Noi reguli de protecţie a dreptului de autor pe internet ar putea fi aplicate la nivelul UE

Cotele de piaţă în Europa ale Google, Facebook, Microsoft şi ale altor mari companii ar putea avea de suferit de pe urma votării de către Comisia pentru Afaceri Juridice din cadrul Parlamentului European a unor regulamente mai dure de protecţie a dreptului de autor (copyright)

Noile reguli sunt menite să forţeze platformele on-line - tot mai populare - să împartă veniturile cu publisherii şi să ofere posibilitatea tragerii lor la răspundere pentru încălcările copyright-ului pe internet.

Regulile, propuse pentru prima oară în urmă cu doi ani de către Comisia Europeană, au fost votate de Comisia pentru Afaceri Juridice din cadrul Parlamentului European. Şi în situaţia în care regulile nu vor fi contestate de unii parlamentari europeni în plenul adunării generale de luna viitoare, atunci ele vor fi supuse negocierilor de către statele membre.

Reacţiile cu privire la noile reguli sunt, însă, împărţite, fiind puţin probabil ca regulile să nu fie contestate în Parlament.

Pe de o parte, apar avertismente cu privire la posibile îngrădiri ale unor libertăţi din partea unor oficiali europeni şi a reprezentanţilor companiilor care ar putea fi afectate de noile reglementări.

„Oamenii vor întâmpina probleme făcând lucruri uzuale, precum să discute despre ştiri sau să se exprime on-line. Blocarea acestui drept de a participa pentru a servi intereselor speciale ale companiilor mari media este inacceptabil”, a precizat Julia Reda, membră a Partidului Verzilor din cadrul Parlamentului European şi una dintre oponentele noilor reguli.

„Voi ataca acest rezultat şi voi cere un vot în Parlamentul European”, a adăugat Julia Reda.

„Este dezamăgitor că după doar câteva săptămâni de la intrarea în vigoare a GDPR - o lege care a făcut Europa o purtătoare a stindardului reglementării la nivel global - parlamentarii au aprobat o lege care va afecta la nivel fundamental internetul în Europa, cu ramificaţii globale”, a declarat Raegan MacDonald, şefa politicii publice pentru UE a companiei Mozilla.

De cealaltă parte, posesorii de copyright aprobă decizia Comisiei. „Internetul este la fel de folositor precum conţinutul de pe el. Articolul 11 va fi esenţial în a încuraja viitoare invesţii în conţinut profesionist, divers şi documentat în beneficiul tuturor, de peste tot”, au precizat reprezentanţii media.

Cele mai multe critici s-au concentrat asupra a două articole. Articolul 11 ar putea obliga companii precum Microsoft sau Google să plătească pentru fragmentele de ştiri (aşa-numitele news snippets). Iar Articolul 13 ar obliga companii ca YouTube sau eBay să instaleze filtre care să-i împiedice pe utilizatori să urce materiale cu copyright sau să ceară, în prealabil, licenţă pentru materialele respective. Compania eBay a precizat însă că platformele de comerţ nu sunt incluse pe lista directivei.

Articol aparut la: https://www.mediafax.ro/cultura-media/noi-reguli-de-protectie-a-dreptului-de-autor-pe-internet-ar-putea-fi-aplicate-la-nivelul-ue-17286956

De ce crezi că societatea ta nu este „vizată” de dispozițiile GDPR și de ce te înșeli?

I. Context

Regulamentul general privind protecția datelor (GDPR) sporește semnificativ obligațiile și responsabilitățile în sarcina companiilor, în ceea ce privește modul în care colectează, utilizează, protejează și transferă datele cu caracter personal. Numărul și complexitatea obligațiilor stabilite prin GDPR, în special a cerințelor privind transparența și securitatea prelucrării datelor personale, au generat anxietate în rândul celor care gestionează o afacere.

Să nu uităm însă de aspectele pozitive pe care le aduce cu sine implementarea GDPR. Acesta oferă cetățenilor mai mult control asupra modului în care sunt utilizate datele lor personale. De asemenea, simplifică mediul de reglementare pentru întreprinderi, pentru că stabilește un cadru uniform pentru legislația privind protecția datelor în întreaga Uniune Europeană, ceea ce ușurează activitatea companiilor cu dimensiune transfrontalieră.

Deși noul Regulament a beneficiat de o promovare intensă pe toate canalele de comunicare, fiind organizate conferințe, forumuri, zile ale porților deschise, evenimente care au fost dublate de publicarea unui număr impresionant de articole în presă și în literatura de specialitate, în prezent, mediul de afaceri din România este departe de fi pregătit pentru provocările generate de aplicarea GDPR.

În plus, publicitatea agresivă din partea unor persoane care au încercat monetizarea prevederilor Regulamentului, prin mediatizarea obsesivă a perspectivei de aplicare a unor amenzi maxime de 4% din cifra de afaceri și acreditarea ideii false că aplicarea amenzilor maxime ar fi principalul obiectiv al GDPR, s-a îndepărtat de obiectivul GDPR, astfel cum a fost subliniat în numeroase rânduri de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, respectiv acela al edificării unei adevărate culturi a protecției datelor personale în România.

Cu cât citim mai multe informații despre GDPR, cu atât devenim „imuni” la prevederile sale. Ne agățăm de concluzia comodă că, și dacă GDPR s-ar aplica propriei companii, amânarea implementării prevederilor sale relevante nu ar determina consecințe semnificative pentru bunul mers al afacerii. Dar oare ar trebui să ne lăsăm conduși de o asemenea atitudine? Sau ar fi mai bine să analizăm la rece măsurile pe care le avem de luat pentru a alinia compania noastră cu cerințele GDPR?

II. De ce crezi că societatea ta nu este „vizată” de dispozițiile GDPR? 

Primele dificultăți în procesul de conformare cu dispozițiile GDPR apar din cauza unei probleme de principiu: mulți dintre reprezentanții companiilor pur și simplu nu conștientizează că acestea au calitatea de operatori care desfășoară operațiuni de prelucrare a datelor cu caracter personal. Nu de puține ori am întâlnit exprimări dezarmante, precum „noi nu prelucrăm date cu caracter personal, ci doar le colectăm”. De asemenea, anumite dificultăți iau naștere din simplul motiv că noțiunea de „date cu caracter personal” a fost, cel puțin indirect, redefinită.

În al doilea rând, unul dintre cele mai întâlnite mituri despre aplicarea GDPR este generat de percepția eronată conform căreia aceasta este influențată în mod direct de dimensiunea afacerii. Altfel spus, GDPR ar viza în special segmentul „big data”, iar întreprinderile mici și mijlocii nu ar avea de ce să își facă prea multe griji. Subliniem că am auzit de nenumărate ori replici de tipul „oricum, noi nu prelucrăm prea multe date”.

În al treilea rând, mulți dintre operatorii economici consideră că GDPR se preocupă în exclusivitate de problema securității datelor. În aceste condiții, se concluzionează adesea că, „dacă am soluții de securitate și de criptare robuste, activitatea de prelucrare va fi conformă cu dispozițiile GDPR”. Am întâlnit inclusiv manageri care afirmau că utilizează soluții software furnizate de Microsoft, iar această companie respectă deja obligațiile instituite de Regulament, ceea ce înseamnă că respectivii beneficiari nu ar trebui să ia nicio măsură suplimentară.

În al patrulea rând, cele mai multe întreprinderi sunt descurajate de afluența specialiștilor în materia protecției datelor. În plus, în multe situații, colaborarea cu un specialist IT pentru alinierea activității companiei cu cerințele GDPR nu este suficientă, fiind de multe ori necesară și angajarea unui avocat (ori a unei echipe de avocați, în cazul unor companii cu activități complexe în materia prelucrării datelor personale) care să verifice, din perspectivă juridică, îndeplinirea standardelor GDPR. În aceste condiții, nu este de mirare că multe companii încă reflectează asupra oportunității contactării unor specialiști, inclusiv din considerente financiare, deși o amânare a procesului de conformare cu noua reglementare poate să fie destul de riscantă.

În altă ordine de idei, există societăți care împărtășesc falsa impresie că simpla calitate de persoane împuternicite de operator nu presupune asumarea unor obligații și nici implementarea unor măsuri tehnice și organizatorice corespunzătoare. Alte societăți nu doresc să împărtășească informații sensibile de business unor persoane din exteriorul companiei, având în vedere că accesul la bazele de date cu caracter personal nu ar putea fi disociat de accesul la datele controlate. În fine, unele societăți pur și simplu canalizează resursele investiționale în alte direcții, motiv pentru care protecția datelor cu caracter personal ajunge inevitabil să dobândească un rol marginal.

III. De ce te înșeli?

În primul rând, conform GDPR, prelucrarea datelor reprezintă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. În aceste condiții, simpla colectare a datelor personale reprezintă o activitate de prelucrare a datelor cu caracter personal.

Este esențial să ai în vedere faptul că, deși în mod tradițional înțelegeam prin date cu caracter personal numele unei persoane, o poză în care aceasta apărea, adresa de e-mail, numărul de telefon, adresa și orice alt număr de identificare (codul numeric personal, contul bancar etc.), sub imperiul GDPR trebuie să avem în vedere o definiție semnificativ mai largă. În acest context, aspecte precum adresa IP, statisticile generate de softurile de identificare a dispozitivelor mobile, geo-locația și datele biometrice (amprentele digitale, scanările retinei etc.) pot să constituie date cu caracter personal. În plus, aspecte precum identitatea fizică, psihologică, genetică, mentală, economică, socială și culturală intră în sfera de reglementare a GDPR. Aceste modificări de perspectivă reflectă evoluția tehnologică și modul în care companiile prelucrează datele cu caracter personal. De aceea, având în vedere că societatea ta interacționează în mod frecvent cu asemenea informații, este necesară implementarea anumitor măsuri, dar și revizuirea modului în care compania și-a desfășurat activitatea până în prezent.

Este important să cunoști că, indiferent dacă societatea ta stochează și procesează date cu caracter personal folosind o infrastructură informatică deosebit de complexă ori, din contră, folosește clasicele agende și registre în format fizic, toate aceste operațiuni vor fi guvernate de dispozițiile GDPR. Nici faptul că societatea beneficiază de soluții software de securitate și criptare puse la dispoziție de giganții IT nu este suficient pentru asigurarea conformității. De altfel, GDPR vizează în special respectarea drepturilor fundamentale ale persoanelor fizice și nu se referă în exclusivitate la aspecte privind securitatea informatică.

În zilele noastre, aproape că nu mai există sector economic în care marketingul să nu joace un rol central, ceea ce înseamnă că trebuie să acorzi o atenție deosebită domeniului prelucrării datelor cu caracter personal, fie că societatea ta are doar un angajat, fie că are 100 de angajați. Pregătirea și informarea angajaților sunt extrem de importante, întrucât implementarea oricărui program de guvernanță a datelor se realizează în primul rând prin angajați, iar cele mai multe breșe de securitate intervin tocmai din cauza neglijenței unora dintre aceștia.

Chiar și în ipoteza în care societatea ta se promovează numai prin intermediul unei pagini de Facebook, Curtea de Justiție a Uniunii Europene a decis recent că aceasta va avea calitatea de operator de date, cu toate că utilizează platforma pusă la dispoziție de operatorul american.

În plus, faptul că societatea prelucrează date doar în numele și pe seama altei societăți, adică are calitatea de persoană împuternicită de operator, nu o scutește de respectarea unor obligații specifice prevăzute de Regulament.

Nu în ultimul rând, nu trebuie să ignori nici existența așa-numiților „hateri”. Astfel, există persoane care abia așteptau aplicarea GDPR pentru a-și înregistra plângerile pe rolul Autorității de supraveghere, indiferent de justețea argumentelor prezentate. Pentru a preveni surprizele neplăcute în cazul unor controale inopinate din partea Autorității de supraveghere, considerăm că este foarte important să beneficiezi de verificarea și supravegherea pe termen lung a conformității operațiunilor de prelucrare a datelor cu caracter personal și de sprijin în relația cu această autoritate.

IV. Concluzii

Prelucrarea datelor personale ar trebui să prezinte interes doar pentru alte companii, nicidecum pentru a ta?

La o analiză ”la rece”, mai mult ca sigur compania ta este „vizată” de noua reglementare. Având în vedere că doar 15% dintre consumatori simt că dețin controlul complet asupra informațiilor pe care le furnizează în mediul on-line, putem afirma că aplicarea GDPR este în primul rând o chestiune de încredere. Comisia Europeană estimează beneficiile economice ale aplicării GDPR la 2,3 miliarde de Euro.

Însă dincolo de respectarea drepturilor fundamentale ale angajaților și ale clienților, conformarea cu dispozițiile GDPR arată respectul pe care îl manifești față de propria afacere, fiind la fel de importantă precum călcarea hainelor înainte de a ieși din casă. În fine, nu uita să apelezi la specialiști, în cazul în care consideri că ai nevoie de asistență pe traseul tumultuos al respectării noii reglementări. Un criteriu relevant în alegerea specialistului potrivit pentru tine ar fi să verifici cum și dacă acesta a implementat, la rândul său, prevederile GDPR în activitatea pe care o desfășoară. Vei fi surprins să constați că mulți dintre specialiștii GDPR au neglijat adaptarea propriei afaceri la cerințele GDPR.

În aceste condiții, nu ne mai rămâne decât să vă urăm… succes!

Articol aparut la: https://economie.hotnews.ro/stiri-economie-22675215-crezi-societatea-nu-este-vizat-dispozi-iile-gdpr-eli.htm

Aplicarea Regulamentului UE privind protecția datelor în România: 40 de operatori au transmis 45 de notificări de încălcare a securității datelor personale / Nicio amendă până acum

Autoritatea națională de supraveghere a prelucrării datelor cu caracter personal (ANSPDCP) a primit 45 de notificari de încălcare a securității datelor cu caracter personal, de la un număr total de 40 de operatori, începând cu 25 mai 2018 și până în prezent, au comunicat oficialii autorității fără a preciza numele operatorilor sau natura incidentelor. "În cazurile în care s-a impus, au fost transmise solicitări de informații către operatori. Doar la finalizarea investigațiilor, după caz, se va putea aprecia dacă notificările primite reprezintă încălcări ale securității datelor cu caracter personal conform Regulamentului UE aplicabil din data de 25 mai", spune autoritatea. 

Autoritatea a solicitat informații în scris de la BCR, ING Bank și Alpha Bank, primele bănci care au notificat incidente de încălcare a securității datelor

BCR, ING Bank și Alpha Bank sunt primele bănci din România care au notificat până acum autoritatea națională de supraveghere (ANSPDCP) privind incidente de încălcare a securității datelor cu caracter personal, după aplicarea din data de 25 mai 2018 a noului Regulament UE privind protecția datelor personale (GDPR), conform informațiilor autorității, care nu a oferit alte detalii. Oficialii BCR au precizat că frecvența atacurilor informatice cu care se confruntă banca este în creștere, dar că banca are sisteme de blocare a atacurilor și că până acum nu au identificat un furt de date ale clienților și nici pierderi financiare. Oficialii ING Bank au spus că nu comentează pe marginea oricărei informații legate de clienți sau datele acestora.

Ce s-a mai întâmplat între timp? La această întrebare, ANSPDCP a precizat miercuri că "investigațiile sunt în curs de desfășurare, fiind solicitate informații în scris de la cei trei operatori."

Cum este definită încălcarea securității datelor cu caracter personal în Regulamentul UE privind protecția datelor

Acest aspect este definit la articolul 4 alineatul 12, astfel:

Potrivit art. 33 alin. (1) din Regulamentul General privind Protecţia Datelor, „În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată pentru întârziere.

Art. 58 din Regulamentul General privind Protecţia Datelor stabileşte competenţele coercitive ale Autorităţii de supraveghere, iar la art. 83 sunt precizate sancţiunile ce pot fi aplicate potrivit competenţelor legale, care pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri globală.

Reguli noi aduse de GDPR in online

Noul Regulament privind protectia datelor personale ("GDPR" sau "Noul Regulament") a intrat in vigoare pe data de 24 mai 2016, insa aplicarea acestuia a fost suspendata pentru o perioada de 2 ani, pentru a permite procesatorilor de date cu caracter personal sa isi alinieze activitatea la noile standarde. Modificarile avute in vedere sunt substantiale si ambitioase, avand implicatii deosebite in special pentru sectorul online, care ofera servicii B2C. Incepand cu 25 mai 2018, noile reglementari privind protectia datelor vor avea aplicabilitate directa in toate statele membre SEE, iar sanctiunile prevazute in caz de nerespectare a acestora reclama o atentie sporita din partea agentilor economici.

Inainte de a prezenta implicatiile pentru sectorul de gambling din Romania, trebuie sa mentionam ca datele cu caracter personal reprezinta mai mult decat simple elemente de identificare (nume, prenume, numar de identificare, user, date de localizare, adrese IP sau MAC). Ele sunt  definite drept "orice informatii privind o persoana fizica identificata sau identificabila", adica inclusiv comportamentul si istoria jucatorului in cadrul platformei, preferintele de joc, situatia financiara a jucatorului sau alte elemente care, impreuna sau separat, pot duce la identificarea persoanei fizice respective. Noul Regulament impune noi standarde in modul de colectare, de stocare, de dezvaluire si de circulatie a acestor date.

Prelucrarea datelor cu caracter personal reprezinta o componenta importanta a modului in care serviciile de jocuri de noroc online sunt oferite jucatorilor, datele acestora fiind procesate atat la deschiderea contului de joc, cat si pe tot parcursul activitatii pe care acestia o desfasoara pe platforma de joc. Comportamentul jucatorilor in cadrul platformei este deseori monitorizat, in vederea imbunatatirii serviciilor oferite, datele cu caracter personal capatand o valoare tot mai mare pentru operatori.

Implicatiile GDPR sunt complexe si pot varia semnificativ de la operator la operator, in functie de datele colectate si monitorizate, arhitectura actuala a sistemelor de automatizare a procesarii datelor cu caracter personal sau relatiile B2B cu alti furnizori de servicii specializate pentru piata jocurilor de noroc online care actioneaza in calitate de procesatori de date pentru operator (valabil pentru cei care externalizeaza serviciile de risk management, player profiling sau transfer al unor baze de date privind activitatea jucatorului in cadrul unor platforme independente de cea a operatorului, precum in cazul implementarilor SaaS in care prestatorul de servicii ofera inclusiv hosting si gazduirea datelor procesate).

Din ratiuni de spatiu, vom prezenta succint doar 4 dintre cele mai importante modificari cu implicatii semnificative pentru operatori de jocuri de noroc online din Romania.

1. Dreptul la portabilitatea datelor

Conform GDPR, jucatorii vor avea dreptul de a primi datele cu caracter personal care ii privesc si pe care le-au furnizat operatorului (adica inclusiv istoricul de joc, situatia financiara sau alte date care sunt in mod frecvent monitorizate de catre operator) intr-un format structurat, utilizat in mod curent si care poate fi citit automat. De asemenea, jucatorul va avea dreptul de a transmite aceste date altui operator, fara obstacole (tehnice sau financiare) din partea operatorului caruia i-au fost furnizate initial datele cu caracter personal.

Pe langa costurile semnificative pe care operatorii vor trebui sa le suporte pentru a implementa o solutie tehnica conforma GDPR, acest drept ar putea prezenta deopotriva un risc ori un avantaj comercial, dupa caz. Astfel, operatorii noi vor putea atrage jucatori de pe alte platforme, convingandu-i sa isi exercite dreptul la portabilitatea datelor prin oferirea unor pachete de bonusare atractive, similar fenomenului aparut dupa implementarea portabilitatii numerelor de telefonie mobila. In acelasi timp, operatorii consacrati vor fi nevoiti sa acorde o atentie sporita fidelizarii jucatorilor inregistrati pe platformele de joc.

2. Obtinerea consimtamantului jucatorului 

Noul Regulament impune noi standarde in ceea ce priveste obtinerea consimtamantului jucatorului cu privire la procesarea datelor personale ale acestuia. Pana in prezent, informarea privind procesarea datelor cu caracter personal era prevazuta in Termenii si Conditiile acceptate global de jucator la crearea unui cont nou. Conform GDPR, consimtamantul obtinut va trebui sa constea "intr-o manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate".  In cazul in care consimtamantul jucatorului este dat in contextul unei declaratii scrise, care se refera si la alte aspect (i.e. T&Cs), cererea privind consimtamantul trebuie sa fie prezentata intr-o forma care o diferentiaza in mod clar de celelalte aspecte, intr-o maniera inteligibila si usor accesibila, utilizand un limbaj clar si simplu. O varianta de implementare ar putea fi un checkbox suplimentar la deschiderea contului de joc prin care jucatorul accepta politica de procesare a datelor, separat de ceilalti termeni generali acceptati. De asemenea, operatorul va trebui sa ofere jucatorilor posibilitatea de a retrage acest consimtamant in orice moment. Nerespectarea acestor reguli va invalida consimtamantul jucatorului, operatorul riscand amenzi semnificative.

3. Sanctiuni

GDPR aduce modificari semnificative si in ceea ce priveste latura de preventie si sanctionare a activitatilor neconforme cu noile standarde de protectie a datelor personale. Autoritatile de reglementare (in Romania - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal - ANSPDCP) vor putea aplica sanctiuni de pana la 20.000.000 Euro sau pana la 4% din cifra de afaceri globala a grupului din care face parte operatorul, luandu-se in calcul cea mai mare valoare.

Avand in vedere nivelul extrem de ridicat al posibilelor sanctiuni, operatorii de jocuri de noroc vor trebui sa depuna toate eforturile necesare pentru a-si asigura nivelul de conformitate in acord cu noile prevederi GDPR.

4. Desemnarea unei persoane responsabile cu protectia datelor

Toti operatorii de date cu caracter personale ale caror activitati principale "constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga" vor trebui sa desemneze un responsabil cu protectia datelor ("DPO"). Este evident ca operatorii de jocuri de noroc online indeplinesc acest criteriu, monitorizarea pe scara larga a jucatorilor fiind o componenta de baza a industriei.

Functia de DPO va fi una importanta in cadrul activitatii operatorului, responsabilul fiind cel care va monitoriza buna implementare a standardelor GDPR si activitatea de procesare a operatorului in vederea identificarii riscurilor sau a incalcarilor. Operatorul va trebui sa puna la dispozitia DPO resursele necesare pentru executarea acestor sarcini, accesarea datelor cu caracter personal si a operatiunilor de prelucrare, precum si pentru mentinerea cunostintelor sale de specialitate.

Trebuie mentionat faptul ca GDPR permite operatorilor de date personale sa externalizeze aceste servicii catre terti specializati, fiind posibila contractarea serviciilor unor avocati sau specialisti in securitatea si protectia datelor. De asemenea, operatorii internationali au posibilitatea de a desemna un singur DPO la nivelul grupului de societati din care fac parte.

Articolul a aparut la: https://www.hotnews.ro/stiri-specialisti_tuca_zbarcea_asociatii-21989009-reguli-noi-aduse-gdpr-online.htm

Dispoziții suplimentare în legislația locală față de regulamentul UE referitoare la numărul de identificare național și la monitorizarea angajaților

Noi dispoziții suplimentare față de Regulamentul 2016/679 privind protecția datelor cu caracter personal (GDPR) sunt prevăzute de Legea nr. 190/2018, recent intrată în vigoare, care stabilește măsurile de aplicare a acestuia. Printre altele, aceste dispoziții vizează prelucrarea numărului de identificare național și a datelor cu caracter personal în contextul relațiilor de muncă, pe care le vom analiza în cele ce urmează.

Prin această lege se definește în mod expres numărul de identificare național ca fiind numărul prin care se identifică o persoană fizică în anumite sisteme de evidenţă şi care are aplicabilitate generală, cum ar fi:

În realitate, însă, această interpretare preia ideea de prelucrare a unui număr cu funcţie de identificare de aplicabilitate generală care se regăsea și în Decizia Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nr. 132/2011, recent abrogată. Această decizie era dificil de aplicat pentru că prevedea posibilitatea prelucrării acestor date cu caracter personal în trei situații limitative:

Legea nr. 190/2018 aduce totuși un element de noutate, permițând prelucrarea acestor categorii de date cu caracter personal în baza oricărui temei prevăzut de art. 6 alin. (1) din GDPR (de exemplu, executarea contractului, interes legitim etc.). Astfel, operatorii au o mai mare libertate în utilizarea acestor categorii de date atât timp cât respectă principiile generale impuse de GDPR (de exemplu, principiul minimizării și al limitărilor legate de scop).

Ca notă specială, conform Legii nr. 190/2018, în cazul în care un operator se va întemeia pe interesul legitim pentru prelucrarea numărului de identificare național, va trebui să îndeplinească următoarele condiții cumulative:

În practică, se întâlnesc situații în care operatorii prelucrează aceste categorii de date cu caracter personal ale clienților (de exemplu, identificator primar al clientului în bazele de date interne) ori ale angajaților (de exemplu, simpla identificare în interiorul companiei), având ca temei interesul legitim. În aceste situații, deși noua legislație prevede interesul legitim ca temei de prelucrare, operatorii vor trebui să aibă în vedere și conformarea cu principiile minimizării datelor și limitărilor legate de scop (care sunt nerespectate de cele mai multe ori).

Cu privire la prelucrarea datelor angajaților în contextul relațiilor de muncă, legea prevede dispoziții exprese atunci când sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video în scopul interesului legitim al angajatorului.

Astfel, legea vine să limiteze nivelul de intruzivitate al măsurilor de securitate pe care angajatorul le poate implementa, impunând condiții suplimentare pentru monitorizarea mijloacelor de comunicații electronice (de exemplu, e-mail, Internet, Skype), cât și pentru monitorizarea prin mijloace video (de exemplu, CCTV).

Aceste mijloace vor putea fi folosite dacă:

Conform dispozițiilor legale amintite, angajatorul va trebui să îndeplinească în mod cumulativ mai multe condiții pentru a implementa mijloacele de monitorizare menționate, printre care și introducerea, cu prioritate, a altor mijloace ce ar putea duce la același rezultat.

În practică, am descoperit că operatorii au întâmpinat dificultăți cu privire la indicarea temeiului legal corect de prelucrare a datelor cu caracter personal prin intermediul mijloacelor de supraveghere video, indicând de cele mai multe ori interesul legitim. În acest sens, subliniem că sunt numeroase situații în care monitorizarea video se va face în temeiul unei obligații legale, spre exemplu, în cazurile impuse de legislația privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor - spații comerciale mai mari de 500 mp, sălile de jocuri de noroc, casieriile furnizorilor de utilăți, ATM-uri etc.).

Toate aceste dispoziții suplimentare impuse de Legea nr. 190/2018 sunt rezultatul fructificării derogărilor prevăzute expres de Regulament in articolele 87 și 88 care prevăd posibilitatea Statelor Membre de a introduce condiții specifice de prelucrare a numărului de identificare național și de monitorizare a angajaților.

Concluzionând, dispozițiile legale despre care am discutat sunt un suport pentru aplicarea Regulamentului în România de care operatorii trebuie să țină cont cu aceeași rigurozitate pentru protejarea vieții private a persoanelor vizate, obligându-i să găsească mijloace mai puțin intruzive în prelucrarea datelor, dând aplicare principiilor echității și reducerii la minimum a datelor.

Articol aparut la: https://www.hotnews.ro/stiri-specialisti_deloitte-22611975-gdpr-dispozitii-suplimentare-legislatia-locala-fata-regulamentul-referitoare-numarul-identificare-national-monitorizarea-angajatilor.htm