Posts

Newsletter Start Lawyers nr. 3/2020

/in /by

Informațiile cuprinse în acest număr sunt următoarele:

Noutăți legislative din următoarele domenii:

  • Educație
  • Achiziții publice
  • Construcții
  • Fiscal
  • Dreptul muncii
  • Securitate cibernetică
  • IMM
  • Sănătate
  • COVID-19
  • Mediu
  • Protecție socială
  • Diverse.

Informații din domeniul protecției datelor (GDPR)

Publicarea hotărârii Shrems II. – Află detalii despre invalidarea Scutului de confidențialitate UE-SUA și despre modul cum sunt afectate transferurile de date către SUA;

Un articol cu informații utile pentru proprietarii de imobile

Contravențiile și sancțiunile aplicabile proprietarilor conform Legii nr. 196/2018 privind asociațiile de proprietari – vezi care sunt faptele considerate contravenții și sancțiunile aplicabile proprietarilor.

Dicționar juridic

Termenul juridic al săptămânii: „Bullyingul”.

Newsletterul poate fi descărcat în format pdf de aici.

Primirea actelor de identitate pe WhatsApp sancționată în baza GDPR

/in , /by

WhatsApp utilizat la serviciu

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.) a amendat Banca Comercială Română S.A. cu echivalentul sumei de 5000 EURO pentru că un salariat a primit copii ale actelor de identitate ale clienților (persoane fizice) prin aplicația WhatsApp instalată pe telefonul personal.

Ce s-a constatat?

Conform comunicatului de presă, A.N.S.P.D.C.P. a constatat următoarele:

  •  colectarea de date s-a făcut cu încălcarea procedurii de lucru interne;
  • operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării;
  •  operatorul nu a luat măsuri pentru a se asigura că orice salariat care acționează sub autoritatea sa și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa,

Concluzii

Din cele relatate de A.N.S.P.D.C.P. trebuie să reținem că:

  • operatorul
    • trebuie să-și instruiască salariații și să monitorizeze respectarea procedurilor internare;
    • are nevoie de o verificare permanentă a măsurilor tehnice și organizatorice implementate pentru asigurarea unui nivel de securitate corespunzător riscului prelucrării;
  • salariații
    • trebuie să respecte procedurile interne și, dacă aceste proceduri interzic, să nu utilizeze dispozitivele personale pentru a prelucra date cu caracter personal în interes de serviciu;
    • trebuie să acorde atenție sporită activităților care implică prelucrarea de date cu caracter personal.

Prelucrarea datelor biometrice – amendă GDPR în Polonia

/in /by

Potrivit comunicatului de presă din data de 05/03/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă în cuantum de aproximativ 4.700 euro pentru nerespectarea prelucrării datelor biometrice ale copiilor atunci când foloseau cantina școlară.

Situația de fapt

Pentru a accesa cantina școlii elevii trebuiau să fie identificați cu ajutorul unui sistem de recunoaștere a amprentelor. Conform regulamentului privind accesul la cantină (publicat pe site-ul școlii), acest sistem nu era obligatoriu pentru toți elevii însă cei care nu au dorit să-l folosească trebuiau să stea la sfârșitul cozii și să intre în cantină, unul câte unul, după ce au intrat toți elevii cu identificare biometrică.

Folosind acest sistem de identificare biometrică, școala a prelucrat nelegal datele a 680 de copii.

În urma investigației efectuate din oficiu, autoritatea a constatat următoarele:

  • scopul pentru care a fost implementat sistemul de identificare biometrică a fost acela de a identifica elevii care au plătit taxa de cantină;
  • temeiul de drept utilizat a fost consimțământul scris al părinților sau al reprezentanților legali;
  • în perioada anului școlar 2019-2020, 680 de elevi utilizau sistemul biometric și doar 4 elevi utilizau un sistem alternativ de identificare.

Încălcările legislației

Pentru analizarea situației s-au avut în vedere următoarele:

  • situația persoanelor vizate: copiii – pentru care se impune o protecție specială a datelor cu caracter personal;
  • tipul de date prelucrate – date biometrice, date speciale, care nu se schimbă în timp și necesită o protecție specială;
  • riscul în cazul unei breșe de securitate – este un risc ridicat în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate ținând cont de caracterul special al datelor.

De ce consimțământul nu a fost considerat un temei legal de prelucrare?

Conform art. 9 alin. (2) lit. a), categoriile speciale de date pot fi prelucrate pe baza consimțământului explicit al persoanei vizate. În speță este vorba despre categorii speciale de date iar consimțământul a fost obținut. Deci, din ce motiv a fost sancționată școala?

În comunicatul de presă se precizează că indiferent de obținerea consimțământului, raportat la scopul prelucrării, aceasta a fost considerată excesivă. Prelucrarea datelor biometrice nu este esențială pentru atingerea scopului prelucrării – identificarea elevilor care au achitat taxa de cantină. Acest scop putea fi atins și în alt mod care să nu implice prelucrarea categoriilor speciale de date.

Chiar dacă nu a fost precizat în mod expres, operatorul nu a respectat principiul reducerii la minimum a datelor prelucrate și nu s-a limitat la ceea ce este necesar pentru îndeplinirea scopului.

Măsurile luate de UODO:

  • aplicarea amenzii în cuantum de aproximativ 4.700 euro;
  • obligarea operatorului de a șterge toate datele prelucrate ilegal;
  • obligarea operatorului de a înceta prelucrarea de date nelegală.

Necesitatea efectuării unei evaluări a impactului asupra protecției datelor (DPIA)

În cuprinsul comunicatului de presă, nu se fac referiri la existența unei evaluări a impactului asupra protecției datelor. Ținând cont de tipul de date prelucrate (date biometrice) și conform considerentului 91 din GDPR, în speță ar fi trebuit să se efectueze o evaluare de impact. În acest sens este și lista Autorității din Polonia privind tipul de operațiuni de prelucrare care fac obiectul cerinței pentru o evaluare a impactului privind protecția datelor în conformitate cu articolul 35 alineatul (4) din GDPR, listă care la punctul 5 prevede necesitatea efectuării DPIA în cazul prelucrării datelor biometrice în scopul identificării unice a unei persoane fizice sau verificării controlului accesului în anumite zone. Lista (în limba engleză) poate fi consultată aici.

Cărți de identitate distribuite pe rețelele de socializare

/in , /by

De foarte multe ori am întâlnit pe rețelele de socializare postări prin care se distribuiau fotografii needitate ale unor documente de identitate găsite. Scopul acestor postări este, evident, găsirea persoanei care a pierdut documentul respectiv și predarea acestuia. Deși persoanele care distribuie consideră că fac un lucru bun ajutând la recuperarea documentului pierdut, acestea, prin activitatea de distribuire, încalcă legea.

Ce spune legislația aplicabilă?

Conform O.U.G. nr. 97/2005, „Persoana care a găsit sau a intrat în mod fortuit în posesia unui act de identitate, indiferent cine este titularul acestuia, este obligată să îl depună ori să îl trimită, în termen de 24 de ore, la cel mai apropiat serviciu public comunitar de evidență a persoanelor sau la cea mai apropiată unitate de poliție.” Nerespectarea acestei obligații constituie contravenție și se sancționează cu amenda de la 25 lei la 50 lei.

În cazul în care pe rețelele de socializare fotografiile documentelor de identitate pierdute nu sunt editate astfel încât să fie ascunse datele cu caracter personal excesive, persoanele care le distribuie încalcă normele GDPR. Prin distribuirea datelor cu caracter personal fără a avea un temei legal, persoana respectivă efectuează o prelucrare ilegală de date. Fiind vorba de o persoană fizică, pentru a nu se aplica prevederile GDPR, ar trebui ca prelucrarea respectivă să se încadreze activităților exclusiv personale sau domestice (corespondență și repertoriul de adrese sau activități din cadrul rețelelor sociale desfășurate în contextul respectivelor activități exclusiv personale). Distribuirea documentelor de identitate ale altor persoane nu poate fi considerată o activitate personală sau domestică. În consecință, pentru că nu se poate justifica un temei de prelucrare (protejarea intereselor vitale ale persoanei vizate, singurul temei aplicabil în acest caz, fiind puțin probabil a se aplica), persoana în cauză va răspunde conform GDPR. În cazul în care autoritatea se va sesiza din oficiu sau dacă cineva înregistrează o cerere cu privire la prelucrarea nelegală se poate aplica o sancțiune conform legii.

Cum să procedați pentru a nu încălca legea

Ținând cont de cele precizate mai sus, atunci când găsiți un document de identitate, vă sfătuim să acționați conform O.U.G. nr. 97/2005 și, în termen de 24 de ore, să depuneți documentul de identitate găsit la cel mai apropiat serviciu public comunitar de evidență a persoanelor sau la cea mai apropiată unitate de poliție.

Dacă doriți și distribuirea pe rețelele de socializare, cel mai bine este să cenzurați majoritatea datelor cu caracter personal mai înainte de publicarea fotografiei actului de identitate, fiind suficient să rămână doar prenumele și județul sau sectorul de domiciliu. Totodată, menționați serviciul public comunitar de evidență a persoanelor sau unitatea de poliție unde ați depus documentul de identitate găsit. Procedând așa, veți respecta legea și veți proteja datele cu caracter personal ale persoanei care a pierdut documentul de identitate. 

Dacă doriți să aflați mai multe despre GDPR, puteți găsi informații utile aici.

Sancțiuni GDPR. Vicii privind informarea, consimțământul, supravegherea video și stocarea datelor.

/in , /by

ANSPDCP a aplicat noi sancțiuni pentru încălcarea normelor GDPR. Acestea sunt: avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din GDPR, amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea  dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din GDPR, amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din GDPR, și avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din GDPR.

Persoana juridică sancționată, Entirely Shipping & Trading S.R.L., a încălcat prevederile care reglementează:

  • principiul responsabilității și regulile privind informarea persoanelor vizate – operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
  • principiul reducerii la minimum a datelor, regulile privind legalitatea prelucrării și cele privind obținerea consimțământului – operatorul a prelucrat în mod excesiv datele cu caracter personal (imagini) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
  • principiul reducerii la minimum a datelor, regulile privind prelucrarea categoriilor speciale de date și obținerea consimțământului – operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate și alte mijloace pentru atingerea acestui scop, mai puțin intruzive pentru viața privată a persoanelor vizate;
  • principiul legalității, echității și transparenței, principiul limitării legate de scop, principiul limitării legate de stocare și regulile privind legalitatea prelucrării – operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfășurării activității societății, ulterior încetării relației contractuale cu acesta.

Constatări ale autorității

Conform celor constatate în cadrul investigației operatorul trebuia să:

  • facă dovada unui interes legitim justificat, în ceea ce privește sistemul de supraveghere video instalat la sediul său, care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate;
  • facă dovada consultării sindicatului sau, după caz, a reprezentanților angajaților înainte de introducerea sistemelor de monitorizare;
  • demonstreze că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
  • aibă politici adecvate de protecție a datelor și a implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc;
  • prelucreze datele biometrice prin intermediul sistemului de control acces conform unor scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate;
  • efectueze o evaluare a impactului asupra protecției datelor.

Măsuri corective

Autoritatea a aplicat operatorului și o serie de măsuri corective:

  • să asigure informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din GDPR și în condițiile de transparență menționate la art. 12 din GDPR, precum și de a modifica documentele prin care se realizează în prezent informarea;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului reducerii la minimum a datelor;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control a accesului, cu respectarea principiului reducerii la minimum a datelor;
  • să asigure conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile GDPR, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor.

Considerăm că printre măsurile aplicate Autoritatea trebuia să dispună efectuarea unei evaluări a impactului asupra protecției datelor (a cărei  lipsă a fost constatată) și interdicția de a mai prelucra date prin intermediul sistemului de supraveghere video instalat la sediul operatorului și prin intermediul sistemului de control acces până la data conformării acestuia. De asemenea, considerăm că indicarea unor măsuri mai clare cu privire la spațiile unde este permisă sau nu instalarea sistemului de supraveghere ar fi fost necesară (a se vedea măsurile dispuse de CNIL, despre care am scris aici.)

Comunicatul ANSPDCP referitor la sancționarea societății Entirely Shipping & Trading S.R.L. îl puteți găsi aici.

A doua amendă aplicată de ANSPDCP. Operatorul despre care nu se menționează nimic

/in , , /by

Până în prezent ANSPDCP a anunţat că a aplicat deja patru amenzi operatorilor de date cu caracter personal pentru încălcarea GDPR. Aceasta ne indică faptul că autoritatea de supraveghere este activă și dornică să pună în aplicare prevederile GDPR.

În cuprinsul acestui material facem o scurtă analiză cu privire la cea de-a doua amendă, cea aplicată World Trade Center Bucharest S.A. (”WTCB”), în cuantum de 15.000 euro.

Potrivit comunicatului ANSPDCP, ”încălcarea securității datelor cu caracter personal a constat în faptul că o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.”

Așadar, la o analiză atentă a situaţiei factuale, identificăm mai multe fapte de încălcare a GDPR, respectiv:

  1. Divulgare neautorizată de date – operatorul a permis (voit sau nu) fotografierea listei de clienţi conţinând datele lor personale, de către terţi din afara societăţii,

  2. Accesare neautorizată de date – terţii din afara societăţii au vizualizat şi fotografiat lista de clienţi, fără ca aceasta să le fie destinată ori fără să aibă permisiunea de a o face,

  3. Divulgare neautorizată de date – de data aceasta de către terţii din afara societăţii, care au publicat lista de clienţi în mediul online.

Ca atare, observăm că în fapt vorbim despre cel puțin doi operatori de date care au procedat contrar prevederilor GDPR, respectiv WTCB şi terţii („persoane neautorizate din afara societăţii”).

Indiferent dacă acești terți sunt persoane fizice sau juridice, ei devin operatori de date prin faptul publicării listei în mediul online. Aceasta deoarece, chiar și în calitate de persoane fizice, ei vor fi calificați ca operatori dacă pun la dispoziţia unui număr nelimitat de persoane (de exemplu prin publicare) date cu caracter personal care ar fi trebuit folosite doar în scop personal, domestic.

Cu toate că în spaţul public din România au circulat în ultima vreme mai multe informaţii contradictorii cu privire la posibilitatea unei persoane fizice de a fi operator, considerăm că nu există niciun dubiu în această privinţă. Atât GDPR (art. 2 alin. 2 litera c și considerentul 18), cât și European Data Protection Board (de ex. Ghidul nr. 3/2019) şi Curtea de Justiție a Uniunii Europene (de ex. cauza C‑25/17 privind Martorii lui Iehova sau cauza C-345/17 privind publicarea unui filmuleț cu o audiere efectuată de polițiști) au statuat fără echivoc faptul că persoanele fizice devin operatori de date atunci când le prelucrează în aşa manieră încât aceasta nu se mai efectuează în scop exclusiv personal sau domestic. De exemplu, divulgarea datelor către un număr nelimitat de persoane sau instalarea unei camere video într-un spaţiu public sunt activităţi de prelucrare care nu intră în sfera activităţilor pur personale.

Observăm, totuși, că Autoritatea nu ne comunică nimic despre aceşti terţi, în sensul de a ne informa despre măsurile luate în privința lor.

Considerăm că și ei, în calitate de operatori care au savârșit fapte de încălcare a prevederilor GDPR, ar fi trebuit sancționați alături de operatorul WTCB, mai ales că în fapt acțiunea lor de publicare a listei a agravat situația.

Recomandăm persoanelor fizice să fie mai atente atunci când iau cunoștință de date cu caracter personal și în niciun caz să nu le facă publice fără a avea un temei legal. Indiferent de modalitatea de răspuns a Autorității la diferite solicitări punctuale, legislația privind protecția datelor stabilește posibilitatea răspunderii și a persoanelor fizice pentru încălcarea sa.

Cât de GDPR compliant ești cu un buton de Facebook Like pe site

/in , , /by

Ce spune CJUE

Curtea de Justiție a Uniunii Europene a pronunțat recent o nouă decizie privind relația unui operator cu Facebook din prisma legislației protecției datelor cu caracter personal.

După ce anul trecut CJUE a statuat administratorul unei Facebook page (pagină pentru fani) și Facebook sunt operatori asociați în sensul GDPR, de curând Curtea a stabilit că un administrator de site care incorporează în acesta un plugin (cum este butonul de Like al Facebook) devine operator asociat cu furnizorul pluginului (respectiv Facebook în cazul butonului său de Like).

Calitatea lor de operatori asociați se aplică doar pentru acele prelucrări pentru care stabilesc împreună mijloacele și scopurile de prelucrare, în cazul butonului Like fiind vorba doar despre colectarea datelor vizitatorului site-ului și transmiterea lor către Facebook. În privința modalităților de prelucrare a datelor de către Facebook, ulterioară acestei transmiteri, răspunderea lor comună de operatori asociați încetează, Facebook rămânând unicul operator.

Poziționarea Facebook față de această decizie

Jack Gilbert, consilierul general asociat al Facebook, a declarat pentru Reuters următoarele: „Analizăm cu atenție decizia instanței și vom colabora strâns cu partenerii noștri pentru a ne asigura că pot continua să beneficieze de pluginurile noastre sociale și de alte instrumente de afaceri, în deplină conformitate cu legea”.  Așa cum ne-a obișnuit, Facebook nu face declarații concrete privind implementarea măsurilor necesare respectării drepturilor persoanelor vizate.

Aplicarea practică a deciziei

Ceea ce este interesant de observat la această situație este faptul că administratorul site-ului, în calitate de operator, este obligat să informeze vizitatorul site-ului (persoana vizată) despre modalitatea de prelucrare a datelor sale și să se asigure că are un temei legal pentru această prelucrare, conform deciziei CJUE.

Astfel, informarea trebuie efectuată mai înainte ca datele să fie efectiv colectate și transmise către Facebook. De asemenea, dacă operatorul se va baza pe consimțământ, acesta trebuie preluat tot înainte de colectare și transmitere.

Însă, tehnic vorbind, simpla accesare a site-ului de către vizitator face ca datele sale să fie colectate și transmise către Facebook prin intermediul butonului Like. În acest context, orice informare și cerere de consimțământ aflate pe site-ul vizitat sunt viciate întrucât ele nu sunt anterioare prelucrării datelor, ci cel mult concomitente.

Ca atare, la acest moment, dacă nu există o interfață între vizitator și site care să asigure o informare completă privind prelucrarea datelor sale și, eventual, o modalitate de preluare de consimțământ (dacă este cazul), niciun site care conține pluginuri de genul butonului de Facebook Like incorporat pe pagina de start nu respectă prevederile GDPR. Interfața respectivă trebuie să asigure faptul că datele vizitatorului nu sunt încă preluate, ci ele vor fi colectate doar după ce vizitatorul citește informarea și eventual acordă consimțământul său pentru asta. Desigur, vizitatorul trebuie să aibă și opțiunea de a refuza.

Important de știut este că butonul de Like colectează și transmite datele către Facebook indiferent dacă acesta este efectiv apăsat de utilizator sau nu și indiferent dacă utilizatorul deține sau nu un cont pe Facebook.

Well done, Zuckerberg!

CNIL – Regulamentul tip “biometrie la locul de muncă” (date biometrice)

/in , /by

Context

În urma unei consultări publice efectuate în perioada 03 – 30.09.2018, Autoritatea de supraveghere din Franța (CNIL) a adoptat Regulamentul tip “biometrie la locul de muncă”. Acest document precizează obligațiile angajatorilor care doresc să utilizeze dispozitive biometrice pentru a controla accesul la spațiile, aplicațiile și instrumentele de lucru.

Demersul a fost necesar ca urmare a adoptării în Franța a Legii nr. 2018-493 din 20 iunie 2018 cu privire la protecția datelor cu caracter personal, lege care a încredințat CNIL o misiune nouă, aceea de a stabili și publica, în consultare cu organismele publice și private, “reglementări tip care să asigure securitatea sistemelor de prelucrare a datelor cu caracter personal și să guverneze prelucrarea datelor biometrice, genetice și de sănătate”.

Scop

Scopul regulamentului tip (care poate fi accesat aici) este acela de a stabili cerințe specifice pentru prelucrarea datelor biometrice necesare controlului exercitat de angajatorii publici sau privați cu privire la accesul la locurile de muncă, cât și la aparatele și aplicațiile utilizate în cadrul sarcinilor încredințate angajaților, agenților, stagiarilor sau prestatorilor de servicii (denumiți “persoane vizate”).

Conținut

Regulamentul tip definește noțiunea de “șablon” ca fiind rezultatul prelucrării înregistrării brute (fotografie, înregistrare audio etc.) a caracteristicilor biometrice printr-un algoritm care face imposibilă reconstituirea lor. Șabloanele sunt date biometrice derivate și trebuie să se distingă de datele de la care derivă caracteristicile biometrice. În alte cuvinte, „șablonul” este o reprezentare matematică a originalului biometric.

Se precizează că utilizarea dispozitivelor biometrice care intră sub incidența acestei reglementări standard este permisă numai în următoarele scopuri:

  • controlul accesului la spațiile identificate expres de către organizație ca fiind restricționate pentru circulație;
  • controlul accesului la dispozitivele profesionale limitate și aplicațiile IT ale organizației.

Operatorii care utilizează dispozitive biometrice în scopul indicat de regulament trebuie să justifice și să demonstreze necesitatea efectuării unei astfel de prelucrări.

În cuprinsul documentului sunt enumerate și datele cu caracter personal care pot fi prelucrate prin intermediul dispozitivelor biometrice de control al accesului. Acestea pot fi:

  • Date furnizate de angajator sau de agenții săi (date de identificare);
  • Datele generate de dispozitivul folosit (date din jurnal).

Reglementarea interzice ca la locul de muncă să se utilizeze un model de autentificare biometrică ce ar necesita eșantionare biologică ( prin salivă, sânge, etc.). Astfel, este permisă doar autentificarea biometrică efectuată pe baza caracteristicilor morfologice ale persoanelor în cauză (iris, amprentă, rețeaua venoasă a mâinii etc.).

Este important de reținut că alegerea tipului (tipurilor) de biometrie trebuie să fie justificată și documentată de către angajator, inclusiv motivul utilizării unei caracteristici biometrice, și nu a alteia.

Regulamentul tip mai cuprinde referiri cu privire la:

  • Persoane îndreptățite să prelucreze datele;
  • Alegerea modalităților de păstrare a șablonului;
  • Modalitățile și durata conservării datelor;
  • Informarea persoanelor vizate;
  • Securitatea datelor;
  • Necesitatea efectuării unei DPIA.

Până când ANSPDCP hotărăște să sprijine operatorii români prin oferirea de opinii, interpretări sau regulamente de tipul celui despre care am scris, nu ne rămâne decât să folosim materialele furnizate de alte autorități mai active și mai responsabile.

Evidența activităților de prelucrare – cartografierea datelor cu caracter personal

/in , , , /by

Deși auzim des expresia ”eu nu prelucrez date cu caracter personal”, de cele mai multe ori se dovedește ca aceasta să fie eronată. Zi de zi profesioniștii prelucrează date în activitatea lor și mulți nu conștientizează cât de multe sunt în realitate.

Întrucât datele concurează strâns cu petrolul pentru titlul de ”cea mai valoroasă resursă”, operatorii ar trebui să fie conștienți de cantitatea și calitatea datelor pe care le prelucrează.

Cine trebuie să țină evidența activităților de prelucrare?

RGPD prevede la art. 30 obligația anumitor operatori de a ține evidența activităților de prelucrare aflate în responsabilitatea lor. Cerința nu este obligatorie pentru operatorii cu mai puțin de 250 angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Așadar, simplul fapt că prelucrarea efectuată nu este ocazională obligă operatorii să țină evidența, deși aceștia au mai puțin de 250 angajați. De cele mai multe ori prelucrările de date nu sunt ocazionale, mai ales dacă există și angajați ale căror date sunt prelucrate constant în exercitarea relațiilor de serviciu și a contractului de muncă.

Totodată, dacă prelucrarea poate genera un risc, nu neapărat un risc ridicat, ea trebuie documentată într-un registru. De exemplu, prelucrarea datelor clienților persoane fizice prin intermediul unui terț (prestator de servicii) poate prezenta un risc, întrucât transferul datelor în sine este riscant.

Prin urmare, operatorii cu mai puțin de 250 angajați trebuie să își analizeze atent activitățile și să le identifice pe cele care presupun prelucrări de date ce sunt susceptibile  să genereze un risc pentru drepturile și libertățile persoanelor vizate, care nu sunt ocazionale sau care includ categorii speciale de date sau date cu caracter personal referitoare la condamnări penale și infracțiuni.

Ce este Registrul de cartografiere a datelor

Activitățile de prelucrare menționate anterior trebuie evidențiate într-un registru, denumit în general ”Registru de cartografiere”.

Acesta va cuprinde informațiile prevăzute la art. 30 alin. 1 din RGPD, printre care enumerăm: datele de contact ale operatorului, categoriile de date prelucrate, categoriile de persoane vizate, scopurile prelucrării etc.

Registrul trebuie revizuit și actualizat periodic, iar fiecare nouă activitate de prelucrare va trebui documentată în acesta.

Cum arată un Registru de cartografiere

Pentru a veni în ajutorul operatorilor, am pregătit un model de registru de cartografiere ce cuprinde informațiile minime necesare conform RGPD, pe care îl puteți găsi aici: registru de cartografiere Start Lawyers.

 

Pentru mai multe informații, nu ezitați să ne contactați aici.

DPIA – Beneficiile evaluării de impact

/in , , /by

Scriam într-un articol precedent faptul că și în situațiile în care unii operatori nu sunt obligați să efectueze evaluarea de impact, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Principalele beneficii ale întocmirii DPIA (Data Protection Impact Assessment)

  • ajută organizația să implementeze toate măsurile necesare pentru a asigura respectarea RGPD;
  • reprezintă un mijloc eficient de dovedire a respectării prevederilor RGPD atunci când Autoritatea de supraveghere solicită informații în aceste sens;
  • contribuie la îmbunătățirea transparenței în activitatea de prelucrare a datelor cu caracter personal;
  • se va îmbunătăți modul în care organizația va folosi informațiile confidențiale;
  • în cazul în care DPIA  se va publica, va ajuta organizația să-și consolideze poziția de operator de încredere;
  • prin identificarea din timp a eventualelor probleme, poate aduce avantaje financiare deoarece rezolvarea unei probleme descoperite din timp este mai puțin costisitoare;
  • întocmirea DPIA ajută la creșterea conștientizării organizației asupra importanței confidențialității și a protejării datelor cu caracter personal.

Dacă doriți să aflați mai multe despre RGPD puteți accesa articolele postate pe pagina dedicată protecției datelor sau, dacă aveți întrebări, ni le puteți adresa folosind pagina de contact.