Listele de susținători și GDPR

/in /by

Listele de susținători – instrumente de colectare a datelor cu caracter personal de către partidele politice

Cu siguranță mulți dintre dvs. ați fost invitați să semnați pe listele de susținători folosite de partidele politice. Probabil ați observat că, pe lângă semnătură, este nevoie să furnizați mai multe date cu caracter personal cum ar fi: nume, prenume, cetățenia, data nașterii, adresa datele actului de identitate (denumire/serie/număr). Aceste date trebuie să fie prelucrate conform legii iar drepturile dvs. trebuie să fie protejate. Modelul listei susținătorilor poate fi consultat aici.

Prin semnarea listei de susținere vă exprimați o opinie politică, aceasta încadrându-se în categoria datelor cu caracter special.

Am observat că majoritatea celor care strâng semnături pe listele de susținători nu oferă persoanelor vizate o minimă informare cu privire la prelucrarea datelor lor cu caracter personal. Simpla precizare că respectă GDPR-ul nu este suficientă.

Prevederi legale aplicabile

Prin Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, legiuitorul român a introdus o derogare pentru partidele politice, organizațiile cetățenilor aparținând minorităților naționale și ONG. Conform legii, acestea pot prelucra date cu caracter personal și special, fără consimțământul expres al persoanei vizate, în vederea realizării obiectivelor acestora, dar cu condiția să se prevadă anumite garanții:

  1. informarea persoanei vizate despre prelucrarea datelor cu caracter personal;
  2. garantarea transparenței informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate;
  3. garantarea dreptului de rectificare și ștergere.

Char dacă există această derogare cu privire la obținerea consimțământului, partidele politice, în calitate de operatori, trebuie să respecte principiile generale ale GDPR în special cele privind legalitatea prelucrării, responsabilitatea, minimizarea, exactitatea și confidențialitatea prelucrării.

Cum ar trebui să acționeze partidele politice?

În activitatea de strângere a semnăturilor, mai înainte de a solicita semnătura și datele persoanelor vizate, reprezentanții partidelor politice trebuie informeze corect și complet asupra modului de prelucrare a datelor cu caracter personal conform art. 13 din GDPR. Indiferent de derogarea făcută prin Legea nr. 190/2018, persoanele vizate trebuie să știe:

  • cine le prelucrează datele;
  • în ce scop și pe baza cărui temei juridic se face prelucrarea;
  • dacă datele lor vor fi sau nu transferate;
  • cât timp se vor prelucra;
  • ce drepturi au cu privire la modul de prelucrare a datelor lor;
  • dacă datele lor sunt prelucrate în cadrul unui proces decizional automatizat care include și crearea de profiluri.

În plus, persoanele care sunt implicate în activitatea de completare a listelor de susținători trebuie să fie instruite cu privire la legislația privind protecția datelor și cu privire a obligațiile și răspunderea lor în ceea ce privește respectarea legislației privind protecția datelor și a confidențialității.

Poșta Română și Viva Credit IFN S.A. amendate în baza GDPR

/in , /by

Poșta Română

ANSPDCP a sancționat contravențional Poșta Română cu amendă în cuantum de 9.686,60 lei, echivalentul a 2000 euro, ca urmare a primirii unei notificări de încălcare a securității datelor trimisă de operator.

În urma investigației efectuate s-a constatat că Poșta Română nu a luat măsurile tehnice și organizatorice adecvate care să prevină accesul neautorizat la datele cu caracter personal (adrese de e-mail și numere de telefon) pe adresa https://awb.posta-romana.ro aparținând operatorului sancționat, ceea ce a dus la compromiterea confidențialității datelor personale a 81 de persoane vizate.

Comunicatul ANSPDCP poate fi consultat aici.

Viva Credit IFN S.A.

Amenda în cuantum de 9680 lei, echivalentul sumei de 2000 EURO, a fost aplicată pentru că operatorul nu a soluționat cererea petentului prin care își exercita dreptul de ștergerea datelor și nu a furnizat acestuia informații cu privire la acțiunile întreprinse în urma cererii sale în termen de cel mult o lună (sau maximum 3 luni, prezentând și motivele întârzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibilă în evidențele sale.

Autoritatea a aplicat și o măsura corectivă în sensul obligării operatorului de a transmite un răspuns petentului la cererea depusă, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.

Comunicatul ANSPDCP poate fi consultat aici.

 

Schrems II – Invalidarea Scutului de confidențialitate UE-SUA

/in /by

Scurt istoric

Hotărârea pronunțată în cauza Schrems II (C-113/18) de către Curtea de Justiție a Uniunii Europene (CJUE) are la origine o plângere a domnului Maximilian Schrems prin care a solicitat autorității competente privind protecția datelor (Data Protection Commissioner) dispunerea suspendării sau interzicerea transferului datelor sale cu caracter personal efectuat de Facebook Ireland a către Facebook Inc.

Ca urmare a plângerii, Data Protection Commissioner a sesizat instanța din Irlanda (High Court), pentru ca aceasta din urmă să sesizeze CJUE cu trimiterea preliminară.

Soluția trimiterii preliminare

În urma acestei hotărâri s-au stabilit, în principal, următoarele:

  • invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (EU-US Privacy Shield) – documentul care permitea transferul datelor cu caracter personal din UE către o societate din Statele Unite ale Americii;
  • clauzele contractuale standard (SCC) sunt valabile doar dacă mențin un nivel de protecție care este în esență echivalent cu cel garantat de GDPR în lumina Cartei UE.

Consecințele hotărârii Schrems II:

  • invalidarea Scutului de confidențialitate are efect imediat – aceasta însemnând că operatorii nu se mai pot baza pe caracterul adecvat al nivelului de protecție a confidențialității atunci când transferă date cu caracter personal în SUA;
  • în cazul utilizării clauzelor contractuale standard (SCC), mai înainte de a le folosi ca temei pentru transferul datelor, operatorii și persoanele împuternicite, în colaborare cu destinatarul datelor, trebuie să verifice, de la caz la caz dacă legea țării terțe de destinație asigură o protecție adecvată, în conformitate cu legislația UE;
  • autoritatea de supraveghere competentă este obligată să suspende sau să interzică un transfer de date întemeiat pe clauze contractuale standard (SCC) către un stat terț atunci când consideră că acele clauze nu pot fi respectate în statul terț.

Comunicatul ANSPDCP referitor la Invalidarea Scutului de confidențialitate UE-SUA

Conform comunicatului ANSPDCP, „în absența unei decizii privind caracterul adecvat în temeiul art. 45 alin. (3) din Regulamentul (UE) 2016/679, transferul de date cu caracter personal către Statele Unite poate fi efectuat în conformitate cu unul din următoarele instrumente prevăzute de art. 46 din Regulamentul (UE) 2016/679:

  • clauze standard de protecție a datelor,
  • reguli corporatiste obligatorii,
  • coduri de conduită și mecanisme de certificare,

De asemenea, transferul de date cu caracter personal către Statele Unite se poate realiza în temeiul derogărilor prevăzute la art. 49 din Regulamentul (UE) 2016/679.”

Ce trebuie să facă operatorii care transferă date în SUA sau state terțe?

Până la identificarea unei alternative, operatorii ar trebui să oprească transferurile de date către SUA și alte state terțe. Organizațiile trebuie să aibă în vedere posibila utilizare a clauzelor contractuale standard (SCC) ca temei al transferului. Pentru utilizarea corectă a acestora, trebuie efectuată o evaluare a caracterului adecvat al protecției oferite de statul terț. Dacă este aplicabil art. 49 din GDPR, se poate invoca una dintre situațiile prevăzute acolo ca temei al transferului.

Urmează să vedem cum va soluționa instanța din Irlanda (High Court) procesul inițial și care va fi soluția adoptată de autoritatea pentru protecția datelor (Data Protection Commissioner).

CCTV și Asociațiile de proprietari

/in /by

Supravegherea prin intermediul CCTV este un subiect intens dezbătut atunci când se pune problema instalării acestuia sau în cazul în care unele persoane sunt deranjate de supravegherea video, măsură pe care, de cele mai multe ori, o consideră disproporționată.

Despre supravegherea CCTV în cazul unei instituții de învățământ am scris o serie de articole unde am analizat o decizie emisă de C.N.I.L. (autoritatea pentru protecția datelor din Franța).

Sancțiunea A.N.S.P.D.C.P. și decizia preliminară TK împotriva Asociației de Proprietari bloc M5A‑Scara A

În România, A.N.S.P.D.C.P. a sancționat o Asociație de Proprietari care nu a adoptat suficiente măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video.

Supravegherea prin intermediul CCTV a făcut obiectul trimiterii preliminare (cauza C‑708/18) formulată în cadrul unui litigiu pe rolul Tribunalului București între TK, pe de o parte, și Asociația de Proprietari bloc M5A‑Scara A, pe de altă parte, cu privire la cererea TK de a se dispune ca această asociație să scoată din funcțiune sistemul de supraveghere video al acestui imobil și să demonteze camerele instalate în părțile comune ale acestuia.

Soluția CJUE a fost în sensul că dispozițiile legale incidente „trebuie interpretate în sensul că nu se opun unor dispoziții naționale care autorizează instituirea unui sistem de supraveghere video precum sistemul în discuție în litigiul principal instalat în părțile comune ale unui imobil cu destinație de locuință, în scopul de a urmări interese legitime care constau în asigurarea pazei și a protecției persoanelor și a bunurilor, fără consimțământul persoanelor vizate, dacă prelucrarea datelor cu caracter personal efectuată prin intermediul sistemului de supraveghere video în cauză îndeplinește condițiile prevăzute la articolul 7 litera (f) menționat, aspect a cărui verificare revine instanței de trimitere.

Practic, instalarea sistemelor de supraveghere video fără consimțământul persoanelor vizate este legală doar dacă se face cu respectarea dispozițiilor legale incidente.

În ceea ce privește temeiul juridic din legislația națională pentru supravegherea video, Legea nr. 190/2018 enumeră condițiile cerute atunci când temeiul de prelucrare ales de angajator este interesul legitim. Articolul 5 din lege arată că angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta. În cazul în care operatorul nu are calitatea de angajator față de persoanele vizate sau utilizează alt temei juridic prevăzut de art. 6 din GDPR, trebuie să se asigure că acesta corespunde situației de fapt în funcție de fiecare caz. Mai multe informații despre obligațiile operatorilor în cazul supravegherii video am scris aici.

Amendă aplicată de Autoritatea pentru protecția datelor din Suedia

Aceste probleme referitoare la supravegherea video făcută de către asociațiile de proprietari nu există doar în România. De exemplu, Autoritatea pentru protecția datelor din Suedia a amendat o asociație de locatari pentru supraveghere video excesivă. Asociația respectivă avea instalate camere video la intrarea principală în imobil, la casa scării și o cameră îndreptată spre îndreptat către o cutie de distribuție în spațiul de depozitare al asociației. Camerele înregistrau video și audio non-stop.

Asociația a fost amendată pentru că:

  • nu a demonstrat o nevoie urgentă de a utiliza supravegherea video și audio;
  • se monitoriza spațiul de depozitare al locatarilor;
  • înregistrarea audio constituie o intruziune suplimentară în sfera privată, în special atunci când este înregistrată într-o clădire rezidențială și că nu există circumstanțe care să o motiveze;
  • problemele cauzate de actele de vandalism petrecute în 2018 invocate de asociație nu pot constitui temei pentru supravegherea constantă până în 2020, nevoia menținerii sistemului de supraveghere trebuind să fie revizuită periodic;
  • nu a informat corespunzător persoanele vizate.

Concluzii

Din prezentarea acestor cazuri care implică Asociații de proprietari/locatari, putem concluziona că atunci când au calitatea de operator de date cu caracter personal ca urmare a utilizării unui sistem CCTV, asociațiile trebuie să:

  • identifice corect temeiul de prelucrare;
  • se asigure că este nevoie de supravegherea video;
  • revizuiască periodic necesitatea supravegherii;
  • se asigure că supravegherea nu constituie o intruziune suplimentară în viața privată a persoanelor vizate;
  • informeze corect și complet persoanele vizate;
  • ia măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor colectate.

Primirea actelor de identitate pe WhatsApp sancționată în baza GDPR

/in , /by

WhatsApp utilizat la serviciu

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) a amendat Banca Comercială Română S.A. cu echivalentul sumei de 5000 EURO pentru că un salariat a primit copii ale actelor de identitate ale clienților (persoane fizice) prin aplicația WhatsApp instalată pe telefonul personal.

Ce s-a constatat?

Conform comunicatului de presă, A.N.S.P.D.C.P. a constatat următoarele:

  •  colectarea de date s-a făcut cu încălcarea procedurii de lucru interne;
  • operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării;
  •  operatorul nu a luat măsuri pentru a se asigura că orice salariat care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa,

Concluzii

Din cele relatate de A.N.S.P.D.C.P. trebuie să reținem că:

  • operatorul
    • trebuie să-și instruiască salariații și să monitorizeze respectarea procedurilor internare;
    • are nevoie de o verificare permanentă a măsurilor tehnice și organizatorice implementate pentru asigurarea unui nivel de securitate corespunzător riscului prelucrării;
  • salariații
    • trebuie să respecte procedurile interne și, dacă aceste proceduri interzic, să nu utilizeze dispozitivele personale pentru a prelucra date cu caracter personal în interes de serviciu;
    • trebuie să acorde atenție sporită activităților care implică prelucrarea de date cu caracter personal.

Prelucrarea datelor biometrice – amendă GDPR în Polonia

/in /by

Potrivit comunicatului de presă din data de 05/03/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă în cuantum de aproximativ 4.700 euro pentru nerespectarea prelucrării datelor biometrice ale copiilor atunci când foloseau cantina școlară.

Situația de fapt

Pentru a accesa cantina școlii elevii trebuiau să fie identificați cu ajutorul unui sistem de recunoaștere a amprentelor. Conform regulamentului privind accesul la cantină (publicat pe site-ul școlii), acest sistem nu era obligatoriu pentru toți elevii însă cei care nu au dorit să-l folosească trebuiau să stea la sfârșitul cozii și să intre în cantină, unul câte unul, după ce au intrat toți elevii cu identificare biometrică.

Folosind acest sistem de identificare biometrică, școala a prelucrat nelegal datele a 680 de copii.

În urma investigației efectuate din oficiu, autoritatea a constatat următoarele:

  • scopul pentru care a fost implementat sistemul de identificare biometrică a fost acela de a identifica elevii care au plătit taxa de cantină;
  • temeiul de drept utilizat a fost consimțământul scris al părinților sau al reprezentanților legali;
  • în perioada anului școlar 2019-2020, 680 de elevi utilizau sistemul biometric și doar 4 elevi utilizau un sistem alternativ de identificare.

Încălcările legislației

Pentru analizarea situației s-au avut în vedere următoarele:

  • situația persoanelor vizate: copiii – pentru care se impune o protecție specială a datelor cu caracter personal;
  • tipul de date prelucrate – date biometrice, date speciale, care nu se schimbă în timp și necesită o protecție specială;
  • riscul în cazul unei breșe de securitate – este un risc ridicat în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate ținând cont de caracterul special al datelor.

De ce consimțământul nu a fost considerat un temei legal de prelucrare?

Conform art. 9 alin. (2) lit. a), categoriile speciale de date pot fi prelucrate pe baza consimțământului explicit al persoanei vizate. În speță este vorba despre categorii speciale de date iar consimțământul a fost obținut. Deci, din ce motiv a fost sancționată școala?

În comunicatul de presă se precizează că indiferent de obținerea consimțământului, raportat la scopul prelucrării, aceasta a fost considerată excesivă. Prelucrarea datelor biometrice nu este esențială pentru atingerea scopului prelucrării – identificarea elevilor care au achitat taxa de cantină. Acest scop putea fi atins și în alt mod care să nu implice prelucrarea categoriilor speciale de date.

Chiar dacă nu a fost precizat în mod expres, operatorul nu a respectat principiul reducerii la minimum a datelor prelucrate și nu s-a limitat la ceea ce este necesar pentru îndeplinirea scopului.

Măsurile luate de UODO:

  • aplicarea amenzii în cuantum de aproximativ 4.700 euro;
  • obligarea operatorului de a șterge toate datele prelucrate ilegal;
  • obligarea operatorului de a înceta prelucrarea de date nelegală.

Necesitatea efectuării unei evaluări a impactului asupra protecției datelor (DPIA)

În cuprinsul comunicatului de presă, nu se fac referiri la existența unei evaluări a impactului asupra protecției datelor. Ținând cont de tipul de date prelucrate (date biometrice) și conform considerentului 91 din GDPR, în speță ar fi trebuit să se efectueze o evaluare de impact. În acest sens este și lista Autorității din Polonia privind tipul de operațiuni de prelucrare care fac obiectul cerinței pentru o evaluare a impactului privind protecția datelor în conformitate cu articolul 35 alineatul (4) din GDPR, listă care la punctul 5 prevede necesitatea efectuării DPIA în cazul prelucrării datelor biometrice în scopul identificării unice a unei persoane fizice sau verificării controlului accesului în anumite zone. Lista (în limba engleză) poate fi consultată aici.

Aplicație nesigură – amendă de 120.000 de euro în Norvegia

/in /by

Municipalitatea din Oslo și Agenția pentru Educație au fost amendate de către Autoritatea norvegiană pentru protecția datelor cu suma de 120.000 de euro pentru că au prelucrat date cu caracter personal printr-o aplicație cu o securitate scăzută și nu au implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului.

La ce folosește aplicația?

Aplicația este folosită pentru comunicarea dintre angajații școlii, părinți și elevi. Folosind aplicația utilizatorii pot să: 

  • primească și să răspundă la mesajele primite de la școală;
  • trimită mesaje profesorilor și elevilor;
  • raporteze absențele;
  • listeze toate mesajele trimise copiilor utilizatorului;
  • primească alerte atunci când sunt emise mesaje noi de la școală.

De ce a fost aplicată amenda?

Amenda a fost emisă pentru că:

  • aplicația permitea părinților să transmită date cu privire la starea de sănătate a copiilor în vederea motivării absențelor într-un câmp de text lăsat liber pentru completare,  fără ca aplicația să aibă implementate măsuri tehnice pentru a preveni comunicarea liberă a unor astfel de informații și fără a informa utilizatorii că ar trebui să evite comunicarea acelor informații privind starea de sănătate;
  • au fost posibile accesarea și modificarea neautorizate a datelor a peste 63.000 de elevi minori din cauza slabelor măsuri de securitate ale aplicației;
  • aplicația avea vulnerabilități de securitate cunoscute ca urmare a testării de securitate inadecvate înainte de lansarea acesteia.

Autoritatea recomandă ca, în conformitate cu prevederile privind asigurarea protecției datelor de la momentul conceperii și în mod implicit (data protection by design and by default), să se implementeze  măsuri alternative, cum ar fi inserarea listelor derulante (drop-down lists) și a casetelor de bifare (tick boxes).

Circumstanțe atenuante care au dus la reducerea amenzii

Amenda a fost aplicată în luna octombrie 2019 și nu a fost contestată. Inițial, cuantumul amenzii fusese stabilit la suma de 200.000 de euro, însă autoritatea a redus amenda pentru că au existat circumstanțe atenuante în cazul respectiv, cum ar fi:

  • implementarea unor măsuri de limitare a pagubelor imediat ce s-a primit sesizarea cu privire la defectele de securitate;
  • demonstrarea disponibilității de a rezolva problemele.

Detalii despre aplicație pot fi găsite aici.

 

 

Activitate în afara Facebook

/in , /by

Începând cu 28/01/2020, instrumentul „Activitate în afara Facebook” (Off-Facebook Activity) a devenit disponibil în toată lumea. Inițial, fusese activ doar pentru anumite state. Dacă nu ați utilizat acest instrument până acum vă recomandăm să o faceți pentru că este o ocazie bună să verificați dacă acele site-uri și aplicații pe care le utilizați trimit datele dvs. către Facebook.

Cu instrumentul „Activitate în afara Facebook”, puteți vedea și controla informațiile pe care Facebook le primește de la aplicațiile și site-urile pe care le folosiți. Utilizând acest instrument, puteți să:

  • Vedeți un rezumat al informațiilor pe care alte aplicații și site-uri le-au trimis către Facebook prin instrumentele de afaceri online, cum ar fi Facebook Pixel sau Facebook Login;
  • Deconectați aceste informații din contul de utilizator;
  • deconectați viitoarea activitate în afara Facebook din cont. Acest lucru poate fi realizat pentru toată activitatea în afara Facebook, sau doar pentru anumite aplicații și site-uri.

Dacă activitatea în afara Facebook este ștearsă, Facebook va elimina (sau așa spun ei) informațiile de identificare din datele pe care aplicațiile și site-urile le transmit către Facebook, astfel încât să nu știe ce site-uri au vizitat utilizatorii sau ce au făcut acolo. De asemenea, Facebook nu va folosi nicio informație deconectată pentru a direcționa anunțuri către utilizatorii Facebook, Instagram sau Messenger.

Este important să știți că, în cazul în care alegeți să deconectați viitoarea activitate în afara Facebook din contul dvs., nu va mai fi posibil să vă conectați la diverse aplicații și site-uri folosind  contul de Facebook.

Pentru ca dvs. să  accesați mai ușor instrumentul „Activitate în afara Facebook” am pregătit acest scurt ghid vizual.

Cărți de identitate distribuite pe rețelele de socializare

/in , /by

De foarte multe ori am întâlnit pe rețelele de socializare postări prin care se distribuiau fotografii needitate ale unor documente de identitate găsite. Scopul acestor postări este, evident, găsirea persoanei care a pierdut documentul respectiv și predarea acestuia. Deși persoanele care distribuie consideră că fac un lucru bun ajutând la recuperarea documentului pierdut, acestea, prin activitatea de distribuire, încalcă legea.

Ce spune legislația aplicabilă?

Conform O.U.G. nr. 97/2005, „Persoana care a găsit sau a intrat în mod fortuit în posesia unui act de identitate, indiferent cine este titularul acestuia, este obligată să îl depună ori să îl trimită, în termen de 24 de ore, la cel mai apropiat serviciu public comunitar de evidență a persoanelor sau la cea mai apropiată unitate de poliție.” Nerespectarea acestei obligații constituie contravenție și se sancționează cu amenda de la 25 lei la 50 lei.

În cazul în care pe rețelele de socializare fotografiile documentelor de identitate pierdute nu sunt editate astfel încât să fie ascunse datele cu caracter personal excesive, persoanele care le distribuie încalcă normele GDPR. Prin distribuirea datelor cu caracter personal fără a avea un temei legal, persoana respectivă efectuează o prelucrare ilegală de date. Fiind vorba de o persoană fizică, pentru a nu se aplica prevederile GDPR, ar trebui ca prelucrarea respectivă să se încadreze activităților exclusiv personale sau domestice (corespondență și repertoriul de adrese sau activități din cadrul rețelelor sociale desfășurate în contextul respectivelor activități exclusiv personale). Distribuirea documentelor de identitate ale altor persoane nu poate fi considerată o activitate personală sau domestică. În consecință, pentru că nu se poate justifica un temei de prelucrare (protejarea intereselor vitale ale persoanei vizate, singurul temei aplicabil în acest caz, fiind puțin probabil a se aplica), persoana în cauză va răspunde conform GDPR. În cazul în care autoritatea se va sesiza din oficiu sau dacă cineva înregistrează o cerere cu privire la prelucrarea nelegală se poate aplica o sancțiune conform legii.

Cum să procedați pentru a nu încălca legea

Ținând cont de cele precizate mai sus, atunci când găsiți un document de identitate, vă sfătuim să acționați conform O.U.G. nr. 97/2005 și, în termen de 24 de ore, să depuneți documentul de identitate găsit la cel mai apropiat serviciu public comunitar de evidență a persoanelor sau la cea mai apropiată unitate de poliție.

Dacă doriți și distribuirea pe rețelele de socializare, cel mai bine este să cenzurați majoritatea datelor cu caracter personal mai înainte de publicarea fotografiei actului de identitate, fiind suficient să rămână doar prenumele și județul sau sectorul de domiciliu. Totodată, menționați serviciul public comunitar de evidență a persoanelor sau unitatea de poliție unde ați depus documentul de identitate găsit. Procedând așa, veți respecta legea și veți proteja datele cu caracter personal ale persoanei care a pierdut documentul de identitate. 

Dacă doriți să aflați mai multe despre GDPR, puteți găsi informații utile aici.

Sancțiuni GDPR. Vicii privind informarea, consimțământul, supravegherea video și stocarea datelor.

/in , /by

ANSPDCP a aplicat noi sancțiuni pentru încălcarea normelor GDPR. Acestea sunt: avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din GDPR, amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din GDPR, amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din GDPR, și avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din GDPR.

Persoana juridică sancționată, Entirely Shipping & Trading S.R.L., a încălcat prevederile care reglementează:

  • principiul responsabilității și regulile privind informarea persoanelor vizate – operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
  • principiul reducerii la minimum a datelor, regulile privind legalitatea prelucrării și cele privind obținerea consimțământului – operatorul a prelucrat în mod excesiv datele cu caracter personal (imagini) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
  • principiul reducerii la minimum a datelor, regulile privind prelucrarea categoriilor speciale de date și obținerea consimțământului – operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate și alte mijloace pentru atingerea acestui scop, mai puțin intruzive pentru viața privată a persoanelor vizate;
  • principiul legalității, echității și transparenței, principiul limitării legate de scop, principiul limitării legate de stocare și regulile privind legalitatea prelucrării – operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfășurării activității societății, ulterior încetării relației contractuale cu acesta.

Constatări ale autorității

Conform celor constatate în cadrul investigației operatorul trebuia să:

  • facă dovada unui interes legitim justificat, în ceea ce privește sistemul de supraveghere video instalat la sediul său, care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate;
  • facă dovada consultării sindicatului sau, după caz, a reprezentanților angajaților înainte de introducerea sistemelor de monitorizare;
  • demonstreze că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
  • aibă politici adecvate de protecție a datelor și a implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc;
  • prelucreze datele biometrice prin intermediul sistemului de control acces conform unor scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate;
  • efectueze o evaluare a impactului asupra protecției datelor.

Măsuri corective

Autoritatea a aplicat operatorului și o serie de măsuri corective:

  • să asigure informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din GDPR și în condițiile de transparență menționate la art. 12 din GDPR, precum și de a modifica documentele prin care se realizează în prezent informarea;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului reducerii la minimum a datelor;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control a accesului, cu respectarea principiului reducerii la minimum a datelor;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile GDPR, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor.

Considerăm că printre măsurile aplicate Autoritatea trebuia să dispună efectuarea unei evaluări a impactului asupra protecției datelor (a cărei  lipsă a fost constatată) și interdicția de a mai prelucra date prin intermediul sistemului de supraveghere video instalat la sediul operatorului și prin intermediul sistemului de control acces până la data conformării acestuia. De asemenea, considerăm că indicarea unor măsuri mai clare cu privire la spațiile unde este permisă sau nu instalarea sistemului de supraveghere ar fi fost necesară (a se vedea măsurile dispuse de CNIL, despre care am scris aici.)

Comunicatul ANSPDCP referitor la sancționarea societății Entirely Shipping & Trading S.R.L. îl puteți găsi aici.