Posts

Telemunca și protecția datelor

/in , /by

Reglementare

În contextul modernizării pieței muncii, legiuitorul român a adoptat Legea nr. 81/2018 privind reglementarea activității de telemuncă. Prevederile acestei legi se aplică doar în domeniile de activitate în care este posibilă desfășurarea activității în regim de telemuncă.

Telemunca este o formă de organizare a muncii în care salariatul își îndeplinește atribuțiile în alt loc decât locul de muncă cel puțin o zi pe lună, folosind tehnologia informației și comunicațiilor. Prin urmare, toți salariații care își desfășoară activitatea în condițiile de mai sus sunt telesalariați. 

Clauze speciale în contractul de muncă

Pentru telesalariați se încheie un contract de muncă obișnuit, dar care este completat cu clauze special reglementate de Legea nr. 81/2018. În cazul salariaților care doresc să treacă la acest regim de muncă, se încheie un act adițional care să cuprindă toate acele clauze speciale.

Implicații ale legislației privind protecția datelor

Ținând cont de faptul că în cazul telemuncii se folosește tehnologia informației și comunicațiilor, un foarte important aspect, deseori ignorat de angajatori, este cel al prelucrării datelor cu caracter personal. Angajatorul trebuie să se asigure, pe de o parte, că face o prelucrare legală a datelor salariaților, iar de cealaltă parte, că telesalariații prelucrează date cu caracter personal conform GDPR.

Despre prelucrarea datelor cu caracter personal ale salariaților am scris aici, aici și aici.

Probleme și riscuri

În ceea ce privește modul în care telesalariații tratează datele cu caracter personal, angajatorii trebuie să stabilească foarte clar proceduri de lucru și să organizeze sesiuni de traininguri pentru ca telesalariații să înțeleagă procedurile și să le aplice cât mai bine. 

Echipamentele de muncă

Un aspect important este cel privind echipamentele de muncă. Acestea trebuie să fie sigure, protejate de riscul scurgerii de date sau accesului neautorizat, iar modalitatea de utilizare a lor trebuie să fie prevăzută clar în cadrul procedurilor de lucru. Este nevoie ca angajatorii să implementeze măsuri care să asigure protecția datelor începând cu momentul conceperii unui produs/serviciu și în mod implicit (Data protection by design and by default).

Soluții software

Nu trebuie ignorat și faptul că telemunca poate reprezenta un risc major pentru securitatea datelor prelucrate de telesalariați. Pentru a elimina sau diminua astfel de riscuri, unii angajatori apelează la soluții software care monitorizează localizarea și accesul la echipamentele electronice, înregistrează mișcările cursorului sau efectuează capturi de ecran. Înainte de a implementa astfel de măsuri, recomandăm angajatorilor să aibă în vedere că trebuie să aleagă soluțiile cel mai puțin intruzive, deci care să nu afecteze dreptul la viață privată al angajatului în mod nejustificat și care să nu îl supună unei supravegheri excesive raportat la scop. 

Astfel, este foarte puțin probabil ca măsurile software descrise mai sus să aibă un temei legal adecvat, motiv pentru care recomandăm angajatorilor să facă o analiză minuțioasă mai înainte de a le implementa.

Dispozitive proprii

Unii telesalariați pot cere să folosească propriile dispozitive pentru telemuncă. Legea permite o astfel de negociere. În aceste cazuri recomandăm angajatorilor să fie foarte prudenți și să reglementeze foarte clar procedura de utilizare a dispozitivelor telesalariaților. 

Localizare

Pentru că telemunca presupune și deplasarea în diferite locuri, pot interveni unele situații în care angajatorii doresc să urmărească localizarea dispozitivelor sau a autoturismelor telesalariaților. În aceste cazuri angajatorii trebuie să țină seama de drepturile fundamentale ale salariaților precum și de o serie de obligații pe care le au în temeiul GDPR.

Ce ar trebui să facă angajatorii

În concluzie, angajatorii trebuie să:

  • țină seama de drepturile fundamentale ale salariaților (inclusiv telesalariați) – dreptul la viață privată;
  • aleagă cu atenție temeiul de prelucrare pe care pot să-l utilizeze;
  • respecte obligația de transparență (informarea clară și completă a salariaților);
  • ia măsuri proporționale cu riscurile identificate.

Referitor la documentația necesară și obligatorie conform principiului responsabilității din GDPR, angajatorii trebuie să întocmească o serie de politici și proceduri care să reglementeze:

  • utilizarea dispozitivelor electronice mobile;
  • utilizarea echipamentelor proprii;
  • securitatea echipamentelor;
  • utilizarea internetului, a email-ului și a altor aplicații;
  • monitorizarea telesalariaților.

În funcție de activitatea angajatorului se pot întocmi proceduri care să includă mai multe aspecte. Trebuie analizate temeinic situația de fapt și modul de lucru, astfel încât politicile și procedurile să poată fi aplicate și utilizate cu succes.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (V)

/in /by

Concluzii și aplicabilitate la nivel național

După lecturarea celor prezentate în cuprinsul articolelor anterioare, putem trage unele concluzii referitoare la:

  • temeiul juridic folosit pentru supravegherea video,

  • obligațiile pe care le are operatorul,

  • îndrumările autorității.

Temeiul juridic pentru supraveghere

În ceea ce privește temeiul juridic pentru supravegherea video, Legea nr. 190/2018 enumeră condițiile cerute atunci când temeiul de prelucrare ales de angajator este interesul legitim. Articolul 5 din lege arată că angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta. În cazul în care operatorul nu are calitatea de angajator față de persoanele vizate sau utilizează alt temei juridic prevăzut de art. 6 din GDPR, trebuie să se asigure că acesta corespunde situației de fapt în funcție de fiecare caz. În această ultimă situație, condițiile prevăzute de art. 5 din Legea nr. 190/2018 nu sunt obligatorii, dar pot fi avute în vedere mai ales în ceea ce privește perioada de stocare și analizarea posibilității folosirii unor mijloace mai puțin intruzive pentru atingerea scopului urmărit.

Obligațiile operatorului

Referitor la obligațiile pe care le are operatorul, acestea sunt prevăzute expres de art. 5 din Legea nr. 190/2018 pentru cel care are calitatea de angajator ce prelucrează date în interes legitim. Pentru celelalte situații urmează a fi aplicate prevederile și principiile GDPR. În cazul analizat, operatorul avea calitatea de angajator în relația cu salariații și operator obișnuit în relația cu studenții și terțele persoane vizate care intrau în incinta sediilor operatorului. Obligațiile acestuia erau următoarele:

  • asigurarea adecvării, relevanței și naturii neexcesive a datelor;

  • asigurarea informării persoanelor;

  • asigurarea securității și confidențialității datelor;

  • respectarea unei anumite perioade de păstrare a datelor.

Rezumând, am putea spune că pentru a prelucra date cu caracter personal în mod legal operatorul trebuie să:

  • efectueze o evaluare a impactului asupra protecției datelor cu caracter personal;

  • evalueze interesul legitim atunci când acest temei de prelucrare este aplicabil;

  • revizuiască periodic evaluarea interesului legitim, dacă este cazul;

  • dovedească necesitatea implementării unui astfel de sistem de supraveghere;

  • nu monitorizeze continuu și nu în spațiile de lucru sau de petrecere a pauzelor;

  • consulte sindicatul sau reprezentanții salariaților;

  • informeze corect și complet persoanele vizate în toate sediile unde se face supravegherea;

  • dea acces la date unui număr limitat de persoane autorizate;

  • securizeze accesul la date;

  • securizeze spațiul de stocare a datelor;

  • implementeze politici de stabilire a parolelor și de stocare a datelor.

Îndrumări date de CNIL

Pentru a ajuta operatorul să se conformeze legislației, autoritatea franceză a dat unele îndrumări care pot fi aplicate și de operatorii din România.

CNIL precizează că nu este conformă supravegherea constantă efectuată în zonele de lucru (birouri, săli de clasă) și de petrecere a timpului liber (cantină, curte, săli de recreere) pe perioada programului operatorului.

Referitor la informarea persoanelor vizate, aceasta trebuie să cuprindă: identitatea operatorului de date, scopul prelucrării, perioada de păstrare a datelor, destinatarii datelor, indicarea drepturilor persoanelor  și modul de exercitare a acestora. De asemenea, informarea în cazul supravegherii video trebuie să se facă și prin aplicarea unor panouri informative la fiecare dintre sediile operatorului (dacă este cazul) care să conțină informații despre implementarea unui sistem de supraveghere video, cu specificarea scopului prelucrării, perioada de păstrare și destinatarii datelor, identitatea operatorului și modul de exercitare a drepturilor persoanelor vizate.

În ceea ce privește securitatea datelor cu caracter personal CNIL recomandă implementarea unei politici obligatorii de gestionare a parolelor. Acestea trebuie să aibă un anumit număr și tip de caractere. De asemenea, autoritatea recomandă utilizarea unor măsuri complementare de siguranță cum ar fi cronometrul de acces la cont după mai multe eșecuri, utilizarea captcha și / sau blocarea contului după mai multe încercări de autentificare nereușite.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (IV)

/in /by

Măsuri propuse

În urma analizării celor constatate, CNIL a dispus luarea unor măsuri referitoare la: modificarea sistemului CCTV, informarea persoanelor vizate, securitatea datelor și perioada de păstrare.

Modificarea CCTV

1. Modificarea sistemului de supraveghere astfel încât măsura să fie proporțională în ceea ce privește scopul urmărit, în conformitate cu dispozițiile articolului 5 litera (c) din Regulamentul (UE) 2016/679, în special:

  • oprirea filmării în sălile de clasă și în zonele de petrecere a timpului liber, în cantine și zonele de prânz autorizate, în timpul orelor de program;

  • interzicerea punerii angajaților sub supraveghere constantă (de exemplu, prin reorientarea sau mișcarea camerelor sau prin implementarea măștilor dinamice atunci când sunt vizionate imaginile).

Informarea persoanelor vizate

2. Efectuarea informării persoanelor vizate, în special în ceea ce privește dispozitivul de supraveghere video, în conformitate cu dispozițiile articolelor 12 și 13 din Regulamentul (UE) 2016/679, în special:

  • completarea informațiilor în condițiile generale de înregistrare adăugând identitatea operatorului de date, perioada de păstrare a datelor, indicarea drepturilor persoanelor și modul de exercitare a acestora;

  • informarea personalului despre identitatea operatorului de date, scopul prelucrării, perioada de păstrare a datelor, indicarea drepturilor persoanelor și modul de exercitare a acestora;

  • să informeze orice persoană, de exemplu, prin aplicarea unor panouri informative la fiecare dintre intrările în cele două spații ale companiei și în curtea condominiului, despre implementarea unui sistem de supraveghere video, cu specificarea scopului prelucrării, perioada de păstrare și destinatarii datelor, identitatea operatorului și modul de exercitare a drepturilor.

Securitatea datelor

3. Luarea tuturor măsurilor necesare pentru a păstra securitatea datelor cu caracter personal și pentru împiedicarea terților neautorizați de a le putea accesa, în conformitate cu articolul 32 din regulament (UE) 2016/679, în special:

  • să se asigure că fiecare utilizator are un cont individual pentru utilizarea programelor de vizualizare a imaginilor CCTV;

  • să fie configurat un sistem de blocare automată pentru sesiunile Windows după o anumită perioadă de inactivitate;

  • să se implementeze o politică obligatorie de gestionare a parolelor, atât în ​​ceea ce privește software-ul de vizualizare a imaginilor CCTV, cât și în contul computerului Windows unde imaginile sunt vizibile, într-una din următoarele variante:

    • Parolele să conțină cel puțin 12 caractere, dintre care cel puțin o majusculă, o minusculă, o cifră și un caracter special;

    • Parolele să conțină cel puțin 8 caractere, având 3 din cele 4 categorii de caractere (litere majuscule, litere mici, numere și caractere speciale) și să fie însoțite de o măsură complementară, cum ar fi cronometrul de acces la cont după mai multe eșecuri (suspendarea temporară a accesului a cărei durată crește pe măsură ce se fac încercări), instituirea unui mecanism de protecție împotriva încercărilor automate și intense (de ex. captcha) și / sau blocarea contului după mai multe încercări de autentificare nereușite (până la 10);

  • configurarea software-ul de supraveghere video și a sesiunilor Windows astfel încât parolele să nu mai fie salvate implicit;

  • încetarea difuzării de imagini CCTV în spații accesibile întregului personal administrativ al școlii.

Perioada de păstrare

4. Implementarea unei politici privind perioada de păstrare a datelor cu caracter personal în conformitate cu dispozițiile articolului 5 litera (e) din Regulamentul (UE) 2016/679 și care nu depășește durata necesară scopurilor pentru care sunt colectate, în special a nu se păstra înregistrările imaginilor dispozitivului CCTV mai mult de o lună.

Subiectul articolului următor va fi despre concluziile constatate și despre aplicabilitatea acestei spețe la nivel național.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (III)

/in /by

Încălcări ale legislației

Reprezentanții autorității au constatat că societatea supusă controlului nu a respectat următoarele obligații:

  • asigurarea adecvării, relevanței și naturii neexcesive a datelor;

  • asigurarea informării persoanelor vizate;

  • asigurarea securității și confidențialității datelor;

  • respectarea unei anumite perioade de păstrare a datelor.

Nerespectarea obligației de a asigura adecvarea, relevanța și natura neexcesivă a datelor

Justificarea companiei privind instalarea sistemului de supraveghere a constat în protejarea bunurilor și a persoanelor (furt, asalt, avarii) și pentru a preveni eventuale acte de violență ale studenților. Reprezentanții companiei au precizat că sistemul de supraveghere video nu a fost folosit pentru a monitoriza angajații sau studenții.

În cazul unuia dintre sedii, reprezentanții autorității au constatat faptul că dispozitivul de supraveghere video instalat filmează prin detectare de mișcare, deci în mod continuu, în toate sălile de clasă (care este totodată locul de muncă al profesorilor) și în spațiile elevilor de petrecere a timpului liber.

În practica sa, CNIL a considerat că, exceptând unele circumstanțe excepționale neaplicabile în acest caz, nu poate fi justificată filmarea în locurile de petrecere a timpului liber, în timpul orelor de program.

În motivare societatea a menționat că au avut loc două furturi în incintă, dar autoritatea a considerat că nu se justifică plasarea oamenilor într-o situație de supraveghere constantă. De asemenea, autoritatea a considerat că îngrijorările privind violența între elevi și între profesori și studenți ca urmare a unor incidente petrecute înainte de implementarea dispozitivului, nu sunt susținute de niciun element faptic (cum ar fi depunerea unei reclamații sau un raport de incidente).

Caracterul excesiv al prelucrării este dat de configurația dispozitivului de supraveghere prin faptul că îi plasează pe studenți și profesori într-o situație de supraveghere permanentă.

În ceea ce privește cel de-al doilea sediu, o cameră filma biroul persoanei responsabile cu recepția, filmându-se, deci, în mod continuu stația de lucru a unui angajat. CNIL s-a pronunțat în mod constant în sensul că „filmările continue ale posturilor de lucru ale anumitor angajați sunt disproporționate, cu excepția unor circumstanțe speciale, de exemplu atunci când un angajat manipulează fonduri sau obiecte de valoare sau când operatorul este capabil să facă dovada că există pericol de furt sau deteriorare a acestor zone.”

În speță, supravegherea constantă a salariatului nu a părut a fi justificată și a fost considerată în mod evident disproporționată și excesivă față de scopul declarat.

CNIL a reținut că „toate aceste fapte constituie o încălcare a obligațiilor prevăzute la articolul 6 alineatul (3) din Legea nr. 78-17 din 6 ianuarie 1978, care prevede că datele personale colectate trebuie să fie adecvate, relevante și neexcesive în raport cu scopurile pentru care sunt colectate și prelucrarea ulterioară a acestora.” Aceste prevederi există în GDPR la art. 5 alin. 1 lit. c).

Nerespectarea obligației de informare a persoanelor vizate

Reprezentanții CNIL au constatat că în cuprinsul condițiilor generale de înscriere, anexate contractului de înscriere, este inclusă o mențiune referitoare la supravegherea video, dar cu referire la respectarea vieții private conform Codului civil, iar nu cu referire la prevederile GDPR. În ceea ce privește profesorii și personalul administrativ, aceștia nu au fost informați nici prin contractul de muncă și nici prin regulamentul intern.

S-a mai constatat faptul că nicio persoană vizată nu a fost informată despre identitatea persoanei responsabile cu prelucrarea, destinatarii filmărilor, durata de stocare a imaginilor sau drepturile lor.

În ceea ce privește semnalizarea CCTV, aceasta lipsea la unul dintre sedii și era incompletă la celălalt (semnalizarea indica doar existența sistemului de supraveghere video și calitatea de operator a directorului școlii).

Faptele constituie o încălcare a legislației privind protecția datelor cu caracter personal care impun comunicarea către persoana vizată a anumitor informații cu privire la prelucrarea datelor sale, în special identitatea operatorului de date, scopul prelucrării, destinatarii datelor, indicarea drepturilor persoanelor vizate, precum și datele prelucrate și categoriile persoanelor vizate.

Nerespectarea obligației asigurării securității și confidențialității datelor

Delegația CNIL a constatat că o stație de calculator permitea accesul la imaginile preluate de la ambele sedii în timp real și le înregistra. La unul dintre sedii imaginile erau retransmise pe un ecran prezent în biroul personalului administrativ.

Computerul din biroul direcțiunii nu era protejat de parolă și nici deconectat, iar biroul era pur și simplu încuiat în caz de absență fără alte măsuri de siguranță.

În ceea ce privește software-ul folosit pentru vizualizarea imaginilor în ambele locații, acesta nu necesita introducerea unei parole la pornire și se conecta automat la contul de administrator al software-ului.

Conform celor de mai sus se poate concluziona că operatorul nu a asigurat securitatea datelor și nu a luat măsuri pentru împiedicarea terților neautorizați să aibă acces la acestea.

În consecință, faptele de mai sus constituie o încălcare a prevederilor conform cărora operatorul trebuie să ia toate măsurile de precauție necesare, având în vedere natura datelor și riscurile prezentate de prelucrare, pentru a păstra securitatea datelor și, în special, pentru a preveni modificarea ori deteriorarea acestora sau accesul unor terțe părți neautorizate (GDPR la art. 5 alin. 1 lit. f).

Nerespectarea obligației de a limita perioada de păstrare a datelor

Conform declarației inițiale făcute la CNIL privind sistemul CCTV, operatorul a indicat o perioadă de păstrare a datelor de 30 de zile. Conform constatărilor, însă, înregistrările au fost păstrate pentru mai mult de 48 de zile.

Delegații autorității au constatat că faptele de mai sus constituie o încălcare a obligațiilor care prevăd că datele cu caracter personal trebuie păstrate pentru o perioadă care nu depășește durata necesară scopurilor pentru care sunt colectate și prelucrate. (GDPR la art. 5 alin. 1 lit. e) prima teză).

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (II)

/in /by

Decizia Comisiei Naționale de Informatică și Libertăți (CNIL) privind CCTV

Prin decizia CNIL din 2 septembrie 2019 a fost finalizată investigația pornită în baza deciziei nr. 2018-024 din 02.07.2018, ca urmare a conformării operatorului ITIC la legea națională din Franța și GDPR. Pentru acest articol este importantă decizia nr. 2018-0241 din 02.07.2018 prin care autoritatea a constatat lipsurile ITIC și a propus un plan de măsuri.

Persoana juridică somată (operatorul)

ITIC este un S.R.L. – școală privată de învățământ superior care oferă cursuri în sectorul economic terțiar (contabilitate, IT, resurse umane, comerț, etc.).

Situația de fapt

În urma unei misiuni de control la cele două sedii ale ITIC, al cărei obiect a fost verificarea respectării legii privind protecția datelor cu privire la toate prelucrările de date personale implementate de companie, s-au făcut unele constatări referitoare la o prelucrare excesivă prin intermediul camerelor de supraveghere video (CCTV).

Constatări

La ambele sedii, sistemul de supraveghere era alcătuit din 40 de camere video care filmau în special săli de clasă, cantina, camere de petrecere a timpului liber și curtea condominiului. Camerele erau fixe, filmau color, fără înregistrare de sunet și erau acționate de detectarea mișcării. Sistemul de supraveghere video fusese anterior declarat la CNIL.

În ceea ce privește informarea cu privire la utilizarea sistemului video CCTV, ITIC a instalat un panou informativ privind supravegherea video doar la intrarea unuia dintre sedii. Directorul companiei a susținut că elevii sunt informați despre prezența unui sistem de supraveghere video prin condițiile generale atașate contractului de înregistrare. Angajații (personalul administrativ și profesorii) nu au făcut obiectul vreunei informări speciale cu privire la supravegherea video.

Imaginile din sistemele video erau înregistrate și puteau fi vizualizate, în direct sau nu, de la biroul directorului și de la biroul personalului administrativ. În ceea ce privește accesul la software-ul de vizualizare, acesta nu necesita o parolă pentru conectarea la contul de administrator al software-ului. De asemenea, nici sesiunea Windows din stația de lucru a directorului nu necesita o parolă și nu era vreodată deconectată.

Reprezentanții autorității au remarcat că perioada de păstrare a înregistrărilor depășea 49 de zile.

În articolul următor vom scrie despre constatările CNIL referitoare la nerespectarea legislației de către operator.

Supravegherea video conform GDPR. Studiu de caz (decizia CNIL privind supravegherea prin CCTV într-o școală privată) (I)

/in /by

→ Partea a II-a – conținutul deciziei CNIL și constatările făcute de delegații acesteia.

→ Partea a III-a – constatările CNIL referitoare la nerespectarea legislației de către operator.

→ Partea a IV-a – măsurile propuse.

→ Partea a V-a – concluziile constatate și despre aplicabilitatea acestei spețe la nivel național.

 

Nu este un secret faptul că în ultima perioadă supravegherea video prin CCTV a devenit din ce în ce mai folosită de către antreprenori și nu numai. Scopurile sunt variate: de la asigurarea pazei bunurilor, la asigurarea siguranței angajaților până la supravegherea acestora. În general, supravegherea video nu este un lucru rău. Interesele celor care utilizează astfel de mijloace sunt ușor de intuit. Problemele apar atunci când supravegherea video se face cu nerespectarea legii. Pentru cei care efectuează acest tip de supraveghere este foarte greu de acceptat că de cele mai multe ori interesele lor legitime nu prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate.

Pentru a facilita înțelegerea implicațiilor supravegherii video, vom publica pe blog o serie de articole care vor avea drept obiect reglementarea supravegherii video, cu analizarea unei decizii emise de CNIL (autoritatea de supraveghere în materie de protecție a datelor cu caracter personal din Franța) și indicarea pașilor pe care ar trebui să-i urmeze operatorii care vor să utilizeze astfel de mijloace de supraveghere.

Reglementare

Imaginile prelucrate prin intermediul sistemului CCTV sunt date cu caracter personal, deci principalul act normativ de reglementare este Regulamentul (UE) 2016/679 (denumit în continuare GDPR). Prin legea de punere în aplicare a GDPR, legiuitorul național a dedicat un singur articol prelucrărilor de date cu caracter personal prin intermediul unor mijloace de supraveghere video, și anume în contextul relațiilor de muncă.

Conform acestui articol (Art. 5. – Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă) angajatorul poate utiliza sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de acesta, doar dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Etape urmate de angajator în cazul utilizării CCTV

Aceasta înseamnă că angajatorul trebuie să parcurgă mai multe etape:

1. după ce conducerea a luat în considerare eventualitatea utilizării unor sisteme de monitorizare CCTV, angajatorul trebuie să facă o evaluare de impact în cuprinsul căreia să analizeze și interesele legitime. Pentru o evaluare completă și corectă angajatorul trebuie să consulte sindicatul sau, după caz, reprezentanții angajaților. De asemenea, acesta trebuie să demonstreze faptul că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit nu și-au dovedit anterior eficiența. Dacă după această evaluare se constată că drepturile persoanelor vizate nu prevalează intereselor legitime ale angajatorului, se poate trece la următoarea etapă. Este foarte important ca evaluarea intereselor legitime să fie păstrată de angajator și să fie revizuită periodic.

2. după efectuarea evaluării, dar mai înainte de introducerea efectivă a sistemelor de monitorizare, angajatorul trebuie să realizeze informarea prealabilă obligatorie, completă și în mod explicit a angajaților. Este recomandat ca în cuprinsul informării să se menționeze detalii cu privire la interesele legitime.

3. după implementarea sistemului de monitorizare angajatorul trebuie să revizuiască periodic evaluarea intereselor legitime și să informeze în prealabil noii angajați cu privire la mijloacele de supraveghere utilizate. De asemenea, trebuie să asigure respectarea cerințelor de prelucrare ale GDPR, inclusiv privind perioada maximă de stocare de 30 de zile. Aceasta nu înseamnă că perioada de stocare va fi obligatoriu de 30 zile, ci ea trebuie să fie cât mai mică, exact atât cât este necesar pentru scopul urmărit. De exemplu, pentru asigurarea securității bunurilor, o perioadă de 24 de ore este în general suficientă, dacă nu s-a petrecut niciun incident.

În ceea ce privește condițiile privind instalarea legală a sistemelor de supraveghere, sunt incidente dispozițiile Legii nr. 333/2003, care cuprinde aspecte pe care nu le vom dezvolta în cuprinsul prezentului articol.

În cuprinsul articolului următor vom prezenta conținutul deciziei CNIL și constatările făcute de delegații acesteia.

A doua amendă aplicată de ANSPDCP. Operatorul despre care nu se menționează nimic

/in , , /by

Până în prezent ANSPDCP a anunţat că a aplicat deja patru amenzi operatorilor de date cu caracter personal pentru încălcarea GDPR. Aceasta ne indică faptul că autoritatea de supraveghere este activă și dornică să pună în aplicare prevederile GDPR.

În cuprinsul acestui material facem o scurtă analiză cu privire la cea de-a doua amendă, cea aplicată World Trade Center Bucharest S.A. (”WTCB”), în cuantum de 15.000 euro.

Potrivit comunicatului ANSPDCP, ”încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.”

Așadar, la o analiză atentă a situaţiei factuale, identificăm mai multe fapte de încălcare a GDPR, respectiv:

  1. Divulgare neautorizată de date – operatorul a permis (voit sau nu) fotografierea listei de clienţi conţinând datele lor personale, de către terţi din afara societăţii,

  2. Accesare neautorizată de date – terţii din afara societăţii au vizualizat şi fotografiat lista de clienţi, fără ca aceasta să le fie destinată ori fără să aibă permisiunea de a o face,

  3. Divulgare neautorizată de date – de data aceasta de către terţii din afara societăţii, care au publicat lista de clienţi în mediul online.

Ca atare, observăm că în fapt vorbim despre cel puțin doi operatori de date care au procedat contrar prevederilor GDPR, respectiv WTCB şi terţii („persoane neautorizate din afara societăţii”).

Indiferent dacă acești terți sunt persoane fizice sau juridice, ei devin operatori de date prin faptul publicării listei în mediul online. Aceasta deoarece, chiar și în calitate de persoane fizice, ei vor fi calificați ca operatori dacă pun la dispoziţia unui număr nelimitat de persoane (de exemplu prin publicare) date cu caracter personal care ar fi trebuit folosite doar în scop personal, domestic.

Cu toate că în spaţul public din România au circulat în ultima vreme mai multe informaţii contradictorii cu privire la posibilitatea unei persoane fizice de a fi operator, considerăm că nu există niciun dubiu în această privinţă. Atât GDPR (art. 2 alin. 2 litera c și considerentul 18), cât și European Data Protection Board (de ex. Ghidul nr. 3/2019) şi Curtea de Justiție a Uniunii Europene (de ex. cauza C‑25/17 privind Martorii lui Iehova sau cauza C-345/17 privind publicarea unui filmuleț cu o audiere efectuată de polițiști) au statuat fără echivoc faptul că persoanele fizice devin operatori de date atunci când le prelucrează în aşa manieră încât aceasta nu se mai efectuează în scop exclusiv personal sau domestic. De exemplu, divulgarea datelor către un număr nelimitat de persoane sau instalarea unei camere video într-un spaţiu public sunt activităţi de prelucrare care nu intră în sfera activităţilor pur personale.

Observăm, totuși, că Autoritatea nu ne comunică nimic despre aceşti terţi, în sensul de a ne informa despre măsurile luate în privința lor.

Considerăm că și ei, în calitate de operatori care au savârșit fapte de încălcare a prevederilor GDPR, ar fi trebuit sancționați alături de operatorul WTCB, mai ales că în fapt acțiunea lor de publicare a listei a agravat situația.

Recomandăm persoanelor fizice să fie mai atente atunci când iau cunoștință de date cu caracter personal și în niciun caz să nu le facă publice fără a avea un temei legal. Indiferent de modalitatea de răspuns a Autorității la diferite solicitări punctuale, legislația privind protecția datelor stabilește posibilitatea răspunderii și a persoanelor fizice pentru încălcarea sa.

Cât de GDPR compliant ești cu un buton de Facebook Like pe site

/in , , /by

Ce spune CJUE

Curtea de Justiție a Uniunii Europene a pronunțat recent o nouă decizie privind relația unui operator cu Facebook din prisma legislației protecției datelor cu caracter personal.

După ce anul trecut CJUE a statuat administratorul unei Facebook page (pagină pentru fani) și Facebook sunt operatori asociați în sensul GDPR, de curând Curtea a stabilit că un administrator de site care incorporează în acesta un plugin (cum este butonul de Like al Facebook) devine operator asociat cu furnizorul pluginului (respectiv Facebook în cazul butonului său de Like).

Calitatea lor de operatori asociați se aplică doar pentru acele prelucrări pentru care stabilesc împreună mijloacele și scopurile de prelucrare, în cazul butonului Like fiind vorba doar despre colectarea datelor vizitatorului site-ului și transmiterea lor către Facebook. În privința modalităților de prelucrare a datelor de către Facebook, ulterioară acestei transmiteri, răspunderea lor comună de operatori asociați încetează, Facebook rămânând unicul operator.

Poziționarea Facebook față de această decizie

Jack Gilbert, consilierul general asociat al Facebook, a declarat pentru Reuters următoarele: „Analizăm cu atenție decizia instanței și vom colabora strâns cu partenerii noștri pentru a ne asigura că pot continua să beneficieze de pluginurile noastre sociale și de alte instrumente de afaceri, în deplină conformitate cu legea”.  Așa cum ne-a obișnuit, Facebook nu face declarații concrete privind implementarea măsurilor necesare respectării drepturilor persoanelor vizate.

Aplicarea practică a deciziei

Ceea ce este interesant de observat la această situație este faptul că administratorul site-ului, în calitate de operator, este obligat să informeze vizitatorul site-ului (persoana vizată) despre modalitatea de prelucrare a datelor sale și să se asigure că are un temei legal pentru această prelucrare, conform deciziei CJUE.

Astfel, informarea trebuie efectuată mai înainte ca datele să fie efectiv colectate și transmise către Facebook. De asemenea, dacă operatorul se va baza pe consimțământ, acesta trebuie preluat tot înainte de colectare și transmitere.

Însă, tehnic vorbind, simpla accesare a site-ului de către vizitator face ca datele sale să fie colectate și transmise către Facebook prin intermediul butonului Like. În acest context, orice informare și cerere de consimțământ aflate pe site-ul vizitat sunt viciate întrucât ele nu sunt anterioare prelucrării datelor, ci cel mult concomitente.

Ca atare, la acest moment, dacă nu există o interfață între vizitator și site care să asigure o informare completă privind prelucrarea datelor sale și, eventual, o modalitate de preluare de consimțământ (dacă este cazul), niciun site care conține pluginuri de genul butonului de Facebook Like incorporat pe pagina de start nu respectă prevederile GDPR. Interfața respectivă trebuie să asigure faptul că datele vizitatorului nu sunt încă preluate, ci ele vor fi colectate doar după ce vizitatorul citește informarea și eventual acordă consimțământul său pentru asta. Desigur, vizitatorul trebuie să aibă și opțiunea de a refuza.

Important de știut este că butonul de Like colectează și transmite datele către Facebook indiferent dacă acesta este efectiv apăsat de utilizator sau nu și indiferent dacă utilizatorul deține sau nu un cont pe Facebook.

Well done, Zuckerberg!

DPIA – Beneficiile evaluării de impact

/in , , /by

Scriam într-un articol precedent faptul că și în situațiile în care unii operatori nu sunt obligați să efectueze evaluarea de impact, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Principalele beneficii ale întocmirii DPIA (Data Protection Impact Assessment)

  • ajută organizația să implementeze toate măsurile necesare pentru a asigura respectarea RGPD;
  • reprezintă un mijloc eficient de dovedire a respectării prevederilor RGPD atunci când Autoritatea de supraveghere solicită informații în aceste sens;
  • contribuie la îmbunătățirea transparenței în activitatea de prelucrare a datelor cu caracter personal;
  • se va îmbunătăți modul în care organizația va folosi informațiile confidențiale;
  • în cazul în care DPIA  se va publica, va ajuta organizația să-și consolideze poziția de operator de încredere;
  • prin identificarea din timp a eventualelor probleme, poate aduce avantaje financiare deoarece rezolvarea unei probleme descoperite din timp este mai puțin costisitoare;
  • întocmirea DPIA ajută la creșterea conștientizării organizației asupra importanței confidențialității și a protejării datelor cu caracter personal.

Dacă doriți să aflați mai multe despre RGPD puteți accesa articolele postate pe pagina dedicată protecției datelor sau, dacă aveți întrebări, ni le puteți adresa folosind pagina de contact.

Evaluarea de impact – Recomandări

/in , , /by

Chiar dacă reglementarea evaluării de impact nu este detaliată în RGPD, așa cum scriam într-un articol anterior, Grupul de lucru „Articolul 29” explică reglementarea sumară în scopul unei mai bune aplicări a Regulamentului. Pe lângă explicații, mai oferă și recomandări menite a ajuta operatorii să aplice noua reglementare. În cele ce urmează vom sumariza unele dintre recomandările referitoare la evaluarea de impact (DPIA).

Necesitatea revizuirii DPIA

Deși Regulamentul nu prevede expres, Grupul de lucru „Articolul 29” recomandă ca bună practică revizuirea continuă și reevaluarea regulată a DPIA.

Monitorizarea activităților de prelucrare

Se recomandă ca, în practică, operatorii să evalueze continuu riscurile create de activitățile lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Utilitatea DPIA

Chiar dacă unii operatori nu se încadrează în situațiile în care obligativitatea întocmirii DPIA este evidentă, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Publicitatea DPIA

Printre bunele practici recomandate de Grupul de lucru „Articolul 29” se numără și publicarea DPIA de către operator atunci când membrii publicului sunt afectați de operațiunea de prelucrare, mai ales în cazul în care operatorul este o autoritate publică.