Posts

Listele de susținători și GDPR

/in /by

Listele de susținători – instrumente de colectare a datelor cu caracter personal de către partidele politice

Cu siguranță mulți dintre dvs. ați fost invitați să semnați pe listele de susținători folosite de partidele politice. Probabil ați observat că, pe lângă semnătură, este nevoie să furnizați mai multe date cu caracter personal cum ar fi: nume, prenume, cetățenia, data nașterii, adresa datele actului de identitate (denumire/serie/număr). Aceste date trebuie să fie prelucrate conform legii iar drepturile dvs. trebuie să fie protejate. Modelul listei susținătorilor poate fi consultat aici.

Prin semnarea listei de susținere vă exprimați o opinie politică, aceasta încadrându-se în categoria datelor cu caracter special.

Am observat că majoritatea celor care strâng semnături pe listele de susținători nu oferă persoanelor vizate o minimă informare cu privire la prelucrarea datelor lor cu caracter personal. Simpla precizare că respectă GDPR-ul nu este suficientă.

Prevederi legale aplicabile

Prin Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, legiuitorul român a introdus o derogare pentru partidele politice, organizațiile cetățenilor aparținând minorităților naționale și ONG. Conform legii, acestea pot prelucra date cu caracter personal și special, fără consimțământul expres al persoanei vizate, în vederea realizării obiectivelor acestora, dar cu condiția să se prevadă anumite garanții:

  1. informarea persoanei vizate despre prelucrarea datelor cu caracter personal;
  2. garantarea transparenței informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate;
  3. garantarea dreptului de rectificare și ștergere.

Char dacă există această derogare cu privire la obținerea consimțământului, partidele politice, în calitate de operatori, trebuie să respecte principiile generale ale GDPR în special cele privind legalitatea prelucrării, responsabilitatea, minimizarea, exactitatea și confidențialitatea prelucrării.

Cum ar trebui să acționeze partidele politice?

În activitatea de strângere a semnăturilor, mai înainte de a solicita semnătura și datele persoanelor vizate, reprezentanții partidelor politice trebuie informeze corect și complet asupra modului de prelucrare a datelor cu caracter personal conform art. 13 din GDPR. Indiferent de derogarea făcută prin Legea nr. 190/2018, persoanele vizate trebuie să știe:

  • cine le prelucrează datele;
  • în ce scop și pe baza cărui temei juridic se face prelucrarea;
  • dacă datele lor vor fi sau nu transferate;
  • cât timp se vor prelucra;
  • ce drepturi au cu privire la modul de prelucrare a datelor lor;
  • dacă datele lor sunt prelucrate în cadrul unui proces decizional automatizat care include și crearea de profiluri.

În plus, persoanele care sunt implicate în activitatea de completare a listelor de susținători trebuie să fie instruite cu privire la legislația privind protecția datelor și cu privire a obligațiile și răspunderea lor în ceea ce privește respectarea legislației privind protecția datelor și a confidențialității.

Prelucrarea datelor biometrice – amendă GDPR în Polonia

/in /by

Potrivit comunicatului de presă din data de 05/03/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă în cuantum de aproximativ 4.700 euro pentru nerespectarea prelucrării datelor biometrice ale copiilor atunci când foloseau cantina școlară.

Situația de fapt

Pentru a accesa cantina școlii elevii trebuiau să fie identificați cu ajutorul unui sistem de recunoaștere a amprentelor. Conform regulamentului privind accesul la cantină (publicat pe site-ul școlii), acest sistem nu era obligatoriu pentru toți elevii însă cei care nu au dorit să-l folosească trebuiau să stea la sfârșitul cozii și să intre în cantină, unul câte unul, după ce au intrat toți elevii cu identificare biometrică.

Folosind acest sistem de identificare biometrică, școala a prelucrat nelegal datele a 680 de copii.

În urma investigației efectuate din oficiu, autoritatea a constatat următoarele:

  • scopul pentru care a fost implementat sistemul de identificare biometrică a fost acela de a identifica elevii care au plătit taxa de cantină;
  • temeiul de drept utilizat a fost consimțământul scris al părinților sau al reprezentanților legali;
  • în perioada anului școlar 2019-2020, 680 de elevi utilizau sistemul biometric și doar 4 elevi utilizau un sistem alternativ de identificare.

Încălcările legislației

Pentru analizarea situației s-au avut în vedere următoarele:

  • situația persoanelor vizate: copiii – pentru care se impune o protecție specială a datelor cu caracter personal;
  • tipul de date prelucrate – date biometrice, date speciale, care nu se schimbă în timp și necesită o protecție specială;
  • riscul în cazul unei breșe de securitate – este un risc ridicat în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate ținând cont de caracterul special al datelor.

De ce consimțământul nu a fost considerat un temei legal de prelucrare?

Conform art. 9 alin. (2) lit. a), categoriile speciale de date pot fi prelucrate pe baza consimțământului explicit al persoanei vizate. În speță este vorba despre categorii speciale de date iar consimțământul a fost obținut. Deci, din ce motiv a fost sancționată școala?

În comunicatul de presă se precizează că indiferent de obținerea consimțământului, raportat la scopul prelucrării, aceasta a fost considerată excesivă. Prelucrarea datelor biometrice nu este esențială pentru atingerea scopului prelucrării – identificarea elevilor care au achitat taxa de cantină. Acest scop putea fi atins și în alt mod care să nu implice prelucrarea categoriilor speciale de date.

Chiar dacă nu a fost precizat în mod expres, operatorul nu a respectat principiul reducerii la minimum a datelor prelucrate și nu s-a limitat la ceea ce este necesar pentru îndeplinirea scopului.

Măsurile luate de UODO:

  • aplicarea amenzii în cuantum de aproximativ 4.700 euro;
  • obligarea operatorului de a șterge toate datele prelucrate ilegal;
  • obligarea operatorului de a înceta prelucrarea de date nelegală.

Necesitatea efectuării unei evaluări a impactului asupra protecției datelor (DPIA)

În cuprinsul comunicatului de presă, nu se fac referiri la existența unei evaluări a impactului asupra protecției datelor. Ținând cont de tipul de date prelucrate (date biometrice) și conform considerentului 91 din GDPR, în speță ar fi trebuit să se efectueze o evaluare de impact. În acest sens este și lista Autorității din Polonia privind tipul de operațiuni de prelucrare care fac obiectul cerinței pentru o evaluare a impactului privind protecția datelor în conformitate cu articolul 35 alineatul (4) din GDPR, listă care la punctul 5 prevede necesitatea efectuării DPIA în cazul prelucrării datelor biometrice în scopul identificării unice a unei persoane fizice sau verificării controlului accesului în anumite zone. Lista (în limba engleză) poate fi consultată aici.

CNIL – Regulamentul tip “biometrie la locul de muncă” (date biometrice)

/in , /by

Context

În urma unei consultări publice efectuate în perioada 03 – 30.09.2018, Autoritatea de supraveghere din Franța (CNIL) a adoptat Regulamentul tip “biometrie la locul de muncă”. Acest document precizează obligațiile angajatorilor care doresc să utilizeze dispozitive biometrice pentru a controla accesul la spațiile, aplicațiile și instrumentele de lucru.

Demersul a fost necesar ca urmare a adoptării în Franța a Legii nr. 2018-493 din 20 iunie 2018 cu privire la protecția datelor cu caracter personal, lege care a încredințat CNIL o misiune nouă, aceea de a stabili și publica, în consultare cu organismele publice și private, “reglementări tip care să asigure securitatea sistemelor de prelucrare a datelor cu caracter personal și să guverneze prelucrarea datelor biometrice, genetice și de sănătate”.

Scop

Scopul regulamentului tip (care poate fi accesat aici) este acela de a stabili cerințe specifice pentru prelucrarea datelor biometrice necesare controlului exercitat de angajatorii publici sau privați cu privire la accesul la locurile de muncă, cât și la aparatele și aplicațiile utilizate în cadrul sarcinilor încredințate angajaților, agenților, stagiarilor sau prestatorilor de servicii (denumiți “persoane vizate”).

Conținut

Regulamentul tip definește noțiunea de “șablon” ca fiind rezultatul prelucrării înregistrării brute (fotografie, înregistrare audio etc.) a caracteristicilor biometrice printr-un algoritm care face imposibilă reconstituirea lor. Șabloanele sunt date biometrice derivate și trebuie să se distingă de datele de la care derivă caracteristicile biometrice. În alte cuvinte, „șablonul” este o reprezentare matematică a originalului biometric.

Se precizează că utilizarea dispozitivelor biometrice care intră sub incidența acestei reglementări standard este permisă numai în următoarele scopuri:

  • controlul accesului la spațiile identificate expres de către organizație ca fiind restricționate pentru circulație;
  • controlul accesului la dispozitivele profesionale limitate și aplicațiile IT ale organizației.

Operatorii care utilizează dispozitive biometrice în scopul indicat de regulament trebuie să justifice și să demonstreze necesitatea efectuării unei astfel de prelucrări.

În cuprinsul documentului sunt enumerate și datele cu caracter personal care pot fi prelucrate prin intermediul dispozitivelor biometrice de control al accesului. Acestea pot fi:

  • Date furnizate de angajator sau de agenții săi (date de identificare);
  • Datele generate de dispozitivul folosit (date din jurnal).

Reglementarea interzice ca la locul de muncă să se utilizeze un model de autentificare biometrică ce ar necesita eșantionare biologică ( prin salivă, sânge, etc.). Astfel, este permisă doar autentificarea biometrică efectuată pe baza caracteristicilor morfologice ale persoanelor în cauză (iris, amprentă, rețeaua venoasă a mâinii etc.).

Este important de reținut că alegerea tipului (tipurilor) de biometrie trebuie să fie justificată și documentată de către angajator, inclusiv motivul utilizării unei caracteristici biometrice, și nu a alteia.

Regulamentul tip mai cuprinde referiri cu privire la:

  • Persoane îndreptățite să prelucreze datele;
  • Alegerea modalităților de păstrare a șablonului;
  • Modalitățile și durata conservării datelor;
  • Informarea persoanelor vizate;
  • Securitatea datelor;
  • Necesitatea efectuării unei DPIA.

Până când ANSPDCP hotărăște să sprijine operatorii români prin oferirea de opinii, interpretări sau regulamente de tipul celui despre care am scris, nu ne rămâne decât să folosim materialele furnizate de alte autorități mai active și mai responsabile.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (V – Categorii speciale de date)

/in , /by

Încheiem seria de articole privind responsabilul cu protecția datelor personale cu explicații despre noțiunea de categorii speciale de date.

Categorii speciale de date

În sfârșit, avem o noțiune definită clar de RGPD prin art. 9 alin. (1): sunt categorii speciale de date cu caracter personal acele date „care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.”

Studiu de caz

În exemplul nostru privind magazinul online, nu avem motive să credem că acesta ar solicita date dintre cele aparținând categoriilor speciale pentru crearea conturilor clienților pentru cumpărăturile online, astfel încât în măsura în care nu prelucrează astfel de date, lui nu i se aplică acest caz.

Cu toate acestea, dacă însumăm toate elementele analizate în articolele precedente prin raportare la activitatea unui magazin online, putem concluziona că acesta are nevoie de un responsabil cu protecția datelor dacă:

  • magazinul online folosește datele clienților săi pentru a transmite newslettere ori pentru a transmite sugestii de achiziții adiacente celor deja efectuate pe site
  • magazinul online are un număr relativ mare de clienți cu conturi pe site dintr-o anumită arie geografică, raportat la populația existentă în acea arie geografică.

Întrucât este greu de controlat numărul clienților/conturilor acestora pe site, astfel încât este greu de apreciat când prelucrarea este pe scară largă, considerăm că un magazin online ar trebui să își desemneze un responsabil cu prelucrarea datelor încă de la început.

Recomandarea A.N.S.P.D.C.P. privind desemnarea responsabilului

Mai mult, pe site-ul A.N.S.P.D.C.P. puteți găsi următoarea recomandare: „Deși în unele cazuri nu este necesară desemnarea unui responsabil cu protecția datelor, Autoritatea de Supraveghere recomandă numirea unei astfel de persoane, întrucât este utilă operatorului pentru respectarea obligațiilor în domeniul protecției datelor cu caracter personal.

Concluzii

Ținând cont de faptul că sunt precizate doar două situații clare în care nu este obligatorie numirea unui responsabil cu protecția datelor (a se vedea aici), recomandarea A.N.S.P.D.C.P. se poate transforma într-o realitate dură și anume aceea în care Autoritatea de Supraveghere să considere obligatorie numirea unui responsabil cu protecția datelor în mai toate cazurile care nu se subscriu celor două exemple: medic și avocat.

 

Considerăm că este nevoie de mai multă preocupare din partea A.N.S.P.D.C.P. pentru a clarifica modul de aplicare a noilor reguli, sau cel puțin pentru a ne informa asupra modului în care aceasta înțelege RGPD, prin publicarea de puncte de vedere și exemple practice raportate la situații de fapt specifice realității economice a țării noastre.    

 

Puteți citi artcolele anterioare pe subiectul responsabilului cu protecția datelor personale aici, aici, aici și aici.