RGPD și certificarea în conformitate cu ISO27001

/in , , /by

Ce este ISO / IEC 27001?

Standardul ISO/IEC 27001:2013 este un standard internațional de securitate a informației și constă într-o specificație pentru sistemul de management al securității informației (SMSI).

Structura standardului include:

  1. Domeniul de aplicare a standardului,

  2. Modalitatea în care se efectuează referințe în documente,

  3. Reutilizarea termenilor și definițiilor din ISO/IEC 27000,

  4. Context organizațional și părțile interesate,

  5. Sprijin la nivelul cel mai înalt al conducerii pentru securitatea informației și politica organizației,

  6. Planificarea unui sistem de management al securității informației; evaluarea riscurilor; tratarea riscului,

  7. Sprijinirea unui sistem de management al securității informației,

  8. Realizarea unui sistem de management al securității informației operaționale,

  9. Revizuirea performanței sistemului,

  10. Acțiune corectivă.

Prin ce poate ajuta certificarea ISO27001

Elementele relevante ale standardului ISO27001 care pot ajuta companiile să faciliteze implementarea RGPD sunt următoarele:

  • evaluarea riscurilor;

  • conformitatea;

  • înștiințarea privind încălcarea protecției datelor;

  • managementul datelor cu caracter personal;

  • abordarea privacy by design;

  • protejarea datelor personale în relația cu furnizorii.

Certificarea în conformitate cu ISO / IEC 27001 nu este suficientă

Cu toate că ISO27001 ajută la implementarea RGPD, există unele cerințe ale regulamentului care nu sunt acoperite în mod direct de acest standard, cum ar fi dreptul persoanelor vizate:

  • de a fi informate asupra colectării;

  • la ștergerea datelor;

  • la portabilitatea datelor.

Prin urmare, chiar dacă un operator deține certificarea în conformitate cu ISO / IEC 27001, aceasta nu înseamnă că activitatea sau organizarea acestuia este în conformitate cu prevederile RGPD.

DPO – Independență. Conflict de interese

/in , , /by

Am scris pe acest blog despre nivelul de expertiză și calitățile profesionale ale responsabilului cu protecția datelor. Pe lângă aceste aspecte, este foarte important de știut că responsabilul cu protecția datelor trebuie să fie independent și să nu se afle în conflict de interese.

Prevederile legale din RGPD

Astfel, în cuprinsul considerentului nr. 97 se prevede că „Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”

În ceea ce privește conflictul de interese, articolul nr. 38 alin. (6) precizează că atribuțiile responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese în situația în care acesta îndeplinește și alte sarcini și atribuții în cadrul organizației.

Având în vedere aceste prevederi, se pune următoarea întrebare: cum ne putem da seama că responsabilul cu protecția datelor este independent și deci, nu se află în conflict de interese?

Lămuriri ale Grupului de lucru „Articolul 29”

Regulamentul nu oferă astfel de exemple. Pentru astfel de situații, șa cum ne-am obișnuit, Grupul de lucru „Articolul 29” ne oferă unele indicii precizând că nu sunt candidați potriviți pentru poziția de DPO persoanele cu funcții de conducere superioare, cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

Mai mult, se arată că un conflict de interese poate apărea de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

Practica Autorității pentru Protecția Datelor din Bavaria pentru sectorul privat

Deși ne oferă unele indicii despre cum să procedăm la numirea responsabilului cu protecția datelor, opinia Grupului de lucru „Articolul 29” este orientativă, autoritățile de supraveghere putând avea o opinie mai restrictivă. De exemplu, Autoritatea pentru Protecția Datelor din Bavaria pentru sectorul privat a precizat într-un raport de activitate că membrii departamentului juridic pot, în anumite cazuri, să fie în conflict de interese care să îi descalifice să acționeze ca DPO. Conform celor menționate în raport, în cazul în care consilierul juridic poate reprezenta societatea într-o procedură legală (în special în ceea ce privește acțiunile în justiție împotriva angajaților sau a clienților, care pot include aspecte legate de protecția datelor personale), consilierul juridic este supus unui conflict de interese și, prin urmare, nu este independent.

În practică se pot întâlni o multitudine de situații care pot fi asimilate ca situații de incompatibilitate sau conflict de interese. Rămâne să vedem și punctul de vedere al ANSPDCP atunci când va fi exprimat.

RGPD. Informarea persoanei vizate – principalele puncte de atins

/in , , /by

Ca și în legislația actuală din materia protecției datelor personale, prin RGPD s-a prevăzut obligația informării persoanei vizate la momentul preluării consimțământului său cu privire la numeroase aspecte. Însă spre deosebire de prezent, RGPD subliniază o importanță crescută a acestei informări și instituie informații suplimentare de comunicat către cei cărora operatorii le prelucrează datele.

1. Informații despre prelucrarea datelor: scop, temei, perioadă, transfer

Operatorii trebuie să ofere persoanelor vizate detalii cu privire la scopul prelucrării și temeiul prelucrării (dacă acesta nu este consimțământul, dar este de exemplu un contract). Dacă operatorul dorește să folosească datele în alt scop decât cel inițial, el trebuie să informeze persoana vizată și să îi ceară consimțământul, dacă este necesar.

De asemenea, trebuie comunicate informații cu privire la perioada prelucrării și ce se întâmplă cu datele la finalul acesteia, dar și cu privire la logica de prelucrare automată a datelor.

În situația în care datele sunt transferate și unei alte persoane, această informație trebuie adusă la cunoștința persoanei vizate, împreună cu motivul transferului și identitatea destinatarului lor.

2. Drepturile persoanei vizate

Este foarte important ca persoanei vizate să i se comunice drepturile pe care le are conform legislației, iar dintre acestea amintim: dreptul de acces la date, de rectificare a lor, de ștergere a acestora, de a se opune prelucrării, de portabilitate a datelor, de a fi informată cu privire la încălcări ale legii.

Mai multe despre drepturile persoanei vizate vom scrie într-un articol ulterior, dată fiind importanța lor semnificativă,

3. Dreptul de a se opune prelucrării în scop de marketing direct

Regulamentul dă o importanță sporită prelucrării datelor în scop de marketing direct și creării de profiluri legate de marketingul direct, instituind obligația de a informa separat și în mod expres persoana vizată că are dreptul de a se opune la o astfel de prelucrare și creare de profiluri.

Totodată, trebuie informate persoanele vizate despre consecințele prelucrării, în special dacă prelucrarea se bazează pe crearea de profiluri.

4. Dreptul de a formula plângeri și cereri. Datele de identificare ale operatorului și autorității naționale

Persoana vizată trebuie să știe că are dreptul de a formula plângere împotriva modului în care i se prelucrează datele ori împotriva oricărei acțiuni ce încalcă RGPD. Plângerea se poate înainta atât operatorului, cât și autorității naționale.

De asemenea, persoana vizată are dreptul de a formula cereri în exercitarea drepturilor sale prevăzute la punctul 2.

Operatorul trebuie să răspundă oricărei cereri sau plângeri primite de la persoana vizată în maximum o lună, conform RGPD.

Operatorul trebuie să informeze persoana vizată cu privire la datele sale de identificare și de contact, dar și cu privire la datele de identificare și de contact ale autorității naționale – în cazul nostru Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Excepții de la obligativitatea informării

RGPD prevede și excepții de la obligativitatea informării persoanelor vizate cu privire la cele de mai sus în următoarele cazuri:

  1. persoanele vizate dețin deja informațiile respective;
  2. înregistrarea sau divulgarea datelor e prevăzută în mod expres de lege;
  3. informarea persoanelor vizate se dovedește imposibilă;
  4. informarea persoanelor vizate ar implica eforturi disproporționate.

Nu lăsați pe ultima sută de metri implementarea măsurilor prevăzute de RGPD, așa că ne puteți contacta aici pentru mai multe detalii.

Activitatea de creare de programe pentru calculator. Lista ocupațiilor scutite de la plata impozitului pe veniturile din salarii

/in , , /by

Începând cu data de 1 februarie 2018 intră în vigoare Ordinul nr. 1168/2017 / 492/2018 / 3024/2018 / 3337/2017 privind încadrarea în activitatea de creare de programe pentru calculator.

Conform acestui act normativ vor beneficia de scutire de la plata impozitului pe veniturile din salarii și asimilate salariilor angajații operatorilor economici care își desfășoară activitatea pe teritoriul României în conformitate cu legislația în vigoare, al căror obiect de activitate include crearea de programe pentru calculator (cod CAEN 5821, 5829, 6201, 6202, 6209).

Condiții pentru a beneficia de scutire

Pentru ca scutirea să se poată aplica trebuie să fie îndeplinite cumulativ următoarele condiții:

a) posturile pe care sunt angajați corespund listei cuprinzând ocupațiile menționate în anexa ordinului;

b) postul face parte dintr-un compartiment specializat de informatică, evidențiat în organigrama angajatorului, cum ar fi: direcție, departament, oficiu, serviciu, birou, compartiment sau altele similare;

c) angajații dețin o diplomă acordată după finalizarea unei forme de învățământ superior de lungă durată sau de scurtă durată sau dețin o diplomă acordată după finalizarea ciclului I de studii universitare de licență, eliberată de o instituție de învățământ superior acreditată sau dețin o diplomă de bacalaureat și urmează cursurile unei instituții de învățământ superior acreditate și prestează efectiv una dintre activitățile prevăzute în anexa ordinului;

d) angajatorul a realizat în anul fiscal precedent și a înregistrat distinct în balanțele analitice venituri din activitatea de creare de programe pentru calculator destinată comercializării;

e) veniturile anuale prevăzute la lit. d) au o valoare de cel puțin echivalentul în lei a 10.000 euro (calculat la cursul de schimb valutar mediu lunar comunicat de Banca Națională a României, aferent fiecărei luni în care s-a înregistrat venitul) pentru fiecare angajat care beneficiază de scutirea de impozit pe venit.

Lista cu ocupațiile specifice activităților de creare de programe pentru calculator.

Ocupațiile specifice activităților de creare de programe pentru calculator prevăzute în anexa ordinului sunt următoarele:

  • Administrator baze de date
  • Analist
  • Inginer de sistem în informatică
  • Inginer de sistem software
  • Manager de proiect informatic
  • Programator
  • Proiectant de sisteme informatice
  • Programator de sistem informatic
  • Programator ajutor
  • Analist ajutor

Față de scutirea de impozit a programatorilor din trecut, noutatea acestui ordin constă în includerea printre beneficiari și a celor care au absolvit liceul, au obținut diploma de bacalaureat, urmează cursurile unei facultăți din domeniul programării pe calculator și lucrează pe unul din posturile menționate mai sus.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (V – Categorii speciale de date)

/in , /by

Încheiem seria de articole privind responsabilul cu protecția datelor personale cu explicații despre noțiunea de categorii speciale de date.

Categorii speciale de date

În sfârșit, avem o noțiune definită clar de RGPD prin art. 9 alin. (1): sunt categorii speciale de date cu caracter personal acele date „care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.”

Studiu de caz

În exemplul nostru privind magazinul online, nu avem motive să credem că acesta ar solicita date dintre cele aparținând categoriilor speciale pentru crearea conturilor clienților pentru cumpărăturile online, astfel încât în măsura în care nu prelucrează astfel de date, lui nu i se aplică acest caz.

Cu toate acestea, dacă însumăm toate elementele analizate în articolele precedente prin raportare la activitatea unui magazin online, putem concluziona că acesta are nevoie de un responsabil cu protecția datelor dacă:

  • magazinul online folosește datele clienților săi pentru a transmite newslettere ori pentru a transmite sugestii de achiziții adiacente celor deja efectuate pe site
  • magazinul online are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică.

Întrucât este greu de controlat numărul clienților/conturilor acestora pe site, astfel încât este greu de apreciat când prelucrarea este pe scară largă, considerăm că un magazin online ar trebui să își desemneze un responsabil cu prelucrarea datelor încă de la început.

Recomandarea A.N.S.P.D.C.P. privind desemnarea responsabilului

Mai mult, pe site-ul A.N.S.P.D.C.P. puteți găsi următoarea recomandare: „Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

Concluzii

Ținând cont de faptul că sunt precizate doar două situații clare în care nu este obligatorie numirea unui responsabil cu protecția datelor (a se vedea aici), recomandarea A.N.S.P.D.C.P. se poate transforma într-o realitate dură și anume aceea în care Autoritatea de Supraveghere să considere obligatorie numirea unui responsabil cu protecția datelor în mai toate cazurile care nu se subscriu celor două exemple: medic și avocat.

 

Considerăm că este nevoie de mai multă preocupare din partea A.N.S.P.D.C.P. pentru a clarifica modul de aplicare a noilor reguli, sau cel puțin pentru a ne informa asupra modului în care aceasta înțelege RGPD, prin publicarea de puncte de vedere și exemple practice raportate la situații de fapt specifice realității economice a țării noastre.    

 

Puteți citi artcolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici, aici și aici.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (III – Monitorizare periodică și sistematică)

/in , /by

Continuăm seria explicațiilor privind noțiunile problematice ale art. 37 din RGPD cu aceea de ‘monitorizare periodică și sistematică’.

Monitorizarea periodică și sistematică

Nici în acest caz RGPD nu ne oferă o definiție expresă, cu atât mai mult cu cât în fapt avem trei noțiuni: „monitorizare”, „periodic” și „sistematic”. Putem, însă, să extragem anumite explicații ale acestora din analiza extinsă a instrucțiunilor formulate pentru RGPD și a considerentelor acestuia.

Monitorizare

În considerentul nr. 24 putem găsi conceptul de „monitorizare a comportamentului persoanelor vizate”: „Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia.”

Este foarte important să știm că în opinia Grupului de lucru „Articolul 29” noțiunea de monitorizare nu este restricționată în mediul online, iar urmărirea online ar trebui să fie considerată doar ca un exemplu de monitorizare a comportamentului persoanelor vizate.

Periodic

Tot Grupului de lucru „Articolul 29” i-a revenit sarcina de a ne ajuta și în acest caz, stabilind că „periodic” poate fi interpretat astfel:

  • în curs de desfășurare sau care apare la anumite intervale într-o anumită perioadă;
  • recurente sau repetate la perioade fixe;
  • constante sau care au loc periodic.

Sistematic

În aceeași manieră, Grupul de lucru „Articolul 29” interpretează termenul „sistematic” ca însemnând una sau mai multe din următoarele:

  • apărut conform sistemului prearanjat, organizat sau metodic;
  • luând loc ca parte a unui plan general de colectare a datelor;
  • efectuat ca parte a unei strategii.

Studiu de caz

Prin urmare, monitorizarea sistematică și periodică înseamnă urmărirea persoanelor vizate și/sau crearea de profiluri ale acestora în mod recurent/periodic/constant și în contextul unei strategii/plan/sistem.

Astfel, în exemplul nostru din articolul anterior, dacă magazinul online folosește datele clienților săi pentru a transmite newslettere ori pentru a transmite sugestii de achiziții adiacente celor deja efectuate pe site, putem concluziona că acesta efectuează o monitorizare sistematică și periodică a datelor personale.

 

Puteți citi articolele anterioare pe subiectul responsabilului cu protecția datelor personale aici și aici.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (II – Activitățile principale)

/in , , /by

Dintre noțiunile menționate în articolul anterior, cea pe care o vom analiza în acest articol este noțiunea de ”activități principale”.

Activitățile principale

RGPD nu definește activitățile principale în mod expres, însă le găsim menționate în considerentul nr. 97: „În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare.

A.N.S.P.D.C.P. ne informează că „Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

Conform Instrucțiunilor Grupului de lucru „Articolul 29” activitățile principale pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Din cuprinsul acestora nu pot fi excluse acele activități în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

Astfel, în exemplul oferit de Grupul de lucru „Articolul 29”, prelucrarea datelor privind starea de sănătate (dosarele medicale ale pacienților) ar trebui să fie considerată a fi una dintre activitățile principale în orice spital.

Pentru a ne ajuta să distingem între tipurile de activități și să identificăm mai ușor activitățile principale în sensul RGPD, le putem compara cu activitățile auxiliare, ce sunt definite de către Grupul de lucru „Articolul 29” astfel: funcții de sprijin necesare pentru activitatea de bază sau principală a organizației cum ar fi plata angajaților lor sau deținerea de activități standard de suport IT.

Studiu de caz

Analizând definițiile și informațiile menționate anterior, putem lua ca exemplu un magazin online. Deși activitatea principală prevăzută în actul constitutiv al societății este comerțul cu amănuntul prin intermediul caselor de comenzi sau prin internet, din perspectiva RGPD activitatea principală include și prelucrarea datelor clienților săi care și-au creat un cont pe site-ul magazinului și au achiziționat produsele vândute de acesta. Explicația constă în faptul că operatorul (magazinul online) nu ar putea vinde produsele sale fără a colecta datele personale ale clienților.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (I)

/in , /by

Începem astăzi o serie de articole despre noul concept introdus de RGPD de ”responsabil cu protecția datelor personale” (Data Protection Officer – DPO). Facem o analiză a dispozițiilor legale, dar și a instrucțiunilor Grupului de lucru ”Articolul 29” și a recomandărilor autorității românești din domeniu, astfel încât să răspundem la întrebarea ”Cine trebuie să desemneze un responsabil cu protecția datelor?” Află de la noi dacă și tu ai nevoie de un asemenea responsabil!

Ce stabilește RGPD cu privire la un astfel de responsabil cu protecția datelor?

Desemnarea obligatorie a responsabilului cu protecția datelor se face în următoarele cazuri:

  • când prelucrarea este efectuată de o autoritate publică sau un organism public, cu excepția instanțelor care acționează în exercițiul funcției lor jurisdicționale;
  • dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în operațiuni de prelucrare care necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă;
  • dacă activitățile principale ale operatorului sau ale persoanei împuternicite de operator constau în prelucrarea pe scară largă a unor categorii speciale de date sau a unor categorii de date cu caracter personal privind condamnări penale și infracțiuni.

Observăm, deci, că sunt prevăzute anumite criterii în funcție de care desemnarea devine obligatorie.

Însă aceste criterii necesită clarificări, fiindcă ele lasă loc de interpretări, RGPD lăsând în seama autorităților naționale să precizeze în mod specific cui i se aplică dispoziția obligatorie.

Astfel, principalele chestiuni de clarificat privesc următoarele noțiuni:

  • Activități principale;
  • Monitorizarea periodică și sistematică;
  • Pe scară largă;
  • Categorii speciale de date.

Ce ne spune Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.)?

Practic, nimic nou. Pe site-ul autorității sunt preluate informațiile direct din RGPD, cu mici nuanțări preluate din cuprinsul instrucțiunilor Grupului de lucru „Articolul 29”.

Vom detalia în articolele următoare fiecare dintre noțiunile precizate mai sus raportându-ne la modul în care acestea au fost explicate de A.N.S.P.D.C.P. și de Grupul de lucru „Articolul 29”.

RGPD – Consimțământul persoanei vizate

/in , /by

Din mai 2018, persoanele vizate cărora li se colectează si prelucrează date cu caracter personal își vor acorda consimțământul în condiții diferite decât în prezent.

Astfel, Regulamentul European definește consimțământul persoanei vizate ca fiind ”orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

Ce caracteristici trebuie să aibă consimțământul

În primul rând, observăm chiar din textul definiției faptul că pe viitor consimțământul trebuie acordat printr-o acțiune (declarație sau acțiune fără echivoc). Aceasta înseamnă că simpla mențiune existentă în prezent pe multe dintre site-uri care spune că ”prin continuarea navigării pe acest site sunteți de acord cu prelucrarea datelor dvs.” nu mai este suficientă.

Asfel, consimțământul va trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, informată și clară a acordului persoanei vizate. Astfel de acțiuni pot fi declarații scrise, inclusiv în format electronic, ce includ bifarea unei căsuțe atunci când persoana vizitează un site.

Pentru ca manifestarea să fie specifică, informată și clară, operatorul care urmează a prelucra datele trebuie să ofere informații clare, simple și transparente în ceea ce privește scopul prelucrării datelor, temeiul prelucrării, perioada de timp pentru care datele sunt prelucrate, dar și dreptul său de a-și retrage consimțământul oricând.

De asemenea, persoana vizată trebuie să fie informată privind identitatea operatorului și a responsabilului cu protecția datelor, destinatarul datelor și eventualele interese și intenții de transferuri ale acestora către state terțe.

Atenție! Dacă datele urmează a fi prelucrate pentru mai multe scopuri, consimțământul trebuie acordat pentru fiecare dintre acestea!

Când nu este considerat consimțământul ca fiind colectat în mod legal

Regulamentul stabilește că absența unui răspuns la solicitarea consimțământului, căsuțele bifate în prealabil pe site sau absența unei acțiuni nu consituie un consimțământ, în sensul legal.

Totodată, consimțământul este considerat a nu fi acordat în mod liber atunci când operatorul nu permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal sau dacă executarea unui contract, inclusiv furnizarea unui serviciu este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului.

Dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată, consimțământul nu este acordat în mod liber.

Dreptul persoanei vizate de a-și retrage consimțământul

Persoanele vizate au dreptul în orice moment de a-și retrage consimțământul și trebuie informate cu privire la acest drept chiar din momentul în care consimțământul le este cerut. În acest sens, vorbim de dreptul de a fi uitat. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea.

Astfel, din momentul retragerii consimțământului, operatorul este obligat să șteargă datele personale cu privire la acea persoană, fără ca acest lucru să afecteze legalitatea prelucrării anterioare retragerii consimțământului. Obligația de ștergere cunoaște și excepții care numără printre altele păstrarea în interes public, pentru exercitarea dreptului la libertatea de exprimare și informare ori pentru respectarea unei obligații legale.

Obligația de eliminare a datelor se aplică atât pentru operator, cât și pentru toate persoanele cărora le-au fost transferate, inclusiv dacă datele au fost făcute publice.

Cazul special al consimțământului acordat de copii

Potrivit RGPD, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

 

Prin urmare, obținerea consimțământului persoanelor vizate pentru prelucrarea datelor personale ale acestora trebuie făcută cu mare atenție în vederea respectării cerințelor legale, care sunt mult mai drastice din mai 2018.

Este important de precizat că operatorii trebuie să poată face dovada faptului că au primit consimțământul și că acesta îndeplinește condițiile legale.

Așteptăm eventualele întrebări pe adresa noastră de contact.

Black Friday – ABC legislativ

/in , /by

Black Friday se apropie și, pe lângă ceea ce dorim să cumpărăm, este bine să știm cum se desfășoară legal această campanie și la ce să fim atenți. Prin urmare, am considerat că prezintă interes pentru dumneavoastră să vă reamintim ce spune legea despre vânzările promoționale.

Black Friday – vânzare promoțională sau lichidare de stoc?

Destul de multe persoane consideră că reducerile de Black Friday sunt de fapt lichidări de stoc. Pentru a lămuri ce fel de reducere este cea de Black Friday, vom reproduce în cele ce urmează definițiile date de legiuitor.

Ordonanța nr. 99/2000 privind comercializarea produselor și serviciilor de piață definește vânzările promoționale ca fiind vânzările cu amănuntul/vânzările cash and carry/prestările de servicii de piață care pot avea loc în orice perioadă a anului, fără să facă obiectul notificării, cu condiția ca:

  • să nu fie efectuate în pierdere;
  • să se refere la produse disponibile sau reaprovizionabile, precum și la servicii vândute ori, după caz, prestate în mod curent;
  • produsele și serviciile promovate trebuie să existe la vânzare pe durata întregii perioade anunțate a vânzărilor promoționale sau comerciantul va informa consumatorii că oferta este valabilă numai în limita stocului disponibil.

Prin vânzare de lichidare se înțelege orice vânzare precedată sau însoțită de publicitate și anunțată sub denumirea de “lichidare” și care, printr-o reducere de prețuri, are ca efect vânzarea accelerată a totalității sau numai a unei părți din stocul de produse dintr-o structură de vânzare cu amănuntul.

Prin urmare, cele două noțiuni sunt diferite, iar reducerile de Black Friday nu sunt și nu pot fi în mod legal lichidări de stoc.

Reguli de fixare și publicitate a prețurilor de Black Friday

Promoțiile de Black Friday trebuie să respecte următoarele reguli pentru a se încadra în limitele legii:

  • reducerea de preț trebuie să se raporteze la prețul de referință practicat în același spațiu de vânzare pentru produse sau servicii identice;

  • orice anunț de reducere de prețuri, indiferent de forma, modul de publicitate și motivația reducerii, trebuie să se adreseze ansamblului consumatorilor și să indice în cifre o reducere în raport cu prețurile de referință;

  • este interzis ca o reducere de preț pentru un produs și/sau serviciu să fie prezentată consumatorilor ca o ofertă gratuită a unei părți din produs și/sau serviciu.

Prețul de referință reprezintă cel mai scăzut preț practicat în același spațiu de vânzare în perioada ultimelor 30 de zile, înainte de data aplicării prețului redus.

Dacă aveți calitatea de comerciant ar trebui să acordați atenție maximă următoarelor precizări.

Nu sunt considerate vânzări promoţionale:

  • acțiunile de promovare efectuate de producători;
  • acțiunile de lansare de produse/servicii noi pe piață.

Publicitatea prin catalog și ofertele de reducere de prețuri lansate de comercianții care practică vânzarea prin corespondență pot fi valabile numai până la epuizarea stocurilor, cu condiția ca această mențiune să figureze vizibil și lizibil în catalog.

Toate documentele justificative legale care atestă veridicitatea prețului de referință trebuie să fie păstrate pentru a putea fi prezentate ori de câte ori este nevoie organelor de control abilitate. Nerespectarea acestei prevederi se sancționează cu amendă de la 2.000 lei la 10.000 lei.

Orice anunţ de reducere de preţuri ce nu corespunde reducerii practicate efectiv în raport cu preţul de referinţă este considerat o formă de publicitate înşelătoare şi este sancţionat conform reglementărilor legale în vigoare.

Anunțul promoțional

Conținutul anunțului privind reducerea de prețuri este reglementat special de Normele metodologice ale O.G. nr. 99/2000 și trebuie să precizeze:

  • reducerea efectivă în raport cu preţul de referinţă, care reprezintă cel mai scăzut preţ practicat în aceeaşi suprafaţă de vânzare, pentru produse sau servicii identice, în perioada ultimelor 30 de zile calendaristice înainte de data aplicării preţului redus;

  • produsele sau serviciile ori categoriile de produse sau servicii la care se referă anunţul publicitar;

  • perioada pentru care produsele sau serviciile respective sunt oferite la preţ redus; în cazul lichidărilor şi soldărilor această condiţie poate fi înlocuită de menţiunea: “până la epuizarea stocului”. Această menţiune poate fi folosită şi în cazul vânzărilor promoţionale.

Cerințele de mai sus se aplică oricărui anunţ de reducere de preţuri, indiferent de:

  • formă – afişe pe vitrine, prospecte, anunţuri în presă, radio, televiziune sau orice altă formă;

  • modul de publicitate – scrisă, orală sau orice alt mod;

  • motivația reducerii – soldări, lichidări sau orice altă motivație.

În cazul în care constatați nerespectarea regulilor de desfășurare a campaniei promoționale vă recomandăm ca mai înainte de a efectua orice acțiune să încercați să rezolvați problema cu reprezentanții magazinului în cauză urmând ca ulterior să sesizați Comisariatul Regional pentru Protecția Consumatorilor competent. Lista comisariatelor o puteți consulta aici.