DPIA Archives – Start Lawyers

GDPR – Noi sancțiuni aplicate în UE

August 19, 2020/in Data protection /by Stefan

GDPR contează și se aplică

Chiar dacă majoritatea operatorilor, din diferite motive, ignoră prevederile GDPR și drepturile persoanelor vizate, mai devreme sau mai târziu, vor trebui să implementeze standardele de protecție necesare unor prelucrări legale de date cu caracter personal.

După cum veți observa în cele ce urmează, în UE autoritățile pentru protecția datelor pun în aplicare prevederile GDPR și sancționează încălcările acestora. Încet, dar sigur, operatorii nu vor mai vedea normele privind protecția datelor ca pe ceva facultativ și le vor acorda atenția cuvenită.

Spania

Autoritatea pentru protecția datelor din Spania (AEPD) a aplicat mai multe amenzi pentru nerespectarea normelor GDPR. Faptele sancționate au fost următoarele:

nerespectarea principiului confidențialității, prevăzut la articolul 5 alineatul (1) litera (f) din GDPR. – societatea XFERA MOVILES a primit o amendă de 70.000 EUR pentru dezvăluirea datelor personale ale unui client către o terță parte; (detalii puteți găsi aici↵)
încălcarea articolului 6 alineatul (1) din GDPR, referitor la prelucrarea datelor cu caracter personal ale reclamantului fără nicio bază legală – VODAFONE ESPAÑA a primit o amendă de 75.000 EUR pentru prelucrarea numărului de telefon al persoanei vizate în scop de marketing după ce aceasta și-a exercitat dreptul la ștergerea datelor; (detalii puteți găsi aici↵)
nerespectarea art. 58 alin. (1) it. e) din GDPR privind comunicarea informațiilor necesare soluționării plângerii – solicitarea de informații formulată pentru a investiga faptele identificate într-o plângere – IBERDROLA CLIENTES a fost sancționată cu 5.000 de euro; (detalii puteți găsi aici↵)

Norvegia

Autoritatea pentru protecția datelor din Norvegia a amendat municipalitatea Rælingen pentru că a prelucrat datele privind sănătatea copiilor cu nevoi speciale prin intermediul platformei digitale de învățare Showbie fără ca aplicația să fi avut testări și evaluări de risc necesare, precum și o evaluare de impact asupra vieții private (DPIA) mai înainte de a fi utilizată. Amenda aplicată este de 47.500 EUR. (detalii puteți găsi aici↵)

Polonia

Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă de 5 000 PLN unui antreprenor care deține o creșă și unități de învățământ preșcolar pentru nerespectarea art. 58 alin. (1) it. e) din GDPR privind comunicarea informațiilor necesare autorității pentru desfășurarea investigației. Sancțiunea a fost aplicată pentru că operatorul nu a furnizat autorității accesul la datele cu caracter personal și la alte informații necesare îndeplinirii sarcinilor sale. (detalii puteți găsi aici↵)

Prelucrarea datelor biometrice – amendă GDPR în Polonia

March 9, 2020/in Data protection /by Stefan

Potrivit comunicatului de presă din data de 05/03/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă în cuantum de aproximativ 4.700 euro pentru nerespectarea prelucrării datelor biometrice ale copiilor atunci când foloseau cantina școlară.

Situația de fapt

Pentru a accesa cantina școlii elevii trebuiau să fie identificați cu ajutorul unui sistem de recunoaștere a amprentelor. Conform regulamentului privind accesul la cantină (publicat pe site-ul școlii), acest sistem nu era obligatoriu pentru toți elevii însă cei care nu au dorit să-l folosească trebuiau să stea la sfârșitul cozii și să intre în cantină, unul câte unul, după ce au intrat toți elevii cu identificare biometrică.

Folosind acest sistem de identificare biometrică, școala a prelucrat nelegal datele a 680 de copii.

În urma investigației efectuate din oficiu, autoritatea a constatat următoarele:

scopul pentru care a fost implementat sistemul de identificare biometrică a fost acela de a identifica elevii care au plătit taxa de cantină;
temeiul de drept utilizat a fost consimțământul scris al părinților sau al reprezentanților legali;
în perioada anului școlar 2019-2020, 680 de elevi utilizau sistemul biometric și doar 4 elevi utilizau un sistem alternativ de identificare.

Încălcările legislației

Pentru analizarea situației s-au avut în vedere următoarele:

situația persoanelor vizate: copiii – pentru care se impune o protecție specială a datelor cu caracter personal;
tipul de date prelucrate – date biometrice, date speciale, care nu se schimbă în timp și necesită o protecție specială;
riscul în cazul unei breșe de securitate – este un risc ridicat în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate ținând cont de caracterul special al datelor.

De ce consimțământul nu a fost considerat un temei legal de prelucrare?

Conform art. 9 alin. (2) lit. a), categoriile speciale de date pot fi prelucrate pe baza consimțământului explicit al persoanei vizate. În speță este vorba despre categorii speciale de date iar consimțământul a fost obținut. Deci, din ce motiv a fost sancționată școala?

În comunicatul de presă se precizează că indiferent de obținerea consimțământului, raportat la scopul prelucrării, aceasta a fost considerată excesivă. Prelucrarea datelor biometrice nu este esențială pentru atingerea scopului prelucrării – identificarea elevilor care au achitat taxa de cantină. Acest scop putea fi atins și în alt mod care să nu implice prelucrarea categoriilor speciale de date.

Chiar dacă nu a fost precizat în mod expres, operatorul nu a respectat principiul reducerii la minimum a datelor prelucrate și nu s-a limitat la ceea ce este necesar pentru îndeplinirea scopului.

Măsurile luate de UODO:

aplicarea amenzii în cuantum de aproximativ 4.700 euro;
obligarea operatorului de a șterge toate datele prelucrate ilegal;
obligarea operatorului de a înceta prelucrarea de date nelegală.

Necesitatea efectuării unei evaluări a impactului asupra protecției datelor (DPIA)

În cuprinsul comunicatului de presă, nu se fac referiri la existența unei evaluări a impactului asupra protecției datelor. Ținând cont de tipul de date prelucrate (date biometrice) și conform considerentului 91 din GDPR, în speță ar fi trebuit să se efectueze o evaluare de impact. În acest sens este și lista Autorității din Polonia privind tipul de operațiuni de prelucrare care fac obiectul cerinței pentru o evaluare a impactului privind protecția datelor în conformitate cu articolul 35 alineatul (4) din GDPR, listă care la punctul 5 prevede necesitatea efectuării DPIA în cazul prelucrării datelor biometrice în scopul identificării unice a unei persoane fizice sau verificării controlului accesului în anumite zone. Lista (în limba engleză) poate fi consultată aici.

Sancțiuni GDPR. Vicii privind informarea, consimțământul, supravegherea video și stocarea datelor.

January 17, 2020/in Data protection, News /by Roxana

ANSPDCP a aplicat noi sancțiuni pentru încălcarea normelor GDPR. Acestea sunt: avertisment pentru încălcarea dispozițiilor art. 12 și art. 13 din GDPR, amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din GDPR, amendă în cuantum de 23.893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 9 și art. 7 din GDPR, și avertisment pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), b) și e) și art. 6 din GDPR.

Persoana juridică sancționată, Entirely Shipping & Trading S.R.L., a încălcat prevederile care reglementează:

principiul responsabilității și regulile privind informarea persoanelor vizate – operatorul nu a prezentat dovezi din care să rezulte că a asigurat o informare clară, completă și corectă a persoanelor vizate;
principiul reducerii la minimum a datelor, regulile privind legalitatea prelucrării și cele privind obținerea consimțământului – operatorul a prelucrat în mod excesiv datele cu caracter personal (imagini) ale angajaților săi prin intermediul camerelor video instalate în birourile în care aceștia își desfășoară activitatea și în locurile în care există dulapuri unde angajații își depozitează hainele de schimb (vestiare);
principiul reducerii la minimum a datelor, regulile privind prelucrarea categoriilor speciale de date și obținerea consimțământului – operatorul a prelucrat date biometrice (amprente) ale angajaților putând fi utilizate și alte mijloace pentru atingerea acestui scop, mai puțin intruzive pentru viața privată a persoanelor vizate;
principiul legalității, echității și transparenței, principiul limitării legate de scop, principiul limitării legate de stocare și regulile privind legalitatea prelucrării – operatorul a prelucrat ilegal datele cu caracter personal ale unui fost angajat prin utilizarea acestora în cadrul corespondenței prin poșta electronică, în scopul desfășurării activității societății, ulterior încetării relației contractuale cu acesta.

Constatări ale autorității

Conform celor constatate în cadrul investigației operatorul trebuia să:

facă dovada unui interes legitim justificat, în ceea ce privește sistemul de supraveghere video instalat la sediul său, care să prevaleze asupra intereselor sau drepturilor și libertăților fundamentale ale persoanelor vizate;
facă dovada consultării sindicatului sau, după caz, a reprezentanților angajaților înainte de introducerea sistemelor de monitorizare;
demonstreze că alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
aibă politici adecvate de protecție a datelor și a implementării unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc;
prelucreze datele biometrice prin intermediul sistemului de control acces conform unor scopuri adecvate, relevante și limitate la ceea ce era necesar în raport cu scopurile în care erau prelucrate;
efectueze o evaluare a impactului asupra protecției datelor.

Măsuri corective

Autoritatea a aplicat operatorului și o serie de măsuri corective:

să asigure informarea corectă a persoanelor vizate prin comunicarea într-o formă concisă, transparentă, inteligibilă și ușor accesibilă a tuturor informațiilor prevăzute de art. 13 din GDPR și în condițiile de transparență menționate la art. 12 din GDPR, precum și de a modifica documentele prin care se realizează în prezent informarea;
să asigure conformitatea operațiunilor de prelucrare a datelor personale în activitatea de monitorizare video, cu respectarea principiului reducerii la minimum a datelor;
să asigure conformitatea operațiunilor de prelucrare a datelor personale în activitatea de control a accesului, cu respectarea principiului reducerii la minimum a datelor;
să asigure conformitatea operațiunilor de prelucrare a datelor personale cu dispozițiile GDPR, prin realizarea unei politici de securitate și implementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor.

Considerăm că printre măsurile aplicate Autoritatea trebuia să dispună efectuarea unei evaluări a impactului asupra protecției datelor (a cărei lipsă a fost constatată) și interdicția de a mai prelucra date prin intermediul sistemului de supraveghere video instalat la sediul operatorului și prin intermediul sistemului de control acces până la data conformării acestuia. De asemenea, considerăm că indicarea unor măsuri mai clare cu privire la spațiile unde este permisă sau nu instalarea sistemului de supraveghere ar fi fost necesară (a se vedea măsurile dispuse de CNIL, despre care am scris aici.)

Comunicatul ANSPDCP referitor la sancționarea societății Entirely Shipping & Trading S.R.L. îl puteți găsi aici.

DPIA – Beneficiile evaluării de impact

February 6, 2018/in Companies, Data protection, persoane fizice /by Stefan

Scriam într-un articol precedent faptul că și în situațiile în care unii operatori nu sunt obligați să efectueze evaluarea de impact, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Principalele beneficii ale întocmirii DPIA (Data Protection Impact Assessment)

ajută organizația să implementeze toate măsurile necesare pentru a asigura respectarea RGPD;
reprezintă un mijloc eficient de dovedire a respectării prevederilor RGPD atunci când Autoritatea de supraveghere solicită informații în aceste sens;
contribuie la îmbunătățirea transparenței în activitatea de prelucrare a datelor cu caracter personal;
se va îmbunătăți modul în care organizația va folosi informațiile confidențiale;
în cazul în care DPIA se va publica, va ajuta organizația să-și consolideze poziția de operator de încredere;
prin identificarea din timp a eventualelor probleme, poate aduce avantaje financiare deoarece rezolvarea unei probleme descoperite din timp este mai puțin costisitoare;
întocmirea DPIA ajută la creșterea conștientizării organizației asupra importanței confidențialității și a protejării datelor cu caracter personal.

Dacă doriți să aflați mai multe despre RGPD puteți accesa articolele postate pe pagina dedicată protecției datelor sau, dacă aveți întrebări, ni le puteți adresa folosind pagina de contact.

DPIA – Evaluarea impactului asupra protecției datelor: Q & A

February 1, 2018/in Companies, Data protection, persoane fizice /by Stefan

În rândurile următoare vă prezentăm răspunsurile la unele dintre cele mai întâlnite întrebări referitoare la evaluarea impactului asupra protecției datelor (DPIA).

Q: Ce este DPIA?

A: DPIA este un proces destinat să:

descrie prelucrarea de date cu caracter personal;
evalueze necesitatea și proporționalitatea prelucrării;
contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate (prin evaluarea riscurilor și stabilirea de măsuri pentru atenuarea lor).

Q: DPIA pentru o singură operațiune de prelucrare sau pentru toate operațiunile?

A: DPIA se poate întocmi doar pentru o singură operațiune de prelucrare sau pentru multiple operațiuni de prelucrare similare și care prezintă riscuri ridicate similare. În general, DPIA se întocmește atunci când operatorul decide să desfășoare un nou proiect sau când intervine o modificare a tehnologiilor folosite în activitatea de prelucrare.

Q: DPIA este obligatorie?

A: În principiu, da. Cu excepția cazului în care operațiunea de prelucrare se încadrează într-o excepție dintre cele de mai jos, trebuie să se efectueze o DPIA în cazul în care o operațiune de prelucrare este „susceptibilă să genereze un risc ridicat”.

Q: Care sunt excepțiile de la întocmirea DPIA?

A: DPIA nu este obligatorie atunci când:

prelucrarea nu este „susceptibilă să genereze un risc ridicat”;
există DPIA similară sau când prelucrarea a fost autorizată de autoritatea de supraveghere anterior lunii mai 2018;
există un temei legal al prelucrării și s-a efectuat deja o DPIA pentru aceasta.

Q: Ce se înțelege prin „ risc ridicat”

A: O operațiune de prelucrare este susceptibilă să genereze „riscuri ridicate” atunci când:

presupune o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
se face o prelucrare pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;
se face o monitorizare sistematică pe scară largă a unei zone accesibile publicului.

În practică, Grupul de lucru Articolul 29 recomandă ca operatorii să evalueze în mod continuu riscurile create de activităților lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Q: Când se efectuează DPIA?

A: DPIA trebuie realizată „anterior prelucrării” întrucât este un instrument destinat să ajute la luarea deciziilor cu privire la prelucrare.

Q: Pentru operațiunile de prelucrare existente mai este necesară?

A: Doar în situația în care operațiunile de prelucrare existente pot conduce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, și pentru care s-a produs o schimbare a riscurilor, luând în considerare natura, obiectivul, contextul și scopurile prelucrării.

Q: Care sunt caracteristicile minime ale DPIA?

A: DPIA trebuie să conțină informații cu privire la:

Descrierea prelucrării preconizate (tipul de operațiuni și scopul prelucrării);
Evaluarea necesității și proporționalității;
Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;
Măsurile preconizate pentru abordarea riscurilor;
Documentare;
Monitorizare și revizuire.

Dacă aveți alte întrebări sau dacă aveți nevoie de lămuriri, vă rugăm să folosiți pagina noastră de contact.

Posts

Recent posts