Posts

Polonia – Școală mustrată pentru nerespectarea GDPR

/in /by

Prin intermediul comunicatului din data de 02/09/2020, Autoritatea pentru protecția datelor din Polonia (UODO) a anunțat că a mustrat o școală pentru prelucrarea fără temei legal a datelor personale ale elevilor. Concret, în anul școlar 2019/2020, școala a efectuat un sondaj intitulat „Diagnosticarea situației elevului la domiciliu și la școală” cu ajutorul căruia a examinat situația personală a elevilor. Scopul sondajului a fost să identifice elevii care necesită sprijin psihologic de la școala pe care o frecventează.

„Școala, ca entitate publică, poate prelucra date cu caracter personal în cadrul sarcinilor sale impuse de lege. La rândul lor, conform Legii educației, școlile prelucrează date cu caracter personal în măsura necesară pentru îndeplinirea sarcinilor și obligațiilor care decurg din aceste reglementări.”

Ce date au fost colectate de către școală?

Prin intermediul sondajului, școala a prelucrat date cu caracter personal ale elevilor, inclusiv minori, cum ar fi:

  • numele și prenumele;
  • cursurile la care participă;
  • indicarea tutorilor legali (părinților);
  • statutul familial (monoparental, familie completă);
  • informații despre:
    • decesul unui tutore (părinte);
    • separarea tutorilor legali (părinți);
    • educația și situația profesională a acestora;
    • numărul de persoane din gospodărie;
    • situația financiară, starea de sănătate și dependențele tutorilor legali (părinților);
    • situația locuințelor;
    • ajutoarele sociale.

Cum au fost prelucrate datele?

Sondajul a fost realizat de către profesorii claselor 7-8 ale școlii elementare și de către profesorii claselor de liceu. Modul de colectare a fost completarea unui formular pe baza instrucțiunilor directe ale directorului școlii.

Conform constatărilor din urma inspecției efectuate de personalul autorității, datele personale nu au fost copiate, înregistrate sau introduse în sisteme electronice de telecomunicații. Toate exemplarele formularelor completate în cadrul sondajului au fost distruse de o comisie oficială iar datele personale ale elevilor obținute în legătură cu sondajele nu au mai fost prelucrate. S-a mai constatat faptul că sondajul s-a realizat într-un mod care exclude posibilitatea divulgării neautorizate a datelor prelucrate.

De ce a fost aplicată mustrarea?

Școala nu a respectat principiul legalității prelucrării datelor conform căruia datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent. Pentru a prelucra datele personale în conformitate cu GDPR, școala trebuia să aibă o obligație legală privind efectuarea unui sondaj în rândul elevilor.

Autoritatea pentru protecția datelor a reținut că „Școala, ca entitate publică, poate prelucra date cu caracter personal în cadrul sarcinilor sale impuse de lege. La rândul lor, conform Legii educației, școlile prelucrează date cu caracter personal în măsura necesară pentru îndeplinirea sarcinilor și obligațiilor care decurg din aceste reglementări. Actele legale care reglementează funcționarea instituțiilor de învățământ nu specifică astfel de sarcini și obligații ale școlilor care ar justifica prelucrarea datelor cu caracter personal ale elevilor în modul în care s-a făcut în entitatea penalizată, în legătură cu sondajul efectuat.”

Cum ar fi trebuit să procedeze pentru o prelucrare corectă?

Scopul prelucrării fiind deja stabilit – identificarea elevilor care necesită sprijin psihologic, pasul următor era alegerea temeiul juridic în baza căruia se va face prelucrarea. Apoi, temeiul fiind corect identificat, urmează să se stabilească:

  • modurile concrete de prelucrare, inclusiv prelucrarea cu ajutorul programelor informatice;
  • măsurile de securitate adecvate;
  • destinatarii datelor, persoanele care au acces la date, inclusiv cele către care vor fi transferate datele, dacă este cazul;
  • perioada de păstrare și modul de arhivare;
  • data și modalitatea de distrugere/ștergere a datelor.

La final, după ce toate aspectele de mai sus vor fi clarificate, se va întocmi nota de informare a persoanelor vizate, conform GDPR, și se va comunica persoanelor vizate. Dacă temeiul juridic pentru prelucrare este consimțământul (în cazul în care niciunul dintre celelalte temeiuri nu sunt aplicabile), doar copii peste 16 ani pot semna declarația de acordare a consimțământului.

3 sfaturi pentru asociațiile de proprietari, extrase din ultimul comunicat al ANSPDCP

/in /by

Proprietari sau nu, GDPR nu se aplică doar atunci când vrem noi.

Cu toate că au trecut 2 ani de la aplicarea GDPR, nu toți realizăm importanța protejării datelor cu caracter personal și a drepturilor persoanelor vizate. Sunt unele persoane cărora li se pare perfect justificată nerespectarea drepturilor unei alte persoane atunci când se pune problema apărării unui interes pe care îl consideră superior. În acele situații nu mai contează ce spune legea. Și dacă ar conta, legea nu se aplică decât în favoarea lor, conform interpretării proprii. Interpretarea legislației este o operațiune destul de dificilă pentru care este nevoie de studii de specialitate. Mulți uită lucrul ăsta și, oricum, ei știu cel mai bine.

Am auzit destul de des următoarea replică: „Nu avem nevoie de proceduri GDPR pentru că nu se aplică în cazul nostru. Montăm camere pentru siguranța locatarilor în spațiul nostru privat. E proprietatea noastră și facem ce vrem.” E inutil să explicăm cât de greșită este această abordare. În loc de explicații lungi și plictisitoare mai bine prezentăm speța din ultimul comunicat al ANSPDCP.

Ce aflăm din comunicatul ANSPDCP?

În urma unei plângeri, ANSPDCP a sancționat Asociația de proprietari Bl. FC 5, orașul Năvodari, județul Constanța, pentru nerespectarea GDPR.

Sancțiunile aplicate au fost:

  • amendă în cuantum de 2417,55 lei ( echivalentul a 500 euro) pentru prelucrarea ilegală a imaginii unei persoane fizice, provenită din sistemul de supraveghere video al asociației, prin afișare la avizierul imobilului, cu încălcarea principiilor de prelucrare a datelor personale;
  • avertisment pentru neadoptarea de măsuri de securitate, tehnice și organizatorice, adecvate pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video;
  • avertisment pentru lipsa unei informări complete a persoanelor vizate ale căror date personale le prelucrează prin intermediul sistemului de supraveghere video deținut.

Asociației de proprietari i s-au aplicat și măsuri corective în sensul remedierii deficiențelor: informarea persoanelor vizate și adoptarea unor măsuri de securitate, tehnice și organizatorice, adecvate.

Ce se poate învăța din această speță?

1. Atunci când prelucrați imaginea unei persoane fizice, provenită din sistemul de supraveghere video al asociației, prin afișare la avizierul imobilului, respectați principiile de prelucrare a datelor personale prevăzute de art. 5 din GDPR, coroborat cu art. 6 alin. (1) din GDPR, articol care prevede temeiurile de prelucrare!

Conform GDPR, orice prelucrare trebuie să se facă respectând următoarele principii:

  1. Legalitate, echitate și transparență;
  2. Limitări legate de scop – să fie determinat, explicit și legitim;
  3. Reducerea la minimum a datelor colectate – adecvate, relevante și limitate la ceea ce este necesar;
  4. Exactitate – datele trebuie să fie exacte și actualizate;
  5. Limitări legate de stocare – să nu fie păstrate mai mult decât este necesar;
  6. Integritate și confidențialitate – modul de prelucrare să asigure o securitate adecvată.

Pentru ca o prelucrare de date cu caracter personal să fie legală, trebuie să se bazeze cel puțin pe unul dintre temeiurile de prelucrare prevăzute de art. 6 alin. (1) din GDPR:

  • consimțământul persoanei vizate;
  • prelucrarea este necesara pentru încheierea sau executarea unui contract;
  • prelucrarea este necesara pentru îndeplinirea unei obligații legale;
  • prelucrare este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
  • prelucrare este necesara pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
  • prelucrare este necesara în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate.

Toate acestea nu sunt noutăți. Totuși, oricât le-am repeta se pare că nu e de ajuns.

2. Pentru protejarea datelor personale colectate prin intermediul sistemului de supraveghere video trebuie să implementați măsuri de securitate, tehnice și organizatorice, adecvate, în conformitate cu dispozițiile art. 25 și 32 din GDPR!

În speța prezentată, ANSPDCP, pe lângă măsurile generale implicite, recomandă următoarele măsuri pentru protejarea datelor personale:

  • imaginile să nu mai poată fi accesibile oricărei persoane – de exemplu, prin intermediul monitorului amplasat pe hol;
  • accesul imaginilor să nu se facă la distanță prin internet – cu ajutorul unor aplicații;
  • stabilirea, în cadrul Adunării Generale a Asociației de Proprietari, următoarelor:
    • un număr limitat de persoane care să aibă acces la acest sistem;
    • drepturile ce pot fi alocate fiecăreia dintre persoanele cu drept de acces;
    • întocmirea unor instrucțiuni clare de prelucrare pentru persoanele care prelucrează date sub autoritatea asociației.

3. Informați complet persoanele vizate ale căror date personale sunt prelucrate prin intermediul sistemului de supraveghere video, cu privire la prelucrarea prin intermediul acestui sistem, potrivit cerințelor art. 12 și 13 din GDPR!

Informarea persoanelor vizate este prezentată destul de clar în cuprinsul art. 12 și 13 din GDPR. Pentru că nu a făcut o informare corespunzătoare, asociația de proprietari a fost obligată de autoritate să asigure informarea completă a persoanelor vizate, prin furnizarea tuturor informațiilor prevăzute de art. 12-13 din RGPD, la loc vizibil, în apropierea camerelor de supraveghere.

Chiar dacă pare dificilă, conformarea cu regulile GDPR se poate face atunci când se dorește acest lucru. Este nevoie de timp și de răbdare. Și, poate cel mai important, de o nouă perspectivă asupra dreptului la viața privată a celuilalt, drept care de cele mai multe ori este uitat.

Despre prelucrarea datelor cu caracter personal prin intermediul unui sistem CCTV, alături de Roxana Păunescu, am mai scris:

Newsletter Start Lawyers 8/2020

/in /by
Newsletterul poate fi descărcat în format pdf de aici.↵

Informațiile cuprinse în acest număr sunt următoarele:

Noutăți legislative din următoarele domenii:

  • Alegeri locale;
  • Ajutor de stat;
  • Educație;
  • Relații de muncă;
  • Financiar;
  • Zootehnie;
  • Circulație;
  • Mediu;
  • COVID-19.

Informații din domeniul protecției datelor (GDPR)

Află care sunt principalele elemente ale informării persoanei vizate!

Un articol cu informații utile despre formarea profesională a salariaților.

Vezi care sunt obligațiile angajatorului!

Dicționar juridic

Termenul juridic al săptămânii: „spălarea banilor”.

Newsletter Start Lawyers 7/2020

/in /by
Newsletterul poate fi descărcat în format pdf de aici.↵

Informațiile cuprinse în acest număr sunt următoarele:

Noutăți legislative din următoarele domenii:

  • Financiar – fiscal;
  • COVID-19;
  • Pensii și protecție socială;
  • Programe naționale finanțate din fonduri europene;
  • Sănătate;
  • Mediu;
  • Educație;
  • Locuințe;
  • Diverse.

Informații din domeniul protecției datelor (GDPR)

Află despre ultimele amenzi aplicate în UE pentru nerespectarea GDPR!

Un articol cu informații utile despre actele de acceptare tacită a moștenirii.

Vezi care sunt actele care atrag acceptarea tacită a moștenirii.

Dicționar juridic

Termenul juridic al săptămânii: „unitate protejată autorizată”.

GDPR – Noi sancțiuni aplicate în UE

/in /by

GDPR contează și se aplică

Chiar dacă majoritatea operatorilor, din diferite motive, ignoră prevederile GDPR și drepturile persoanelor vizate, mai devreme sau mai târziu, vor trebui să implementeze standardele de protecție necesare unor prelucrări legale de date cu caracter personal.

După cum veți observa în cele ce urmează, în UE autoritățile pentru protecția datelor pun în aplicare prevederile GDPR și sancționează încălcările acestora. Încet, dar sigur, operatorii nu vor mai vedea normele privind protecția datelor ca pe ceva facultativ și le vor acorda atenția cuvenită.

Spania

Autoritatea pentru protecția datelor din Spania (AEPD) a aplicat mai multe amenzi pentru nerespectarea normelor GDPR. Faptele sancționate au fost următoarele:

  • nerespectarea principiului confidențialității, prevăzut la articolul 5 alineatul (1) litera (f) din GDPR. – societatea XFERA MOVILES a primit o amendă de 70.000 EUR pentru dezvăluirea datelor personale ale unui client către o terță parte; (detalii puteți găsi aici↵)
  • încălcarea articolului 6 alineatul (1) din GDPR, referitor la prelucrarea datelor cu caracter personal ale reclamantului fără nicio bază legală – VODAFONE ESPAÑA a primit o amendă de 75.000 EUR pentru prelucrarea numărului de telefon al persoanei vizate în scop de marketing după ce aceasta și-a exercitat dreptul la ștergerea datelor; (detalii puteți găsi aici↵)
  • nerespectarea art. 58 alin. (1) it. e) din GDPR privind comunicarea informațiilor necesare soluționării plângerii – solicitarea de informații formulată pentru a investiga faptele identificate într-o plângere – IBERDROLA CLIENTES a fost sancționată cu 5.000 de euro; (detalii puteți găsi aici↵)

Norvegia

Autoritatea pentru protecția datelor din Norvegia a amendat municipalitatea Rælingen pentru că a prelucrat datele privind sănătatea copiilor cu nevoi speciale prin intermediul platformei digitale de învățare Showbie fără ca aplicația să fi avut testări și evaluări de risc necesare, precum și o evaluare de impact asupra vieții private (DPIA) mai înainte de a fi utilizată. Amenda aplicată este de 47.500 EUR. (detalii puteți găsi aici↵)

Polonia

Autoritatea pentru protecția datelor din Polonia (UODO) a aplicat o amendă de 5 000 PLN unui antreprenor care deține o creșă și unități de învățământ preșcolar pentru nerespectarea art. 58 alin. (1) it. e) din GDPR privind comunicarea informațiilor necesare autorității pentru desfășurarea investigației. Sancțiunea a fost aplicată pentru că operatorul nu a furnizat autorității accesul la datele cu caracter personal și la alte informații necesare îndeplinirii sarcinilor sale. (detalii puteți găsi aici↵)

Newsletter Start Lawyers nr. 6/2020

/in /by
Newsletterul poate fi descărcat în format pdf de aici.↵

Informațiile cuprinse în acest număr sunt următoarele:

Noutăți legislative din următoarele domenii:

  • Circulația terenurilor;
  • Sănătate;
  • Relații de muncă;
  • Antreprenoriat;
  • Educație;
  • Siguranța alimentelor;
  • Construcții;
  • Publicitate imobiliară;
  • Proceduri administrative;
  • COVID-19;
  • Diverse.

Informații din domeniul protecției datelor (GDPR)

Află despre evidența activităților de prelucrare și despre cartografierea
datelor cu caracter personal!

Un articol cu informații utile despre noutățile aduse legislației privind circulația terenurilor agricole situate în extravilan

Vezi care sunt rangurile preemptorilor și celelalte modificări aduse Legii nr. 17/2014.

Dicționar juridic

Termenul juridic al săptămânii: „date biometrice”.

Newsletter Start Lawyers nr. 5/2020

/in /by
Newsletterul poate fi descărcat în format pdf de aici.↵

Informațiile cuprinse în acest număr sunt următoarele:

Noutăți legislative din următoarele domenii:

• Sănătate
• Asigurări sociale
• Relații de muncă
• Programe naționale finanțate din fonduri europene
• Evidența persoanelor
• Educație
• Locuințe
• Financiar-fiscal

Informații din domeniul protecției datelor (GDPR)

Află despre prevederile legale aplicabile în cazul completării listelor de susținători, și despre ce drepturi ai în baza GDPR!

Un articol cu informații utile despre reglementarea hărțuirii morale la locul de muncă.

Vezi care sunt sancțiunile aplicabile angajatorilor care nu respectă noile prevederi.

Dicționar juridic

Termenul juridic al săptămânii: „hărțuirea morală la locul de muncă”.

Listele de susținători și GDPR

/in /by

Listele de susținători – instrumente de colectare a datelor cu caracter personal de către partidele politice

Cu siguranță mulți dintre dvs. ați fost invitați să semnați pe listele de susținători folosite de partidele politice. Probabil ați observat că, pe lângă semnătură, este nevoie să furnizați mai multe date cu caracter personal cum ar fi: nume, prenume, cetățenia, data nașterii, adresa datele actului de identitate (denumire/serie/număr). Aceste date trebuie să fie prelucrate conform legii iar drepturile dvs. trebuie să fie protejate. Modelul listei susținătorilor poate fi consultat aici.

Prin semnarea listei de susținere vă exprimați o opinie politică, aceasta încadrându-se în categoria datelor cu caracter special.

Am observat că majoritatea celor care strâng semnături pe listele de susținători nu oferă persoanelor vizate o minimă informare cu privire la prelucrarea datelor lor cu caracter personal. Simpla precizare că respectă GDPR-ul nu este suficientă.

Prevederi legale aplicabile

Prin Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, legiuitorul român a introdus o derogare pentru partidele politice, organizațiile cetățenilor aparținând minorităților naționale și ONG. Conform legii, acestea pot prelucra date cu caracter personal și special, fără consimțământul expres al persoanei vizate, în vederea realizării obiectivelor acestora, dar cu condiția să se prevadă anumite garanții:

  1. informarea persoanei vizate despre prelucrarea datelor cu caracter personal;
  2. garantarea transparenței informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate;
  3. garantarea dreptului de rectificare și ștergere.

Char dacă există această derogare cu privire la obținerea consimțământului, partidele politice, în calitate de operatori, trebuie să respecte principiile generale ale GDPR în special cele privind legalitatea prelucrării, responsabilitatea, minimizarea, exactitatea și confidențialitatea prelucrării.

Cum ar trebui să acționeze partidele politice?

În activitatea de strângere a semnăturilor, mai înainte de a solicita semnătura și datele persoanelor vizate, reprezentanții partidelor politice trebuie informeze corect și complet asupra modului de prelucrare a datelor cu caracter personal conform art. 13 din GDPR. Indiferent de derogarea făcută prin Legea nr. 190/2018, persoanele vizate trebuie să știe:

  • cine le prelucrează datele;
  • în ce scop și pe baza cărui temei juridic se face prelucrarea;
  • dacă datele lor vor fi sau nu transferate;
  • cât timp se vor prelucra;
  • ce drepturi au cu privire la modul de prelucrare a datelor lor;
  • dacă datele lor sunt prelucrate în cadrul unui proces decizional automatizat care include și crearea de profiluri.

În plus, persoanele care sunt implicate în activitatea de completare a listelor de susținători trebuie să fie instruite cu privire la legislația privind protecția datelor și cu privire a obligațiile și răspunderea lor în ceea ce privește respectarea legislației privind protecția datelor și a confidențialității.

Newsletter Start Lawyers nr. 4/2020

/in /by
Newsletterul poate fi descărcat în format pdf de aici.↵

Informațiile cuprinse în acest număr sunt următoarele:

Noutăți legislative din următoarele domenii:

• Energie
• Formare profesională
• Financiar-fiscal
• Concurență
• Protecția consumatorilor
• Locuințe
• Construcții
• ICCJ – dezlegarea unor chestiuni de drept în materie civilă
• COVID-19

Informații din domeniul protecției datelor (GDPR)

Citește despre noile amenzi aplicate de ANSPDCP!

Un articol cu informații utile despre Certificatul de integritate comportamentală

Vvezi care sunt persoanele care sunt obligate să obțină ceritficatul și află unde poți găsi formularele tip.

Dicționar juridic

Termenul juridic al săptămânii: „Prosumatorul”.

 

Poșta Română și Viva Credit IFN S.A. amendate în baza GDPR

/in , /by

Poșta Română

ANSPDCP a sancționat contravențional Poșta Română cu amendă în cuantum de 9.686,60 lei, echivalentul a 2000 euro, ca urmare a primirii unei notificări de încălcare a securității datelor trimisă de operator.

În urma investigației efectuate s-a constatat că Poșta Română nu a luat măsurile tehnice și organizatorice adecvate care să prevină accesul neautorizat la datele cu caracter personal (adrese de e-mail și numere de telefon) pe adresa https://awb.posta-romana.ro aparținând operatorului sancționat, ceea ce a dus la compromiterea confidențialității datelor personale a 81 de persoane vizate.

Comunicatul ANSPDCP poate fi consultat aici.

Viva Credit IFN S.A.

Amenda în cuantum de 9680 lei, echivalentul sumei de 2000 EURO, a fost aplicată pentru că operatorul nu a soluționat cererea petentului prin care își exercita dreptul de ștergerea datelor și nu a furnizat acestuia informații cu privire la acțiunile întreprinse în urma cererii sale în termen de cel mult o lună (sau maximum 3 luni, prezentând și motivele întârzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibilă în evidențele sale.

Autoritatea a aplicat și o măsura corectivă în sensul obligării operatorului de a transmite un răspuns petentului la cererea depusă, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.

Comunicatul ANSPDCP poate fi consultat aici.