Când vor apărea certificările GDPR în România ?

ANSPDCP

Vizualizari: 4832

Facebooktwittergoogle_plusredditpinterestlinkedinmail

ANSPDCP a publicat proiectul privind Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 care este supus dezbaterii publice, fiind accesibil aici. Propunerile, sugestiile și opiniile persoanelor interesate pot fi transmise pe adresa de e-mail anspdcp@dataprotection.ro, până pe 20.09.2020.

Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679 au fost elaborate cu consultarea Asociației de Acreditare din România - Renar și se transmit pentru aviz Comitetului European pentru Protecția Datelor, în concordanță cu art. 64 din Regulamentul (UE) 2016/679.

Ce este această certificare?

Certificarea GDPR va fi un proces similar obținerii certificărilor ISO, astfel ca pentru a dobândi această certificare, operatorii interesați vor trece printr-un proces care va urmări planificarea, controlul, evaluarea și corectarea proceselor organizației, astfel încât acestea să corespunda normelor standardului în materie de protecție a datelor.

Articolele 42 și 43 din Regulament prevăd obiectivele, garanțiile și rolurile actorilor, împreună cu principiile generale pentru procesele de certificare și acreditare.

Etapele procesului de certificare sunt determinate în GDPR și pot fi completate de etapele identificate în standardul ISO / IEC 17065. Cu toate acestea, dincolo de prevederile generice, ar trebui să examinate certificările existente pentru a identifica cele mai bune practici. Aspecte precum gestionarea soluționării litigiilor, tehnicile de monitorizare a certificărilor acordate și politicile de sancționare sunt esențiale pentru dezvoltarea unor mecanisme de certificare a protecției datelor de încredere.

De ce ar fi utilă o asemenea certificare?

Pe scurt, certificarea GDPR ar trebui să însemne confirmarea respectării de către o organizație (certificată) a cerințelor unui standard în materie de protecția datelor sau, în urma unui proces de evaluare periodică a bunelor practici GDPR din organizație, proces realizat de către un auditor extern, independent (organism de certificare).

Companiile vor putea apela în mod voluntar la certificarea produselor, serviciilor sau proceselor pentru a demonstra că acestea au fost inspectate, încercate și aprobate de un organism de certificare. Scopul final al certificării este creșterea încrederii printre consumatori, parteneri și alți factori interesați, ceea ce poate deveni un avantaj concurențial major.

Ce avantaje poate aduce certificarea GDPR?

Pentru operatori sau împuterniciți, certificarea GDPR reprezinta o forma prin care organizația poate confirma bunele practici implementate în ceea ce privește protecția datelor, un plus de valoare care poate sa-i asigure dezvoltarea portofoliului de clienți.

Certificarea GDPR va reprezenta asumarea responsabilității asupra prelucrărilor de date, oferind un sentiment de siguranță clienților, partenerilor sau angajaților proprii, fapt ce va cimenta relația cu aceștia.

Această certificare va fi voluntară, ceea ce înseamană că pe o piață puternic concurențială, aceasta poate reprezenta o forma de departajare față de competitori. Spre exemplu, un operator care dorește să externalizeze a anumită activitate ce include prelucrarea de date personale, va înclina spre contractarea unui împuternicit care deține o certificare GDPR, aceasta reprezentând o garanție suplimentară a responsabilității împuternicitului în ceea ce privește protecția datelor personale.

Nu în ultimul rând, certificarea GDPR va demonstra existența unor garanții adecvate oferite de operatorii sau de persoanele împuternicite de operatori, care nu fac obiectul Regulamentului GDPR, în cadrul transferurilor de date cu caracter personal către țări terțe sau organizații internaționale.

De ce nu există, la nivel național, operatori certificați GDPR?

După cum spuneam mai sus, cerificarea GDPR se poare realiza doar de organisme de certificare acreditate. Condițiile în care organisme de certificare pot fi acreditate sunt prevăzute în Articolul 43 (1) din GDPR:

“43 (1) [...] organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entități: a) autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56; b) organismul național de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (1 ) în conformitate cu standardul EN-ISO/IEC 17065/2012 și cu cerințele suplimentare stabilite de autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56”.

Solicitând un punct de vedere al Autorității pe acest subiect, aceasta ne-a comunicat următoarele: “[...] la nivel național, potrivit Regulamentului (CE) nr. 765/2008, RENAR este entitatea care va acredita organismele de certificare, în temeiul articolului 43 din Regulament”.

Plecând de la răspunsul autorității, am solicitat un punct de vedere și celor de la RENAR, pentru a afla cat mai avem de așteptat pana la apariția standardului pentru certificarea GDPR. Aceștia ne-au comunicat că, până la data respectivă (20.05.2019), “Autoritatea Națională de Supraveghere a Prelucrării Datelor nu a prezentat cerințele suplimentare stabilite de autoritatea de supraveghere menționate la pct. Art. 43 (1) b) din Regulamentul (UE) 2016/679, cerințe care sunt necesare pentru dezvoltarea schemei de acreditare pentru domeniul menționat la art. 43”. Aceștia au mai adăugat că “Activitățile de acreditare a organismelor de certificare se vor putea desfășura numai după finalizarea schemei de acreditare și publicarea mapei de documente informative”.

Comisia Europeană a publicat un studiu efectuat în februarie 2019 cu privire la “Mecanisme de certificare a protecției datelor”, o analiză în peste peste 250 de pagini referitoare la cerificarea GDPR, căreia i se adaugă nu mai puțin de 196 de pagini de anexe.

Potrivit acestui studiului, “Conceptul de cerințe suplimentare în art. 43 (1) (b) GDPR” se referă la:

  1. Cerințe legate de organismul de certificare și expertiza auditorilor săi în domeniul protecției datelor;
  2. Cerințe legate de organismul de certificare și competența auditorilor săi în efectuarea auditului; și
  3. Cerințe legate de integritatea auditorilor și a organismului de certificare”.

Prin urmare, în lipsa cerințelor suplimentare stabilite de autoritatea națională de supraveghere, RENAR-ul nu va putea elabora schema de acreditare, organismele de certificare nu vor putea fi acreditate, făcând astfel imposibilă certificarea organizațiilor interesate.

Făcând o paranteză, că tot veni vorba de RENAR, acesta a identificat standardul SR EN ISO/CEI 17065:2013 ca fiind cel la care face referire Regulamentul. Acesta poate fi achiziționat de pe site-ul Asociației de Acreditare din România - ASRO, accesând următorul link.

Să aruncăm un ochi și în curtea vecinilor

La acest moment, la nivelul UE nu știm să existe un mecanism funcțional de certificare în domeniul protecției datelor, dar știm că primii pași în acea direcție au fost deja făcuți.

Comisia Națională pentru Protecția Datelor din Luxemburg (Commission Nationale pour la Protection des DonnéesCNPD) a fost cea mai harnică autoritate națională din UE în această privință. Declarându-se convinsa de “valoarea pe care o poate oferi certificarea”, CNPD a adoptat o abordare deosebit de proactivă dezvoltând, împreună cu profesioniștii din domeniu, o schemă de certificare. Astfel, schema numită "GDPR-CARPA" a fost prezentată spre consultare publică încă din iunie 2018.

CNPD și-a concentrat activitatea pe două direcții:

  1. Criteriile de certificare, pentru Manageri de Proces/Subcontractați, care trebuie îndeplinite de o organizație care dorește să fie certificate anumite procesări de date. Organizațiile interesate să fie certificate sunt încurajate să ia în considerare criteriile prevăzute proiectul ghidului de certificare pentru a-și evalua gradul de conformitate și pentru a adopta o atitudine proactivă de a se pregăti pentru procesul de certificare.
  2. Criteriile de acreditare, pentru organismele de certificare, care trebuie îndeplinite de o organizație care dorește să acționeze în calitate de organism de certificare.

Într-un final, pentru a răspunde întrebării din titlul acestui articol, în umbra celor de mai sus, vă mărturisim că nu ne așteptăm ca în viitorul apropiat să avem plăcuta surpriză de a avea posibilitatea să obținem certificarea GDPR. Cu toate acestea, considerăm că obținerea unei certificări GDPR va fi de mare interes atât pentru operatori cât și pentru împuterniciții, ceea ce se va traduce într-o mai mare grija în ceea ce privește protecția datelor, fapt ce nu poate decât să fie benefic pentru toată lumea.

Nu știm cu exactitate când vor începe aceste certificări în România, având totodată încredere ca autoritatea națională a început deja discuțiile cu factorii interesați pentru a debloca demersurile în vederea dezvoltării schemei de acreditare.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

O nouă apariție editorială: „SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA”

ANSPDCP

Vizualizari: 269422

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Vă invităm marți, 12 Aprilie 2022, de la ora 17, să participați ONLINE la lansarea cărții "SECURITATEA REȚELELOR ȘI A SISTEMELOR INFORMATICE. IMPLEMENTAREA DIRECTIVEI NIS ÎN ROMÂNIA" a autorilor Marius Dumitrescu și Daniela Simionovici.

Acest proiect editorial apărut în colecția Științe Juridice la Editura Universitară, unic pe piața din România, se adresează operatorilor de servicii esenţiale, furnizorilor de servicii digitale şi responsabililor cu implementarea NIS la nivelul entităţilor vizate de prevederile Directivei NIS (energie, transport, sectorul bancar, domeniul medical, infrastructuri ale pieței financiare, infrastructură digitală, furnizarea și distribuirea de apă potabilă, piețe online, motoare de căutare online și servicii de cloud computing).

Scopul acestei cărți este de a-i ajuta pe cei vizaţi nu doar să implementeze prevederile Directivei, ci să înţeleagă importanţa acesteia şi, mai ales, faptul că serviciile esenţiale pe care le furnizează au nevoie de o protecţie deosebită nu pentru faptul că nerespectarea Directivei ar atrage după sine amenzi, ci pentru faptul că orice perturbare în furnizarea serviciilor esenţiale se poate traduce în disfuncţionalităţi grave la nivel comunitar şi chiar societal.

Participanții la evenimentul de lansare vor primi un discount de 10% pentru achiziția cărții. Preț întreg: 150lei / Preț special de lansare: 135lei  Transportul prin curier se calculează suplimentar.

Puteți plasa chiar acum o precomandă și veți primi cartea imediat după lansare. 

RĂSFOIEȘTE CUPRINSUL CĂRȚII | DESPRE AUTORI | CUVÂNT ÎNAINTE | INTRODUCERE

Titlu: Securitatea reţelelor şi a sistemelor informatice. Implementarea directivei NIS în România

  • ISBN: 978-606-28-1430-4
  • FormatTipărit  
  • Pagini: 452
  • Autori: Marius DUMITRESCU, Daniela SIMIONOVICI
  • Publicat de: Editura Universitară, Colecţia Ştiinte juridice
  • Data aparitiei: 2022

TRANSMISIUNE LIVE - LANSARE

Lansarea acestui proiect editorial se va face online, marți 12 aprilie 2022 începând cu ora 17:00, printr-o transmisiune LIVE pe Facebook, Linkedin, Youtube, Conferinte.ro si dpo-net.ro  la care vor lua parte mai mulți invitați speciali.

 

DESPRE ACEST PROIECT EDITORIAL

DAN CÎMPEAN - Director General al Directoratului Naţional de Securitate Cibernetică - DNSC"La mai mult de patru ani de la intrarea în vigoare a Directivei UE nr. 2016/1148 (Directiva NIS) şi la peste trei ani de la transpunerea acesteia prin Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, România a făcut progrese tangibile în procesul de implementare.

Însă, succesul implementării nu depinde doar de noile reglementări legislative ci şi de abilitatea efectivă a operatorilor de servicii esenţiale, a furnizorilor de servicii digitale şi a responsabililor cu implementarea NIS la nivelul entităţilor vizate de a înţelege, interpreta şi a aplica prevederile legale, normele tehnice şi metodologice aferente. Mai mult, este important ca specialiştii să poată aprecia corect şi implicaţiile aplicării acestor prevederi, prin prisma altor acte normative relevante.

Pentru aceasta, este nevoie de o analiză aprofundată, de obţinerea unor noi competenţe şi cunoştinţe specifice privind modalitatea de implementare a Directivei NIS în România şi de o schimbare culturală profundă din partea fiecăruia. Practic, este nevoie să studiem din nou, să avem acces la studii de caz detaliate şi la cunoştinţele aprofundate ale unor experţi recunoscuţi în domeniu.

Scrisă sub forma unui ghid detaliat şi pragmatic, acest superb material de implementare a Directivei NIS elaborează pe cuprinsul a sute de pagini foarte bine scrise experienţa concretă în domeniu a celor doi autori.

Într-o formă clară şi foarte bine prezentată, lucrarea pune la dispoziţie o varietate de explicaţii, îndrumări, recomandări, dar şi materiale de suport fiind una din publicaţiile extrem de necesare azi tuturor celor implicaţi în implementarea Directivei NIS.

Sunt surprins în mod plăcut de nivelul tehnic, pragmatismul ideilor şi recomandărilor exprimate în materialul publicat. Materialul ne explică în detaliu şi cu exemple practice elemente cheie ale responsabilităţilor ce revin operatorilor de servicii esenţiale şi furnizorilor de servicii digitale, dar şi detalii privind etapele implementării Legii nr. 362/2018 de către aceştia sau măsurile tehnice şi organizatorice de securitate ce trebuie aplicate. Efectiv, fiecare capitol ne oferă posibilitatea de a aplica şi implementa în practică prevederile directivei.

Mai mult, lucrarea acoperă şi o serie de elemente privind Directiva NIS 2.0, cu obiectivul de a anticipa şi pregăti cititorul pentru noile obligaţii ce derivă din evoluţia naturală a directivei.

Consider că ”Securitatea reţelelor şi a sistemelor informatice - Implementarea Directivei NIS în România” este unul din instrumentele esenţiale pentru specialiştii în domeniu, pe care îl recomand cu căldură a fi utilizat începând chiar de azi."

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

O persoană fizică din România a primit o amendă GDPR

ANSPDCP

Vizualizari: 79731

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Faptul că o persoană fizică a primit o amendă pentru încălcarea Regulamentului 679/2016 (GDPR) nu ar trebui să mai surprindă pe nimeni, mai ales că nu e prima dată, nici în România, nici în Europa. Da! persoanele fizice pot fi operatori de date cu caracter personal, atâta timp cât aceste date nu sunt prelucrate în scop domestic.

Ultima amendă în cuantum total de 974.89 (echivalentul sumei de 200 EURO) aplicată de Autoritatea Națională de Supraveghere unei persoane fizice, în calitate de operator, a fost pentru încălcarea dispozițiilor art. 5 alin.(1) lit. a) și b) și alin.(2), raportat la art. 6 alin.(1), precum și a dispozițiilor art. 13 alin.(1)-(3) și art. 32 alin.(2). 

Investigația a fost demarată ca urmare a primirii mai multor sesizări prin care s-a reclamat faptul că prin intermediul site-ului https://declaratieppr.ro, prin completarea unui formular care genera o declarație pe propria răspundere necesară părăsirii locuinței pe perioada stării de urgență se prelucrau anumite date cu caracter personal, respectiv nume, prenume, prenume părinți, domiciliu, cod numeric personal, seria și numărul actului de  identitate, adresa locuinței în fapt, locul deplasării, scopul deplasării și semnătura. În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul nu a prezentat dovezi din care să rezulte că a prelucrat în mod legal datele cu caracter personal, colectate și stocate pe site-ul https://declaratieppr.ro. Totodată, s-a constatat că nu a prezentat dovezi din care să rezulte că a asigurat informarea persoanelor vizate în legătură cu prelucrarea datelor lor personale, colectate pe același site. De asemenea, operatorul (persoana fizica) nu a luat măsuri de securitate adecvate pentru a se asigura că fișierul ce conținea date personale ale persoanelor vizate nu este supus unor riscuri de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

La începutul lunii martie 2021 citeam despre una din cele mai interesante amenzi ale Autoritatii de Supraveghere din 2021 care a fost aplicata unei persoane fizice, ce deținea, în același timp, funcția de Secretar General în cadrul unei filiale de sector din Municipiul București a unui partid politic care a  încălcat dispozițiilor art. 32 alin. (1) și (2) și a prevederilor art. 58 alin. (1) lit. a) și e) din Regulamentul General privind Protecția DatelorPersoana fizică, în calitate de operator, a fost sancționată contravențional cu amendă în cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO).

Investigația a fost demarată ca urmare a primirii unei sesizări prin care s-a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice ce deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost publicată o listă cuprinzând 10 poziții cu persoane semnatare/susținători pentru alegerea Consiliului General și a Primarului Municipiului București, în cadrul căreia datele cu caracter personal ale acestora sunt accesibile, fiind dezvăluite numele și prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate, opțiunea politică a persoanelor semnatare/susținătorilor.

În cursul desfășurării investigației Autoritatea Națională de Supraveghere a constatat că operatorul, contrar obligațiilor stabilite de art. 32 din RGPD, nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării pentru drepturile și libertățile persoanelor fizice, ceea ce a condus la divulgarea către publicul larg și la accesul neautorizat la datele cu caracter personal ale unui număr de 10 persoane fizice vizate, susținători ai unui candidat la alegerile locale din septembrie 2020, deși potrivit art. 5 lit. f) din RGPD, avea obligația de a respecta principiul ,,integritate și confidențialitate”.

Așadar, operatorul a fost sancționat contravențional pentru încălcarea dispozițiilor art. 32 RGPD referitoare la securitatea prelucrărilor. Totodată, operatorul a fost sancționat contravențional și pentru fapta prevăzută de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e) și coroborat cu art. 8 din O.G. nr. 2/2001 întrucât nu a răspuns solicitărilor Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. Autoritatea a aplicat operatorului și măsura corectivă de ștergere a datelor dezvăluite prin postarea pe pagina personală de pe o rețea de socializare a listei cu persoane semnatare/susținătoare pentru alegerea Consiliului General și a Primarului Municipiului București.

Tot în România, Olarian Augustin, deținătorul domeniului olarian.ro, este prima persoană sancționată pentru nerespectarea GDPR, a cărei identitate a fost făcută publică de către autoritate.

Oralian.ro este un site care oferă servicii de optimizare a site-urilor construite pe platforma wordpress și care a transmis mesaje comerciale fără a se baza pe consimțământul destinatarilor, încălcând astfel prevederile art. 6 și 7 din GDPR. În urma investigației, Autoritatea a decis impunerea unei sancțiuni contravenționale, constând într-un avertisment însoțit de o serie de măsuri corective. Una dintre măsurile corective impuse operatorului Olarian Augustin a fost „să nu mai prelucreze datele personale fără consimțământul persoanelor vizate în conformitate cu art. 6 și 7 din RGPD, inclusiv în cazul transmiterii de mesaje comerciale prin mijloace de comunicare electronică”. Autoritatea a recomandat în acest caz utilizarea metodei „dublu opt-in” pentru colectarea adreselor de e-mail.

Când pot fi aplicate amenzi GDPR persoanelor fizice?

De când a apărut acest nou Regulament (26 aprilie 2016) noi toți cei care avem cel puțin un angajat sau desfășurăm o activitate profesională care implică prelucrarea datelor cu caracter personal, ne numim OPERATORI. Pentru acest motiv s-a renuntat și la înscrierea în registrul național al procesatorilor de date, pentru că implicit toți cei care prelucrăm date trebuie să respectăm Regulamentul și devine inutilă o măsură de înregistrare. Definiția oficială din Regulament, este următoarea: un operator este o persoană fizică sau juridicăautoritate publicăagenție sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Drept urmare, dacă persoana fizică poate fi operator, atunci PERSOANA FIZICĂ POATE FI AMENDATĂ și de fapt s-a și întamplat deja. 

Nu calitatea de persoană fizică sau juridică dictează posibilitatea de a primi amenzi, ci scopul prelucrării acestor date (domestic vs. profesional), sau mai bine zis, modul în care respectăm principiile și obligațiile introduse de Regulamentul 679/2016.

Dacă încă vă întrebați ce înseamnă "prelucrare de date cu caracter personal", ei bine, ORICE OPERAȚIUNE, sau set de operațiuni, efectuate asupra datelor cu caracter personal sau asupra seturilor de date, cu sau fără utilizarea mijlocelor automatizate este o prelucrare de date. De remarcat că definiția începe cu "ORICE", astfel că nu există o listă limitativă de activități care se încadrează. Practic, dacă colectăm, înregistrăm, organizăm, structurăm, stocăm, adaptăm sau modificăm, extragem, consultăm, utilizăm, aliniem sau combinăm, divulgăm prin transmitere, diseminăm sau punem la dispoziție prin orice alt mod, restricționăm sau ștergem sau distrugem (și lista nu se oprește aici ...) înseamnă că prelucrăm date.

În cuprinsul Regulamentului sunt prevazute expres și limitativ cazurile în care nu se aplică prevederile Regulamentului și printre aceste excepții se află și activitățile de prelucrare realizate de către o persoană fizică în cadrul unei activitati exclusiv personale sau domestice. Spus altfel, dacă eu prelucrez acasă și nu obțin beneficii ( financiare, de imagine etc), înseamnă că mă încadrez în această situație. Dar trebuie să mă raportez la toată legislația existentă, nu doar la GDPR!

Să vă dau și un exemplu: Angajatul X pleacă de la firmă prin încetarea contractului de muncă și ia cu el (intenționat sau nu) o bază de date cu clienții. Dacă stochează și păstrează acestă listă pentru el (făcând abstracție că a comis o ilegalitate și a încălcat regulamentul intern de funcționare și procedurile de securitate), din punct de vedere GDPR se îndrează în categoria exceptată și nu a încălcat nici o prevedere GDPR. Dar, dacă vinde această bază de date sau o trasferă către o altă persoană, în schimbul unor beneficii, chiar și de imagine, s-a transformat automat în OPERATOR, deoarece tocmai "a stabilit scopurile și mijloacele de prelucrare a datelor cu caracter personal".

Un al doilea exemplu: eu ca persoană fizică îmi fac un grup pe Facebook destinat pasionaților de călătorii și reușesc să strâng câteva sute de persoane. Sunt operator de date sau nu ? Conform Curții de Jusție a Uniunii Europene, prin Hotărârea în cauza C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/ Wirtschaftsakademie Schleswig-Holstein GmbH, s-a constatat că un administrator de grup trebuie considerat ca fiind operator, în cadrul Uniunii, împreună cu Facebook Ireland, în ceea ce privește prelucrarea datelor membrilor acelui grup. "Un administrator de grup participă, prin acţiunea sa de stabilire a unor parametri (în funcţie, printre altele, de audienţa sa ţintă, precum şi de obiective de gestionare sau de promovare a propriilor activităţi), la stabilirea scopurilor şi a mijloacelor de prelucrare a datelor personale ale vizitatorilor paginii sale pentru fani. În special, Curtea arată în această privință că administratorul paginii pentru fani poate solicita obţinerea (sub formă anonimizată) – și deci prelucrarea – de date demografice privind audienţa sa ţintă (în special tendinţe în materie de vârstă, de sex, de situaţia amoroasă și de profesie), de informaţii privind stilul de viaţă şi centrele de interes ale audienţei sale ţintă (inclusiv informaţii privind cumpărăturile şi comportamentul de cumpărare online ale vizitatorilor paginii sale precum și privind categoriile de produse sau de servicii care îi interesează cel mai mult) și de date geografice care permit administratorului paginii pentru fani să ştie unde să efectueze promoţii speciale sau să organizeze evenimente şi, în manieră mai generală, să îşi direcţioneze mai bine oferta de informaţii."

Potrivit Curții Europene de Justitie, faptul că un administrator al unei pagini pentru fani utilizează platforma instituită de Facebook, pentru a beneficia de serviciile aferente acesteia, nu îl poate exonera de respectarea obligațiilor sale în materie de protecție a datelor cu caracter personal. Curtea subliniază că recunoaşterea unei răspunderi solidare a operatorului reţelei sociale şi a administratorului unei pagini pentru fani găzduite pe această reţea în raport cu prelucrarea datelor personale ale vizitatorilor acestei pagini pentru fani contribuie la asigurarea unei protecţii mai complete a drepturilor de care dispun persoanele care vizitează o pagină pentru fani.

Un ultim exemplu: a fost amplasată în România o cameră de luat vederi într-un bloc, de către o persoană fizică care nu este nici administrator al clădirii, nici reprezentant al asociației de proprietari. Această persoană nu deține acordul celorlalți proprietari și nici temei legal pentru procesarea și stocarea acestor date. Imaginile de pe camere video surprind atât locatarii blocului, cât și persoane străine ce intra sau ies din clădire pe durata unei zile, inclusiv reprezentanți și angajați ai unor firme cu sediu în bloc. O persoana filmată ilegal în mod repetat, reprezentant al unei societăți comerciale, a sesizat ANSPDCP, și se pare că a primit următorul răspuns: „Potrivit art. 2 alin. (2) lit. c) din RGPD, acest act normativ nu se aplică prelucrărilor de date cu caracter personal efectuate de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice”.

Opinia ANSPDCP, raportată la prevederile Regulamentului UE 679/2016, consider că este corectă, dar cazul de față trebuie analizat și din prisma legislației amintite și a jurisprudenței europene. Voi solicita ANSPDCP un punct de vedere față de modul în care declarația oficială a fost publicată într-un mod cred tendențios și decontextualizat afirmându-se că "printr-o hotărâre recentă, ANSDCP arată că GDPR nu se aplică persoanelor fizice care procesează date în scop personal sau domestic, chiar dacă prelucrarea în sine are loc fără acordul persoanei vizate și fără temei legal. "

Revenind la analiza acestui caz, persoana fizică desfașoară o activitate domestică și se încadrează în excepția de aplicabilitate conform art. 2 alin. c . Totuși, acest exemplu dat cu filmarea privată trebuie analizat nu doar din prisma GDPR (activitatea domestică fiind exceptată), ci mai degrabă raportandu-ne la Legea privind asocițiile de locatari și Legea privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor pentru a analiza ce înseamna filmarea în spațiul public de către o persoană fizică fără aprobare și fără o notificare prealabilă.

Dacă persoana fizica poate dovedi că prelucrarea de date este necesară, scopul fiind securitatea bunurilor și protecția persoanelor, ne putem gândi că legalitatea prelucrării este dovedită de acest interes legitim, cu condiția bineînțeles să fie respectate principiile transparenței și a stocării limitate. Recomandarea generală în astfel de situații este ca să fie obținut acordul asociației de proprietari și condiționată de afișarea unui anunț că zona este monitorizată video, cu menționarea scopului, și că imaginile nu sunt păstrate mai mult de 30 de zile.

Jurisprudența europeană în domeniul protecției datelor vine și susține afirmația inițială că persoanele fizice pot fi amendate, dovadă fiind cele doua amenzi acordate deja de Autoritățile de Supraveghere din Belgia și din Austria:

  • Am scris într-un articol anterior despre un primar al unui oraș belgian a trimis un e-mail conținând propagandă electorală către 2 (doi) locuitori ai orașului său. Cei doi reclamanți au intrat în contact cu primarul municipalității, comunicând prin e-mail, în vederea derulării unui proiect urban. Cu o zi înainte de alegerile locale din 14 octombrie 2018, primarul a folosit apoi funcția "reply" a e-mail-ului pentru a trimite un mesaj electoral reclamanților. În urma audierii părților, Camera de litigii a autorității belgiene a constatat utilizarea abuzivă a datelor cu caracter personal în scop electoral, impunând o sancțiune financiara de 2000 de euro și o mustrare primarului. (Data: 28.05.2019
    Baza legala:Art. 5 (1) b) GDPR, art. 6 GDPR)
  • În Austria a fost aplicată amenda de 2200 euro împotriva unei persoane private care a folosit într-un mod ilegal supravegherea video a parcărilor, trotuarelor, grădini și zonei de acces la complexul rezidențial în care locuia și în plus, supravegherea video acoperea și zonele de grădină ale unei proprietăți adiacente. În acest caz, supravegherea video nu a fost proporțională cu scopul și nu s-a limitat la ceea ce este strict necesar și nu a fost isemnalizată corespunzător. (Data: 20.12.2018, Baza legala: Art. 5 (1) a) și c GDPR, art. 6 (1) GDPR, art. 13 GDPR)

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Telekom Romania primeste a cincea amendă GDPR

A cincea amendă GDPR a fost inclusă în „palmaresul” Telekom România. Singura noutate este că, față de cele patru amenzi anterioare, Autoritatea Națională de Supraveghere a constatat, de […]

O cerere de demisie pe WhatsApp te costă 2000 euro

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul World Class România S.A., constatând încălcarea dispozițiilor art. 32  din Regulamentul General privind Protecția Datelor și aplicând o amendă […]

Fiecare practician GDPR trebuie să aibă această carte

In domeniul protecției datelor în România, anul 2021 a debutat cu relansarea pe piață a carții „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016” ( Editia 1, […]

Peste 120.000 lei, amenzi aplicate de ANSPDCP in 2021

Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal a comunicat anul acesta aplicarea a nu mai putin de 7 amenzi totalizand 122503.70 lei, atat pentru incalcarea […]

Cum arată emailul de 1000 de euro? O noua amendă GDPR în România.

Autoritatea Națională de Supraveghere a demarat o investigație în urma primirii unor plângeri prin care s-a reclamat faptul că operatorul Qualitance QBS SA a transmis prin e-mail o informare […]

O treime din amenzile GDPR din Europa, pentru colaborarea insuficientă cu Autoritatea, au fost aplicate în România

O nouă amendă pentru colaborarea insuficientă cu Autoritatea de Supraveghere  tocmai a fost aplicată în România.  Operatorul C&V Water Control S.A. a primit o amendă în cuantum de […]

ANSPDCP a sancționat contravențional Direcția Generală de Poliție Locală Sector 4 București

Autoritatea Națională de Supraveghere a finalizat în data de 11.12.2020 o investigație la UAT Sector 4 Municipiul București, reprezentata prin Primar, pentru Direcția Generală de Poliție Locală Sector 4  și a […]

Moș Crăciun a adus Băncii Transilvania o amendă GDPR de 100,000 Euro.

După Raiffeisen Bank SA (amendă 150,000 euro) și Unicredit Bank SA (amendă 130,000 euro) a venit și rândul Băncii Transilvania SA să primească o amendă GDPR din partea […]

CJUE confirmă poziția ANSPDCP în litigiul cu ORANGE România privind ilegalitatea stocării actelor de identitate

În litigiul aflat pe rolul instanțelor românești, având ca părți Orange România SA și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), Curtea de Justiție […]

Radiografia amenzilor ANSPDCP aplicate în Octombrie 2020

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat pe tot parcursul lunii octombrie 2020 aplicarea a patru amenzi, totalizând 10,000 euro. Ce mi-a […]

Pentru o asociație de proprietari, ignorarea măsurilor corective a atras amenda GDPR de 2000 EUR

Autoritatea Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație la Asociația de proprietari Militari R, comuna Chiajna, județul Ilfov, în cadrul căreia a constatat […]

ANSPDCP a publicat Raportul de activitate aferent anului 2019

Raportul de activitate al ANSPDCP aferent anului 2019 a fost postat in data de 28 Septembrie 2020 pe site-ul instituției și conține o prezentare sintetică a activităților Autorității, […]

ASCPD a transmis 20 de propuneri către ANSPDCP privind acreditarea organismelor de certificare GDPR în România

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) România, în urma unei consultări cu toți membrii, a transmis către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter […]

EDPB formează grupuri de lucru Schrems II și adoptă ghiduri cu privire la operatori și imputerniciți și la targetarea utilizatorilor de social media

Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii […]

Două avertismente și o amendă GDPR pentru o Asociație de Proprietari

Autoritatea Națională de Supraveghere a finalizat o investigație la Asociația de proprietari Bl. FC 5, orașul Năvodari, județul Constanța, în cadrul căreia a constatat încălcarea anumitor dispoziții din […]

Recomandările ANSPDCP privind prelucrarea datelor în campania electorală

În contextul alegerilor pentru autoritățile administrației publice locale din luna septembrie 2020, Autoritatea Națională de Supraveghere recomandă tuturor entităților implicate în acest proces să acorde o atenție sporită […]

Viva Credit IFN S.A a primit o amendă GDPR de 2000 euro

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția […]

Compania Națională Poșta Română a fost amendată cu 2000 euro

În data de 15.07.2020 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Compania Națională Poșta Română și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind […]

TAROM SA a fost amendată cu 5.000 Euro pentru divulgare neautorizată a datelor personale

Autoritatea Națională de Supraveghere a finalizat în data de 06.07.2020 o investigație la operatorul  SC CNTAR TAROM SA, ca urmare a transmiterii de către operator a unei notificări privind […]

Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

„Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

gazduire wordpress gazduire magazin online gazduire web wordpress gazduire domeniu gazduire site gazduire web web hosting gazduire web romania hosting romania domenii web inregistrare domenii server vps servere vps gazduire vps reseller gazduire web