GHID și INSTRUCȚIUNI DE LUCRU privind protecția datelor în contextul epidemiologic actual

ANSPDCP

Vizualizari: 10406

Facebooktwittergoogle_plusredditpinterestlinkedinmail

La 10 martie 2020, Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informațiilor („NAIH”) a emis un ghid  privind protecția datelor in contextul pandemiei cu COVID-19. NAIH evidențiază faptul că operatorii care prelucrează date cu caracter personal în contextul eforturilor lor de a preveni răspândirea COVID-19 trebuie să respecte atât GDPR, cât și legea ungară privind protecția datelor. Ghidul se aplică organizațiilor publice și private, angajaților și contractorilor acestora, precum și altor terțe părți (de exemplu, clienți, vizitatori). NAIH subliniază că orice tip de prelucrare a datelor în circumstanțele actuale trebuie să respecte principiile GDPR, în special cel al răspunderii. Publicarea ghidului NAIH vine ca urmare a publicării unor declarații similare ale altor autorități de reglementare SEE, inclusiv cele din Franța, Danemarca, Spania, IslandaIrlanda, Italia, Luxemburg, OlandaNorvegia, Polonia, Slovenia, Slovacia și Marea Britanie.

1. Limitarea scopului

Colectarea și prelucrarea datelor cu caracter personal nu poate fi considerată necesară decât în ​​cazul în care scopul nu poate fi atins prin orice alte mijloace și, în orice caz, trebuie evaluat dacă există o altă soluție mai puțin invazivă.

2. Minimizarea datelor și legalitatea prelucrării

Dacă colectarea datelor cu caracter personal este considerată absolut necesară, operatorul trebuie să definească scopul exact și baza legală a acestora. Colectarea, prelucrarea și stocarea datelor trebuie să fie proporționale cu scopul acestor activități.

3. Transparența

Controlorul trebuie să furnizeze persoanei vizate informațiile solicitate în conformitate cu articolul 13 GDPR și secțiunea 16 din legea maghiară privind protecția datelor. Dacă datele sunt colectate în baza articolului 6 alineatul (1) litera (f) GDPR, controlorul trebuie să arate că importanța scopului depășește importanța drepturilor individuale.

4. Cerințe specifice

NAIH a identificat o serie de cerințe relevante în circumstanțele actuale.

I. Prelucrarea datelor referitoare la ocuparea forței de muncă

 Angajatorii trebuie să se asigure că oferă un mediu de lucru sigur, care include planificarea și funcționarea procedurilor de protecție a datelor. În acest cadru, angajatorii sunt obligați să:

  • Crearea unui plan de continuitate de afaceri , care să includă pașii necesari pentru a reduce răspândirea infecției, ce trebuie făcut în cazul apariției infecției, evaluarea riscurilor pentru protecția datelor, responsabilitățile interne și canalele de comunicare adecvate;
  • Furnizați informații detaliate despre coronavirus și ce trebuie să faceți în cazul unei infecții suspectate;
  • Dacă este necesar, anulați sau amânați călătoriile și evenimentele de afaceri și oferiți oportunitatea de a lucra de acasă; și
  • Alertați angajații că, în interesul protecției sănătății lor și a colegilor lor, trebuie să raporteze orice contact suspect cu coronavirus și să solicite sfaturi medicale cât mai curând posibil.

În cazul în care un angajat raportează că a putut fi în contact cu virusul sau dacă angajatorul suspectează că acesta poate fi în pericol pe baza informațiilor furnizate de acesta, angajatorul poate înregistra date referitoare la raportul sau suspiciunea menționată. Aceasta include colectarea informațiilor despre dacă salariatul a vizitat țări considerate a fi expuse riscului și data călătoriei; dacă angajatul a fost în contact cu cineva care a vizitat recent aceste țări și detalii despre orice asistență suplimentară oferită de angajator. NAIH consideră că este acceptabil să folosească chestionare, dacă angajatorul decide că acestea sunt necesare și proporționale, dar NAIH subliniază, de asemenea, că chestionarele nu pot conține întrebări sau date referitoare la istoricul medical și nu pot solicita angajatului să atașeze documente medicale. Articolul 6 alineatul (1) litera (f) GDPR, sau în cazul instituțiilor publice, articolul 6 alineatul (1) litera (e) poate oferi o bază legală pentru aceasta. În ceea ce privește datele medicale, ținând cont de dispozițiile descrise mai sus, articolul 9 alineatul (2) litera (b) GDPR poate fi utilizat ca bază legală.

Cu toate acestea, important este că NAIH nu consideră că este proporțional pentru angajatori să implementeze controale generale și obligatorii folosind dispozitive medicale de diagnosticare (de exemplu, termometre) pe angajați, deoarece colectarea datelor referitoare la coronavirus este responsabilitatea furnizorilor de servicii medicale și a profesioniștilor medicali.

În cazul în care angajatorul, după ce a evaluat toate informațiile de care dispune, decide că anumiți angajați care au avut o șansă crescută de expunere trebuie să fie testați de un profesionist medical, angajatorul se poate baza pe articolul 6 alineatul (1) litera (f) sau (e) , Articolul 9 alineatul (2) litera (h) și articolul 9 alineatul (3) din GDPR. În aceste cazuri, angajatorul are dreptul să afle doar rezultatul testului și nici alte informații medicale.

II. Furnizori de servicii medicale și cadre medicale

Furnizorii de servicii medicale și profesioniștii medicali sunt obligați să respecte reglementările privind protecția datelor aplicabile acestora, inclusiv sarcinile prevăzute la articolul 6 alineatul (1) litera (c) GDPR și la articolul 9 alineatul (2) litera (i) GDPR. În conformitate cu secțiunea 25 din ordinul 18/1998 al MM. (VI. 3.), furnizorii de servicii medicale trebuie să raporteze și să țină evidența pacienților cu boli infecțioase și a pacienților suspectați de a avea boli infecțioase în anumite circumstanțe (una dintre aceste circumstanțe este un focar SARS-coronavirus). Există îndrumări suplimentare pentru profesioniștii medicali cu privire la conținerea răspândirii coronavirusului.

III. Atribuțiile angajaților

Angajații sunt obligați să coopereze și, pe baza principiilor bunei-credințe și a integrității, să-și informeze angajatorii dacă sunt conștienți de orice risc de infecție care ar putea afecta locul de muncă, colegii sau terții. Angajatul în aceste cazuri are dreptul să se bazeze pe drepturile sale în conformitate cu capitolul III din GDPR, iar angajatorul trebuie să prevadă acest lucru.

IV. Terți

 NAIH subliniază că, în raport cu terții (de exemplu, clienți, vizitatori), angajatorii trebuie să se asigure că:

  • Planul de continuitate a afacerii include verificări îmbunătățite asupra vizitatorilor, evaluarea riscurilor de protecție a datelor în legătură cu aceasta și oferă canale de comunicare adecvate;
  • Informații sunt furnizate clienților și vizitatorilor cu privire la coronavirus și trebuie să informeze personalul de la punctul de intrare în cazul în care riscă să contracteze coronavirus.

În ceea ce privește protecția datelor, aceleași reguli se aplică terților ca și angajaților din partea I a prezentului ghid.

5. Sancțiuni

În cele din urmă, ghidul constată că este o infracțiune să nu respectăm legislația privind răspândirea bolilor infecțioase, iar cei care îi infectează pe ceilalți, în mod intenționat, pot fi condamnați vinovați de faptul că au cauzat moarte gravă sau un prejudiciu corporal grav. În aceste condiții, poliția este autorizată să utilizeze imagini CCTV în cercetările lor penale.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Viva Credit IFN S.A a primit o amendă GDPR de 2000 euro

ANSPDCP

Vizualizari: 2589

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția Datelor, prin raportare la art. 17 din același Regulament.

Operatorul S.C. Viva Credit IFN S.A. a fost sancționat contravențional cu amendă în cuantum de 9680 lei, echivalentul sumei de 2000 EURO.

Investigația s-a desfășurat ca urmare a unei plângeri prin care se reclama faptul că operatorul nu a soluționat cererea petentului prin care își exercita dreptul de ștergerea datelor, potrivit art. 17 din Regulamentul General privind Protecția Datelor.

De asemenea, operatorul nu a furnizat petentului informații cu privire la acțiunile întreprinse în urma cererii acestuia în termen de cel mult o lună (sau maximum 3 luni, prezentând și motivele întârzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibilă în evidențele sale.

Astfel, operatorul S.C. Viva Credit IFN S.A. a încălcat prevederile art. 12 alin. (3) și (4), raportat la art. 17 din Regulamentul General privind Protecția Datelor.

Operatorul are obligaţia, potrivit art. 12 alin. (3), de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună de la primirea cererii, iar conform alin. (4) al aceluiași articol ”dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.”

În același timp, operatorului S.C. Viva Credit IFN S.A. i s-a aplicat și o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor, acesta fiind obligat să transmită un răspuns petentului la cererea depusă, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Compania Națională Poșta Română a fost amendată cu 2000 euro

ANSPDCP

Vizualizari: 2264

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 15.07.2020 Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul Compania Națională Poșta Română și a constatat că acesta a încălcat prevederile art. 32 din Regulamentul General privind Protecţia Datelor, referitoare la securitatea prelucrării.

Operatorul Compania Națională Poșta Română a fost sancționat contravențional cu amendă în cuantum de 9.686,60 lei lei, echivalentul a 2000 euro.

Încălcarea securității și confidențialității datelor cu caracter personal a constat în faptul că operatorul nu a implementat măsuri tehnice și organizatorice adecvate (de exemplu, pseudonimizarea), atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, astfel încât să se pună în aplicare, în mod eficient, principiile de protecție a datelor și să se  integreze în acestea garanțiile necesare prelucrării, astfel încât să fie duse la îndeplinire cerințele RGPD și să se protejeze drepturile persoanelor vizate.

Operatorul Compania Națională Poșta Română a fost sancționat deoarece nu a luat măsurile tehnice şi organizatorice adecvate care să prevină accesul neautorizat la datele cu caracter personal (adrese de e-mail și numere de telefon) pe adresa https://awb.posta-romana.ro aparținând Companiei Naționale Poșta Română, ceea ce a dus la compromiterea confidențialității datelor personale a 81 de persoane vizate.

Autoritatea Naţională de Supraveghere a efectuat investigația ca urmare a primirii din partea operatorului a unei notificări de încălcare a securității datelor, conform dispozițiilor art. 33 din RGPD.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

TAROM SA a fost amendată cu 5.000 Euro pentru divulgare neautorizată a datelor personale

Autoritatea Națională de Supraveghere a finalizat în data de 06.07.2020 o investigație la operatorul  SC CNTAR TAROM SA, ca urmare a transmiterii de către operator a unei notificări privind […]

Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

„Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

Comisia Europeană: „După doi ani de aplicare, GDPR și-a îndeplinit majoritatea obiectivelor”

În data de 24 iunie 2020 Comisia Europeană a publicat Comunicarea privind protecția datelor ca pilon al abilitării cetățenilor și abordarea UE în tranziția digitală – doi ani de […]

Proleasing Motors SRL a fost sancționat contravențional cu amendă GDPR în cuantum de 15.000 EURO

Conform unui anunț postat pe website, Autoritatea Națională de Supraveghere a finalizat în data de 23.06.2020 o investigație la operatorul Proleasing Motors SRL și a constatat încălcarea dispozițiilor […]

ASCPD solicită Ministerului Educației eliminarea consimțământului ca temei legal de prelucrare

Conform unui comunicat de presă, Asociația Specialiștilor în Confidențialitatea și Protecția Datelor (ASCPD) a sesizat Ministerul Educației și Cercetării privind articolul 5, alin. 2 din Procedura privind modul de […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Spania: GLOVO a fost amendat cu 25.000 euro pentru că nu a desemnat un DPO

O amendă de 25.000 de euro a fost aplicată de Autoritatea de Supraveghere din Spania (AEPD) către compania Glovo pe motiv că nu a fost numit Responsabil cu […]

Telekom primește o nouă amendă pentru măsuri tehnice și organizatorice insuficiente

În ultimii doi ani, Autoritățile de Supraveghere din România și Slovacia au aplicat operatorului Telekom un avertisment și 3 amenzi, totalizând 45,000 Euro, pentru faptul că nu au […]

Estee Lauder Romania SRL amendată de ANSPDCP cu 3000 Euro

Autoritatea Națională de Supraveghere a finalizat în data de 10.04.2020 o investigație la operatorul Estee Lauder Romania SRL și a constatat că acesta a încălcat prevederile art. 6, art. 7 și […]

Belgia: Ghid privind verificările temperaturii la intrarea în incinte

În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

Olanda: Oricine postează online imagini cu minori, trebuie să obțină anterior consimțământul tutorilor legali

O instanță din Olanda a decis că o bunică trebuie să șteargă pozele nepoților săi, postate pe contul de socializare, după ce fiica sa a depus o plângere […]

ANSPDCP: Temperatura unei persoane este data cu caracter personal doar daca se înregistrează într-un sistem de evidență

Conform unui articol publicat de ActiveNews, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a transmis radacției un răspuns conform căruia „dispozițiile Regulamentului (UE) 2016/679 […]

ANSPDCP lansează un concurs online pentru conștientizarea importanței datelor cu caracter personal

Cu ocazia aniversării a 2 ani de la aplicarea Regulamentului UE 679/2016 (GDPR) în România, Autoritatea Națională de Supraveghere invită copii cu vârsta de până la 14 ani să […]

Banca Comercială Română amendată cu 5000 EURO pentru prelucrarea datelor prin aplicația Whatsapp

Autoritatea Națională de Supraveghere a finalizat, în data de 14.04.2020, o investigație la operatorul Banca Comercială Română S.A., constatând încălcarea dispozițiilor referitoare la securitatea prelucrării, respectiv art. 32 alin. […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

Normele GDPR nu împiedică măsurile luate în lupta împotriva pandemiei Coronavirusului

Conform comunicatului de presa al European Data Protection Comitetului European pentru Protecția Datelor (EDPB), „Normele de protecție a datelor (precum GDPR) nu împiedică măsurile luate în lupta împotriva […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Reacție fermă a ANSPDCP față de declarațiile ministrului Educației și Cercetării

Ministrul Educației și Cercetării, Monica Anisie a afirmat că Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ar fi soliictat acordul autorului pentru publicarea tezei […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]