company Archives – Start Lawyers

Ghid autorizare activități la Registrul Comerțului

February 12, 2018/in Companies, Corporate, Ghiduri /by Roxana

Atunci când o companie înființează un sediu, principal ori secundar, unde desfășoară activități, ea trebuie să obțină de la Registrul Comerțului autorizare pentru acele activități.

Știm că pentru antreprenori, în special cei aflați la început de drum, pare extrem de dificil să se ocupe de aceste formalități. Așa că venim în sprijinul vostru, dragi antreprenori, cu un ghid unde explicăm pas cu pas cum să completați formularele necesare și cum să constituiți dosarul pentru a fi gata de depus la Registrul Comerțului.

Ghidul poate fi descărcat de aici.

Stați pe aproape, urmează și altele!

Pentru a fi mereu la curent cu noutățile, vă invităm să dați like paginii noastre de facebook aici.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (II – Activitățile principale)

December 3, 2017/in Companies, Data protection, persoane fizice /by Stefan

Dintre noțiunile menționate în articolul anterior, cea pe care o vom analiza în acest articol este noțiunea de ”activități principale”.

Activitățile principale

RGPD nu definește activitățile principale în mod expres, însă le găsim menționate în considerentul nr. 97: „În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare.”

A.N.S.P.D.C.P. ne informează că „Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.”

Conform Instrucțiunilor Grupului de lucru „Articolul 29” activitățile principale pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Din cuprinsul acestora nu pot fi excluse acele activități în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

Astfel, în exemplul oferit de Grupul de lucru „Articolul 29”, prelucrarea datelor privind starea de sănătate (dosarele medicale ale pacienților) ar trebui să fie considerată a fi una dintre activitățile principale în orice spital.

Pentru a ne ajuta să distingem între tipurile de activități și să identificăm mai ușor activitățile principale în sensul RGPD, le putem compara cu activitățile auxiliare, ce sunt definite de către Grupul de lucru „Articolul 29” astfel: funcții de sprijin necesare pentru activitatea de bază sau principală a organizației cum ar fi plata angajaților lor sau deținerea de activități standard de suport IT.

Studiu de caz

Analizând definițiile și informațiile menționate anterior, putem lua ca exemplu un magazin online. Deși activitatea principală prevăzută în actul constitutiv al societății este comerțul cu amănuntul prin intermediul caselor de comenzi sau prin internet, din perspectiva RGPD activitatea principală include și prelucrarea datelor clienților săi care și-au creat un cont pe site-ul magazinului și au achiziționat produsele vândute de acesta. Explicația constă în faptul că operatorul (magazinul online) nu ar putea vinde produsele sale fără a colecta datele personale ale clienților.

RGPD – Consimțământul persoanei vizate

November 20, 2017/in Companies, News /by Roxana

Din mai 2018, persoanele vizate cărora li se colectează si prelucrează date cu caracter personal își vor acorda consimțământul în condiții diferite decât în prezent.

Astfel, Regulamentul European definește consimțământul persoanei vizate ca fiind ”orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

Ce caracteristici trebuie să aibă consimțământul

În primul rând, observăm chiar din textul definiției faptul că pe viitor consimțământul trebuie acordat printr-o acțiune (declarație sau acțiune fără echivoc). Aceasta înseamnă că simpla mențiune existentă în prezent pe multe dintre site-uri care spune că ”prin continuarea navigării pe acest site sunteți de acord cu prelucrarea datelor dvs.” nu mai este suficientă.

Asfel, consimțământul va trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, informată și clară a acordului persoanei vizate. Astfel de acțiuni pot fi declarații scrise, inclusiv în format electronic, ce includ bifarea unei căsuțe atunci când persoana vizitează un site.

Pentru ca manifestarea să fie specifică, informată și clară, operatorul care urmează a prelucra datele trebuie să ofere informații clare, simple și transparente în ceea ce privește scopul prelucrării datelor, temeiul prelucrării, perioada de timp pentru care datele sunt prelucrate, dar și dreptul său de a-și retrage consimțământul oricând.

De asemenea, persoana vizată trebuie să fie informată privind identitatea operatorului și a responsabilului cu protecția datelor, destinatarul datelor și eventualele interese și intenții de transferuri ale acestora către state terțe.

Atenție! Dacă datele urmează a fi prelucrate pentru mai multe scopuri, consimțământul trebuie acordat pentru fiecare dintre acestea!

Când nu este considerat consimțământul ca fiind colectat în mod legal

Regulamentul stabilește că absența unui răspuns la solicitarea consimțământului, căsuțele bifate în prealabil pe site sau absența unei acțiuni nu consituie un consimțământ, în sensul legal.

Totodată, consimțământul este considerat a nu fi acordat în mod liber atunci când operatorul nu permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal sau dacă executarea unui contract, inclusiv furnizarea unui serviciu este condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea contractului.

Dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată, consimțământul nu este acordat în mod liber.

Dreptul persoanei vizate de a-și retrage consimțământul

Persoanele vizate au dreptul în orice moment de a-și retrage consimțământul și trebuie informate cu privire la acest drept chiar din momentul în care consimțământul le este cerut. În acest sens, vorbim de dreptul de a fi uitat. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea.

Astfel, din momentul retragerii consimțământului, operatorul este obligat să șteargă datele personale cu privire la acea persoană, fără ca acest lucru să afecteze legalitatea prelucrării anterioare retragerii consimțământului. Obligația de ștergere cunoaște și excepții care numără printre altele păstrarea în interes public, pentru exercitarea dreptului la libertatea de exprimare și informare ori pentru respectarea unei obligații legale.

Obligația de eliminare a datelor se aplică atât pentru operator, cât și pentru toate persoanele cărora le-au fost transferate, inclusiv dacă datele au fost făcute publice.

Cazul special al consimțământului acordat de copii

Potrivit RGPD, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

Prin urmare, obținerea consimțământului persoanelor vizate pentru prelucrarea datelor personale ale acestora trebuie făcută cu mare atenție în vederea respectării cerințelor legale, care sunt mult mai drastice din mai 2018.

Este important de precizat că operatorii trebuie să poată face dovada faptului că au primit consimțământul și că acesta îndeplinește condițiile legale.

Așteptăm eventualele întrebări pe adresa noastră de contact.

RGPD – Domeniul teritorial de aplicare

October 26, 2017/in Companies, Data protection, persoane fizice /by Stefan

RGPD se aplică doar operatorilor aflați pe teritoriul UE?

Conform art. 3 din RGPD, regulamentul se aplică prelucrării datelor cu caracter personal:

în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii;
ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:
- oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
- monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii;
de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

Concret, RGPD se aplică direct în toate statele membre, chiar și în cazul în care sediul operatorului de date nu se află pe teritoriul UE cu condiția ca bunurile sau serviciile operatorului să fie adresate cetățenilor UE. Prin urmare, nu contează locul unde sunt prelucrate datele cu caracter personal atâta timp cât sunt întrunite cerințele de mai sus.

Interpretări date de Curtea de Justiție a Uniunii Europene (CJUE)

În ceea ce privește sediul, CJUE în cauza C-230/14 (Weltimmo vs. NAIH), a reținut că noțiunea de sediu „înlătură orice abordare formalistă conform căreia o întreprindere ar fi stabilită exclusiv în locul în care este înmatriculată și se extinde la orice activitate reală și efectivă, chiar minimă, exercitată într-o formă de instalare stabilă.”

Organizațiile care dețin birouri de vânzări pe teritoriul UE, prin intermediul cărora efectuează activități de promovare sau de publicitate/marketing care vizează rezidenții din UE, vor trebui să respecte prevederile RGPD având în vedere faptul că, așa cum a declarat CJUE în cauza C-131/12 (Google Spain SL, Google Inc. vs.(AEPD), Mario Costeja González), „o prelucrare a datelor cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care operatorul unui motor de căutare înființează într-un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de pe pagina acestui motor, a cărei activitate este orientată către locuitorii acelui stat membru.”

Referitor la situația oferirii de bunuri sau servicii persoanelor vizate situate pe teritoriul UE, simpla accesare a unui site din interiorul UE nu este suficientă pentru a declanșa aplicabilitatea Regulamentului. În acest sens, a se vedea cauzele conexate C-585/08 și C-144/09.

RGPD – Domeniul material de aplicare a Regulamentului privind prelucrarea datelor personale

October 17, 2017/in Companies, Data protection, persoane fizice /by Stefan

În ce situații de aplică RGPD?

Regulamentul se aplică pentru prelucrarea datelor cu caracter personal așa cum au fost definite în articolul precedent.

Conform Regulamentului, nu prezintă importanță dacă prelucrarea s-a făcut total sau parțial prin mijloace automatizate. În aceeași măsură Regulamentul se aplică și datelor cu caracter personal care au fost prelucrate prin alte mijloace decât cele automatizate.

Pentru a clarifica limita aplicabilității Regulamentului, la articolul 2 alin. 2 sunt reglementate situațiile în care Regulamentul nu se aplică.

Situații de excepție privind prelucrarea datelor cu caracter personal

Astfel, nu se vor aplica prevederile Regulamentului atunci când:

datele cu caracter personal sunt prelucrate în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
statele membre desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE – Dispoziții speciale privind politica externă și de securitate comună;
este vorba de o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
autoritățile competente prelucrează datele cu caracter personal în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

RGPD – Datele cu caracter personal

October 2, 2017/in Companies, Data protection, persoane fizice /by Stefan

Pentru că protecția datelor cu caracter personal este un subiect din ce în ce mai ”fierbinte”, vom începe de astăzi să explicăm principalele noțiuni vizate de noua reglementare și drepturi și obligații pe care diverși actori din domeniu le au.

Nu uitați că RGDP (Regulamentul UE 2016/679) devine aplicabil din 25.05.2018.

Ce înseamnă date cu caracter personal?

RGPD definește datele cu caracter personal ca fiind „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.”

Noutăți introduse de RGPD

Față de actuala reglementare (DIRECTIVA 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date), RGPD clarifică și chiar extinde în unele cazuri noțiunea de date cu caracter personal, cum ar fi:

identificatorii unici – din cuprinsul definiției de mai sus rezultă că în noțiunea de „date cu caracter personal” sunt incluse date de localizare sau identificatorul online. Aceasta înseamnă că adresele de IP sau ID-urile telefoanelor mobile sunt date cu caracter personal care trebuie protejate.
datele pseudonimizate – este vorba despre o noțiune nou introdusă de RGPD și se referă la datele personale care au fost supuse unor măsuri tehnologice (cum ar fi hashing-ul sau criptarea) astfel încât să nu se mai poată identifica direct o persoană fără a utiliza informații suplimentare.
datele genetice și datele biometrice – RGPD definește separat aceste noțiuni și ambele sunt tratate ca date personale sensibile. Acestea beneficiază de protecție sporită și, de regulă, este nevoie de consimțământul expres al persoanelor în cazul în care aceste date urmează să fie procesate.

Reglementarea detaliată a noțiunii de „date cu caracter personal” prin RGPD are implicații majore pentru afacerile online, în special cele din sectoarele de analiză, publicitate, marketing și social media.

Cross-border insolvency proceedings – new rules

June 27, 2017/in Companies, News /by Stefan

Starting 26.06.2017 the new rules facilitating cross-border insolvency proceedings entered into force. These new rules are provided by Regulation (EU) 2015/848 of the European Parliament and of the Council.

The new rules will ensure an effective and efficient cross-border debt recovery. They focus on resolving the conflicts of jurisdiction and laws in cross-border insolvency proceedings so that will make it easier for businesses to get restructured and for creditors to get their money back.

The key features of the new rules regarding the cross-border insolvency

The main issues solved by this Regulation are:

group insolvency proceedings;
avoidance of the secondary proceedings;
avoidance of the bankruptcy tourism;
an EU-wide interconnection of electronic national insolvency registers.

This update of the regulation of the cross-border insolvency proceedings was necessary because certain modern and efficient types of national restructuring proceedings were not covered by the old set of rules.

If you want to be constantly informed about the relevant legislative updates and projects, please contact us here.

Student Entrepreneurial Companies – the future of entrepreneurship in Romania

February 28, 2017/0 Comments/in News /by Miruna

Starting with 23 February a new Order issued by Ministry of Education is regulating the Student Entrepreneurial Companies, a new-formed type of company designed to help young students and graduates in their first 3 years of graduation to develop their entrepreneurial skills.

According to it, these companies will be established by each university in Romania, being run by an executive board formed by teaching staff, tutors, local business people and students. Their main goal is to support, develop and encourage entrepreneurship in the universities, especially among students and graduates of higher education in order to increase competitiveness of universities in Romania, particularly by drafting guides related to business plans and/or project financing, mentoring, organizing events and competitions for start-ups and business ideas.

Furthermore, these companies will receive funding from the budget of the university, but the universities may also apply for grants and get other extra-budgetary resources.

The universities have a 6 months period to draft and adopt the inside rules and regulations for the companies’ activity.

Posts