Curtea de Justiție a hotărât: amprentarea angajatilor contravine GDPR-ului

Editorial

Vizualizari: 2707

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Decizia Curții de Justiție din Amsterdam din 12 august 2019 pune pe jar mulți dintre angajatori. Control accesul angajatilor sau sistemele de autorizare care utilizează cititoare biometrice sunt, în cele mai multe cazuri, ilegale, conform considerentelor Curții de Justiție din Amsterdam.

Angajatorii nu poat forța personalul să-și ofere datele biometrice (amprenta)

Un angajat al lanțului de magazine de încălțăminte Manfield Schoenen BV, împreună cu compania, au solicitat instanței lămurirea unei situații ce implică prelucrarea de date biometrice, pe care angajatul a refuzat-o, considerând că îi încalcă dreptul la confidentialitate.

Manfield are case de marcat în magazinele sale care funcționează pe baza unei scanări a amprentelor. Angajații magazinului de încălțăminte pot deschide casa de marcat numai dacă se autentifică prin scanarea amprentei.

Retailerul a susținut că sistemul de scanare a amprentelor este necesar pentru a proteja interesele companiei prin securizarea sistemul de înregistrare a caselor împotriva accesării frauduloase externe sau chiar a propriilor angajați. Anterior, Manfield a folosit un sistem de înregistrare a caselor în care personalul a trebuit să se conecteze cu un cod, dar acesta nu a fost suficient pentru a bloca accesarea frauduloasă a caselor de marcat.

Judecătorul a considerat că aceste argumente sunt insuficiente pentru a se justifica acest tip de prelucrare de date personale, opinând că o soluție mai puțin intruzivă ar fi fost utilizarea unui sistem cu autentificare prin 2 factori, un cod numeric și o cartelă (permis de acces).

Instanța subliniază că echilibrul de putere dintre angajat și angajator poate duce la situația în care personalul nu își dă consimțământul în întregime în mod voluntar

Concluzia Curții de Justiție din Amsterdam, în cazul analizat, a fost că angajații nu pot fi constrânși să-și ofere amprenta pentru a avea acces la sistemele companiei.

Exista totuși situații în care datele biometrice ale angajatilor pot fi prelucrate pentru controlul accesului acestora

Curtea a subliniat că, în unele cazuri, este permis pentru o companie să proceseze amprentele angajaților, dar utilizarea acestora trebuie să fie necesară și proporțională.

Decizia de implementare a unui sistem de control acces sau pentru asigurarea securității trebuie luată numai în urma efectuării unei evaluări a impactului asupra protecției datelor cu caracter personal.

Conform Curții, un astfel de sistem s-ar justifica în cazuri în care accesul este foarte restricționat, ca de exemplu o centrală nucleară. Un alt exemplu de activitate unde un astfel de sistem s-ar justifica este securizarea sistemelor de informații care conțin ele însele o mulțime de date cu caracter personal și unde trebuie împiedicat accesul neautorizat sau limitarea accesului angajatilor.

Cu alte cuvinte, dacă prelucrați cantități mari de date, un sistem de control acces prin amprentare ar putea fi utilizat pentru a securiza și limita accesul la camera serverelor.

Vrei să implementezi un sistem de control acces biometric?

Cristina Călin (Mătasă), Data protection specialist @ DPOConsulting, ne-a explicat care sunt pașii pe care trebuie să îi urmăm atunci analizam oportunitatea instalarii unui sistem de control acces biometric, pe care îi detaliem în continuare.

În primul rand trebuie să conștientizăm că sistemele de pontaj, control acces sau autorizare care utilizează cititoare ale amprentelor digitala reprezinta o monitorizare de date biometrice.

Conform art. 3 al Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, prelucrarea datelor biometrice „este permisă cu consimțământul explicit al persoanei vizate sau dacă prelucrarea este efectuată în temeiul unor dispoziții legale exprese, cu instituirea unor măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate”.

În același timp, având în vedere dezechilibrul de putere în relația angajat-angajator, se recomandă evitarea prelucrării datelor angajatilor în baza consimtamantului, astfel că singura situație în care putem considera prelucrarea amprentelor angajaților este atunci cand prelucrarea este efectuată în temeiul unor dispoziții legale exprese.

Am putea fi tentați să ne prevalăm de Art. 119 din Codul Muncii (evidenta timpului de munca) pentru a justifica legalitatea prelucrării, însă, așa cum am văzut și în Decizia Curții de Justiție din Amsterdam, acest lucru nu este posibil atâta timp cât există alte soluții mai puțin intruzive în viața privată a angajaților, cum ar fi cartele de acces eventual coroborate cu un cod PIN.

Există câteva cazuri similare și în jurisprudența națională, pe vechea lege ce-i drept, însă nu ar trebui sa le ignorăm în special prin prisma faptului că GDPR-ul a reglementat în mod expres datele biometrice, incluzându-le în categoriile de date cu caracter special limitând drastic condițiile în care aceste date pot fi prelucrate, ceea ce nu se întâmpla și în  legislația precedenta (legea 677/2001). Cu alte cuvinte, dacă prelucrarea datelor biometrice în vederea realizarii control accesului angajaților excedea limitele legilației aplicabile anterioare GDPR-ului, cu sigurantă acea prelucrare si-a păstrat caracterul ilicit și în prezent.

Astfel, în 2015 Primăria municipiului Timişoara a fost sancționată pentru prelucrarea excesivă a datelor  biometrice faţă de scopul prelucrării (pontarea timpului de lucru al angajaţilor), în condiţiile în care puteau fi utilizate şi alte mijloace pentru atingerea acestui scop, mai puţin intruzive. Decizia autorității a fost confirmată și de instanțele judecătoreşti în sensul că „prelucrarea datelor personale (amprente) angajaților nu se poate realiza decât pe baza unei analize temeinice privind necesitatea şi proporţionalitatea unor astfel de măsuri, iar angajatorul trebuie să identifice soluţii alternative care să aibă un impact mai redus asupra vieţii private a salariaţilor”.

În acest caz, autoritatea a citat și jurisprudenţa Curţii Europene a Drepturilor Omului referitoare la art. 8 din Convenţia pentru apărarea drepturilor omului şi libertăţilor fundamentale (dreptul la respectarea vieții private și de familie) instanța europeană a statuat faptul că protecţia oferită de acest articol ar fi diminuată în mod inacceptabil dacă folosirea de tehnici ştiinţifice moderne ar fi permisă cu orice preţ şi fără realizarea unui echilibru între beneficiile folosirii extensive a acestor tehnici şi interesele importante legate de viaţa privată (Cauza S. şi M. Marper contra Regatului Unit).

Mai mult, în urma mai multor investigații pe această temă, autoritatea a emis un comunicat prin care atragea atenția că „generalizarea utilizării amprentei în scopul efectuării pontajului și instalarea de camere de supraveghere video în birourile angajaților pot creşte riscul încălcării drepturilor şi libertăţilor persoanei vizate în raport de interesul operatorului care ar putea fi lezat, astfel că o asemenea prelucrare este excesivă raportată la scopul propus”.

Dacă ne aflăm în situația unor dispoziții legale exprese, sunt cativa pași esențiali de urmat

  1. Primul pas: analiza interesului legitim (LIA)

Recomand analiză a interesului legitim să ia în considerare cel puțin următoarele răspunsuri:

TESTUL DE NECESITATE (întrebare/răspuns)

  • Această prelucrare ne ajută la atingerea scopului (interesului angajatorului)?
  • Este aceasta o metodă rezonabilă pentru a atinge interesul?
  • Există o metodă mai puțin intruzivă pentru a atinge acest rezultat?
  • Care este natura relației cu persoana vizată?
  • Datele colectate sunt sensibile sau private?
  • Persoanele vizate se așteaptă, în mod rezonabil, să le fie permis accesul în spații în acest mod?
  • Există posibilitatea ca persoanele vizate (angajații) să se opună sau să considere prelucrarea intruzivă și să nu-și exprime consimțământul?
  • Ce consecințe (juridice, economice, contractuale) ar putea să aibă neacordarea consimțământului?

TESTUL DE ANALIZĂ A INTERESULUI LEGITIM  (întrebare/răspuns)

  • Cine beneficiază de pe urma prelucrării? În ce manieră? Care sunt beneficiile ambelor părți?
  • Există interese legislative cu privire la prelucrare?
  • Cât de importante sunt aceste beneficii?
  • Care ar fi impactul dacă nu am face această prelucrare?
  • Datele colectate sunt folosite într-o manieră etică și legală?

Menționez că singurul template pentru analiza interesului legitim a fost redactat de ICO (autoritatea de supraveghere a Marii Britanii). Conform ICO, acest șablon pentru evaluarea intereselor legitime (LIA) a fost conceput pentru a vă ajuta să decideți dacă este posibil să se aplice sau nu baza de interese legitime pentru prelucrările tale. Poți descărca acest template de pe dpo-NET.ro > Resurse utile > Modele Formulare sau click aici.

Dacă simțiți că template-ul celor de la ICO nu răspunde necesităților voastre, puteți studia Opinia Grupul de lucru pentru protecția datelor instituit în temeiul articolului 29 (WP29) privind noțiunea de interes legitim, adoptată în 2014 dar care încă poate fi extrem de utilă.

  1. Al doilea pas: efectuarea unei evaluări a impactului asupra prelucrărilor (DPIA)

Evaluarea impactului asupra protecţiei datelor (vezi art. 35 din GDPR), este necesară ori de câte ori prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor fizice, în special atunci când vorbim de implementarea unor tehnologii noi.

Mai mult, potrivit Deciziei nr. 174/31 octombrie 2018 a ANSPDCP – efectuarea unei analize de impact este obligatorie, printre altele, în cazul prelucrării datelor biometrice pentru identificarea unică a persoanelor.

Resurse utile pentru realizarea unei DPIA:

Recomand ca atunci când rezultatele evaluării impactului nu sunt concludente sau convingătoare, să cereți opinia Autorității naționale de supraveghere pentru a fi siguri ca ați luat toate măsurile adecvate pentru protejarea drepturilor, libertăților și intereselor legitime ale angajaților.

  1. Al treilea pas: informarea angajaților

Angajații ale căror amprente le prelucrați trebuie informați în mod adecvat cu privire la operațiunea de prelucrare (cel puțin conform art. 13 din Regulament). Este esențial pentru îndeplinirea acestei condiții ca informarea să fie efectuată în scris de către angajații iau la cunoștință prin semnătură expresă. Este absolut necesar ca aceasta prelucrare să fie detaliata in regulamentul de ordine interioara sau în contractul colectiv de munca, prin instituirea de reguli concrete pentru fiecare tip de activitate vizată (fiecare departament, secție, etc) dar și prin prezentarea măsurilor corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale angajaților vizați.

Înainte de a lua în calcul beneficiile trebuie să conștientizăm riscurile

Sistemele care permit angajatorilor să controleze cine poate intra în sediile lor și/sau în anumite zone din sediile lor, cu toate că sunt folosite pe scară din ce în ce mai largă datorită dezvoltării tehnologice, a beneficiilor angajatilor si a costurilor tot mai accesibile însă acestea vin la pachet cu riscuri asupra drepturilor și libertăților angajaților.

De curand publicația germană spiegel.de anunța că milioane de informații sensibile, inclusiv informații personale detaliate ale angajaților corporatiști, nume de utilizator, parole necriptate și date biometrice au fost disponibile online în urma unei scurgeri masive de date pe platforma Biostar 2, aparținând companiei coreene Suprema, care gestioneaza accesul în zone special securizate ale cladirilor clienților săi..

„Efectele sunt destul de dramatice: sistemul de control acces al companiei este implementat în mii de locații, iar scurgerea de date a permis oricui să schimbe setările, să adauge noi utilizatori sau să restricționeze accesul la anumite zone”, a explicat expertul în securitate cibernetică, Noam Rotem, pentru spiegel.de.

Astfel observăm că riscurile nu trebuie privite doar din punctul de vedere al persoanelor vizate ci și al operatorilor, care se expun astfel unor riscuri care, de multe ori, le-am putea considera a fi excesive, inutile.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

15 recomandări GDPR pentru managerul de spital

Editorial

Vizualizari: 9128

Facebooktwittergoogle_plusredditpinterestlinkedinmail

“Mie nu mie se poate intampla, am băieți tineri și destepti la IT”  este argumentul unui manager de spital pentru a justifica lipsa de interes, resurse și timp pentru a implementa procedurile și principiile specifice Regulamentului UE 679/2016. Din pacate, in sistemul sanitar romanesc, gradul de implementarea a principiilor GDPR nu este unul ridicat, cei mai multi avand o preocupare doar dupa data de 25 mai 2018 de cand este aplicabil Regulamentul 679/2016.Chiar si aceasta preocupare este de multe ori una superficiala, de exemplu numirea unui DPO s-a facut in multe spitale din Romania in aprilie 2019, datorita unui formular de autoevaluare impus de ANMCS, fara a acorda atentie si celorlate obligatii. Sa nu uitam ca numirea unui DPO este obligatorie pentru autoritatile publice, organizatiile care monitorizeaza sistematic si prelucreaza si scara larga, si nu are nici o legatura cu numarul angajatilor sau domeniul de activitate.

Putem invata din greselile celorlalti si sa tinem cont de urmatoarele 15 recomandari pentru implementarea GDPR in spitalele si clinicile din Romania. 

Dar pentru inceput sa nu uitam ca in cadrul Uniunii Europene avem mai multe situatii in care s-au aplicat amenzi spitalelor si din fiecare caz in parte avem ceva de invatat:

  1. Spitalul Barreiro din Portugalia  a primit o amenda de 400.000 de euro pentru ca a acordat accesul la datele clinice ale pacienților prin sistemul lor cel puțin catre nouă persoane care sunt profesioniști non-medicali (asistenți sociali) si nu aveau nevoie de accesul la datele respective. Mai mult datele pacienților din spitalul Barreiro nu au fost separate în mod corespunzător de datele arhivate ale unui alt spital si mecanismele de autentificare a accesului au fost considerate insuficiente.
  2. Spitatului Haga din Olanda a primit o amenda de 450.000 de euro pentru ca o persoană foarte cunoscută în Olanda a fost pacienta a spitalului, prilej cu care zeci de angajați ai spitalului, mânați de o curiozitate mistuitoare, au studiat dosarul medical al pacientului, fără a avea un motiv real pentru a face asta.
  3. Un spital de stat din Cipru a fost sancționat cu 5.000 de euro pentru neacordarea accesului la dosarul sau medical unui pacient.
  4. Autoritatea de supraveghere austriacă a aplicat o amendă de 55000 euro unui operator care activează în sectorul medical. Pe parcursul investigației, autoritatea de supraveghere austriacă a descoperit ca operatorul nu a numit niciun Responsabil cu protecția a datelor (DPO), nici nu a publicat datele de contact ale acestuia și nici nu le-a raportat autorității de supraveghere, operatorul a obligat persoanele vizate să își dea consimțământul pentru o prelucrare a datelor, care nu îndeplinea criteriile prevăzute la art. 7 GDPR: Condiţii privind consimţământul, și-a încălcat datoria de a furniza informații în conformitate cu art. 13, 14 GDPR si în ciuda manipulării datelor sensibile, nicio evaluare a impactului protecției datelor, în conformitate cu art. 35 GDPR, a fost efectuat.

Cine este adevaratul "responsabil cu protecția datelor" ?

Chiar daca traducerea in limba romana a functiei Data Protection Officer (DPO) este Responsabil cu protectia datelor cu caracter personal ( COR 242231) aceste are ca atributii principale dezvoltarea si analiza politicilor referitoare la proiectarea, implementarea si modificarea operatiunilor si programelor guvernamentale si comerciale. Nu este reponsabil de aplicarea efectiva a masurilor, intreaga responsabilitate revenind managementului operatorului de date care trebuie sa aplica masuri si proceduri pornind de la recomandarile DPO-ului.

Acum ca am aflat ca responsabilul cu protectia datelor este managerul, va ofer  15 recomandari utile:

  1. Desemnati un DPO real, nu formal sau incompatibil - aceasta este doar una din obligatiilor operatorilor, mai sunt cel putin 6 obligatii legale si desemnarea DPO-ului nu va transforma automat intr-un operator de date compliant. Asadar, nu alegeti persoana care va este cel mai indemana si care nu o sa va dea prea multe batai de cap. Cautati o persoana in interiorul organizatiei sau externalizati catre o persoana sau firma din exterior. Daca totusi v-ati gandit la o persoana din interior, este bine sa va asigurati ca activitatea pe care o desfasoara nu o pozitioneaza intr-o situatie de incompatibilitate. De exemplu, managerul de IT poate identifica cu usurinta o bresa de securitate dar in acelasi timp poate sa o si ascunda pentru a masca de exemplu o greseala personala si intervine astfel un conflict intre functia de manager de IT si cea de DPO, intr-un final angajatul alegand varianta care nu ii va pune postul in pericol in defavoarea eticii profesionale. Conditiile pentru alegerea unei persoane pentru functia de DPO sunt clar definite in Regulament dar recomandarea mea este ca sa algeti in primul rand o persoana care cunoaste foarte bine activitatea Dumneavoastra, procedurile de lucru si are autoritate in fata angajatilor. Alegerea in mod formal a unei persoane fara a tine cont de aceste recomandari, nu va apropie de complianta GDPR.
  2. Eliminați “Consimțământul GDPR” al pacientului  pentru serviciile medicale - unul din principiile GDPR este de a prelucra date doar in regim de legalitate si exista 6 modalitati de a justifica aceasta legalitate: obligatia legala, interesul vital, obligatii contractuale, interes public, interes legitim si nu in ultimul rand consimtamantul persoanei vizate. In cazul domeniului medical, pentru activitatea specifica de acordare de ingrijiri medicale si tratament medicamentos putem justifica prin interes vital, obligatie legala si obligatii contractuale. Pentru aceste activitati specifice nu este nevoie sa apelam la consimtamant pentru a obtine legalitatea prelucrarii si chiar daca am face-o am putea ajunge ipotetic in situatii de blocaj. De exemplu, daca eu cer consimtamantul pacientului inainte de efectuarea unei consultatii si acesta refuza, eu sunt in imposibilitatea de a-mi mai desfasura activitatea. Exista si situatii in domeniul sanitar cand apelam la consimtamant, de exemplu pentru invatamantul medical sau activitatile de marketing.
  3. Anonimizarea rezultatelor concursurilor de ocupare de post - cea mai usoara metoda de a deveni automat compliant este de a asocia fiecarui candidat a unui cod numeric, de exemplu numarul de inregistrare de la comisia de concurs a dosarului de candidatura si in momentul publicarii rezultatelor sa fie afisate in relatie cu acest cod, fara a publica numele si prenumele.
  4. Reglementati printr-o procedura comunicarea informatiilor pacientului - comunicarea cu pacientul si cu apartinatorii acestuia trebuie sa tina cont de dreptul la confidentialitate privind datele de sanatate. Avand in vedere mijloacele de comunicare ( fata in fata, telefonic, electronic prin intermediul aplicatiilor de mesagerie, email) va recomand sa redactiati proceduri distincte care sa mentioneze expres cine poate da informatii si mai ales ce informatii pot fi oferite pe fiecare canal in parte, tinand cont de posibilitatea ca la capatul celalat sa nu fie persoane pe care o credem noi.
  5. Realizati un plan continuu de instruire si evaluare angajati - angajatii sunt la nivel teoretic cel mai mare risc pentru organizatie privind bresele de securitate si de aceea una din metodele cele mai eficiente pentru a diminua acest risc este educatia continua si procedurile de lucru. Realizati un plan de anual de instruire care sa asigure cresterea implicarii personalului in procesul de protectie a datelor si evaluati din cand in cand ce au inteles angajatii din informatiile transmise.
  6. Efectuati un test de penetrare si audit tehnic (securitate informatica) - auditul tehnic si testele de penetrare ne ofera o imagine realista a gradului de securitate pe care ni-l ofera echipamentele si aplicatiile software de care dispunem.
  7. Securizati accesul la bazele de date si reglementati conditiile de utilizare - recomanda conturi individuale pentru fieacare angajat, utilizarea unor parole cu o dificultate macar medie, si configurarea accesului la baza de date in functie de functia angajatului, limitand accesul doar la datele de care are nevoie pentru a-si desfasura activitate in cconditii optime. Prin fisa postului si activitati de instruire putem de asemenea sa ne asiguram ca angajatii respecta conditiile de securitate.
  8. Implementarea unui plan de raspuns la incidente de securitate - in iunie 2019 activitatea a cinci spitale din Romania a fost afectata prin infectarea cu un ransomware, datele fiind criptate. Cum trebuie sa reactionam intr-un astfel de caz, ce trebuie sa faca angajatul care descopera o bresa de securitate, care sunt masurile care trebuie implementate imediat ? Toate aceste lucruri trebuie detaliate si explicate angajatilor pentru a diminua pierderile in cazul unei brese de securitate.
  9. In cazul unei brese de securitate anuntati CERT.RO (1911) si ANSPDCP in 72h -  nu ascundeti bresele de securitate, cereti ajutorul specialistilor pentru a va asigura ca efectele sunt reduse la minim. Datele persoanale apartin de drept persoanelor fizice si trebuie sa luati masuri urgente de limitare a efectelor in cazul unei brese de securitate.
  10. Conditionati / restrictionati accesul la aplicatii/website-uri(Facebook, Yahoo, Gmail, WhatsApp) si medii de stocare (USB) - activitatea neproductiva a angajatilor precum navigarea pe internet in timpul programului sau introducerea de medii de stocare externe pentru a copia informatii introduce in organizatie un risc marit de virusare, punand la incercare masurile tehnice. Recomandarea mea este de a limita aceste activitati si sa eliminati aceste riscuri. Cu siguranta este o masura nepopulara in randul angajatilor, dar sa nu uitam ca majoritatea detin un smartphone personal de pe care isi pot verifica emailul sau mesajele pe retelele de socializare, bine inteles in pauzele de lucru. Riscul de a introduce un virus prin metoda phising sau prin infectare directa se diminueaza foarte mult in organizatiile care au adoptat astfel de masuri.
  11. Folositi adrese de email @spital.ro, cu stocare in UE - va aduceti aminte ca atunci cand ati creat o casuta de email gratuita ca ati fost de acord ca toate mesajele si atasamentele sunt de fapt proprietatea furnizorului de email si ca poate folosi toate aceste informatii pentru a va face un profil, pentru a va trimite oferte comerciale si poate chiar sa comercializeze aceste date ? Mai mult, ati realizat ca pastrarea unui email cu sau fara atasament in inbox sau send items este de fapt o prelucrare si cum majoritatea furnizorilor de "emailuri gratuite" au serverele in USA, practic trebuie sa documentati motivele pentru care realizati transfer extracomunicat de date cu caracter personal ?
  12. Nu permiteti angajatilor sa utilizeze dispozitive personale - daca permiteti angajatilor sa vina cu laptopul de acasa insemana ca permiteti ca stocarea datelor sa se faca pe echipamente care nu sunt in proprietatea Dumnevoastra si practic nu aveti nici un control, aceasta practica ducand cel mai des la o bresa de securitate
  13. Asigurati transparenta sistemului de invatamant medical - anuntati pacientii inca de la internare daca la fisa lor au acces studentii si anonimizati datele pe care studentii le scot din organizatie pentru a-si desfasura activitatea de cercetare. Este nevoie de consimtamantul pacientului pentru a transfera date catre studenti si in cazul unui refuz trebuie sa organizati activitatea conform dorintei pacientului.
  14. Actualizati formularele asigurati informarea prealabila (Ordinul nr. 1411/2016 si Legii nr. 347/2018 publicata in Monitorul Oficial 03.01.2019)
    1. Pacientul are dreptul de a desemna, printr-un acord consemnat în anexa la foaia de observație clinică generală, o persoană care să aibă acces deplin, atât în timpul vieții pacientului, cât și după decesul pacientului, la informațiile cu caracter confidențial din foaia de observație.
    2. Acordul pacientului privind filmarea/fotografierea în incinta unității sanitare
    3. Model Acordul pacientului/reprezentantului legal privind participarea la învățământul medical
    4. Model Solicitare privind comunicarea documentelor medicale personale
    5. Model Declarație privind comunicarea documentelor medicale personale
    6. Model Acordul pacientului privind comunicarea datelor medicale personale
  15. Recomandati DPO-ului sa se inscrie in ASCPD (Asociatia Specialistilor in Confidentialitatea si Protectia Datelor)

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Când viața îți oferă lămâii, apelezi la GDPR

Editorial

Vizualizari: 2987

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Un link postat de Cristiana Deca pe unul dintre conturile ei de social media m-a făcut să mă prăbușesc de râs, dar până să apuc să mă opresc din râs m-a bufnit îngrijorarea..

Ați putea crede ca sunt bipolar însă, departe fiind de acest diagnostic, m-am trezit la granița dintre amuzament și neliniște profundă, un cumul de sentimente ce greu se întâlnesc în în aceeași frază.

Dacă aveați senzația că le-ați văzut pe toate iar protecția datelor persoane nu mai are cum să vă surprindă, credeți-mă că vă înșelați amarnic.

Să trecem la subiect

Un anume @jerre_baum s-a gândit că ar fi mega amuzant să încurajeze oamenii să se folosească de GDPR împotriva organizațiilor care i-au călcat pe coadă, transformând (drepturile oamenilor pe care GDPR le oferă (art 15-22 din Regulament) într-o armă a răzbunării

Cu alte cuvinte, dacă îți urăști concurența, fostul angajator, banca, guvernul, firma de asigurări, sau pur și simplu te-a supărat frizerul, acum poți să folosești GDPR împotriva lor. Cu un simplu click în site-ul creat de Jerre, acesta vă ajuta sa completați o cerere de acces la datele personale, construită în așa mod încât să-i facă viața grea celui care o va primi. „Concepută pentru a pierde cât mai mult timp posibil” după cum subliniază autorul. Diabolic, nu?

Ești curios? Uite aici link-ul către site-ul cu pricina https://shipyourenemiesgdpr.com/
Pentru comoditate am extras noi textul Cererii de acces la datele personale, aia diabolică

Când a devenit GDPRul o armă?

Deși domnul Jerre are probabil cel mai ingenios mod de a abuza de GDPR, cu tristețe constat că nu este primul care utilizează astfel Regulamentul.

Prima piatra a fost aruncata de consultanții și vânzătorii de kit-uri care după 25 mai 2018 au vândut GDPR mizând pe amenzile mari.

Apoi au urmat autoritățile care nu au știut cum să îl interpreteze și cum sa îl aplice și uite așa au apărut abuzul și confuzia legate de GDPR.

Pe cale de consecință au apărut primele victime: niște cetățeni confuzi care nu știu ce drepturi au și cum să le folosească și niște DPO sufocați de cereri care nu-și mai vad capul de treaba. Acestora din urmă le va reveni ingrată sarcină de a răspunde minunățiilor de întrebări, consumându timp și energie care altfel ar putea fi utilizate în alte chestiuni mult mai utile companiei și chiar persoanelor vizate de activitatea companiei.

Da, la capătul celălalt al unei solicitări, care nu are ca scop obținerea de înfomații privind prelucrările de date personale ci doar suprasolicitarea activității destinatarului, stă un DPO care aleargă prin companie încercând să adune toate datele necesare pentru a răspunde la cerere într-un mod corect.

Nu m-am abținut și i-am cerut Cristianei Deca o părere

Apropo, Cristiana Deca este Chapter Chair la IAPP (International Association of Privacy Professionals), Vice Președinte la Asociația Specialiștilor în Confidențialitate și Protecția Datelor, Teacher la EA - The Entrepreneurship Academy, Data Protection Specialist la Decalex, alte câte și mai câte..

dpo.NET: Judecând după postarea ta și ție ți s-a părut un pic amuzant site-ul cu pricina. Ce-i drept execuția este hilară, dar oare ar trebui să ne îngrijoreze faptul că este practic o instigare la o utilizare abuzivă a drepturilor prevăzute de GDPR?

CD: Nici nu încape discuție. Deși ideea site-ului e amuzantă, mi se pare foarte periculos întrucât orice om care are o zi mai proasta îl poate utiliza pentru a face rău. Echilibrul impus de GDPR exista și pentru persoanele vizate nu numai pentru organizații. Să ne amintim că nu degeaba avem dreptul de a răspunde gratuit la o cerere de acces pe an.

dpo.NET: Oare o astfel de „răzbunare” ar putea accelera viteza implementării GDPR în organizațiile din România?

CD: Ba din contră, părerea mea! Un cetățean needucat care va face abuz de drepturile lui doar va pune o presiune nejustificata pe organizație. Nu cred în implementarea generată de frică, pentru că acel proces este viciat din start. Pleci de la ideea de a stinge incendii nu de a preveni lucruri, iar în general implementarea presupune prevenție și planificare strategica.

dpo.NET: Toate se sparg in capul DPO-ului până la urmă. Cum se poate el pregăti pentru a răspunde unei astfel de cereri?

CD: În ring cu alți DPO, asta ca un spirit de glumă. Din păcate cel afectat direct de astfel de cereri este DPO-ul, întrucât din experiența mea de până acum apariția unei cereri de acces la date sau de ștergere consuma în jur de 30% din timpul DPO-ului până la finalizarea ei. Ceea ce este foarte mult, pentru cineva care se ocupa de toate cererile legate de protecția datelor din companie. Primul instrument ce îl poate ajuta pe DPO în astfel de situații este existența unui proces uniformizat de gestiune a cererilor.

dpo.NET: Sfaturi de final:

CD: Le-as recomanda persoanelor vizate sa nu creadă tot ce vad pe net și  sa caute suport pentru exercitarea drepturilor la ONG-urile de profil sau alte entități care ii pot ajuta sa utilizeze corect drepturile pe care le au. Pentru persoane: aveți drepturi, folosițile cu ințelepciune!

Pentru entități juridice:  Să se obișnuiască cu ideea că GDPR nu este un proces de tip “one time” - o bifa într-un dosar, ci este un proces continuu ce presupune alocarea de resurse continue, la fel cum într-o companie ținem contabilitatea luna de luna, la fel trebuie văzut și procesul de conformitate GDPR. 

Ce am reținut noi din povestea asta?

Cunoașterea drepturilor și a modului în care putem să le punem ni le exercitam este un lucru esențial în aceste vremuri tulburi, în care am ajuns să ezităm să deschidem o factura venită pe mail de frică să nu dăm nas în nas cu un virus undercover. 

Este important să solicităm accesul la datele noastre atunci când avem suspiciunea că acestea sunt prelucrate excesiv sau în mod abuziv, însă atunci când o facem din rea-voință, trebuie să ne gândim că nu organizația are de suferit ci un DPO nepurtător de vină.

Dacă nu știți ce ce drepturi aveți și cum să le folosiți, dați un search pe net și o sa găsiți atât asociații cât și alte entități care vă pot îndruma și sprijini.

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Societatea civila contestă legalitatea implementării tehnologiei de recunoaștere facială

Mai multe organizații nonguvernamentale au transmis autorităților o SCRISOARE DESCHISĂ prin care îți exprimă îngrijorarea cu privire la respectarea principiilor fundamentale ce țin de respectarea vieții private, prin punerea în […]

Cum ajunge o copie de buletin să coste 10.000 €? Încălcând GDPR-ul, desigur!

În data de 19 septembrie 2019, autoritatea de supraveghere belgiană a publicat un comunicat prin care a anunțat o sancțiune de 10.000 de euro pentru nerespectarea minimizării datelor […]

De ce românilor nu le pasă de viața lor privată ?

La începutul săptămânii trecute citeam despre implementarea unui sistem de recunoaștere facială care va folosi camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare și camere […]

Românii vor fi monitorizați de un sistem de recunoașterea facială

Camerele de monitorizare video (CCTV), webcam-urile, telefoane mobile, rețele de socializare, camere ATM din România vor fi monitorizate de un sistem de recunoaștere facială. Controversele din jurul acestei tehnologii […]

Facebook riscă și îi fură job-ul lui Cupidon

Proaspătul lansat Facebook Dating ridică mai multe semne de întrebare privind confidențialitatea.  Cupidon a fost scos forțat la pensie când Facebook a anunțat ieri lansarea noului sau serviciu […]

Cine sunt campionii GDPR Summer Challenge 2019 ?

68 de participanți, grupati in 14 echipe, au luat startul in concursul GDPR Summer Challenge 2019 GDPR Summer Challenge este o competitie organizata de Dpo-NET.ro – Data Protection […]

Giovanni Buttarelli (1957-2019)

Giovanni Buttarelli, liderul Autorității Europene pentru Protecția Datelor (EDPS), a murit înconjurat de familia sa în Italia, la vârsta de 62 de ani. Înmormântarea va avea loc sâmbătă, […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

Ești DPO ? S-a lansat un MANUAL pentru tine!

Autoritatea de supraveghere italiană (Il Garante per la protezione dei dati personali) a publicat un manual în limba engleză menit să sprijine responsabilii cu protecția datelor (DPO) ai […]

Cine scapă de GDPR?

Autor: Alina Crăciun, Coordonator Editorial Wolters Kluwer Romania La mai bine de un an de la intrarea în vigoare a Regulamentului nr. 679/2016 privind protecția datelor cu caracter […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

Ghidul turistului GDPResponsabil. Află cum îți protejezi datele în concediu!

Vacanțele sunt acele momente în care încercăm să fugim de grijile de zi cu zi, însă una dintre ele ne va urmări oriunde am pleca: protejarea datelor noastre. […]

Înscrie-te acum la GDPR Summer Challenge!

Acceptă GDPRovocarea acestui sfârșit de vară! 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019. Nu este doar un concurs, […]

Atenție la falsele certificări GDPR!

Înainte de a parcurge acest articol-manifest vă invit să răspundeți singuri la o întrebare: „Dacă ideea de a fi tratat de un fals doctor vă înspăimântă, v-ați lăsa […]

Persoanele fizice pot fi amendate, conform GDPR!

Pe zi ce trece devine din ce în ce mai greu să ignori titlurile bombastice care fac referire la acest nou Regulament European (GDPR). Majoritatea titlurilor încearcă să […]

Ce planuri aveți pe 24 iulie ?

Netflix a lansat la trailerul pentru filmul The Great Hack care explorează scandalul Facebook-Cambridge Analytica, o productie care a avut premiera inițială la Festivalul de Film Sundance din […]

Principiile GDPR pe înțelesul tuturor

După câteva mii de ore petrecute împreună cu GDPR-ul, am ajuns la concluzia ca totul ar trebui sa înceapă de la înțelegerea principiilor Protecției Datelor cu Caracter Personal […]

Ce facem după atacutile cibernetice asupra spitalelor românești? Nimic?

Spitalele sunt o țintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale în ultimii ani și […]

Cookie-urile dau bătăi de cap chiar și autorităților europene

N-a trecut o luna de la ultimul nostru articol despre cookie, că deja ne roade să reluam acest subiect, împinși fiind de ultimele știri venite din spațiul european. […]