Posts

Interesul legitim – cazul Forbes Ungaria

Interesul legitim al Forbes Ungaria verificat de NAIH

Conform comunicatului postat pe site-ul EDBP, Forbes Ungaria a fost amendată de Autoritatea Națională pentru Protecția Datelor și Libertatea Informațiilor din Ungaria (NAIH) pentru nerespectarea prevederilor GDPR.

Operatorul Forbes Ungaria a fost investigat în două cazuri pentru:

  • publicarea listei cu cele mai mari întreprinderi familiale – decizia nr. NAIH/2020/1154/9 din 23/07/2020;
  • publicarea listei cu cei mai bogați 50 de cetățeni unguri – decizia nr. NAIH/2020/838/2 of 23/07/020.

Investigațiile au fost demarate ca urmare a plângerilor formulate de persoanele vizate ale căror drepturi au fost încălcate.

Amenda aplicată pentru ambele cazuri a fost în total de 4,5 milioane de forinți, operatorul primind alături de amendă, măsura mustrării și măsuri corective. Ambele decizii de sancționare au fost atacate la Tribunalul Budapesta.

Cauzele sancționării

Motivele pentru care operatorul a fost sancționat au fost:

  • nerespectarea prevederilor privind interesul legitim;
  • lipsa informării persoanelor vizate;
  • neacordarea posibilității persoanelor vizate de a-și exercita drepturile conform GDPR.

În această speță, operatorul a prelucrat date cu caracter personal pe baza interesului său legitim și al terțelor persoane interesate – publicul. În urma investigațiilor, autoritatea a constatat că operatorul:

  • nu a efectuat o evaluare a interesului legitim conform prevederilor GDPR;
  • nu a informat în prealabil persoanele vizate despre rezultatul evaluării interesului legitim atât pentru operator, cât și pentru public;
  • nu a informat persoanele vizate despre circumstanțele esențiale ale prelucrării și despre drepturile lor de a se opune prelucrării;
  • în răspunsurile furnizate reclamanților, nu a informat asupra modalităților de exercitare a dreptului de opoziție.

Cum ar trebui să procedeze un operator care prelucrează date personale pe baza interesului legitim?

Dacă pentru prelucrarea datelor personale se utilizează ca temei juridic interesul legitim, operatorul trebuie:

  • să evalueze interesul legitim și să efectueze testul de echilibru în urma căruia să reiasă că prelucrarea datelor este necesară și proporțională cu interesele, drepturile și libertățile persoanei vizate;
  • să informeze persoanele vizate, mai înainte de prelucrarea datelor lor, despre:
    • rezultatele evaluării interesului legitim;
    • dreptul lor de a se opune prelucrării;
    • modurile în care își pot exercita dreptul la opoziție.

Schrems II – Invalidarea Scutului de confidențialitate UE-SUA

Scurt istoric

Hotărârea pronunțată în cauza Schrems II (C-113/18) de către Curtea de Justiție a Uniunii Europene (CJUE) are la origine o plângere a domnului Maximilian Schrems prin care a solicitat autorității competente privind protecția datelor (Data Protection Commissioner) dispunerea suspendării sau interzicerea transferului datelor sale cu caracter personal efectuat de Facebook Ireland a către Facebook Inc.

Ca urmare a plângerii, Data Protection Commissioner a sesizat instanța din Irlanda (High Court), pentru ca aceasta din urmă să sesizeze CJUE cu trimiterea preliminară.

Soluția trimiterii preliminare

În urma acestei hotărâri s-au stabilit, în principal, următoarele:

  • invalidarea Deciziei 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA (EU-US Privacy Shield) – documentul care permitea transferul datelor cu caracter personal din UE către o societate din Statele Unite ale Americii;
  • clauzele contractuale standard (SCC) sunt valabile doar dacă mențin un nivel de protecție care este în esență echivalent cu cel garantat de GDPR în lumina Cartei UE.

Consecințele hotărârii Schrems II:

  • invalidarea Scutului de confidențialitate are efect imediat – aceasta însemnând că operatorii nu se mai pot baza pe caracterul adecvat al nivelului de protecție a confidențialității atunci când transferă date cu caracter personal în SUA;
  • în cazul utilizării clauzelor contractuale standard (SCC), mai înainte de a le folosi ca temei pentru transferul datelor, operatorii și persoanele împuternicite, în colaborare cu destinatarul datelor, trebuie să verifice, de la caz la caz dacă legea țării terțe de destinație asigură o protecție adecvată, în conformitate cu legislația UE;
  • autoritatea de supraveghere competentă este obligată să suspende sau să interzică un transfer de date întemeiat pe clauze contractuale standard (SCC) către un stat terț atunci când consideră că acele clauze nu pot fi respectate în statul terț.

Comunicatul ANSPDCP referitor la Invalidarea Scutului de confidențialitate UE-SUA

Conform comunicatului ANSPDCP, „în absența unei decizii privind caracterul adecvat în temeiul art. 45 alin. (3) din Regulamentul (UE) 2016/679, transferul de date cu caracter personal către Statele Unite poate fi efectuat în conformitate cu unul din următoarele instrumente prevăzute de art. 46 din Regulamentul (UE) 2016/679:

  • clauze standard de protecție a datelor,
  • reguli corporatiste obligatorii,
  • coduri de conduită și mecanisme de certificare,

De asemenea, transferul de date cu caracter personal către Statele Unite se poate realiza în temeiul derogărilor prevăzute la art. 49 din Regulamentul (UE) 2016/679.”

Ce trebuie să facă operatorii care transferă date în SUA sau state terțe?

Până la identificarea unei alternative, operatorii ar trebui să oprească transferurile de date către SUA și alte state terțe. Organizațiile trebuie să aibă în vedere posibila utilizare a clauzelor contractuale standard (SCC) ca temei al transferului. Pentru utilizarea corectă a acestora, trebuie efectuată o evaluare a caracterului adecvat al protecției oferite de statul terț. Dacă este aplicabil art. 49 din GDPR, se poate invoca una dintre situațiile prevăzute acolo ca temei al transferului.

Urmează să vedem cum va soluționa instanța din Irlanda (High Court) procesul inițial și care va fi soluția adoptată de autoritatea pentru protecția datelor (Data Protection Commissioner).

Informații juridice – Newsletter Start Lawyers

Începând de astăzi, vom publica în fiecare luni un newsletter juridic. Structura acestuia va fi alcătuită din 4 părți:

  • noutăți legislative din săptămâna anterioară publicării;
  • informații din domeniul protecției datelor;
  • un articol cu informații utile din domeniul dreptului;
  • dicționar juridic – explicarea pe scurt a unei noțiuni juridice.

Informațiile cuprinse în primul număr sunt următoarele:

  • noutăți legislative din următoarele domenii:
    • fiscalitate – o nouă scutire pentru persoanele fizice cu handicap grav sau accentuat;
    • dreptul familiei – modificări ale Legii nr. 217/2003 pentru prevenirea și combaterea violenței domestice;
    • combaterea spălării banilor – modificări referitoare la declarația privind beneficiarul real;
    • educație – completarea Legii educației naționale nr. 1/2011 și modificarea anexei 1 „Calendarul examenului de bacalaureat național – 2020”;
    • mărci – modificările semnificative ale legii privind mărcile;
    • construcții – eliminarea cerinței autorizației de construire în unele cazuri.
  • informații din domeniul protecției datelor – amendă aplicată de ANSPDCP pentru postarea pe Facebook a codului sursă al site-ului cu includerea parolei de acces;
  • un articol cu informații utile din domeniul dreptului – telemunca și clauze speciale de inserat în contractul de muncă;
  • dicționar juridic – explicarea pe scurt a noțiunii de „punere în întârziere”.

Newsletterul poate fi descărcat în format pdf de aici.

CCTV și Asociațiile de proprietari

Supravegherea prin intermediul CCTV este un subiect intens dezbătut atunci când se pune problema instalării acestuia sau în cazul în care unele persoane sunt deranjate de supravegherea video, măsură pe care, de cele mai multe ori, o consideră disproporționată.

Despre supravegherea CCTV în cazul unei instituții de învățământ am scris o serie de articole unde am analizat o decizie emisă de C.N.I.L. (autoritatea pentru protecția datelor din Franța).

Sancțiunea A.N.S.P.D.C.P. și decizia preliminară TK împotriva Asociației de Proprietari bloc M5A‑Scara A

În România, A.N.S.P.D.C.P. a sancționat o Asociație de Proprietari care nu a adoptat suficiente măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video.

Supravegherea prin intermediul CCTV a făcut obiectul trimiterii preliminare (cauza C‑708/18) formulată în cadrul unui litigiu pe rolul Tribunalului București între TK, pe de o parte, și Asociația de Proprietari bloc M5A‑Scara A, pe de altă parte, cu privire la cererea TK de a se dispune ca această asociație să scoată din funcțiune sistemul de supraveghere video al acestui imobil și să demonteze camerele instalate în părțile comune ale acestuia.

Soluția CJUE a fost în sensul că dispozițiile legale incidente „trebuie interpretate în sensul că nu se opun unor dispoziții naționale care autorizează instituirea unui sistem de supraveghere video precum sistemul în discuție în litigiul principal instalat în părțile comune ale unui imobil cu destinație de locuință, în scopul de a urmări interese legitime care constau în asigurarea pazei și a protecției persoanelor și a bunurilor, fără consimțământul persoanelor vizate, dacă prelucrarea datelor cu caracter personal efectuată prin intermediul sistemului de supraveghere video în cauză îndeplinește condițiile prevăzute la articolul 7 litera (f) menționat, aspect a cărui verificare revine instanței de trimitere.

Practic, instalarea sistemelor de supraveghere video fără consimțământul persoanelor vizate este legală doar dacă se face cu respectarea dispozițiilor legale incidente.

În ceea ce privește temeiul juridic din legislația națională pentru supravegherea video, Legea nr. 190/2018 enumeră condițiile cerute atunci când temeiul de prelucrare ales de angajator este interesul legitim. Articolul 5 din lege arată că angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta. În cazul în care operatorul nu are calitatea de angajator față de persoanele vizate sau utilizează alt temei juridic prevăzut de art. 6 din GDPR, trebuie să se asigure că acesta corespunde situației de fapt în funcție de fiecare caz. Mai multe informații despre obligațiile operatorilor în cazul supravegherii video am scris aici.

Amendă aplicată de Autoritatea pentru protecția datelor din Suedia

Aceste probleme referitoare la supravegherea video făcută de către asociațiile de proprietari nu există doar în România. De exemplu, Autoritatea pentru protecția datelor din Suedia a amendat o asociație de locatari pentru supraveghere video excesivă. Asociația respectivă avea instalate camere video la intrarea principală în imobil, la casa scării și o cameră îndreptată spre îndreptat către o cutie de distribuție în spațiul de depozitare al asociației. Camerele înregistrau video și audio non-stop.

Asociația a fost amendată pentru că:

  • nu a demonstrat o nevoie urgentă de a utiliza supravegherea video și audio;
  • se monitoriza spațiul de depozitare al locatarilor;
  • înregistrarea audio constituie o intruziune suplimentară în sfera privată, în special atunci când este înregistrată într-o clădire rezidențială și că nu există circumstanțe care să o motiveze;
  • problemele cauzate de actele de vandalism petrecute în 2018 invocate de asociație nu pot constitui temei pentru supravegherea constantă până în 2020, nevoia menținerii sistemului de supraveghere trebuind să fie revizuită periodic;
  • nu a informat corespunzător persoanele vizate.

Concluzii

Din prezentarea acestor cazuri care implică Asociații de proprietari/locatari, putem concluziona că atunci când au calitatea de operator de date cu caracter personal ca urmare a utilizării unui sistem CCTV, asociațiile trebuie să:

  • identifice corect temeiul de prelucrare;
  • se asigure că este nevoie de supravegherea video;
  • revizuiască periodic necesitatea supravegherii;
  • se asigure că supravegherea nu constituie o intruziune suplimentară în viața privată a persoanelor vizate;
  • informeze corect și complet persoanele vizate;
  • ia măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor colectate.

Primirea actelor de identitate pe WhatsApp sancționată în baza GDPR

WhatsApp utilizat la serviciu

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) a amendat Banca Comercială Română S.A. cu echivalentul sumei de 5000 EURO pentru că un salariat a primit copii ale actelor de identitate ale clienților (persoane fizice) prin aplicația WhatsApp instalată pe telefonul personal.

Ce s-a constatat?

Conform comunicatului de presă, A.N.S.P.D.C.P. a constatat următoarele:

  •  colectarea de date s-a făcut cu încălcarea procedurii de lucru interne;
  • operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării;
  •  operatorul nu a luat măsuri pentru a se asigura că orice salariat care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa,

Concluzii

Din cele relatate de A.N.S.P.D.C.P. trebuie să reținem că:

  • operatorul
    • trebuie să-și instruiască salariații și să monitorizeze respectarea procedurilor internare;
    • are nevoie de o verificare permanentă a măsurilor tehnice și organizatorice implementate pentru asigurarea unui nivel de securitate corespunzător riscului prelucrării;
  • salariații
    • trebuie să respecte procedurile interne și, dacă aceste proceduri interzic, să nu utilizeze dispozitivele personale pentru a prelucra date cu caracter personal în interes de serviciu;
    • trebuie să acorde atenție sporită activităților care implică prelucrarea de date cu caracter personal.

Prelucrarea datelor biometrice – amendă GDPR în Polonia

Potrivit comunicatului de presă din data de 05/03/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă în cuantum de aproximativ 4.700 euro pentru nerespectarea prelucrării datelor biometrice ale copiilor atunci când foloseau cantina școlară.

Situația de fapt

Pentru a accesa cantina școlii elevii trebuiau să fie identificați cu ajutorul unui sistem de recunoaștere a amprentelor. Conform regulamentului privind accesul la cantină (publicat pe site-ul școlii), acest sistem nu era obligatoriu pentru toți elevii însă cei care nu au dorit să-l folosească trebuiau să stea la sfârșitul cozii și să intre în cantină, unul câte unul, după ce au intrat toți elevii cu identificare biometrică.

Folosind acest sistem de identificare biometrică, școala a prelucrat nelegal datele a 680 de copii.

În urma investigației efectuate din oficiu, autoritatea a constatat următoarele:

  • scopul pentru care a fost implementat sistemul de identificare biometrică a fost acela de a identifica elevii care au plătit taxa de cantină;
  • temeiul de drept utilizat a fost consimțământul scris al părinților sau al reprezentanților legali;
  • în perioada anului școlar 2019-2020, 680 de elevi utilizau sistemul biometric și doar 4 elevi utilizau un sistem alternativ de identificare.

Încălcările legislației

Pentru analizarea situației s-au avut în vedere următoarele:

  • situația persoanelor vizate: copiii – pentru care se impune o protecție specială a datelor cu caracter personal;
  • tipul de date prelucrate – date biometrice, date speciale, care nu se schimbă în timp și necesită o protecție specială;
  • riscul în cazul unei breșe de securitate – este un risc ridicat în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate ținând cont de caracterul special al datelor.

De ce consimțământul nu a fost considerat un temei legal de prelucrare?

Conform art. 9 alin. (2) lit. a), categoriile speciale de date pot fi prelucrate pe baza consimțământului explicit al persoanei vizate. În speță este vorba despre categorii speciale de date iar consimțământul a fost obținut. Deci, din ce motiv a fost sancționată școala?

În comunicatul de presă se precizează că indiferent de obținerea consimțământului, raportat la scopul prelucrării, aceasta a fost considerată excesivă. Prelucrarea datelor biometrice nu este esențială pentru atingerea scopului prelucrării – identificarea elevilor care au achitat taxa de cantină. Acest scop putea fi atins și în alt mod care să nu implice prelucrarea categoriilor speciale de date.

Chiar dacă nu a fost precizat în mod expres, operatorul nu a respectat principiul reducerii la minimum a datelor prelucrate și nu s-a limitat la ceea ce este necesar pentru îndeplinirea scopului.

Măsurile luate de UODO:

  • aplicarea amenzii în cuantum de aproximativ 4.700 euro;
  • obligarea operatorului de a șterge toate datele prelucrate ilegal;
  • obligarea operatorului de a înceta prelucrarea de date nelegală.

Necesitatea efectuării unei evaluări a impactului asupra protecției datelor (DPIA)

În cuprinsul comunicatului de presă, nu se fac referiri la existența unei evaluări a impactului asupra protecției datelor. Ținând cont de tipul de date prelucrate (date biometrice) și conform considerentului 91 din GDPR, în speță ar fi trebuit să se efectueze o evaluare de impact. În acest sens este și lista Autorității din Polonia privind tipul de operațiuni de prelucrare care fac obiectul cerinței pentru o evaluare a impactului privind protecția datelor în conformitate cu articolul 35 alineatul (4) din GDPR, listă care la punctul 5 prevede necesitatea efectuării DPIA în cazul prelucrării datelor biometrice în scopul identificării unice a unei persoane fizice sau verificării controlului accesului în anumite zone. Lista (în limba engleză) poate fi consultată aici.

Aplicație nesigură – amendă de 120.000 de euro în Norvegia

Municipalitatea din Oslo și Agenția pentru Educație au fost amendate de către Autoritatea norvegiană pentru protecția datelor cu suma de 120.000 de euro pentru că au prelucrat date cu caracter personal printr-o aplicație cu o securitate scăzută și nu au implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului.

La ce folosește aplicația?

Aplicația este folosită pentru comunicarea dintre angajații școlii, părinți și elevi. Folosind aplicația utilizatorii pot să: 

  • primească și să răspundă la mesajele primite de la școală;
  • trimită mesaje profesorilor și elevilor;
  • raporteze absențele;
  • listeze toate mesajele trimise copiilor utilizatorului;
  • primească alerte atunci când sunt emise mesaje noi de la școală.

De ce a fost aplicată amenda?

Amenda a fost emisă pentru că:

  • aplicația permitea părinților să transmită date cu privire la starea de sănătate a copiilor în vederea motivării absențelor într-un câmp de text lăsat liber pentru completare,  fără ca aplicația să aibă implementate măsuri tehnice pentru a preveni comunicarea liberă a unor astfel de informații și fără a informa utilizatorii că ar trebui să evite comunicarea acelor informații privind starea de sănătate;
  • au fost posibile accesarea și modificarea neautorizate a datelor a peste 63.000 de elevi minori din cauza slabelor măsuri de securitate ale aplicației;
  • aplicația avea vulnerabilități de securitate cunoscute ca urmare a testării de securitate inadecvate înainte de lansarea acesteia.

Autoritatea recomandă ca, în conformitate cu prevederile privind asigurarea protecției datelor de la momentul conceperii și în mod implicit (data protection by design and by default), să se implementeze  măsuri alternative, cum ar fi inserarea listelor derulante (drop-down lists) și a casetelor de bifare (tick boxes).

Circumstanțe atenuante care au dus la reducerea amenzii

Amenda a fost aplicată în luna octombrie 2019 și nu a fost contestată. Inițial, cuantumul amenzii fusese stabilit la suma de 200.000 de euro, însă autoritatea a redus amenda pentru că au existat circumstanțe atenuante în cazul respectiv, cum ar fi:

  • implementarea unor măsuri de limitare a pagubelor imediat ce s-a primit sesizarea cu privire la defectele de securitate;
  • demonstrarea disponibilității de a rezolva problemele.

Detalii despre aplicație pot fi găsite aici.

 

 

Activitate în afara Facebook

Începând cu 28/01/2020, instrumentul „Activitate în afara Facebook” (Off-Facebook Activity) a devenit disponibil în toată lumea. Inițial, fusese activ doar pentru anumite state. Dacă nu ați utilizat acest instrument până acum vă recomandăm să o faceți pentru că este o ocazie bună să verificați dacă acele site-uri și aplicații pe care le utilizați trimit datele dvs. către Facebook.

Cu instrumentul „Activitate în afara Facebook”, puteți vedea și controla informațiile pe care Facebook le primește de la aplicațiile și site-urile pe care le folosiți. Utilizând acest instrument, puteți să:

  • Vedeți un rezumat al informațiilor pe care alte aplicații și site-uri le-au trimis către Facebook prin instrumentele de afaceri online, cum ar fi Facebook Pixel sau Facebook Login;
  • Deconectați aceste informații din contul de utilizator;
  • deconectați viitoarea activitate în afara Facebook din cont. Acest lucru poate fi realizat pentru toată activitatea în afara Facebook, sau doar pentru anumite aplicații și site-uri.

Dacă activitatea în afara Facebook este ștearsă, Facebook va elimina (sau așa spun ei) informațiile de identificare din datele pe care aplicațiile și site-urile le transmit către Facebook, astfel încât să nu știe ce site-uri au vizitat utilizatorii sau ce au făcut acolo. De asemenea, Facebook nu va folosi nicio informație deconectată pentru a direcționa anunțuri către utilizatorii Facebook, Instagram sau Messenger.

Este important să știți că, în cazul în care alegeți să deconectați viitoarea activitate în afara Facebook din contul dvs., nu va mai fi posibil să vă conectați la diverse aplicații și site-uri folosind  contul de Facebook.

Pentru ca dvs. să  accesați mai ușor instrumentul „Activitate în afara Facebook” am pregătit acest scurt ghid vizual.

Sancțiuni GDPR. Vicii privind informarea, consimțământul, supravegherea video și stocarea datelor.

ANSPDCP a aplicat noi sancțiuni pentru încălcarea normelor GDPR. Acestea sunt: avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din GDPR, amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din GDPR, amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din GDPR, și avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din GDPR.

Persoana juridică sancționată, Entirely Shipping & Trading S.R.L., a încălcat prevederile care reglementează:

  • principiul responsabilității și regulile privind informarea persoanelor vizate – operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
  • principiul reducerii la minimum a datelor, regulile privind legalitatea prelucrării și cele privind obținerea consimțământului – operatorul a prelucrat în mod excesiv datele cu caracter personal (imagini) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
  • principiul reducerii la minimum a datelor, regulile privind prelucrarea categoriilor speciale de date și obținerea consimțământului – operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate și alte mijloace pentru atingerea acestui scop, mai puțin intruzive pentru viața privată a persoanelor vizate;
  • principiul legalității, echității și transparenței, principiul limitării legate de scop, principiul limitării legate de stocare și regulile privind legalitatea prelucrării – operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfășurării activității societății, ulterior încetării relației contractuale cu acesta.

Constatări ale autorității

Conform celor constatate în cadrul investigației operatorul trebuia să:

  • facă dovada unui interes legitim justificat, în ceea ce privește sistemul de supraveghere video instalat la sediul său, care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate;
  • facă dovada consultării sindicatului sau, după caz, a reprezentanților angajaților înainte de introducerea sistemelor de monitorizare;
  • demonstreze că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
  • aibă politici adecvate de protecție a datelor și a implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc;
  • prelucreze datele biometrice prin intermediul sistemului de control acces conform unor scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate;
  • efectueze o evaluare a impactului asupra protecției datelor.

Măsuri corective

Autoritatea a aplicat operatorului și o serie de măsuri corective:

  • să asigure informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din GDPR și în condițiile de transparență menționate la art. 12 din GDPR, precum și de a modifica documentele prin care se realizează în prezent informarea;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului reducerii la minimum a datelor;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control a accesului, cu respectarea principiului reducerii la minimum a datelor;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile GDPR, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor.

Considerăm că printre măsurile aplicate Autoritatea trebuia să dispună efectuarea unei evaluări a impactului asupra protecției datelor (a cărei  lipsă a fost constatată) și interdicția de a mai prelucra date prin intermediul sistemului de supraveghere video instalat la sediul operatorului și prin intermediul sistemului de control acces până la data conformării acestuia. De asemenea, considerăm că indicarea unor măsuri mai clare cu privire la spațiile unde este permisă sau nu instalarea sistemului de supraveghere ar fi fost necesară (a se vedea măsurile dispuse de CNIL, despre care am scris aici.)

Comunicatul ANSPDCP referitor la sancționarea societății Entirely Shipping & Trading S.R.L. îl puteți găsi aici.

Amendă pentru nerespectarea GDPR – Enel Energie S.A

În urma unei plângeri înregistrate la ANSPDCP, societatea Enel Energie S.A. a fost sancționată contravențional cu două amenzi, fiecare în cuantum de 14.334,30 lei, echivalentul sumei de 3000 EURO pentru încălcarea:

  • principiului exactității, conform căruia datele trebuie să fie actualizate, luându-se toate măsurile necesare pentru a actualiza datele și a le șterge pe cele inexacte – art. 5 alin. (1) lit. d);

  • principiului responsabilității, conform căruia operatorii trebuie să demonstreze conformitatea prelucrărilor de date cu legea prin implementarea de măsuri și practici interne de protecție a datelor – art. 5 alin. (2);

  • principiului legalității prelucrării, conform căruia pentru prelucrare trebuie să existe cel puțin un temei juridic – art. 6 alin. (1) lit. a);

  • condițiilor privind consimțământul – art. 7 alin. (1);

  • dreptului la opoziție – art. 21 alin. (1).

Concret, societatea sancționată a prelucrat nelegal datele petentului, fără a putea face dovada obținerii consimțământului acestuia pentru transmiterea de notificări pe adresa de e-mail și fără respectarea principiului exactității. Pe lângă cele deja enumerate, operatorul nu a luat măsurile necesare pentru dezactivarea transmiterii de notificări, deși petentul își exercitase în mod repetat dreptul de opoziție.

Comunicatul ANSPDCP îl puteți găsi aici.