipedia „o activitate medicală desfășurată asupra unei persoane cu scopul de a îmbunătăți sănătatea, trata o boală sau cu scopul de a pune un diagnostic”.[10]

Potrivit Legii nr. 46/2003 prin intervenție medicală se înțelege „orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare.”

Definiția de mai sus cuprinde patru elemente esențiale care vor fi analizate în mod separat în acest articol pentru a descoperi dacă dacă termoscanarea realizată de către organizații pentru combaterea pandemiei COVID-19 este o intervenție medicală. Aceste elemente sunt următoarele:
1. „orice examinare, tratament sau alt act medical”;
2, „în scop de diagnostic preventiv”;
3. „în scop terapeutic”;
4. „în scop de reabilitare”.

Aceste patru elemente sunt strâns legate și pentru a descoperi dacă termoscanarea în acest context este o procedură medicală, aceste elemente trebuie analizate atât împreună, cât și separat.

– Primul element: orice examinare, tratament sau alt act medical”

Analiza gramaticală a textului de mai sus (existența conjuncției simple „sau” înainte de sintagma „alt act medical”) conduce către concluzia că, pentru a se încadra în noțiunea de intervenție medicală, examinările sau tratamentele trebuie să fie medicale, adică realizată de o persoană autorizată să practice medicina în România.

A interpreta în sens invers înseamnă a spune că orice intervenție, fie că este realizată de un medic sau nu, este un act medical.

Având în vedere cele expuse mai sus, consider că termoscanarea nu este o intervenție medicală deoarece nu este realizată în actualul context de către un medic, ci de personalul însărcinat cu această atribuție de către organizații. Tototdată, termoscanarea nu este realizată întotdeauna de către un operator uman, ci uneori este realizată de către anumite tehnologii cunoscute drept „termoscannere”.

– Al doilea element: „în scop de diagnostic preventiv”

Scopul termoscanării de către organizații în acest context nu este reprezentat de stabilirea unui diagnostic, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru punerea unui diagnostic, organizațiile neavând această competență și/sau atribuție.

– Al treilea element: „în scop terapeutic”

Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de terapie, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea. Fiecare persoană fizică va decide dacă va merge la un medic pentru servicii de terapie, organizațiile neavând această competență și/sau atribuție.

– Al treilea element: „în scop de reabilitare”

Scopul termoscanării de către organizații în acest context nu este reprezentat de furnizarea de servicii de reabilitarea, ci de măsurarea temperaturii pentru a preîntâmpina contaminarea și expansiunea pandemiei COVID-19.

Concluzia

După analiza detaliată a definiției intervenției medicale („orice examinare, tratament sau alt act medical în scop de diagnostic preventiv, terapeutic ori de reabilitare), rezultă în mod clar faptul că luarea temperaturii persoanelor, inclusiv prin termoscannere (termoscanare) în contextul triajului epidemiologic pentru prevenirea contaminărilor și evoluația pandemiei COVID-19, nu este o intervenție medicală. Mai mult decât atât, persoanelor cărora li se ia temperatura nu au calitatea de pacienți în înțelesul legislației române. Așadar, consimțământul informat al pacientului nu este necesar.

Însă, această procedură presupune riscuri majore pentru drepturile omului, riscuri pe care le vom analiza în cele ce urmează și vom propune câteva măsuri pentru a reduce la minimum aceste riscuri.

VII. Riscurile termoscanării

Având în vedere că această procedură poate da erori, precum și faptul că uneori modalitățile de triaj epidemiologic pot fi degradante pentru o ființă umană, enumerăm în cele de urmează o parte din riscurile asociate utilizării termoscanării. Aceste riscuri sunt cu atât mai mari cu cât Hotărârea nr. 24/2020 prevede doar obligativitatea acestei măsuri, însă nu instituie și garanții pentru drepturile omului.

(i) Riscul unor ingerințe în viața privată

În funcție de metodele utilizate, pot exista riscuri la adresa vieții private, iar amestecul oricărei organizații în viața privată a omului ar trebui redus la minimum. În principiu, organizațiile ar trebui să se abțină să prelucreze alte elemente ce țin de sfera privată a individului, cum ar fi alte probleme de sănătate, date privind membrii de familie, precum și orice alte date care nu au drept scop prevenirea răspândirii pandemiei.

(ii) Riscuri la adresa confidențialității datelor cu caracter personal

În funcție de metodele utilizate, mai ales în situațiile în care (i) nu se asigură securitatea datelor colectate, (ii) datele sunt stocate pe o perioadă mai mare decât este necesar pentru triajul epidemiologic, (iii) datele sunt dezvăluite către destinari neautorizați, (iv) sunt colectate mai multe date decât este necesar, (iv) nu se iau măsuri pentru anonimizare, iar identitatea persoanelor este dezvăluită, riscurile la adresa protecției datelor cu caracter personal sunt majore. Reamintim totodată faptul că temperatura corpului face parte, potrivit art. 9 din RGPD, din categoria datelor speciale, iar prelucrarea lor neconformă poate conduce către excludere socială, stigmatizare, discriminare.

(iii) Riscuri la adresa demnității umane

În situația în care se colectează temperatura prin metode degradante (exemplu: pistolul îndreptat asupra frunții) sau prin metode lipsite de discreție (exemplu: evacuarea însoțită de violență verbal din incintă), demnitatea omului este în pericol. Organizațiile ar trebui să își reamintească faptul că orice persoană, indiferent că este sănătoasă sau infectată, are dreptul la demnitate, drept inerent oricărei ființe umane.

(iv) Riscuri psihologice

În situația în care se utilizează metode degradante sau lipsite de discreție, respect sau umanitate, persoanele pot suferi traume psihologice. Metodele utilizate ar trebui adaptate fiecărei categorii de vârstă. Un pistol îndreptat la frunte care scanează temperatura corpului va avea un efect mult mai accentuat față de un copil decât față de un adult, iar prelucrarea neconformă a datelor și dezvăluirea identității poate contribui către fenomene precum etichetare, stigmatizare, bullying sau cyberbullying în școli și licee.

(v) Riscuri cu privire la exactitate

Întrucât măsurarea temperaturii poate da uneori erori (alte probleme de sănătate, temperatura ridicată din mediul exterior etc), există riscul ca persoanelor să nu li se permită accesul în locații în mod eronat.

(vi) Riscuri de infectare



În mod paradoxal, termoscanarea poate crește cazurile de infectare, mai ales când este urmată de măsura izolării persoanelor conform unor proceduri incorecte, de exemplu în situația în care o persoană care are temperatura ridicată, dar nu suferă de COVID-19 este izolată cu alte persoane care suferă de COVID-19.

VIII. Măsuri pentru a respecta legislația

În vederea reducerii la minimum a riscurilor față de drepturile și interesele omului, organizațiile trebuie să implementeze măsuri tehnice și organizatorice specifice pentru a nu se aduce prejudicii nejustificate drepturilor omului. Persoanele fizice păstrează, în toate cazurile, dreptul de a se adresa justiției pentru daune morale și/sau dreptul de a depune plângeri la ANSPDCP.

De asemenea, organizațiile trebuie să aleagă doar tehnologiile care nu prelucrează (stochează, înregistrează) date personale, deoarece, în caz contrar va deveni aplicabil art. 3 alin. (1) din Legea nr. 190/2018 (procesul decizional automatizat) și va trebui obținut consimțământul explicit al tuturor persoanelor vizate. În lipsa consimțământului explicit sau al unei legi interne care să permită înregistrarea datelor personale (care nu există în prezent în România), organizațiile nu vor avea un temei legal pentru prelucrare și pot fi sancționate pentru încălcarea principiului „legalității”.

Totodată, organizațiile trebuie să se asigure că, inclusiv în situația în care tehnologiile prelucrează (stochează, înregistrează) date personale, nu se vor înregistra manual date în diverse registre pe hârtie sau în format electronic, iar personalul este instruit corespunzător în acest sens. În această situație, în lipsa consimțământului explicit sau al unei legi interne care să permită înregistrarea datelor personale (care nu există în prezent în România), organizațiile nu vor avea un temei legal pentru prelucrare și pot fi sancționate pentru încălcarea principiului „legalității”.

KIT GDPR Premium

 

IX. Concluzii

1. Legislația națională care impune triajul epidemiologic prezintă lacune cu privire la instituirea unor garanții adecvate pentru drepturile omului;

2. Consimțământul angajatului cu privire la luarea temperaturii introdus de către Ordinul nr. 3677/2020 intră în conflict cu standardele consimțământului în temeiul RGPD și nu conține garanții pentru viața privată;

3. Deși termoscanarea nu este o procedură medicală, ea reprezintă riscuri pentru viața privată și pentru celelalte drepturi ale omului;

4. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi, în teorie, un instrument util pentru combaterea pandemiei COVID-19;

5. Având în vedere contextul și faptul că temperatura corpului face parte din categoria datelor sensibile, riscurile sunt majore, iar prelucrarea neconformă poate conduce către excludere socială, tratamente degradante, stigmatizare și discriminare;

6. Chiar dacă măsura este prevăzută de lege, RGPD continuă să se aplice, iar organizațiile publice și private trebuie să adopte măsuri tehnice și organizatorice specifice pentru protecția datelor cu caracter personal și să respecte celelalte obligații RGPD;

7. Potrivit Legii nr. 190/2018 (art. 3 alin. 1), dacă se vor înregistra date este necesar consimțământul explicit al angajaților sau o legislație internă care să permită înregistrarea datelor. Întrucât legislația nu există, singura variantă pe care o pot utiliza organizațiile care și înregistrează datele este consimțământul explicit. În lipsa acestui consimțământ, activitatea de prelucrare (procesul decizional automatizat) nu va avea un temei legal, iar organizațiile pot fi sancționate pentru încălcarea Legii nr. 190/2018.

8. Persoanele vizate păstrează dreptul de a se adresa justiției sau ANSPDCP pentru prelucrările neconforme;

9. Pentru nerespectarea RGPD, instituțiile publice riscă amenzi care pot ajunge până la 300.000 lei pentru fiecare abatere;

10. Pentru nerespectarea RGPD, operatorii privați riscă amenzi care pot ajunge până la 4% din cifra de afaceri.

 

Termoscanarea. Update 25 mai 2020. Două avocate din Baroul București au adresat 23 de întrebări către ANSPDCP cu privire la interpretarea termoscanării din prisma GDPR. Mai multe pot fi aflate aici

Potrivit petitiției, „(…) Măsurarea temperaturii prin tehnologii evoluate și invazive poate prezenta riscuri pentru viața privată și pentru celelalte drepturi ale omului. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi un instrument util pentru combaterea pandemiei COVID-19, iar organizațiile trebuie să găsească un echilibru între această activitate de prelucrare și drepturile persoanelor fizice. În contextul în care o parte din specialiștii în drept afirmă că termoscanarea nu cade, în nicio situație, sub incidența RGPD, există riscul ca organizațiile să nu se conformeze prevederilor RGPD ce poate avea ca urmări atât riscuri mari la adresa drepturilor și libertăților persoanelor vizate, cât și scăderea încrederii persoanelor ceea ce poate avea drept consecință frânarea procesului de combatere a pandemie. RGPD, pentru majoritatea organizațiilor, este o lege complexă și dificilă de aplicat, iar ANSPDCP este autoritatea care poate aduce o doză ridicată de conștientizare pentru a realiza atât combaterea pandemiei prin creșterea încrederii publicului, cât și evitarea prejudiciilor asupra persoanelor vizate prin alinierea organizațiilor la prevederile RGPD.”

 

Termoscanarea. Update 22 mai 2020:

Potrivit activenews.ro, ANSPDCP aduce clarificări:
  1. Dacă informațiile privind temperatura se înregistrează într-un sistem de evidență, GDPR se aplică și vorbim de date cu caracter personal. Comentariu autorului: vorbim de un sistem de evidență când se folosesc camere termale cu soft integrat sau dispozitive de monitorizare a temperaturii. De asemenea, chiar în situația unui temometru digital, putem vorbi de un sistem de evidență dacă este o cameră CCTV înreptată către persoana căreia i se ia temperatura și surprinde și stochează rezultatul scanării.
  2. Informarea persoanelor este necesară.
  3. Operatorii (organizațiile) pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Prin urmare, GDPR se aplică în continuare inclusiv în stare de alertă.

 

Dacă ai întrebări, le poți adresa la adresa ruxandra.sava@legalup.

 

[1] A se vedea în acest sens art. (4) pct. 2 din RGPD: „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.
[2] A se vedea în acest sens art. (4) pct. 1 din RGPD: „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
[3] A se vedea în acest sens art. (9) din RGPD.
[4] A se vedea aici, link accesat 24.05.2020.
[5] A se vedea aici, link accesat 24.05.2020.
[6] A se vedea aici, link accesat 24.05.2020.
[7] A se vedea art. 4 pct. 11 din RGPD.
[8] „You should also think about whether you can achieve the same results through other, less privacy intrusive, means.”,a se vedea aici, link accesat 24.05.2020.
[9] A se vedea aici, link accesat 24.05.2020.
[10] Sursa aici, link accesat 17.05.2020.

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



girl-playing-tablet-game-evening_23-2147833833.jpg




Protecția datelor cu caracter personal ale copiilor este un subiect important, iar părinții, educatorii și profesorii ar trebui să îi instruiască cu privire la siguranța lor pe internet. Procesul de instruire ar trebui să fie continuu. Rezumăm mai jos câteva informații și reguli elementare care ar trebui cunoscute de toți copiii care utilizează internetul.

Siguranța online a copiilor. Ce ar trebuie să știe copiii despre datele cu caracter personal? 

Datele personale sunt informații precum numele și prenumele, numărul de telefon, adresa de acasă, fotografie, interese și multe alte informații cu privire la o persoană.

Datele sensibile includ, de exemplu, religia, opiniile politice, informațiile despre sănătate și rasa.

Siguranța online a copiilor. Reguli și lucruri de ținut minte pentru copii: 

1. Nu dau datele mele personale sau datele familiei mele decât dacă părinții sau tutorii mei își dau acordul.

2. La școală cer să fiu informat despre colectarea datelor mele.

3. Școala trebuie să aibă grijă de securitatea datelor mele.

4. Nu încărc nimic online fără permisiunea părinților mei.

5. Cunosc faptul că orice urc pe internet rămâne acolo.

6. Nu apăs butonul de trimitere, notificare sau postare decât dacă am permisiunea părinților mei.

7. Comentez și încărc postări care nu dezvăluie date personale ale mele, ale familiei sau ale prietenilor mei.

8. Am citit cu atenție politica aplicațiilor / termenilor de utilizare a datelor înainte să accept.

9. Cer să fiu informat într-un limbaj pe înțelesul meu despre utilizarea datelor.

10. Nu răspund străinilor pe internet și nu comunic cu aceștia.

11. Mă gândesc de două ori înainte să trimit cuiva o fotografie cu mine.

12. Mă gândesc de trei ori înainte să urc pe internet o fotografie cu mine.

13. Aleg parole puternice care includ cel puțin 9 cifre constând din litere mari și minuscule, numere și simboluri, de exemplu Wfhg56818934Ns&*%!?

14. Nu spun parola nimănui.

15. Schimb parola des.

16. Nu folosesc calculatoare partajate.

17. Verific dacă dispozitivul are antivirus înainte să îl folosesc.

 

Vrei să afli mai multe despre cum îți poți proteja copilul în mediul online? Înscrie-te la cursul nostru online aici. 

 

Sursa: Autoritatea de supraveghere din Cipru

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



covid-19app.jpg




Aplicațiile COVID-19, brățările electronice sau ambele? Cât de periculoase sunt aceste tehnologii?
 
M-am apucat să studiez ca să vă răspund la curiozități. Frumos, documentat, din surse de încredere și cu ajutorul colegei Maria Enescu, care studiază Data Law la Bruxelles.
 
Probabil lucrarea noastră va fi publicată la jumătatea săptămânii următoare, însă, până atunci las câteva informații pentru a înțelege contextul.
 
Numeroase aplicații COVID-19 au fost deja dezvoltate și propuse spre utilizare cu suportul guvernelor în anumite teritorii și jurisdicții.
 
În Asia, se colectează un volum mare de date sensibile, iar viața privată este în pericol. În Europa, se pare că legislația este suficient de puternică (GDPR și e-Privacy) și se va merge pe prelucrarea unor date minime și anonimizate pentru a se diminua riscurile. Dar riscurile continuă să existe. Din punctul nostru de vedere, prelucrarea datelor, chiar dacă sunt anonimizate, prezintă în continuare riscuri, deoarece așa cum a subliniat EDPB , nicio tehnică de anonimizare nu este complet sigură, procesul putând fi inversat, iar persoana fizică poate fi identificată.
 
 
📲În Europa, Comitetul European pentru Protecția Datelor (EDPB) și Comisia Europeană au tras semnale de alarmă cu privire la riscurile asociate utilizării acestor aplicații și au lansat două ghiduri orientative care ar trebui urmate în procesul de dezvoltare al aplicațiilor.
 
📲În România nu există niciun punct de vedere oficial cu privire la lansarea unor astfel de aplicații, însă în luna aprilie în România, Orange, Telekom și Vodafone și alți operatori de telefonie mobile au acceptat să furnizeze informații legate de localizarea utilizatorilor către autorități.
 
📲În SUA, Apple și Google au anunțat la mijlocul lui mai faptul că vor îmbunătăți procesele de colectare ale datelor de localizare prin Bluetooth astfel încât să protejeze viața privată. Procesul dezvoltat de Apple și Google nu ar utiliza date de localizare și alte date cu caracter personal. Dacă telefoanele sunt apropiate unele de altele, telefoanele ar interacționa prin identificatori anonimi Bluetooth, iar procesul ar dura doar 15 minute astfel încât nu ar exista o urmărire ulterioară.
În timp ce o parte dintre specialiștii în domeniul privacy sunt sceptici cu privire la utilizarea datelor de către Apple și Google, aceștia din urmă spun că tehnologia va fi dezactivată atunci când nu este necesară.
 
📲Italia, a doua cea mai afectată țară de pandemia COVID-19, plănuiește să lanseze o aplicație de urmărire și localizare în parteneriat cu un start-up din Milano, Bending Spoons.
Comentariu personal: În măsura în care se vor realiza transferuri de date între guvern și acest start-up, riscurile la adresa confidențialității datelor sunt mari.
 
📲Franța introduce la 11 mai spre testare aplicația StopCOVID, care va colecta date bluetooth, iar nu date de localizare.
 
📲Coreea de Sud are deja două aplicații: Corona 100m și Corona Map. Corona 100m este o aplicație care avertizează utilizatorii dacă urmează să se apropie de o persoană infectată pe o rază de 100m. Aplicația a avut peste un milion de descărcări și utilizează o serie de date, printre care: locație, vârstă, sex, naționalitate, istoric medical. Cea de-a doua aplicație, Corona Map arată o hartă a persoanelor infectate, astfel încât utilizatorii să evite acele locații.
 
📲În Singapore există o aplicație voluntară de urmărire a contactelor, TraceTogether. Când utilizatorul utilizează aplicația, se colectează numărul de telefon și un ID anonim. Potrivit surselor, nu ar fi colectate date privind locația, ci doar semnale Bluetooth între telefoanele apropiate pe baza unor identificatori criptați anonimi. Cum nicio tehnică de criptare sau de anonimizare nu este complet sigură, accesul guvernului din Singapore la cheia de decriptare poate prezenta riscuri la adresa vieții private.
 
📲În India, a fost lansată o aplicație care a fost instalată de peste 50 de milioane de utilizatori în 13 zile. Aplicația prelucrează semnale bluetooth, date de geo-localizare, numele, date nașterii și informații sensibile biometrice. Absența unei legislații în protecția datelor în India înseamnă riscuri mari pentru viața privată și mulți utilizatori din India sunt îngrijorați de acest aspect.
 
📲În Israel există aplicația HaMagen care compară datele de localizare ale utilizatorilor cu bazele de date ale Ministerului Sănătății. Aplicația este voluntară, dar există riscuri asociate cu hacking-ul bazei de date și dezvăluirea neautorizată a datelor de localizare.
 
📲În Hong Kong, cei plasați în carantină sunt obligați să descarce și să utilizeze aplicația StayHomeSafe și să poarte brățara de localizare conectată la aplicație. În timp ce alte aplicații se focusează spre a limita interacțiunile, această aplicație se focusează spre limitarea mișcării.
Va urma 🙂
O parte din aplicații funcționează conform imaginii de mai jos:
 


building-1839464_1280-1200x800.jpg




Amplasarea de camere de supraveghere la bloc (de către Asociațiile de proprietari) sau acasă de către persoanele fizice trebuie să respecte GDPR. Pentru montarea nelegală, persoanele fizice și Asociațiile de proprietari pot fi amendate de Autoritatea de supraveghere din România (ANSPDCP).

În Austria, o persoană fizică a fost amendată în 2018 cu 2000 de euro pentru amplasarea nelegală de camere de supraveghere acasă. Potrivit răspunsului oficial al ANSPDCP și în România persoanele fizice pot fi amendate pentru nerespectarea GDPR. 

În România în cursul anului 2019, o Asociație de proprietari a fost amendată pentru amplasarea nelegală de camere de supraveghere la bloc.

Potrivit informațiilor oferite de Autoritatea de supraveghere din Austria, persoana fizică a fost amendată deoarece a amplasat camere de supraveghere acasă care supravegheau domenii din afara proprietății: aleea centrului rezidențial, străzi, clădiri și grădini din apropiere. Amenda a fost dată deoarece zona monitorizată nu se afla în proprietatea și în controlul persoanei fizice și era frecventată de către alte persoane.

Dacă dorești să amplasezi camere de supraveghere la bloc sau acasă, trebuie să cunoști faptul că GDPR îți interzice să monitorizezi mai mult decât este necesar. Prin urmare, dacă locuiești la casă, poți supraveghea curtea și gardul, însă nu poți supraveghea și aleea frecventată de alte persoane sau curtea vecinului. Dacă locuiești la bloc, nu poți monta camere de supraveghere care să surprindă vizitatorii atunci când sună la interfon sau camere care să surprindă holurile și alte locuri comune din bloc și nici camere de supraveghere care să surprindă priveliștea de pe balcon. Cu Asociațiile de proprietari, lucrurile stau puțin diferit și vom discuta despre modalitatea în care acestea pot monta camere de supraveghere la bloc în cele ce urmează.

Având în vedere că GDPR nu face diferențe între proprietari, chiriași sau vizitatori ai unui bloc, Asociațiile de proprietari nu pot monta camere de supraveghere la bloc chiar dacă au acordul tuturor proprietarilor. În acest sens, dacă se dorește unor astfel de camere de supraveghere la bloc, se poate folosi temeiul juridic al interesului legitim doar dacă s-a realizat o analiză juridică documentată a tuturor aspectelor. Analiza trebuie să fie reală, concretă, iar părerea proprietarilor și a chiriașilor ar trebui cerută.

Atunci când faci o astfel de analiză trebuie să ai în vedere următoarele:



1. Analiza trebuie documentată în scris și păstrată pentru un eventual control de la Autoritatea de Supraveghere.

2. Locația echipamentului. Locația echipamentului trebuie determinată cu atenție pentru a asigura conformitatea imaginilor capturate cu GDPR (a nu se supraveghea mai mult decât este necesar). Trebuie depuse toate diligențele pentru a poziționa camerele astfel încât acestea să asigure o acoperire limitată. Sistemul CCTV nu va fi utilizat în lifturi sau în alte locuri unde persoanele au o așteptare ridicată cu privire la confidențialitate. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private a trecătorilor sau a oricărei alte persoane.

3. Informarea. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune. Semnalizarea corespunzătoare va fi de asemenea afișată în mod proeminent la intrare. Semnalizarea va include numele și detaiile de contact ale operatorului de date (Asociația de proprietari), precum și scopurile specifice pentru care camera CCTV este plasată în fiecare locație și indicații unde se pot obține informații mai multe (de exemplu: link și/sau cod QR către nota de informare de pe site).

KIT GDPR Premium

 

4. Depozitarea și stocarea

  • Înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se va ține o evidență a accesului la înregistrări. Accesul la sistemul CCTV și la imaginile stocate va fi permis doar personalului autorizat. La momentul accesării imaginilor, doi membri ai personalului autorizat trebuie să fie prezenți. Se va întocmi un raport scris al accesului. Aceste rapoarte vor fi păstrate.
  • Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații (numele acelei persoane și întreprinderea pe care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații.
  • Datele vor fi furnizate ca răspuns al unor cereri autorizate într-un format permament, atunci când acest lucru este posibil. Dacă acest lucru nu este posibil, persoanei vizate i se va oferi posibilitatea să vizualizeze înregistrarea.
  • În circumstanțe relevante, înregistrările CCTV vor putea fi accesate de către organele de poliție sau vor putea fi furnizate instanțelor de judecată sau altor autorități publice atunci când legea impune.

5. Cererile persoanelor vizate 

  • Persoanelor fizice li se acordă dreptul de accesa înregistrările CCTV cu privire la ele însele, potrivit GDPR.
  • Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații pentru a se putea asigura identificarea întregistrării cu privire la acestea. De exemplu, data, ora și locația.
  • Asociația de proprietari va răspunde acestor cereri într-un termen de o lună de la primirea cererii.
  • Asociația de proprietari își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când acest lucru ar duce atingere drepturilor prevăzute de lege ale unor persoanelor fizice sau ar putea prejudicia o investigație în curs de desfășurare.
  • Se va ține o evidență a datei când divulgarea a avut loc, împreună cu detaliile persoanei către care aceste informații au fost furnizate (numele persoanei și întreprinderea pe care o reprezintă), precum și cu motivele acestei cereri.
  • În activitatea de furnizare către o persoană a unei copii a datelor sale, se vor pune la dispoziție o fotografie/o serie de fotografii, o casetă sau un disc magnetic cu imaginile relevante. Totuși, imaginile altor persoane vor fi ascunse înainte ca aceste date să îi fie înmânate.
  • Atunci când înregistrarea conține imagini referitoare la terți, se vor lua măsurile necesare pentru a masca și a proteja identitatea acelor indivizi.

6. Durata minimă. Înregistrările vor fi stocate pe o durată minimă, dar nu mai mult de 30 de zile

Dacă ai nevoie de consultanță juridică și întocmirea documentației pentru montarea camerelor de supraveghere la bloc îmi poți scrie la adresa ruxandra.sava@legalup.ro.

Ce pot face dacă au fost montate camere de supraveghere la bloc nelegal?

Dacă s-au montat camere de supraveghere în mod nelegal și există riscul ca imaginile captate să fie dezvăluite către destinații neautorizate, ar trebui să comunici îngrijorările tale Asociației și să o îndrumi spre conformarea supravegherii CCTV cu GDPR astfel încât dreptul la viață privată să fie respectat. În situația în care nu se iau măsuri pentru a limita accesul la înregistrări, în situațiile în care imaginile captate sunt dezvăluite fără acordul tău sau fără a exista unui temei legal sau în alte situații (camere de supraveghere în lift, absența informării, nerepectarea drepturilor GDPR), te poți adresa cu o plângere la ANSPDCP sau îmi poți scrie la adresa ruxandra.sava@legalup.ro pentru a te ajuta cu mai multe informații.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



illustration-concept-with-public-approval_52683-30930.jpg




Cerințele legale cu privire la informațiile care trebuie prezentate în mod obligatoriu consumatorului sunt complexe și greu de înțeles pentru consumator. Mai mult decât atât, comercianții deseori stipulează Termeni și Condiții care sunt deoseori greu de înțeles pentru consumatori. Cu cât consumatorii sunt mai bine informați despre drepturile lor, cu atât au mai multă încredere să cumpere bunuri sau servicii online. Cu cât informația este mai vizibilă și mai clară, cu atât vor exista mai puține neînțelegeri, reclamații și litigii.

Acest articol își propune să ofere câteva soluții pentru companii astfel încât să prezinte informația obligatorie din punct de vedere legal către consumatori într-un limbaj pe care aceștia îl pot înțelege. Acest articol se orientează mai mult pe „cum să transmiți informația” și nu pe „ce trebuie să transmiți”, însă vom aborda și al doilea subiect într-un material distinct. Acest articol este structurat pe recomandările Comisiei Europene. Informațiile prezentate în acest articol ar trebui privite ca puncte de pornire și pot fi adaptate la identitatea fiecărei companii și la profilul clientului (nivelul de înțelegere, nevoile și aștepările acestuia). Partea finală a cursului cu „Experiența Consumatorului” include sugestii vizuale despre cum informația ar putea fi prezentată.

Notă: Legislația impune o serie de cerințe platformelor digitale cu privire la protecția datelor cu caracter personal, majoritatea izvorând din GDPR. Acest articol este dedicat doar informațiilor care sunt obligatorii a fi furnizate în conformitate cu legislația protecției consumatorului. Cu privire la problematica GDPR, subiectul va fi tratat într-un material distinct.

1. Informații obligatorii pentru consumator

  1. Furnizează toate informațiile obligatorii consumatorului. Aceste informații obligatorii sunt enumerate în ultima parte a articolului.
  2. Furnizează orice alte informații necesare care pot influența abilitatea consumatorului de a lua o decizie informată dacă să realizeze sau nu o tranzacție.
  3. Furnizează informația relevantă pentru consumator în fiecare stadiu al procesului de cumpărare într-o manieră clară și ușor de înțeles. Ultima parte a articolului include un model pentru furnizarea informației consumatorului în diferitele stadii ale procesului de achiziție. Unele informații trebuie să fie permanente pe întreg procesul de cumpărare, iar altele sunt necesare doar în anumite etape ale procesului de cumpărare.
  4. Adaptează designul astfel încât informația să fie accesibilă și ușor de citit pe orice dispozitiv (desktop, mobil, tabletă).
  5. O abordare stratificată a prezentării informației este recomandată. Fiecare strat al informației trebuie să fie mai detaliat decât cel precedent, iar informația suplimentară ar trebui furnizată prin hyperlink-uri sau meniuri care pot fi accesate sau prin simboluri (i.e. icons) care atunci când sunt accesate, dezvăluite informația. Exemple de bune practici: Uber Legal Hub, LegalUp Centrul Juridic & GDPR.
  6. Atunci când targhetezi consumatori din alte state membre, verifică dacă ești obligat să prezinți informația în limba oficială a statutului respectiv. 
  7. Evidențiază clauzele importante din Termeni și Condiții (bold, italic, culori diferite, simboluri, animații, video-uri etc) pentru a atrage atenția consumatorului, de exemplu pentru a atrage atenția clauzele impun obligații sau limitează drepturi. 
  8. Folosește un limbaj simplu, fără jargon juridic. De exemplu, folosește fraze scurte. Definește termenii și crează o secțiune de FAQ.
  9. Fii creativ atunci când furnizezi informația. Poți folosi culori diferite, simboluri sau icons pentru a atrage atenția asupra clauzelor importante.

2. Termeni și Condiții

  1. Termenii și Condițiile trebuie prezentați consumatorului înainte de plată pentru a putea face o decizie informată. Accesul la acești Termeni ar trebui să fie vizibil și nu ascuns sub un hyperlink. 
  2. Atunci când scrii Termenii și Condițiile trebuie să te asiguri că: (a) informația este clară; și (b) un consumator cu o inteligență medie poate să înțeleagă consecințele care decurg din contract. 
  3. Ar trebui să dai posibilitatea utilizatorului să descarce și/sau printeze Termenii.
  4. Folosește subtitluri pentru fiecare secțiune a Termenilor și Condițiilor. 
  5. Dacă este posibil, alătură o secțiune de FAQ Termenilor pentru a răspunde consumatorului la cele mai importante întrebări.
  6. Poți alege prin Termeni și Condiții ca legislația aplicabilă să fie cea din țara din care faci parte, însă ar trebui să informezi cu privire la faptul că nu se vor pierde drepturile consumatorului din statul de care aparțin aceștia.
  7. Termenii și Condițiile trebuie să fie separați față de Politica de confidențialitate sau alte documente juridice de pe site. 

3. Modificarea Termenilor

  1. În general, când e vorba de un raport juridic cu un consumator, fără a avea un motiv întemeiat, nu poți modifica unilateral Termenii și Condițiile. Dacă Termenii și Condițiile tale conțin astfel de clauze, există riscul ca acestea să fie văzute drept clauze abuzive și să fie desființate în instanță. 
  2. Dacă ai un motiv întemeiat să modifici Termenii și Condițiile, informează consumatorii afectați. Informarea se poate realiza prin e-mail.
  3. Evidențiază ce anume s-a modificat, când s-a modificat și păstrează pe site o versiune a Termenilor anteriori. 
  4. Informează consumatorii cu privire la modificări și oferă-le dreptul de a accepta sau nu modificările. De exemplu, ai putea introduce un mecanism de genul: dacă în termen de X zile nu vă exprimați dezacordul față de modificări, se consideră că ați acceptat noile modificări și ele vor intra în vigoare la data Y.

 

Sursa Comisia Europeană

Slide-ul de mai sus arată categoriile de informații care trebuie să fie accesibile consumatorului pe parcursul procesului de plasare a comenzii. Ele pot fi în footer, în header sau în meniu și trebuie să fie permanente atunci când utilizatorul navighează pe alte pagini sau folosește funcția „scroll” pe o pagină. Aceste categorii trebuie să fie însoțite de hyperlinkuri către pagini care oferă informația relevantă pentru consumator.

1. Comerciantul. Oferă informații despre companie, datele de identificare, sediu, e-mail etc.

2. Contact. Furnizează adresa de e-mail și, opțional, numărul de telefon unde compania poate fi contactată. Potrivit deciziei CJUE, o platformă digitală nu este obligată să furnizeze numărul de telefon. 

3. Metode de plată. Explică consumatorului ce metode de plată sunt acceptate: numerar, card, Paypal, Stripe etc.

4. Unde se livrează. Explică consumatorului în ce țări se livrează sau în țările unde nu se livrează. Sau explică utilizatorului orașele în care nu livrezi.

5. Dreptul de retragere

  • informeză consumatorul cu privire la faptul că are dreptul să se retragă din contract fără vreun motiv anume, în termen de 14 zile din momentul în care a intrat în posesia bunului.
  • furnizează formularul de retragere din Anexa OUG 34/2014 și explică consumatorului faptul că acest formular nu este obligatoriu.
  • poți introduce un formular online de retragere, dar dacă vei întreba utilizatorul cu privire la motivul retragerii, răspunsul la întrebare trebuie să fie opțional, deoarece, potrivit OUG 34/2014, consumatorul nu este obligat să ofere un motiv pentru retragerea din contract.
  • Informează consumatorul cu privire la faptul că vei rambursa integral sumele achitate cât de curând posibil, dar nu mai târziu de 14 zile din momentul în care consumatorul te-a informat cu privire la decizia lui de a se retrage din contract;
  • Informează consumatorul cu privire la costurile suplimentare care pot rezulta din utilizarea altei metode de livrare;
  • Dacă oferi bunuri și servicii care sunt exceptate de la retragere, informează consumatorul cu privire la acest aspect.

Te-ar putea interesa și: Dreptul de retragere al consumatorului din contractele încheiate pe internet

6. Garanția legală 

Informează consumatorul pentru garanția legală de conformitate de minim 2 ani.

7. Garanția comercială

Dacă oferi garanție comercială, informează în acest sens consumatorul.

8. Plângeri și/sau sesizări

Oferă consumatorului informații despre unde se poate adresa cu o sesizare dacă este nemulțumit.

9. ADR (Alternative Dispute Resolution)

Introduce link-ul către platforma de soluționare alternativă a litigiilor, SOL.

10. Termeni și Condiții

Oferă link-ul către Termeni și Condiții.

11. Introduce link către site-ul ANPC

Acest articol nu acoperă aspectele ce țin de GDPR, ci doar aspectele legate de protecția consumatorului. Pentru GDPR, vom scrie un articol distinct. 

Sursa aici

 

Dacă ai întrebări, mă poți contacta la adresa ruxandra.sava@legalup.ro.

 

Va urma…

 

Te-ar putea interesa și:



people-wearing-medical-mask_23-2148491706.jpg





 

Pandemia Covid-19 a crescut cererea față de instrumentele de protecție în fața virusului și, în consecință, au apărut o serie de magazine online care vând măști de protecție. Deși necesitatea acestor produse este incontestabilă, la 20 martie 2020, autoritățile de protecție a consumatorilor din statele membre, cu sprijinul Comisiei Eueopene, au emis Poziția comună CPC COVID19 cu privire la cele mai raportate escrocherii și practicile neloiale. De asemenea, poziția lor comună se adresează și platformelor digitale care oferă instrumente de marketing pentru a elimina conținutul înșelător.

Consumatorii ar trebui să fie precauți în cazul în care comercianții, în campaniile lor de promovare a produselor:

  • Folosesc limbaj sau imagini care sugerează direct sau indirect faptul că produsul (măști de protecție, produse de igienizare etc) este capabil să prevină sau să vindece infectarea cu COVID-19;
  • Fac referințe la medici sau alți profesioniști medicali, experți sau fac referințe la orice alte surse neoficiale care afirmă că produsul capabil să prevină sau să vindece infectarea cu COVID-19;
  • Fac referințe la autorități publice, experți oficiali sau organizații internaționale care ar fi aprobat produsele fără a furniza hyperlink-uri sau referințe către documentele oficiale;
  • Folosesc tehnici înșelătoare de a determina consumatorul să cumpere, ca de exemplu: „disponibil doar azi”, „doar 3 rămase” etc;
  • Informează asupra condițiilor pieței utilizând termeni precum „cel mai mic preț de pe piață” sau „singurul produs care poate preveni infecția cu COVID-19” sau orice alte fraze similare;
  • Au prețuri cu mult peste prețul normal pentru un produs similar, justificând prețul ridicat prin referire la faptul că produsul (măști de protecție, produse de igienizare etc) poate preveni sau vindeca COVID-19.

Consumatorilor li se reamintește că guvernele naționale din UE oferă sfaturi oficiale bazate pe dovezi științifice despre cum se poate preveni infecția cu COVID-19. În cazul în care consumatorii găsesc pretenții neacceptate sau înșelătoare pe platformele online, ar trebui să utilizeze instrumentele de raportare furnizate de operatorul platformei pentru semnalizarea de conținut inadecvat.

Comercianții ar trebui să acționeze în mod responsabil: să se abțină și să interzică practicile menționate mai sus, luând în considerare toate instrucțiunile și sfaturile guvernului național în legătură cu măsurile de protecție COVID-19.

Sursa Comisia Europeană (aici)





Te-ar putea interesa și: