GDPR. Modurile în care o companie prelucrează date cu caracter personal

Abstract

Activitatea oricarui profesionist (exemplu: o societate comerciala, un ONG, o autoritate/ institutie publica, un liber profesionist etc.) se realizeaza prin intermediul unor operatiuni diverse.

O parte din activitatile obisnuite, din activitatea de zi cu zi a unui profesionist, implica, constient sau nu, prelucrari de date cu caracter personal, caz in care activitatile trebuie sa respecte anumite reguli impuse de legislatia privind protectia datelor cu caracter personal.

In cadrul prezentului material, vom incerca sa va prezentam, atat din punct de vedere practic, cat si din punct de vedere teoretic, activitatile desfasurate de unii dintre dumneavoastra si care reprezinta prelucrari de date cu caracter personal.

Prima parte a prezentului material descrie, prin intermediul unor serii de exemple, activitatile obisnuite efectuate de catre unii dintre dumneavoastra, activitati care reprezinta, potrivit legii, operatiuni de prelucrare a datelor cu caracter personal.

A doua parte a prezentului material este dedicata explicarii si exemplificarii conceptului de prelucrare a datelor cu caracter personal, astfel cum acest concept a fost inteles si conturat in ultimii 20 de ani de autoritatile/ institutiile cu competente in aceasta materie.

1. Modurile in care un profesionist prelucreaza, in mod obisnuit, date cu caracter personal

In cadrul activitatii obisnuite, un profesionist prelucreaza date cu caracter personal prin intermediul unor serii de operatiuni (activitati).

Pentru a ilustra cele mai obisnuite activitati de prelucrare a datelor cu caracter personal, vom folosi urmatoarea structura:

Din structura expusa mai sus rezulta ca, in mod obisnuit, un profesionist prelucreaza date cu caracter personal prin intermediul unor activitati cum ar fi:

1. cautarea;
2. colectarea;
3. stocarea;
4. inregistrarea;
5. organizarea;
6. generarea;
7. consultarea/ accesarea;
8. transmiterea;
9. modificarea;
10. folosirea;
11. stergerea;
12. distrugerea.

1.1. Cautarea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma cautarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. cautarea numarului de telefon al unei persoane in agenda telefonului mobil;
2. cautarea unui adrese de e-mail a unei persoane in cadrul aplicatiei de e-mail;
3. cautarea dosarului aferent unei persoane in cadrul unui dulap;
4. cautarea unui document aferent unei persoane in cadrul unui dosar/ biblioraft;
5. cautarea unui client al unei companii in cadrul propriei baze de date;
6. cautarea anumitor informatii referitoare la o persoana pe internet, folosind un motor de cautare;
7. cautarea cazierului judiciar a unei persoane in cadrul unei baze de date dedicate;
8. cautarea situatiei financiare a unei persoane in cadrul unei baze de date dedicate;
9. cautarea unei persoane in baza de date a Oficiului Registrului Comertului;
10. cautarea unui client al unei institutii de credit in propria baza de date, in vederea verificarii bonitatii acestuia;
11. cautarea unui asigurat intr-o baza de date dedicate in vederea aflarii daca acesta figureaza cu asigurarile platite la zi.

1.2. Colectarea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma colectarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. colectarea in cadrul unei discutii fata in fata, fie cu persoana vizata (persoana ale carei date sunt colectate), fie cu o alta persoana (persoana care furnizeaza datele);
2. colectarea in cadrul unei discutii telefonice;
3. colectarea prin intermediul schimbului de e-mail-uri;
4. colectarea prin intermediul corespondentei fizice;
5. colectarea prin intermediul mediului online (exemplu: prin simpla cautarea folosind un motor de cautare, prin consultarea unei baze de date publice etc.);
6. colectarea prin folosirea de cookies-uri (exemplu: in cazul vizitarii unui website care foloseste cookies-uri);
7. colectarea prin intermediul folosirii unor sisteme de autentificare/ logare (exemplu: in cazul folosirii unui card de acces intr-o cladire, in cazul folosirii unei carti de credit pentru efectuarea unei plati etc.);
8. colectarea prin intermediul folosirii unor sisteme care monitorizeaza activitatea utilizatorului (exemplu: in cazul unui angajat al carui e-mail este monitorizat, atat din punct de vedere al e-mail-urilor transmise, cat si din punct de vedere al celor primite);
9. colectarea prin simpla generare si/ sau modificare a unui document de tip Word, Excel, PowerPoint, PDF (exemplu: in cazul generarii unui document electronic nou pe desktop-ul unui calculator/ latop etc.);
10. colectarea prin intermediul folosirii unor sistem de monitorizare (exemplu: in cazul unei persoane care intra in raza de actiune a unei camere de luat vederi etc.).

1.3. Stocarea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma stocarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. stocarea datelor de contact ale unei persoane in cadrul agendei electronice a telefonului mobil;
2. stocarea datelor de contact ale unei persoane in cadrul telefonului mobil prin simpla pastrare a unui sms/ mms primit de la aceasta sau transmis catre aceasta;
3. stocarea datelor de contact ale unei persoane prin simpla pastrarea a unui e-mail primit de la aceasta sau transmis catre aceasta;
4. stocarea datelor de contact ale unei persoane prin simpla pastrare a unei carti de vizita a acesteia;
5. stocarea cartii de identitate/ buletinului unei persoane;
6. stocarea unui contract incheiat cu persoana vizata, fie in numele sau propriu, fie in numele unei entitati pe care o reprezinta (exemplu: in numele unei societati unde detine functia de administrator/ director);
7. stocarea unui document sau unui dosar referitor la o anumita persoana in cadrul unei arhive, fie fizice (exemplu: un dulap, un sertar), fie electronice (exemplu: in cadrul unei adrese de e-mail, in cadrul unui folder localizat pe un calculator etc.);
8. stocarea informatiilor referitoare la consumul de utilitati al unei anumite persoane (exemplu: apa, gaze, curent etc.);
9. stocarea informatiilor referitoare la incasarile si platile efectuate de o anumita persoana prin intermediul unui cont bancar;
10. stocarea informatiilor referitoare la modul in care o persoana navigheaza in mediul online (exemplu: ce tip de calculator/ browser foloseste atunci cand se conecteaza la internet, care este IP-ul calculatorului folosit pentru conectarea la internet, care sunt paginile vizualizate, care este timpul petrecut pe anumite pagini, ce informatii cauta in mod regulat etc.).

1.4. Inregistrarea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma inregistrarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. inregistrarea datelor unei persoane la momentul nasterii, inregistrarea urmand sa fie efectuata in registrele unitatii medicale in care are loc nasterea;
2. inregistrarea datelor unei persoane ulterior nasterii, inregistrarea urmand sa fie efectuata in cadrul registrelor de stare civila ale primariei in raza careia are loc nasterea;
3. inregistrarea datelor unei persoane cu ocazia casatoriei, inregistrarea urmand sa fie efectuata in cadrul registrelor de stare civila ale primariei in raza careia are loc casatoria;
4. inregistrarea datelor unei persoane cu ocazia stabilirii/ modificarii domiciliului/ resedintei, inregistrarea urmand sa fie efectuata in cadrul registrelor de stare civila ale primariei in raza careia se stabileste domiciliul / resedinta;
5. inregistrarea datelor unei persoane cu ocazia aderarii de catre aceasta la o asociatie de proprietari/ locatari, inregistrarea urmand sa fie efectuata in cadrul registrelor tinute de asociatia de proprietari/ locatari;
6. inregistrarea datelor unei persoane cu ocazia obtinerii de catre aceasta a permisului de conducere, inregistrarea urmand sa fie efectuata in cadrul bazei de date administrata de Ministerul Afacerilor Interne;
7. inregistrarea datelor unei persoane la momentul la care infiinteaza o societate (comerciala), inregistrarea fiind efectuata in cadrul bazei de date administrata de Oficiul Registrului Comertului;
8. inregistrarea datelor unei persoane la momentul in care devine asociat/ actionar/ administrator/ director al unei societati (comerciale), inregistrarea fiind efectuata in cadrul bazei de date administrata de Oficiul Registrului Comertului;
9. inregistrarea datelor unei persoane la momentul la care incheie un contract de munca, inregistrarea fiind efectuata in cadrul bazei de date administrata de Inspectoratul Teritorial de Munca;
10. inregistrarea datelor unei persoane la momentul la care devine pacientul unui doctor sau clientul unei unitati medicale, inregistrarea fiind efectuata in registrele doctorului/ baza de date a unitatii medicale.

1.5. Organizarea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma organizarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. organizarea intr-un anumit mod a actelor, in format fizic, in cadrul unei societati (exemplu: pastrarea actelor in cadrul unor dosare aferente anumitor clienti);
2. organizarea intr-un anumit mod a informatiilor detinute in forma electronica, in cadrul unei societati (exemplu: pastrarea datelor numai in e-mail, pastrarea datelor in cadrul unor foldere, pastrarea datelor in cadrul unei baze de date etc.).

1.6. Generarea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma generarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. generarea CNP-ului unei persoane nou nascute;
2. alocarea unui anumit IP unui nou client al unui furnizor de servicii de telecomunicatie;
3. alocarea unui anumit numar de telefon unui nou client al unui furnizor de servicii de telecomunicatie;
4. generarea unei adrese de e-mail de tipul: nume.prenume@companiaX.com, unui nou angajat al unei societati;
5. generarea unei semnaturi electronice aferente e-mail-ului unui angajat al unei societati;
6. generarea unui identificator unic aferent unei anumite persoane (exemplu: un cod de bare inserat in cadrul unei cartele de acces in cadrul unui imobil, un numar unic folosit pentru ca un salariat sa poata accesa o imprimanta etc.).

1.7 . Consultarea/ accesarea datelor cu caracter personal

Prelucrarea datelor cu caracter personal sub forma consultarii/ accesarii acestora se poate intalni, de exemplu, in urmatoarele cazuri:

1. accesarea datelor de contact ale unei persoane in agenda electronica de contacte a telefonului mobil;
2. accesarea datelor de contact ale unei persoane in cadrul adresei de e-mail;
3. accesarea documentelor tinute in format fizic (exemplu: intr-un dosar) privind o anumita persoana (exemplu: un client, un pacient etc.);
4. accesarea documentelor tinute in format electronic (exemplu: intr-un e-mail) privind o anumita persoana;
5. accesarea imaginilor suprinse de o camera de luat vederi etc.

1.8. Transmiterea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma transmiterii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. transmiterea in cadrul unei discutii purtate verbal, fata in fata;
2. transmiterea prin intermediul unei conversatii telefonice;
3. transmiterea prin intermediul expedierii unui sms/ mms;
4. transmiterea prin intermediul expedierii unui e-mail;
5. transmiterea prin intermediul expedierii unui document etc.

1.9. Modificarea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma modificarii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. modificarea numarului de telefon aferent unui contact stocat in agenda telefonului mobil;
2. modificarea adresei de e-mail aferenta unui contact, in cadrul aplicatiei de e-mail;
3. modificarea datelor privind o anumita persoana in cadrul unei baze de date;
4. modificarea datelor privind o anumita persoana in cadrul unui dosar tinut in format fizic (exemplu: modificarea datelor privind un pacient inscrise pe coperta dosarului medical).

1.10. Folosirea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma folosirii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. completarea unui contract in vederea transmiterii spre semnare;
2. completarea unei facturi in vederea expedierii acesteia;
3. intocmirea unui document (exemplu: o adresa, o cerere, un memoriu, un raport de activitate etc.);
4. stabilirea cuantumului facturii aferente consumului de utilitati (apa, gaze, curent);
5. stabilirea cuantumului facturii aferente serviciilor de telefonie mobila si/ sau internet mobil consumate de un anumit utilizator;
6. stabilirea cuantumului facturii aferente serviciilor de ingrijiri medicale acordate unui anumit pacient;
7. publicarea datelor pe internet (exemplu: publicarea declaratiilor de avere in ceea ce priveste functionarii publici pe site-urile autoritatilor/ institutiilor publice).

1.11. Stergerea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma stergerii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. stergerea unui contact din agenda telefonului mobil;
2. stergerea unui e-mail din aplicatia de e-mail;
3. stergerea unui cont online, in cadrul unei aplicatii (exemplu: un magazin online, o platforma online etc.);
4. stergerea unor date referitoare la o persoana dintr-o baza de date;
5. anonimizarea unor date din cadrul unui document.

1.12. Distrugerea datelor cu caracter personal

Prelucrarea datelor cu caracter personal, sub forma distrugerii acestora, se poate intalni, de exemplu, in urmatoarele cazuri:

1. distrugerea unui document, in format fizic, care contine date cu caracter personal (exemplu: un contract, o factura, o adresa etc.);
2. distrugerea unui dosar, in format fizic, care contine date cu caracter personal (exemplu: dosarul unui angajat, dosarul unui client, dosarul unui pacient etc.);
3. distrugerea unui calculator care contine date cu caracter personal;
4. distrugerea unui telefon mobil care contine date cu caracter personal.

Din cele expuse mai sus rezulta ca un profesionist (exemplu: o societate comerciala un ONG, o autoritate/ institutie publica, un liber profesionist etc.), in cadrul activitatii obisnuite prelucreaza date cu caracter personal printr-o serie de activitati/ operatiuni curente.

Fata de aceasta imprejurare, in ceea ce priveste fiecare operatiune in parte, ce reprezinta o prelucrare de date cu caracter personal, orice profesionist trebuie sa ia in considerare respectarea cerintelor impuse de legislatia privind datele cu caracter personal.

2. Definitia legala a notiunii de prelucrare a datelor cu caracter personal

La momentul intrarii in vigoare a GDPR-ului, notiunea de date cu caracter personal a fost definita de art. 4 pct. 2 din acest act, dupa cum urmeaza:

“In sensul prezentului regulament: „prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie în orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea”.

3. Aspecte general valabile in ceea ce priveste notiunea de prelucrare a datelor cu caracter personal

In vederea familiarizarii pe deplin cu notiunea de “prelucrare a datelor cu caracter personal”, vom prezenta in continuare o serie de reguli privitoare la acest concept.

Folosirea regulilor expuse in continuare prin raportare la o anumita operatiune (activitate) referitoare la o anumita informatie determina incadrarea sau, dupa caz, neincadrarea acestei operatiuni in notiunea de prelucrare a datelor cu caracter personal.

Cu alte cuvinte, prin folosirea regulilor expuse in continuare se poate raspunde la intrebarea daca anumite operatiuni (activitati) reprezinta sau nu prelucrari de date cu caracter personal si daca acestora le sunt aplicabile prevederile legale in materia prelucrarii datelor cu caracter personal.

In situatia in care, in urma aplicarii regulilor expuse in continuare, se ajunge la concluzia ca anumite operatiuni (activitati) reprezinta prelucrari de date cu caracter personal, atunci, in ceea ce priveste aceste operatiuni (activitati), sunt pe deplin aplicabile prevederile legale din materia prelucrarii datelor cu caracter personal.

3.1. Notiunea de prelucrare a datelor cu caracter personal semnifica orice fel de operatiune (activitate) privind datele cu caracter personal

Notiunea de prelucrare a datelor cu caracter personal este o notiune care se interpreteaza intr-un sens larg, astfel incat sa acopere orice fel de operatiune (activitate) efectuata asupra/ in legatura cu datele cu caracter personal.

Aceasta concluzie rezulta din interpretarea coroborata a definitiilor legale ale conceptului de prelucrare a datelor cu caracter personal, astfel cum acestea au fost edictate atat de legiuitorul european, cat si de legiuitorul national, atat in prezent, cat si in trecut.

In acest sens, in primul rand, trebuie subliniat faptul ca fiecare definitie legala in parte cuprinde sintagme identice ca si inteles, respectiv: “orice operatiune sau serie de operatiuni”, “orice operatiune sau set de operatiuni”, tocmai pentru a genera un inteles cat mai larg notiunii de prelucrare.

In al doilea rand, trebuie subliniat faptul ca fiecare definitie legala in parte cuprinde o enumerare a celor mai dese activitati privind datele cu caracter personal: colectare, inregistrare, stocare, vizualizare, transmitere, stergere, distrugere etc., tocmai pentru sublinia ca orice fel de operatiune privind datele cu caracter personal, de la momentul colectarii si pana la momentul distrugerii, inclusiv, se incadreaza in notiunea de prelucrare.

In al treilea rand, trebuie subliniat faptul ca fiecare definitie legala prevede o serie de activitati ce reprezinta prelucrari de date cu caracter personal, insa acestea sunt oferite numai in mod exemplificativ, in realitate putand exista o serie de alte operatiuni (activitati) care, de asemenea, sa reprezinte prelucrari de date cu caracter personal.

Faptul ca notiunea de prelucrare a datelor cu caracter personal este o notiune care se interpreteaza in sens larg, mai precis in sensul ca se refera la orice fel de operatiune (activitate) asupra datelor cu caracter personal este sustinuta si de Curtea Europeana de Justitie (CEJ).

Prin hotararea din 06.11.2003, pronuntata in cauza C–101/01, CEJ a stabilit (par. 25):

“Conform definitiei de la articolul 2 litera (b) din Directiva 95/46, termenul „prelucrare” a acestor date utilizate la articolul 3 alineatul (1) acopera „orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, indiferent daca sunt sau nu folosite mijloace automate. Aceasta dispozitie ofera cateva exemple de astfel de operatiuni, inclusiv divulgarea prin transmitere, diseminare sau punerea in alt mod la dispozitie a datelor. In acest sens, rezulta ca operatiunea de incarcare a datelor personale pe o pagina de internet trebuie sa fie considerata a fi o astfel de prelucrare.”

Prin hotararea din 17.10.2013, pronuntata in cauza C–291/12, CEJ a stabilit (par. 28):

“Pe de alta parte, astfel cum reiese din cuprinsul articolului 2 litera (b) din Directiva 95/46, constituie o prelucrare de date cu caracter personal orice operatiune efectuata de un tert asupra acestor date, cum ar fi colectarea, inregistrarea, stocarea, consultarea sau utilizarea lor”.

3.2. Notiunea de prelucrare a datelor cu caracter personal este independenta de modificarea sau, dupa caz, nemodificarea datelor

Pentru a fi in prezenta unei prelucrari de date cu caracter personal nu este necesar ca in urma acesteia datele sa fie modificate, in tot sau in parte.

Cu alte cuvinte, orice fel de operatiune (activitate) asupra/ in legatura cu datele cu caracter personal, chiar daca prin aceasta nu se modifica datele, reprezinta o prelucrare de date cu caracter personal.

Aceasta concluzie rezulta din analiza si interpretarea definitiilor legale ale conceptului de prelucrare a datelor cu caracter personal, furnizate atat de legiuitorul european, cat si de legiuitorul national.

In acest sens, in primul rand, trebuie observat ca fiecare definitie legala vorbeste de orice fel de operatiuni sau set de operatiuni (activitati) asupra datelor cu caracter personal, fara a conditiona aceasta notiune de modificarea datelor.

Modificarea datelor reprezinta unul din cazurile de prelucrare a datelor cu caracter personal, iar nu o conditie esentiala care sa fundamenteze fiecare prelucrare in parte.

In al doilea rand, trebuie subliniat faptul ca fiecare definitie legala ofera o serie de exemple de prelucrari ale datelor cu caracter personal, exemple, care prin ele insale, nu presupun, in niciun fel, modificarea, in tot sau in parte, a datelor: stocarea, inregistrarea, vizualizarea, divulgarea, transmiterea etc.

Fata de aceste imprejurari, trebuie concluzionat in sensul ca notiunea de prelucrare a datelor cu caracter personal cuprinde:

1. activitatile prin care se manipuleaza datele, fara ca acestea din urma sa fie modificate, in tot sau in parte;
2. activitatile prin care se manipuleaza datele, iar acestea din urma sunt modificate, in tot sau in parte.

In sensul ca prelucrarea datelor cu caracter personal nu presupune, in mod necesar, modificarea acestora s-a pronuntat si Curtea Europeana de Justitie (CEJ).

Prin hotararea, pronuntata la data de 13.05.2014, in cauza C–131/12, CEJ a stabilit (par. 31):

„In plus, reiese din definitia prevazuta la articolul 2 litera (b) din Directiva 95/46 ca, desi modificarea datelor cu caracter personal constituie, desigur, o prelucrare in sensul acestei directive, celelalte operatiuni mentionate la acest articol nu necesita, in schimb, in niciun caz, ca datele respective sa fie modificate.”

3.3. Notiunea de prelucrare a datelor cu caracter personal se aplica pentru fiecare operatiune (activitate), in parte, asupra datelor

Prelucrarea datelor cu caracter personal exista ori de cate ori o activitate, aceeasi sau diferita, este realizata asupra/ in legatura cu datele cu caracter personal.

Cu alte cuvinte, in situatia in care cu privire la anumite date cu caracter personal este realizata aceeasi activitate (exemplu: consultarea, vizualizarea), la anumite intervale de timp, mai mari sau mai mici, suntem in prezenta mai multor prelucrari de date cu caracter personal.

De asemenea, in situatia in care cu privire la anumite date cu caracter personal sunt realizate activitati diferite (exemplu: colectare, stocare, vizualizare, transmitere, stergere), la anumite intervale de timp, mai mari sau mai mici, suntem in prezenta mai multor prelucrari de date cu caracter personal.

Aceasta concluzie se degaja din analiza si interpretarea definitiilor legale, europene si nationale, privind conceptul de prelucrare a datelor cu caracter personal, precum si din ansamblul regulilor stabilite in aceasta materie.

In cadrul fiecarei definitii legale, legiuitorul a mentionat, in mod expres, ca prin prelucrare se intelege „orice fel de operatiune”, iar in continuare, a enumerat o serie de modalitati distincte de prelucrare, tocmai pentru a evidentia ca fiecare activitate in parte, asupra datelor, constituie o prelucrare distincta a acestora.

In cuprinsul fiecarui act normativ, legiuitorul a stabilit atat conditii general valabile oricarui tip de prelucrare a datelor cu caracter personal, cat si conditii speciale prin raportare la anumite modalitati de prelucrare (exemplu: colectarea, exercitarea dreptului de acces, exercitarea dreptului la portabilitatea datelor, divulgarea datelor, transmiterea datelor in afara Uniunii Europene etc.), tocmai pentru a sublinia, o data in plus, faptul ca fiecare activitate in parte, asupra datelor, reprezinta o prelucrare a acestora.

3.4. Notiunea de prelucrare a datelor cu caracter personal se aplica si in situatia in care datele au fost anterior prelucrate, fie de catre aceeasi persoana, fie de catre alta

Pentru a fi in prezenta unei prelucrari de date cu caracter personal nu are nicio importanta daca respectivele date au fost sau nu prelucrate anterior, fie de catre aceeasi persoana, fie de catre alta.

Fiecare operatiune realizata asupra datelor reprezinta o prelucrare a acestora, independent de prelucrarile anterioare.

Aceasta concluzie se degaja din interpretarea definitiilor legale, din cuprinsul carora rezulta ca legiuitorul, fie european, fie national, nu a limitat notiunea de prelucrare numai la prima operatiune asupra datelor (exemplu: colectarea), ci a acoperit orice fel de operatiuni asupra acestora (exemplu: colectare si ulterior stocare si ulterior vizualizare etc.).

In acelasi sens este si opinia Curtii Europene de Justitie (CEJ).

Prin hotararea din 13.05.2014, pronuntata in cauza C–131/12, CEJ a stabilit (par. 28):

„Constatarea de mai sus nu este infirmata nici de faptul ca datele respective au facut deja obiectul unei publicari pe internet si ca nu sunt modificate de acest motor de cautare.”

3.5. Notiunea de prelucrare a datelor cu caracter personal se aplica si in situatiile in care datele prelucrate sunt aduse deja la cunostinta publicului

In cadrul unui alt articol (”GDPR. Datele cu caracter personal prelucrate de o societate”) aratam ca notiunea de date cu caracter personal include si informatiile aduse deja la cunostinta publicului (exemplu: prin postarea acestora pe un site, prin publicarea in presa etc.).

Fata de aceasta imprejurare, notiunea de prelucrare a datelor cu caracter personal se aplica si operatiunilor ce privesc date ce au fost deja aduse la cunostinta publicului.

De altfel, o astfel de concluzie rezulta din faptul ca niciuna din definitiile legale oferite de legiuitor nu exclude din notiunea de prelucrare a datelor cu caracter personal activitatile (operatiunile) care vizeaza, in tot sau in parte, informatii care au fost deja aduse la cunostinta publicului.

In acelasi sens s-a pronuntat si Curtea Europeana de Justitie (CEJ).

Prin hotararea din 16.12.2008, pronuntata in cauza C-73/07, CEJ a stabilit (par. 49):

„In consecinta, trebuie sa se raspunda la a patra intrebare in sensul ca activitatile de prelucrare a datelor cu caracter personal precum cele vizate la prima intrebare literele c) si d), care privesc sisteme de evidenta ale autoritatilor publice care contin date cu caracter personal care nu cuprind decat informatii deja publicate ca atare in mass‑media, fac parte din domeniul de aplicare al directivei.”

Prin hotararea din 13.05.2014, pronuntata in cauza C–131/12, CEJ a stabilit (par. 30):

„Astfel, Curtea a constatat deja ca operatiunile mentionate la articolul 2 litera (b) din Directiva 95/46 trebuie calificate ca fiind o asemenea prelucrare si in ipoteza in care privesc exclusiv informatii deja publicate ca atare in mass‑media. Curtea a aratat in aceasta privinta ca o derogare generala de la aplicarea Directivei 95/46 intr‑o asemenea ipoteza ar lipsi directiva in mare parte de sens (a se vedea in acest sens Hotararea Satakunnan Markkinapörssi si Satamedia, C‑73/07, EU:C:2008:727, punctele 48 si 49).”.

3.6. Notiunea de prelucrare a datelor cu caracter personal se aplica si atunci cand prelucrarea vizeaza, in acelasi timp, atat date cu caracter personal, cat si date fara caracter personal

Notiunea de prelucrare a datelor cu caracter personal se aplica ori de cate ori se efectueaza operatiuni asupra datelor, chiar si in situatia in care numai o parte din acestea reprezinta date cu caracter personal.

Cu alte cuvinte, vom fi in prezenta unei prelucrari de date si in situatia in care prelucrarea vizeaza, in acelasi timp, atat informatii care reprezinta date cu caracter personal, cat si informatii care nu reprezinta date cu caracter personal.

O astfel de concluzie se degaja din faptul ca definitiile legale ale conceptului de prelucrare nu au la baza operatiuni care sa vizeze, in mod exclusiv, numai datele cu caracter personal, ci chiar si acele operatiuni care vizeaza, numai in parte, date cu caracter personal.

Evident, intreaga legislatie aferenta datelor cu caracter personal se va aplica numai in ceea ce priveste o parte din prelucrarea in discutie, si anume partea din prelucrare care vizeaza datele cu caracter personal.

In acest sens este si opinia Curtii Europene de Justitie (CEJ).

Prin hotararea din 13.05.2014, pronuntata in cauza C–131/12, CEJ a stabilit (par. 27, 28):

“In ceea ce priveste activitatea in discutie in litigiul principal, nu se contesta ca printre datele gasite, indexate, stocate de motoarele de cautare si puse la dispozitia utilizatorilor acestora figureaza si informatii referitoare la persoane fizice identificate sau identificabile si deci „date cu caracter personal” in sensul articolului 2 litera (a) din aceasta directiva.

Prin urmare, trebuie constatat ca, prin explorarea in mod automat, constant si sistematic a internetului in căutarea informatiilor publicate acolo, operatorul unui motor de cautare „colecteaza” astfel de date, pe care apoi le „extrage”, le „inregistreaza” și le „organizeaza”… ”Intrucat aceste operatiuni sunt mentionate in mod explicit si neconditionat la articolul 2 litera (b) din Directiva 95/46, ele trebuie calificate drept „prelucrare” in sensul acestei dispozitii, fiind lipsit de relevanta faptul ca operatorul motorului de cautare aplica aceleasi operatiuni si altor tipuri de informatii si nu face distinctie intre acestea si datele cu caracter personal.”

4. Exemple de prelucrari de date cu caracter personal

In cadrul prezentului capitol, va vom prezenta o serie de activitati (operatiuni) care, in opinia autoritatilor/ institutiilor cu competente in domeniul prelucrarii datelor cu caracter personal, reprezinta prelucrari de date cu caracter personal:

1. colectarea de date;
2. extragerea de date;
3. obtinerea de date biometrice prin prelevarea unor probe (exemplu: sange);
4. obtinerea imaginii unei persoane care acorda un interviu inregistrat video;
5. inregistrarea video;
6. inregistrarea unei voci;
7. inregistrarea audio;
8. prelevarea amprentelor;
9. intocmirea unui registru telefonic;
10. instalarea unui GPS pe un taxi;
11. consemnarea participarii unei persoane in cadrul unei sedinte;
12. inregistrarea datelor;
13. inregistrarea sumelor platite unei persoane de catre o autoritate/ institutie;
14. stocarea datelor;
15. pastrarea desenului intocmit de un copil privind familia sa;
16. pastrarea rezultatului unor analize de sange;
17. pastrarea unor informatii privind bonitatea unui client bancar;
18. pastrarea unor informatii privind expectativa de viata a unui asigurat;
19. pastrarea unor informatii referitoare la calitatea muncii unui angajat;
20. pastrarea rezultatelor unui test;
21. pastrarea valorii unei case in vederea stabilirii impozitului;
22. pastrarea unui registru al reparatiilor auto;
23. pastrarea informatiilor referitoare la un anumit client;
24. inregistrarea sumelor platite unei anumite persoane;
25. incarcarea unor informatii pe o pagina de internet;
26. realizarea de poze si filme;
27. comunicarea informatiilor;
28. comunicarea informatiilor referitoare la prescriptiile medicale emise de un anumit medic;
29. publicarea datelor;
30. publicarea datelor intr-un ziar;
31. publicarea unui articol in presa privind un dosar penal;
32. incarcarea datelor pe internet;
33. publicarea datelor pe un site;
34. activitatea editorilor web de a incarca informatii pe o pagina de internet;
35. afisarea datelor pe o pagina cu rezultatele unei cautari;
36. publicarea unei hotarari judecatoresti la un avizier;
37. dezvaluirea datelor;
38. transmiterea datelor;
39. comunicarea de catre un furnizor de internet a datelor privind numele si adresa unui abonat cu un anumit IP;
40. transferul datelor dintr-un stat membru EU intr-un stat tert;
41. stabilirea impozitului fata de valoarea unei case;
42. folosirea unui registru auto pentru facturare;
43. folosirea unui registru auto pentru analiza productivitatii muncii;
44. includerea unor informatii intr-un raport;
45. accesarea datelor;
46. transmiterea de sms-uri;
47. organizarea datelor;
48. utilizarea datelor;
49. supravegherea exercitata prin intermediul unei camere video;
50. monitorizarea traficului de internet de la serviciu sau a activitatii privind e-mail-ul;
51. procesarea informatiilor privind consumul de energie prin intermediul unor contoare inteligente;
52. eliberarea de catre Oficiul Registrului Comertului a informatiilor privind persoanele care au detinut calitate de administratori/ administratori judiciari/ lichidatori judiciari in cadrul unei societati;
53. intocmirea de catre organele fiscale a unei liste in care anumite persoane sunt identificate prin raportare la faptul ca ar fi ocupat anumite functii fictive in cadrul unor persoane juridice.

Speram ca, in urma lecturarii prezentului material, sa fiti mai familiarizati cu modul in care activitatile dvs de zi cu zi pot, in anumite situatii, sa reprezinte prelucrari de date cu caracter personal si astfel sa intre sub incidenta anumitor reguli legale.

Articol aparut la: https://www.juridice.ro/603846/gdpr-modurile-in-care-o-companie-prelucreaza-date-cu-caracter-personal.html

Măsuri tehnice necesare pentru alinierea la GDPR

Necesitatea adoptării de măsuri de securitate de către operatorii care prelucrează date cu caracter personal care, în activitatea lor folosesc softuri, derivă dintr-o obligație generală a operatorilor pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu GDPR.

Respectivele măsuri se revizuiesc și se actualizează dacă este necesar. Există câteva aspecte esențiale care trebuie avute în vedere, astfel încât, cerințele de securitate ale software-ului să fie conforme cu GDPR.

1. Înțelegerea modului în care GDPR afectează compania prin efectuarea unei evaluări de impact asupra protecției datelor (art. 35 GDPR). Evaluarea măsurilor avute în vedere pentru prevenirea riscurilor, incluzând măsuri și mecanisme de securitate. Pentru conformitatea cu art. 35 GDPR ar trebui efectuată o analiză comparativă de natură a furniza o perspectivă obiectivă asupra securității softului și gradului de conformitate al operațiunilor – oferind o vizibilitate măsurabilă în zonele care ar putea beneficia de îmbunătățiri. De asemenea, se impune și adoptarea unei strategii de apărare în cazul producerii unui incident, strategie adresată securității și nevoilor calitative și specifice companiei, astfel încât să fie eliminate vulnerabilitățile și prevenirea problemelor înainte ca acestea să apară.

2. Cunoașterea obligațiilor companiei din perspectiva GDPR. Acest lucru presupune:
– păstrarea evidenței tuturor activităților de prelucrare a datelor cu caracter personal, precum și motivele care stau la baza lor;
– efectuarea evaluării de impact pentru măsurarea riscului confidențialității datelor și evaluarea măsurilor și mecanismelor instituite pentru securitatea datelor înainte ca acestea să fie prelucrate (art. 35 GDPR).
– examinarea evaluării efectuate pentru a stabili dacă procesarea standardelor de securitate poate evolua odată cu riscurile; punerea în aplicare de măsuri privind confidențialitatea datelor prin proiectare (în funcție de sensibilitatea datelor) – adică integrarea protecției datelor și a vieții private chiar din momentul proiectării noilor produse, servicii și proceduri care implică prelucrarea datelor cu caracter personal;
– respectarea noilor cerințe de transparență, de legalitate a prelucrării și notificarea persoanelor cu privire la drepturile lor; în cazul unui incident de securitate, notificarea autorității de supraveghere și a persoanelor vizate afectate în termen de 72 ore (articolul 33 GDPR);
– desemnarea unui responsabil cu protecția datelor (DPO), acolo unde este cazul (art. 37 GDPR).

3. Stabilirea calității în care acționează compania, dacă aceasta este un operator sau persoană împuternicită (procesator de date). Operatorii trebuie să aibă certitudinea că datele sunt prelucrate într-un cadru securizat, fie prin propria companie, fie de către un procesator de date terță parte. Împuterniciții (procesatorii) trebuie să dispună de măsuri adecvate de securitate tehnică. De exemplu, o implementare ISO 27001 ar fi un bun început. Securitatea software-ului, ale rețelei și mediilor este esențială. Cel mai bun mod de crea o cultură de securitate a software-ului într-o companie este de a pune în aplicare o inițiativă de securitate software.

4. Obținerea sprijinului din partea managementului superior al companiei, eventual, prin evidențierea potențialelor amenzi corelată cu propunerea unei strategii viabile pentru îndeplinirea obligațiilor cu care compania se confruntă.

5. Desemnarea unui responsabil cu protecția datelor. Un aspect important pe care rolul de DPO îl implică este asigurarea securității oricărei părți a software-ului care joacă un rol important în prelucrarea datelor cu caracter personal. El trebuie de asemenea, să se asigure de monitorizarea continuă în scopul identificării noilor vulnerabilități ce afectează aplicațiile de producție (cele la care au acces direct utilizatorii).

6. Implementarea mecanismelor tehnice în interiorul softului care asigură securitatea și confidențialitatea datelor cu caracter personal. Securitatea trebuie construită în soft și sistemele prin care datele cu caracter personal trec, de la început, conform standardelor și practicilor documentate pentru a minimiza suprafața de atac. Art. 25 GDPR prevede instituirea de măsuri pentru a se asigura că datele cu caracter personal nu sunt făcute accesibile fără consimțământul persoanei (inclusiv în timpul unui incident). În cele din urmă, defectele de arhitectură ale aplicațiilor sunt, prin însăși natura lor, provocările cu cel mai mare impact asupra securității și confidențialității datelor. Din fericire, identificarea lor înainte de implementarea unui sistem previne operațiunile destul de costisitoare, cum ar fi reluarea de la zero a unui întreg proces sau fixarea acelor defecte. Cu toate acestea, nu există limite de identificare a defectelor înainte ca implementarea să fie afectată. Acest lucru se poate întâmpla numai în stadiul inițial al unei dezvoltări, precum și în cazul adăugării unor module noi unui software existent. Cel mai des întâlnit scenariu este identificarea unei erori într-un sistem existent ca urmare a analizei riscului de arhitectură. În acest caz este foarte important să fie evaluate opțiunile pentru a elimina sau diminua efectele acelei erori. O soluție temporară poate fi implementată pe un sistem la care au deja acces utilizatorii, în timp ce arhitecții vor lucra pentru o soluție finală, cu scopul de a elimina complet eroarea.

7. În ce privește evoluția pieței software-urilor pentru ca companiile să își accelereze traseul către conformitatea cu noile standarde GDPR, giganții precum IBM și Microsoft deja oferă un produs calitativ. IBM vine cu un soft denumit IBM Spectrum Data Protection, care conform descrierii simplifică administrarea backup-urilor, face mai ușor administrarea bazelor de date pentru operator, garantează un nivel sporit al protecției datelor persoanelor vizate. Mai mult, tot mai des se discută despre implementarea tehnologiei blockchain în cadrul prelucrării datelor cu caracter personal, care ar garanta într-o măsură mai mare protecția identității persoanelor vizate și securitatea datelor, împotriva ștergerii și modificării neautorizate a acestora.

Articol aparut la: https://www.juridice.ro/603057/masuri-tehnice-necesare-pentru-alinierea-la-gdpr.html

Noi reguli de protecţie a dreptului de autor pe internet ar putea fi aplicate la nivelul UE

Cotele de piaţă în Europa ale Google, Facebook, Microsoft şi ale altor mari companii ar putea avea de suferit de pe urma votării de către Comisia pentru Afaceri Juridice din cadrul Parlamentului European a unor regulamente mai dure de protecţie a dreptului de autor (copyright)

Noile reguli sunt menite să forţeze platformele on-line - tot mai populare - să împartă veniturile cu publisherii şi să ofere posibilitatea tragerii lor la răspundere pentru încălcările copyright-ului pe internet.

Regulile, propuse pentru prima oară în urmă cu doi ani de către Comisia Europeană, au fost votate de Comisia pentru Afaceri Juridice din cadrul Parlamentului European. Şi în situaţia în care regulile nu vor fi contestate de unii parlamentari europeni în plenul adunării generale de luna viitoare, atunci ele vor fi supuse negocierilor de către statele membre.

Reacţiile cu privire la noile reguli sunt, însă, împărţite, fiind puţin probabil ca regulile să nu fie contestate în Parlament.

Pe de o parte, apar avertismente cu privire la posibile îngrădiri ale unor libertăţi din partea unor oficiali europeni şi a reprezentanţilor companiilor care ar putea fi afectate de noile reglementări.

„Oamenii vor întâmpina probleme făcând lucruri uzuale, precum să discute despre ştiri sau să se exprime on-line. Blocarea acestui drept de a participa pentru a servi intereselor speciale ale companiilor mari media este inacceptabil”, a precizat Julia Reda, membră a Partidului Verzilor din cadrul Parlamentului European şi una dintre oponentele noilor reguli.

„Voi ataca acest rezultat şi voi cere un vot în Parlamentul European”, a adăugat Julia Reda.

„Este dezamăgitor că după doar câteva săptămâni de la intrarea în vigoare a GDPR - o lege care a făcut Europa o purtătoare a stindardului reglementării la nivel global - parlamentarii au aprobat o lege care va afecta la nivel fundamental internetul în Europa, cu ramificaţii globale”, a declarat Raegan MacDonald, şefa politicii publice pentru UE a companiei Mozilla.

De cealaltă parte, posesorii de copyright aprobă decizia Comisiei. „Internetul este la fel de folositor precum conţinutul de pe el. Articolul 11 va fi esenţial în a încuraja viitoare invesţii în conţinut profesionist, divers şi documentat în beneficiul tuturor, de peste tot”, au precizat reprezentanţii media.

Cele mai multe critici s-au concentrat asupra a două articole. Articolul 11 ar putea obliga companii precum Microsoft sau Google să plătească pentru fragmentele de ştiri (aşa-numitele news snippets). Iar Articolul 13 ar obliga companii ca YouTube sau eBay să instaleze filtre care să-i împiedice pe utilizatori să urce materiale cu copyright sau să ceară, în prealabil, licenţă pentru materialele respective. Compania eBay a precizat însă că platformele de comerţ nu sunt incluse pe lista directivei.

Articol aparut la: https://www.mediafax.ro/cultura-media/noi-reguli-de-protectie-a-dreptului-de-autor-pe-internet-ar-putea-fi-aplicate-la-nivelul-ue-17286956

De ce crezi că societatea ta nu este „vizată” de dispozițiile GDPR și de ce te înșeli?

I. Context

Regulamentul general privind protecția datelor (GDPR) sporește semnificativ obligațiile și responsabilitățile în sarcina companiilor, în ceea ce privește modul în care colectează, utilizează, protejează și transferă datele cu caracter personal. Numărul și complexitatea obligațiilor stabilite prin GDPR, în special a cerințelor privind transparența și securitatea prelucrării datelor personale, au generat anxietate în rândul celor care gestionează o afacere.

Să nu uităm însă de aspectele pozitive pe care le aduce cu sine implementarea GDPR. Acesta oferă cetățenilor mai mult control asupra modului în care sunt utilizate datele lor personale. De asemenea, simplifică mediul de reglementare pentru întreprinderi, pentru că stabilește un cadru uniform pentru legislația privind protecția datelor în întreaga Uniune Europeană, ceea ce ușurează activitatea companiilor cu dimensiune transfrontalieră.

Deși noul Regulament a beneficiat de o promovare intensă pe toate canalele de comunicare, fiind organizate conferințe, forumuri, zile ale porților deschise, evenimente care au fost dublate de publicarea unui număr impresionant de articole în presă și în literatura de specialitate, în prezent, mediul de afaceri din România este departe de fi pregătit pentru provocările generate de aplicarea GDPR.

În plus, publicitatea agresivă din partea unor persoane care au încercat monetizarea prevederilor Regulamentului, prin mediatizarea obsesivă a perspectivei de aplicare a unor amenzi maxime de 4% din cifra de afaceri și acreditarea ideii false că aplicarea amenzilor maxime ar fi principalul obiectiv al GDPR, s-a îndepărtat de obiectivul GDPR, astfel cum a fost subliniat în numeroase rânduri de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, respectiv acela al edificării unei adevărate culturi a protecției datelor personale în România.

Cu cât citim mai multe informații despre GDPR, cu atât devenim „imuni” la prevederile sale. Ne agățăm de concluzia comodă că, și dacă GDPR s-ar aplica propriei companii, amânarea implementării prevederilor sale relevante nu ar determina consecințe semnificative pentru bunul mers al afacerii. Dar oare ar trebui să ne lăsăm conduși de o asemenea atitudine? Sau ar fi mai bine să analizăm la rece măsurile pe care le avem de luat pentru a alinia compania noastră cu cerințele GDPR?

II. De ce crezi că societatea ta nu este „vizată” de dispozițiile GDPR? 

Primele dificultăți în procesul de conformare cu dispozițiile GDPR apar din cauza unei probleme de principiu: mulți dintre reprezentanții companiilor pur și simplu nu conștientizează că acestea au calitatea de operatori care desfășoară operațiuni de prelucrare a datelor cu caracter personal. Nu de puține ori am întâlnit exprimări dezarmante, precum „noi nu prelucrăm date cu caracter personal, ci doar le colectăm”. De asemenea, anumite dificultăți iau naștere din simplul motiv că noțiunea de „date cu caracter personal” a fost, cel puțin indirect, redefinită.

În al doilea rând, unul dintre cele mai întâlnite mituri despre aplicarea GDPR este generat de percepția eronată conform căreia aceasta este influențată în mod direct de dimensiunea afacerii. Altfel spus, GDPR ar viza în special segmentul „big data”, iar întreprinderile mici și mijlocii nu ar avea de ce să își facă prea multe griji. Subliniem că am auzit de nenumărate ori replici de tipul „oricum, noi nu prelucrăm prea multe date”.

În al treilea rând, mulți dintre operatorii economici consideră că GDPR se preocupă în exclusivitate de problema securității datelor. În aceste condiții, se concluzionează adesea că, „dacă am soluții de securitate și de criptare robuste, activitatea de prelucrare va fi conformă cu dispozițiile GDPR”. Am întâlnit inclusiv manageri care afirmau că utilizează soluții software furnizate de Microsoft, iar această companie respectă deja obligațiile instituite de Regulament, ceea ce înseamnă că respectivii beneficiari nu ar trebui să ia nicio măsură suplimentară.

În al patrulea rând, cele mai multe întreprinderi sunt descurajate de afluența specialiștilor în materia protecției datelor. În plus, în multe situații, colaborarea cu un specialist IT pentru alinierea activității companiei cu cerințele GDPR nu este suficientă, fiind de multe ori necesară și angajarea unui avocat (ori a unei echipe de avocați, în cazul unor companii cu activități complexe în materia prelucrării datelor personale) care să verifice, din perspectivă juridică, îndeplinirea standardelor GDPR. În aceste condiții, nu este de mirare că multe companii încă reflectează asupra oportunității contactării unor specialiști, inclusiv din considerente financiare, deși o amânare a procesului de conformare cu noua reglementare poate să fie destul de riscantă.

În altă ordine de idei, există societăți care împărtășesc falsa impresie că simpla calitate de persoane împuternicite de operator nu presupune asumarea unor obligații și nici implementarea unor măsuri tehnice și organizatorice corespunzătoare. Alte societăți nu doresc să împărtășească informații sensibile de business unor persoane din exteriorul companiei, având în vedere că accesul la bazele de date cu caracter personal nu ar putea fi disociat de accesul la datele controlate. În fine, unele societăți pur și simplu canalizează resursele investiționale în alte direcții, motiv pentru care protecția datelor cu caracter personal ajunge inevitabil să dobândească un rol marginal.

III. De ce te înșeli?

În primul rând, conform GDPR, prelucrarea datelor reprezintă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. În aceste condiții, simpla colectare a datelor personale reprezintă o activitate de prelucrare a datelor cu caracter personal.

Este esențial să ai în vedere faptul că, deși în mod tradițional înțelegeam prin date cu caracter personal numele unei persoane, o poză în care aceasta apărea, adresa de e-mail, numărul de telefon, adresa și orice alt număr de identificare (codul numeric personal, contul bancar etc.), sub imperiul GDPR trebuie să avem în vedere o definiție semnificativ mai largă. În acest context, aspecte precum adresa IP, statisticile generate de softurile de identificare a dispozitivelor mobile, geo-locația și datele biometrice (amprentele digitale, scanările retinei etc.) pot să constituie date cu caracter personal. În plus, aspecte precum identitatea fizică, psihologică, genetică, mentală, economică, socială și culturală intră în sfera de reglementare a GDPR. Aceste modificări de perspectivă reflectă evoluția tehnologică și modul în care companiile prelucrează datele cu caracter personal. De aceea, având în vedere că societatea ta interacționează în mod frecvent cu asemenea informații, este necesară implementarea anumitor măsuri, dar și revizuirea modului în care compania și-a desfășurat activitatea până în prezent.

Este important să cunoști că, indiferent dacă societatea ta stochează și procesează date cu caracter personal folosind o infrastructură informatică deosebit de complexă ori, din contră, folosește clasicele agende și registre în format fizic, toate aceste operațiuni vor fi guvernate de dispozițiile GDPR. Nici faptul că societatea beneficiază de soluții software de securitate și criptare puse la dispoziție de giganții IT nu este suficient pentru asigurarea conformității. De altfel, GDPR vizează în special respectarea drepturilor fundamentale ale persoanelor fizice și nu se referă în exclusivitate la aspecte privind securitatea informatică.

În zilele noastre, aproape că nu mai există sector economic în care marketingul să nu joace un rol central, ceea ce înseamnă că trebuie să acorzi o atenție deosebită domeniului prelucrării datelor cu caracter personal, fie că societatea ta are doar un angajat, fie că are 100 de angajați. Pregătirea și informarea angajaților sunt extrem de importante, întrucât implementarea oricărui program de guvernanță a datelor se realizează în primul rând prin angajați, iar cele mai multe breșe de securitate intervin tocmai din cauza neglijenței unora dintre aceștia.

Chiar și în ipoteza în care societatea ta se promovează numai prin intermediul unei pagini de Facebook, Curtea de Justiție a Uniunii Europene a decis recent că aceasta va avea calitatea de operator de date, cu toate că utilizează platforma pusă la dispoziție de operatorul american.

În plus, faptul că societatea prelucrează date doar în numele și pe seama altei societăți, adică are calitatea de persoană împuternicită de operator, nu o scutește de respectarea unor obligații specifice prevăzute de Regulament.

Nu în ultimul rând, nu trebuie să ignori nici existența așa-numiților „hateri”. Astfel, există persoane care abia așteptau aplicarea GDPR pentru a-și înregistra plângerile pe rolul Autorității de supraveghere, indiferent de justețea argumentelor prezentate. Pentru a preveni surprizele neplăcute în cazul unor controale inopinate din partea Autorității de supraveghere, considerăm că este foarte important să beneficiezi de verificarea și supravegherea pe termen lung a conformității operațiunilor de prelucrare a datelor cu caracter personal și de sprijin în relația cu această autoritate.

IV. Concluzii

Prelucrarea datelor personale ar trebui să prezinte interes doar pentru alte companii, nicidecum pentru a ta?

La o analiză ”la rece”, mai mult ca sigur compania ta este „vizată” de noua reglementare. Având în vedere că doar 15% dintre consumatori simt că dețin controlul complet asupra informațiilor pe care le furnizează în mediul on-line, putem afirma că aplicarea GDPR este în primul rând o chestiune de încredere. Comisia Europeană estimează beneficiile economice ale aplicării GDPR la 2,3 miliarde de Euro.

Însă dincolo de respectarea drepturilor fundamentale ale angajaților și ale clienților, conformarea cu dispozițiile GDPR arată respectul pe care îl manifești față de propria afacere, fiind la fel de importantă precum călcarea hainelor înainte de a ieși din casă. În fine, nu uita să apelezi la specialiști, în cazul în care consideri că ai nevoie de asistență pe traseul tumultuos al respectării noii reglementări. Un criteriu relevant în alegerea specialistului potrivit pentru tine ar fi să verifici cum și dacă acesta a implementat, la rândul său, prevederile GDPR în activitatea pe care o desfășoară. Vei fi surprins să constați că mulți dintre specialiștii GDPR au neglijat adaptarea propriei afaceri la cerințele GDPR.

În aceste condiții, nu ne mai rămâne decât să vă urăm… succes!

Articol aparut la: https://economie.hotnews.ro/stiri-economie-22675215-crezi-societatea-nu-este-vizat-dispozi-iile-gdpr-eli.htm

Aplicarea Regulamentului UE privind protecția datelor în România: 40 de operatori au transmis 45 de notificări de încălcare a securității datelor personale / Nicio amendă până acum

Autoritatea națională de supraveghere a prelucrării datelor cu caracter personal (ANSPDCP) a primit 45 de notificari de încălcare a securității datelor cu caracter personal, de la un număr total de 40 de operatori, începând cu 25 mai 2018 și până în prezent, au comunicat oficialii autorității fără a preciza numele operatorilor sau natura incidentelor. "În cazurile în care s-a impus, au fost transmise solicitări de informații către operatori. Doar la finalizarea investigațiilor, după caz, se va putea aprecia dacă notificările primite reprezintă încălcări ale securității datelor cu caracter personal conform Regulamentului UE aplicabil din data de 25 mai", spune autoritatea. 

Autoritatea a solicitat informații în scris de la BCR, ING Bank și Alpha Bank, primele bănci care au notificat incidente de încălcare a securității datelor

BCR, ING Bank și Alpha Bank sunt primele bănci din România care au notificat până acum autoritatea națională de supraveghere (ANSPDCP) privind incidente de încălcare a securității datelor cu caracter personal, după aplicarea din data de 25 mai 2018 a noului Regulament UE privind protecția datelor personale (GDPR), conform informațiilor autorității, care nu a oferit alte detalii. Oficialii BCR au precizat că frecvența atacurilor informatice cu care se confruntă banca este în creștere, dar că banca are sisteme de blocare a atacurilor și că până acum nu au identificat un furt de date ale clienților și nici pierderi financiare. Oficialii ING Bank au spus că nu comentează pe marginea oricărei informații legate de clienți sau datele acestora.

Ce s-a mai întâmplat între timp? La această întrebare, ANSPDCP a precizat miercuri că "investigațiile sunt în curs de desfășurare, fiind solicitate informații în scris de la cei trei operatori."

Cum este definită încălcarea securității datelor cu caracter personal în Regulamentul UE privind protecția datelor

Acest aspect este definit la articolul 4 alineatul 12, astfel:

Potrivit art. 33 alin. (1) din Regulamentul General privind Protecţia Datelor, „În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată pentru întârziere.

Art. 58 din Regulamentul General privind Protecţia Datelor stabileşte competenţele coercitive ale Autorităţii de supraveghere, iar la art. 83 sunt precizate sancţiunile ce pot fi aplicate potrivit competenţelor legale, care pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri globală.

Reguli noi aduse de GDPR in online

Noul Regulament privind protectia datelor personale ("GDPR" sau "Noul Regulament") a intrat in vigoare pe data de 24 mai 2016, insa aplicarea acestuia a fost suspendata pentru o perioada de 2 ani, pentru a permite procesatorilor de date cu caracter personal sa isi alinieze activitatea la noile standarde. Modificarile avute in vedere sunt substantiale si ambitioase, avand implicatii deosebite in special pentru sectorul online, care ofera servicii B2C. Incepand cu 25 mai 2018, noile reglementari privind protectia datelor vor avea aplicabilitate directa in toate statele membre SEE, iar sanctiunile prevazute in caz de nerespectare a acestora reclama o atentie sporita din partea agentilor economici.

Inainte de a prezenta implicatiile pentru sectorul de gambling din Romania, trebuie sa mentionam ca datele cu caracter personal reprezinta mai mult decat simple elemente de identificare (nume, prenume, numar de identificare, user, date de localizare, adrese IP sau MAC). Ele sunt  definite drept "orice informatii privind o persoana fizica identificata sau identificabila", adica inclusiv comportamentul si istoria jucatorului in cadrul platformei, preferintele de joc, situatia financiara a jucatorului sau alte elemente care, impreuna sau separat, pot duce la identificarea persoanei fizice respective. Noul Regulament impune noi standarde in modul de colectare, de stocare, de dezvaluire si de circulatie a acestor date.

Prelucrarea datelor cu caracter personal reprezinta o componenta importanta a modului in care serviciile de jocuri de noroc online sunt oferite jucatorilor, datele acestora fiind procesate atat la deschiderea contului de joc, cat si pe tot parcursul activitatii pe care acestia o desfasoara pe platforma de joc. Comportamentul jucatorilor in cadrul platformei este deseori monitorizat, in vederea imbunatatirii serviciilor oferite, datele cu caracter personal capatand o valoare tot mai mare pentru operatori.

Implicatiile GDPR sunt complexe si pot varia semnificativ de la operator la operator, in functie de datele colectate si monitorizate, arhitectura actuala a sistemelor de automatizare a procesarii datelor cu caracter personal sau relatiile B2B cu alti furnizori de servicii specializate pentru piata jocurilor de noroc online care actioneaza in calitate de procesatori de date pentru operator (valabil pentru cei care externalizeaza serviciile de risk management, player profiling sau transfer al unor baze de date privind activitatea jucatorului in cadrul unor platforme independente de cea a operatorului, precum in cazul implementarilor SaaS in care prestatorul de servicii ofera inclusiv hosting si gazduirea datelor procesate).

Din ratiuni de spatiu, vom prezenta succint doar 4 dintre cele mai importante modificari cu implicatii semnificative pentru operatori de jocuri de noroc online din Romania.

1. Dreptul la portabilitatea datelor

Conform GDPR, jucatorii vor avea dreptul de a primi datele cu caracter personal care ii privesc si pe care le-au furnizat operatorului (adica inclusiv istoricul de joc, situatia financiara sau alte date care sunt in mod frecvent monitorizate de catre operator) intr-un format structurat, utilizat in mod curent si care poate fi citit automat. De asemenea, jucatorul va avea dreptul de a transmite aceste date altui operator, fara obstacole (tehnice sau financiare) din partea operatorului caruia i-au fost furnizate initial datele cu caracter personal.

Pe langa costurile semnificative pe care operatorii vor trebui sa le suporte pentru a implementa o solutie tehnica conforma GDPR, acest drept ar putea prezenta deopotriva un risc ori un avantaj comercial, dupa caz. Astfel, operatorii noi vor putea atrage jucatori de pe alte platforme, convingandu-i sa isi exercite dreptul la portabilitatea datelor prin oferirea unor pachete de bonusare atractive, similar fenomenului aparut dupa implementarea portabilitatii numerelor de telefonie mobila. In acelasi timp, operatorii consacrati vor fi nevoiti sa acorde o atentie sporita fidelizarii jucatorilor inregistrati pe platformele de joc.

2. Obtinerea consimtamantului jucatorului 

Noul Regulament impune noi standarde in ceea ce priveste obtinerea consimtamantului jucatorului cu privire la procesarea datelor personale ale acestuia. Pana in prezent, informarea privind procesarea datelor cu caracter personal era prevazuta in Termenii si Conditiile acceptate global de jucator la crearea unui cont nou. Conform GDPR, consimtamantul obtinut va trebui sa constea "intr-o manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate".  In cazul in care consimtamantul jucatorului este dat in contextul unei declaratii scrise, care se refera si la alte aspect (i.e. T&Cs), cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o maniera inteligibila si usor accesibila, utilizand un limbaj clar si simplu. O varianta de implementare ar putea fi un checkbox suplimentar la deschiderea contului de joc prin care jucatorul accepta politica de procesare a datelor, separat de ceilalti termeni generali acceptati. De asemenea, operatorul va trebui sa ofere jucatorilor posibilitatea de a retrage acest consimtamant in orice moment. Nerespectarea acestor reguli va invalida consimtamantul jucatorului, operatorul riscand amenzi semnificative.

3. Sanctiuni

GDPR aduce modificari semnificative si in ceea ce priveste latura de preventie si sanctionare a activitatilor neconforme cu noile standarde de protectie a datelor personale. Autoritatile de reglementare (in Romania - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP) vor putea aplica sanctiuni de pana la 20.000.000 Euro sau pana la 4% din cifra de afaceri globala a grupului din care face parte operatorul, luandu-se in calcul cea mai mare valoare.

Avand in vedere nivelul extrem de ridicat al posibilelor sanctiuni, operatorii de jocuri de noroc vor trebui sa depuna toate eforturile necesare pentru a-si asigura nivelul de conformitate in acord cu noile prevederi GDPR.

4. Desemnarea unei persoane responsabile cu protectia datelor

Toti operatorii de date cu caracter personale ale caror activitati principale "constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga" vor trebui sa desemneze un responsabil cu protectia datelor ("DPO"). Este evident ca operatorii de jocuri de noroc online indeplinesc acest criteriu, monitorizarea pe scara larga a jucatorilor fiind o componenta de baza a industriei.

Functia de DPO va fi una importanta in cadrul activitatii operatorului, responsabilul fiind cel care va monitoriza buna implementare a standardelor GDPR si activitatea de procesare a operatorului in vederea identificarii riscurilor sau a incalcarilor. Operatorul va trebui sa puna la dispozitia DPO resursele necesare pentru executarea acestor sarcini, accesarea datelor cu caracter personal si a operatiunilor de prelucrare, precum si pentru mentinerea cunostintelor sale de specialitate.

Trebuie mentionat faptul ca GDPR permite operatorilor de date personale sa externalizeze aceste servicii catre terti specializati, fiind posibila contractarea serviciilor unor avocati sau specialisti in securitatea si protectia datelor. De asemenea, operatorii internationali au posibilitatea de a desemna un singur DPO la nivelul grupului de societati din care fac parte.

Articolul a aparut la: https://www.hotnews.ro/stiri-specialisti_tuca_zbarcea_asociatii-21989009-reguli-noi-aduse-gdpr-online.htm

Dispoziții suplimentare în legislația locală față de regulamentul UE referitoare la numărul de identificare național și la monitorizarea angajaților

Noi dispoziții suplimentare față de Regulamentul 2016/679 privind protecția datelor cu caracter personal (GDPR) sunt prevăzute de Legea nr. 190/2018, recent intrată în vigoare, care stabilește măsurile de aplicare a acestuia. Printre altele, aceste dispoziții vizează prelucrarea numărului de identificare național și a datelor cu caracter personal în contextul relațiilor de muncă, pe care le vom analiza în cele ce urmează.

Prin această lege se definește în mod expres numărul de identificare național ca fiind numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi:

În realitate, însă, această interpretare preia ideea de prelucrare a unui număr cu funcţie de identificare de aplicabilitate generală care se regăsea și în Decizia Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nr. 132/2011, recent abrogată. Această decizie era dificil de aplicat pentru că prevedea posibilitatea prelucrării acestor date cu caracter personal în trei situații limitative:

Legea nr. 190/2018 aduce totuși un element de noutate, permițând prelucrarea acestor categorii de date cu caracter personal în baza oricărui temei prevăzut de art. 6 alin. (1) din GDPR (de exemplu, executarea contractului, interes legitim etc.). Astfel, operatorii au o mai mare libertate în utilizarea acestor categorii de date atât timp cât respectă principiile generale impuse de GDPR (de exemplu, principiul minimizării și al limitărilor legate de scop).

Ca notă specială, conform Legii nr. 190/2018, în cazul în care un operator se va întemeia pe interesul legitim pentru prelucrarea numărului de identificare național, va trebui să îndeplinească următoarele condiții cumulative:

În practică, se întâlnesc situații în care operatorii prelucrează aceste categorii de date cu caracter personal ale clienților (de exemplu, identificator primar al clientului în bazele de date interne) ori ale angajaților (de exemplu, simpla identificare în interiorul companiei), având ca temei interesul legitim. În aceste situații, deși noua legislație prevede interesul legitim ca temei de prelucrare, operatorii vor trebui să aibă în vedere și conformarea cu principiile minimizării datelor și limitărilor legate de scop (care sunt nerespectate de cele mai multe ori).

Cu privire la prelucrarea datelor angajaților în contextul relațiilor de muncă, legea prevede dispoziții exprese atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video în scopul interesului legitim al angajatorului.

Astfel, legea vine să limiteze nivelul de intruzivitate al măsurilor de securitate pe care angajatorul le poate implementa, impunând condiții suplimentare pentru monitorizarea mijloacelor de comunicații electronice (de exemplu, e-mail, Internet, Skype), cât și pentru monitorizarea prin mijloace video (de exemplu, CCTV).

Aceste mijloace vor putea fi folosite dacă:

Conform dispozițiilor legale amintite, angajatorul va trebui să îndeplinească în mod cumulativ mai multe condiții pentru a implementa mijloacele de monitorizare menționate, printre care și introducerea, cu prioritate, a altor mijloace ce ar putea duce la același rezultat.

În practică, am descoperit că operatorii au întâmpinat dificultăți cu privire la indicarea temeiului legal corect de prelucrare a datelor cu caracter personal prin intermediul mijloacelor de supraveghere video, indicând de cele mai multe ori interesul legitim. În acest sens, subliniem că sunt numeroase situații în care monitorizarea video se va face în temeiul unei obligații legale, spre exemplu, în cazurile impuse de legislația privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor - spații comerciale mai mari de 500 mp, sălile de jocuri de noroc, casieriile furnizorilor de utilăți, ATM-uri etc.).

Toate aceste dispoziții suplimentare impuse de Legea nr. 190/2018 sunt rezultatul fructificării derogărilor prevăzute expres de Regulament in articolele 87 și 88 care prevăd posibilitatea Statelor Membre de a introduce condiții specifice de prelucrare a numărului de identificare național și de monitorizare a angajaților.

Concluzionând, dispozițiile legale despre care am discutat sunt un suport pentru aplicarea Regulamentului în România de care operatorii trebuie să țină cont cu aceeași rigurozitate pentru protejarea vieții private a persoanelor vizate, obligându-i să găsească mijloace mai puțin intruzive în prelucrarea datelor, dând aplicare principiilor echității și reducerii la minimum a datelor.

Articol aparut la: https://www.hotnews.ro/stiri-specialisti_deloitte-22611975-gdpr-dispozitii-suplimentare-legislatia-locala-fata-regulamentul-referitoare-numarul-identificare-national-monitorizarea-angajatilor.htm