Posts

Evaluarea de impact – Recomandări

Chiar dacă reglementarea evaluării de impact nu este detaliată în RGPD, așa cum scriam într-un articol anterior, Grupul de lucru „Articolul 29” explică reglementarea sumară în scopul unei mai bune aplicări a Regulamentului. Pe lângă explicații, mai oferă și recomandări menite a ajuta operatorii să aplice noua reglementare. În cele ce urmează vom sumariza unele dintre recomandările referitoare la evaluarea de impact (DPIA).

Necesitatea revizuirii DPIA

Deși Regulamentul nu prevede expres, Grupul de lucru „Articolul 29” recomandă ca bună practică revizuirea continuă și reevaluarea regulată a DPIA.

Monitorizarea activităților de prelucrare

Se recomandă ca, în practică, operatorii să evalueze continuu riscurile create de activitățile lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Utilitatea DPIA

Chiar dacă unii operatori nu se încadrează în situațiile în care obligativitatea întocmirii DPIA este evidentă, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Publicitatea DPIA

Printre bunele practici recomandate de Grupul de lucru „Articolul 29” se numără și publicarea DPIA de către operator atunci când membrii publicului sunt afectați de operațiunea de prelucrare, mai ales în cazul în care operatorul este o autoritate publică.

O nouă victorie împotriva Kruk și un nou punct slab al societății de recuperări creanțe

Anul 2018 a început cum nu se poate mai bine: cu o victorie în instanță.

Astfel, la început de an l-am reprezentat pe unul dintre clienții noștri în fața instanței de judecată într-un proces de contestație la executare silită, executare începută de compania de recuperări creanțe Kruk România (în reprezentarea companiei Secapital S.A.R.L.).

Studiind întâmpinarea formulată de compania de recuperări am observat ceva ciudat, respectiv faptul că semnătura aplicată pe întâmpinare părea a fi nenaturală. Așa am constatat că nu numai că era nenaturală, dar ea nu era reală. Ceea ce părea a fi o semnătură era în fapt aplicarea unei semnături scanate pe ultima pagină a întâmpinării.

Astfel, am invocat în fața instanței de judecată acest aspect, iar aceasta a constatat pe loc faptul ca semnătura era formată din pixeli și nu din cerneală, astfel încât a anulat întâmpinarea ca fiind nesemnată. Ca atare, compania de recuperări a fost decăzută din toate drepturile conferite de lege ce puteau fi exercitate numai prin întâmpinare și anume din dreptul de a mai propune probe sau a mai invoca excepții.

Prin urmare, invităm toți debitorii care se judecă în instanță cu societățile de recuperare creanțe, în special Kruk România, să analizeze aspectul semnăturii aplicate pe documentele emise de acestea, deoarece orice document nesemnat corespunzător este unul nul.

Cunoaștem cu toții că la astfel de societăți se lucrează la foc continuu, pentru ele fiind importantă cantitatea, iar nu calitatea lucrărilor, astfel încât pentru a mai diminua din timpul petrecut cu ele probabil au născocit această variantă, sperând că nu va verifica nimeni.

Și totuși, iată că noi am verificat și suntem mândri să fi câștigat o nouă bătălie împotriva Kruk România.

Vă așteptăm și pe dvs. la noi pentru a discuta despre problemele cu care vă confruntați și pentru a găsi împreună calea spre succes! Ne puteți contacta aici.

 

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (II – Activitățile principale)

Dintre noțiunile menționate în articolul anterior, cea pe care o vom analiza în acest articol este noțiunea de ”activități principale”.

Activitățile principale

RGPD nu definește activitățile principale în mod expres, însă le găsim menționate în considerentul nr. 97: „În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare.

A.N.S.P.D.C.P. ne informează că „Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

Conform Instrucțiunilor Grupului de lucru „Articolul 29” activitățile principale pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Din cuprinsul acestora nu pot fi excluse acele activități în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

Astfel, în exemplul oferit de Grupul de lucru „Articolul 29”, prelucrarea datelor privind starea de sănătate (dosarele medicale ale pacienților) ar trebui să fie considerată a fi una dintre activitățile principale în orice spital.

Pentru a ne ajuta să distingem între tipurile de activități și să identificăm mai ușor activitățile principale în sensul RGPD, le putem compara cu activitățile auxiliare, ce sunt definite de către Grupul de lucru „Articolul 29” astfel: funcții de sprijin necesare pentru activitatea de bază sau principală a organizației cum ar fi plata angajaților lor sau deținerea de activități standard de suport IT.

Studiu de caz

Analizând definițiile și informațiile menționate anterior, putem lua ca exemplu un magazin online. Deși activitatea principală prevăzută în actul constitutiv al societății este comerțul cu amănuntul prin intermediul caselor de comenzi sau prin internet, din perspectiva RGPD activitatea principală include și prelucrarea datelor clienților săi care și-au creat un cont pe site-ul magazinului și au achiziționat produsele vândute de acesta. Explicația constă în faptul că operatorul (magazinul online) nu ar putea vinde produsele sale fără a colecta datele personale ale clienților.

RGPD – Domeniul teritorial de aplicare

RGPD se aplică doar operatorilor aflați pe teritoriul UE?

Conform art. 3 din RGPD, regulamentul se aplică prelucrării datelor cu caracter personal:

  • în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii;

  • ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

    • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau

    • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii;

  • de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

Concret, RGPD se aplică direct în toate statele membre, chiar și în cazul în care sediul operatorului de date nu se află pe teritoriul UE cu condiția ca bunurile sau serviciile operatorului să fie adresate cetățenilor UE. Prin urmare, nu contează locul unde sunt prelucrate datele cu caracter personal atâta timp cât sunt întrunite cerințele de mai sus.

Interpretări date de Curtea de Justiție a Uniunii Europene (CJUE)

În ceea ce privește sediul, CJUE în cauza C-230/14 (Weltimmo vs. NAIH), a reținut că noțiunea de sediu „înlătură orice abordare formalistă conform căreia o întreprindere ar fi stabilită exclusiv în locul în care este înmatriculată și se extinde la orice activitate reală și efectivă, chiar minimă, exercitată într-o formă de instalare stabilă.”

Organizațiile care dețin birouri de vânzări pe teritoriul UE, prin intermediul cărora efectuează activități de promovare sau de publicitate/marketing care vizează rezidenții din UE, vor trebui să respecte prevederile RGPD având în vedere faptul că, așa cum a declarat CJUE în cauza C-131/12 (Google Spain SL, Google Inc. vs.(AEPD), Mario Costeja González), „o prelucrare a datelor cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care operatorul unui motor de căutare înființează într-un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de pe pagina acestui motor, a cărei activitate este orientată către locuitorii acelui stat membru.”

Referitor la situația oferirii de bunuri sau servicii persoanelor vizate situate pe teritoriul UE, simpla accesare a unui site din interiorul UE nu este suficientă pentru a declanșa aplicabilitatea Regulamentului.  În acest sens, a se vedea cauzele conexate C-585/08 și C-144/09.

RGPD – Domeniul material de aplicare a Regulamentului privind prelucrarea datelor personale

În ce situații de aplică RGPD?

Regulamentul se aplică pentru prelucrarea datelor cu caracter personal așa cum au fost definite în articolul precedent.

Conform Regulamentului, nu prezintă importanță dacă prelucrarea s-a făcut total sau parțial prin mijloace automatizate. În aceeași măsură Regulamentul se aplică și datelor cu caracter personal care au fost prelucrate prin alte mijloace decât cele automatizate.

Pentru a clarifica limita aplicabilității Regulamentului, la articolul 2 alin. 2 sunt reglementate situațiile în care Regulamentul nu se aplică.

Situații de excepție privind prelucrarea datelor cu caracter personal

Astfel, nu se vor aplica prevederile Regulamentului atunci când:

  • datele cu caracter personal sunt prelucrate în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

  • statele membre desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE – Dispoziții speciale privind politica externă și de securitate comună;

  • este vorba de o persoană fizică în cadrul unei activități exclusiv personale sau domestice;

  • autoritățile competente prelucrează datele cu caracter personal în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

RGPD – Datele cu caracter personal

Pentru că protecția datelor cu caracter personal este un subiect din ce în ce mai ”fierbinte”, vom începe de astăzi să explicăm principalele noțiuni vizate de noua reglementare și drepturi și obligații pe care diverși actori din domeniu le au.

Nu uitați că RGDP (Regulamentul UE 2016/679) devine aplicabil din 25.05.2018.

Ce înseamnă date cu caracter personal?

RGPD definește datele cu caracter personal ca fiind „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.”

Noutăți introduse de RGPD

Față de actuala reglementare (DIRECTIVA 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date), RGPD clarifică și chiar extinde în unele cazuri noțiunea de date cu caracter personal, cum ar fi:

  • identificatorii unici – din cuprinsul definiției de mai sus rezultă că în noțiunea de „date cu caracter personal” sunt incluse date de localizare sau identificatorul online. Aceasta înseamnă că adresele de IP sau ID-urile telefoanelor mobile sunt date cu caracter personal care trebuie protejate.

  • datele pseudonimizate – este vorba despre o noțiune nou introdusă de RGPD și se referă la datele personale care au fost supuse unor măsuri tehnologice (cum ar fi hashing-ul sau criptarea) astfel încât să nu se mai poată identifica direct o persoană fără a utiliza informații suplimentare.

  • datele genetice și datele biometrice – RGPD definește separat aceste noțiuni și ambele sunt tratate ca date personale sensibile. Acestea beneficiază de protecție sporită și, de regulă, este nevoie de consimțământul expres al persoanelor în cazul în care aceste date urmează să fie procesate.

Reglementarea detaliată a noțiunii de „date cu caracter personal” prin RGPD are implicații majore pentru afacerile online, în special cele din sectoarele de analiză, publicitate, marketing și social media.

Insolvența persoanei fizice – un nou început?

La 1 august 2017 intră în vigoare Legea insolvenței persoanei fizice nr. 151/2015.  Asta deși ea este adoptată și publicată în Monitorul Oficial din anul 2015, dar abia anul acesta s-au adoptat Normele de aplicare.

Legea intenționează să ajute persoanele fizice aflate în dificultate financiară să își redreseze situația și să se descarce de datorii. În ce măsură va putea fi aplicată cu succes, rămâne de văzut, având în vedere că procedura este complicată și implică mai mulți actori.

Cine poate beneficia de lege?

În primul rând, legea insolvenței persoanei fizice se aplică numai debitorilor de bună-credință. Legea nu definește această noțiune, însă enumeră condițiile pe care o persoană fizică trebuie să le îndeplinească pentru a beneficia de lege:

  • obligaţiile sale nu rezultă din exploatarea de către aceasta a unei întreprinderi,
  • are domiciliul de cel puţin 6 luni anterior depunerii cererii în România,
  • este în stare de insolvenţă, adică nu a plătit datoria sa faţă de unul sau mai mulţi creditori după trecerea unui termen de 90 de zile de la data scadenţei,
  • nu există o probabilitate rezonabilă de a redeveni capabil să îşi execute obligaţiile într-o perioadă de maximum 12 luni,
  • cuantumul total al obligaţiilor sale scadente este cel puţin egal cu 15 salarii minime pe economie, adică 21.750 lei.

Cine NU poate beneficia de lege?

Există anumite situații când o persoană fizică nu poate să își ceară insolvența, respectiv:

  • dacă a fost concediată în ultimii 2 ani din motive ce îi sunt imputabile,
  • dacă, deşi aptă de muncă şi fără un loc de muncă ori alte surse de venit, nu a depus diligenţa rezonabilă necesară pentru a-şi găsi un loc de muncă sau care a refuzat, în mod nejustificat, un loc de muncă propus ori o altă activitate aducătoare de venit,
  • dacă a acumulat datorii noi, prin cheltuieli voluptuare în timp ce ştia sau ar fi trebuit să ştie că este în stare de insolvenţă,
  • dacă a determinat sau a înlesnit ajungerea în stare de insolvenţă, cu intenţie sau din culpă gravă,
  • dacă a fost condamnată definitiv pentru săvârşirea unei infracţiuni de evaziune fiscală, a unei infracţiuni de fals sau a unei infracţiuni intenţionate contra patrimoniului prin nesocotirea încrederii,
  • dacă a mai beneficiat de această procedură cu succes în ultimii 5 ani sau încă beneficiază de ea,
  • dacă a fost închisă față de ea, din motive ce îi sunt imputabile, o astfel de procedură în ultimii 5 ani.

Prin urmare, putem deduce că este un debitor de bună-credință cel care:

  • nu a fost concediat în ultimii 2 ani din motive imputabile,
  • nu a demisionat în ultimele 6 luni,
  • a făcut tot posibilul să își găsească un loc de muncă și nu a refuzat unul în mod nejustificat,
  • nu a efectuat cheltuieli voluptuare în timp ce era deja dator,
  • nu a contractat o datorie de cel puțin 25% din valoarea obligațiilor sale,
  • nu și-a asumat în ultimii 3 ani obligații excesive raportat la starea sa patrimonială,
  • nu a efectuat în ultimii 3 ani plăți preferențiale,
  • nu a transferat bunuri către altă persoană, creându-și astfel insolvența.

Cum funcționează insolvența persoanei fizice?

Procedura debutează cu cererea debitorului depusă la ceea ce se numește comisia de insolvență. În funcție de situația sa personală, el poate opta între insolvența pe bază de plan de rambursare a datoriilor, insolvența prin lichidare de active sau insolvența simplificată.

Cererea împreună cu actele anexate se analizează de comisia de insolvență, care emite o decizie. Decizia poate fi atacată la instanța de judecată de debitor și creditori.

Debitorul trebuie să își notifice creditorii despre intenția sa de a urma procedura insolvenței, iar după admiterea cererii sale, ei se vor înscrie în tabelul de creanțe.

În 30 zile, debitorul și administratorul vor elabora un plan de rambursare, care va fi supus votului creditorilor. Planul poate fi aprobat de creditori, confirmat de instanța de judecată sau respins. Dacă este aprobat sau confirmat, după executarea planului procedura se închide, iar debitorul formulează o cerere de ștergere a datoriilor reziduale. Instanţa dispune eliberarea debitorului de datoriile reziduale dacă planul a fost realizat.

Dacă planul a fost respins, procedura se închide.

În cazul insolvenței prin lichidare de active, după întocmirea tabelului de creanțe se procedează la inventarierea bunurilor debitorului și la valorificarea lor. Din sumele obținute se achită creanțele creditorilor. După închiderea procedurii, debitorul va mai efectua plăți către creditori pentru stingerea creanțelor maximum 5 ani. După această perioadă instanța poate dispune eliberarea de datorii.

Chestiuni speciale privind insolvența persoanei fizice

Debitorul are o serie de obligații și intericții pe perioada procedurii și după, cum sunt:

  • să informeze lichidatorul cu privire la obţinerea oricăror venituri suplimentare,
  • să comunice lichidatorului, trimestrial, o situaţie cu privire la viramentele efectuate,
  • să desfăşoare, în condiţiile legii, potrivit abilităţilor şi pregătirii sale profesionale, o activitate producătoare de venituri sau să caute un loc de muncă mai bine remunerat, iar în situaţia pierderii locului de muncă să depună toată diligenţa pentru obţinerea unui nou loc de muncă,
  • să participe la cursuri/programe de educaţie financiară organizate de comisia de insolvenţă,
  • nu poate contracta noi împrumuturi, cu anumite excepții,
  • nu poate face donaţii,
  • nu poate refuza donaţii şi nu poate renunţa la moşteniri,
  • nu îşi mai poate exercita dreptul de dispoziţie asupra bunurilor urmăribile şi veniturilor urmăribile din averea sa.

Interesant este că administratorul procedurii poate analiza și propune măsuri privind locuinţa familiei pe durata procedurii. Astfel, se vor avea în vedere costurile locuinței (chiria, rata, impozit, întreținere etc.), nevoile de locuit ale debitorului şi ale familiei sale şi veniturile debitorului. Imobilul locuinţă a familiei poate să fie valorificat pentru acoperirea pasivului.

Legea vorbește și despre venituri neurmăribile, adică acelea necesare acoperirii cheltuielilor pentru asigurarea unui nivel de trai rezonabil. Din această categorie fac parte: sumele necesare asigurării nevoilor locative, hrană, transport, sănătate şi a altor nevoi curente ale debitorului şi persoanelor cărora le prestează întreţinere în mod curent, sumele necesare debitorului şi persoanelor cărora le prestează întreţinere în mod curent pentru susţinerea cursurilor de învăţământ obligatoriu, precum şi sumele necesare începerii sau continuării studiilor postliceale, universitare sau postuniversitare, ori sumele necesare plăţii primelor de asigurare obligatorie. Criteriile pentru stabilirea nivelului de trai rezonabil vor fi stabilite anual de comisia de insolvenţă. 

De asemenea, există și categoria bunurilor neurmăribile, care nu pot fi supuse valorificării în procedura de insolvență. De exemplu: bunurile de uz personal sau casnic, inclusiv mobilierul, dar fără ca valoarea fiecăruia să depăşească 5.000 de lei; un vehicul, dacă acesta este în mod indispensabil necesar debitorului şi familiei sale inclusiv pentru deplasarea de la/către locul de muncă şi care valorează cel mult 5.000 de euro, iar costul dobândirii sale nu face obiectul unei creanţe împotriva averii debitorului; alimentele necesare debitorului şi persoanelor aflate în întreţinerea sa pe durata desfăşurării procedurii.

Legea vorbește și despre datorii care nu pot fi supuse unor măsuri de eşalonare, reducere ori ştergere. Sunt incluse în această categorie obligaţiile legale sau convenţionale de întreţinere, ultimele neputând depăşi un prag de 5 salarii medii pe an, obligaţiile rezultate din atragerea răspunderii penale şi contravenţionale.

În plus, calitatea de debitor în procedura insolvenţei se poate transmite. Moștentorii pot continua executarea planului de rambursare, dacă toţi creditorii sunt de acord.

Concluzii

Legea este binevenită, în condițiile în care va reuși să ajute persoanele de bună-credință aflate în dificultate financiară.

Totuși, procedura este complicată și implică o intervenție a unor necunoscuți în viața personală a debitorului. De aceea, rămâne de văzut câte persoane vor dori să beneficieze de această lege.

De asemenea, sunt o serie de elemente sensibile pe care legea le prevede, cum ar fi: stabilirea nivelului de trai rezonabil de către comisia de insolvență, probabilitate rezonabilă a debitorului de a redeveni capabil să îți execute obligațiile, nevoi locative și curente ale debitorului, obligaţii excesive, capacitatea situaţiei financiare a debitorului de a fi iremediabil compromisă.

Așteptăm cu interes practică în acest domeniu, pe care o vom împărtăși pe blogul Start Lawyers.

Pentru mai multe detalii, contactați-ne aici.