Ghid Întrebări și Răspunsuri lansat de ANSPDCP

Resurse utile

Vizualizari: 1208

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a lansat ghidul Întrebări și Răspunsuri cu privire la aplicarea Regulamentului (UE) 2016/679.

Lansarea ghidului a avut loc în cadrul Dezbaterii aniversare organizate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pe data de 24 mai 2019, pentru sărbătorirea unui an de la aplicarea Regulamentului General privind Protecția Datelor.

Conform comunicatului de presă al Autorității, ghidul cuprinde “85 de întrebări și răspunsuri edificatoare referitoare la adecvata respectare a reglementărilor din domeniul protecției datelor cu caracter personal”.

În finalul comunicatului Autoritatea își exprima speranța că acest ghid va răspunde nevoilor tuturor persoanelor care sunt interesate de aplicarea GDPR-ului, exprimare care ne-a pus puțin pe gânduri.

Salutăm efortul depus de Autoritate în elaborarea acestui ghid, cunoscând condițiile vitrege în care-și desfășoară activitatea (un buget insuficient și lipsa personalului).

Cele peste 900 de investigații conduse de Autoritate în primul an de la intrarea în vigoare a GDPR-ului cu siguranță au condus la lămurirea multor spețe interesante sau poate chiar generale, pe care, din lipsa unei jurisprudențe naționale, suntem nevoiți în continuare să le judecăm într-o natură subiectivă.

In completarea acestui ghid, comunicarea rezoluților investigațiilor Autorității ar putea fi o soluție de bun augur pentru întreaga comunitate de specialiști implicați în domeniul GDPR și ar fi o ancora bine înfiptă care ne-ar permite să stabilizam o practica unitara în implementarea dispozițiilor Regulamentului general privind protecția datelor.

Puteți descărca ghidul printr-un click aici

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

S-a lansat Ghidul Operatorilor privind monitorizarea video!

Resurse utile

Vizualizari: 3564

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Data Protection Commission (DPC), autoritatea națională de supraveghere din Irlanda, a publicat de curând Ghidul de utilizare a sistemelor de monitorizare video dedicat celor care prelucrează date colectate de sistemele CCTV.

Prin elaborarea acestui Ghid, DPC urmărește “să ajute proprietarii și chiriașii de spații, în special unde se desfășoară activitate a angajaților sau care sunt accesibile publicului, să-și înțeleagă responsabilitățile și obligațiile privind protecția datelor atunci când utilizează sisteme CCTV”.

Va prezentam în cele ce urmează principalele idei desprinse din Ghid:

Supraveghezi video un spațiu? Atunci ești operator!

Încă din start, DPC lămurește calitatea entităților care monitorizează video un spațiu. Astfel, conform articolului 4 din GDPR, orice persoană sau organizație care colectează și procesează datele personale ale persoanelor fizice este considerată "operator de date". Din acest motiv, orice utilizare a unui sistem CCTV trebuie luată în considerare în lumina obligațiilor impuse de legislația privind protecția datelor cu privire la operatorii de date și implementate în conformitate cu principiile protecției datelor.

Când sunt date personale și când când își pierd această calitate înregistrările video/foto?

Operatorii de date ar trebui să fie conștienți de faptul că filmările sau imaginile capturate de sistemele CCTV, care conțin persoane identificabile, sunt date cu caracter personal în sensul legislației privind protecția datelor. În cazul în care se folosesc procese pentru blurr-area persoanelor fizice din înregistrările CCTV, capturile foto/video sunt în continuare considerate date cu caracter personal în cazul în care este posibilă re-identificarea persoanelor fizice. În plus, dacă înregistrările foto/video sunt inițial capturate într-o formă identificabilă și apoi se realizează o anonimizare ireversibilă, legea privind protecția datelor va acoperi în continuare prelucrarea până la momentul în care s-a realizat procesul de anonimizare.

Înainte de instalarea unui sistem CCTV, atât organizațiile cât și persoanele persoanele fizice ar trebui să parcurgă următorul checklist, pentru a se asigura că prelucrarea respectivă este în concordantă cu cerințele privind protecția datelor.Toate aceste aspecte sunt tratate în detaliu în Ghid.

CCTV Checklist

  • Scop: Ai un scop clar definit pentru instalarea CCTV? Ce anume dorești să surprinzi în înregistrările foto/video? Va fi utilizat sistemul CCTV numai în vederea asigurării securității ? Dacă nu, puteți justifica celelalte scopuri? Va fi limitată folosirea datelor personale colectate de CCTV la scopul inițial?
  • Legalitatea prelucrării: Care este temeiul juridic al prelucrarii datelor colectate prin sistemul CCTV? Temeiul legal pe care îți bazezi prelucrarea este cel mai potrivit?
  • Necesitate: Poți demonstra că sistemul CCTV este necesar pentru atingerea scopului tău? Ai luat în considerare alte soluții care nu colectează datele personale ale persoanelor prin înregistrarea continuă a mișcărilor și acțiunilor? (adică măsuri mai puțin intruzive în viata privată a persoanelor vizate?)
  • Proporționalitate: Dacă sistemul CCTV va fi utilizat în alte scopuri decât cele de securitate, poți demonstra că aceste alte utilizări sunt proporționale cu drepturile și interese persoanelor vizate? De exemplu, monitorizarea personalului la locul de muncă este foarte intruzivă și ar fi justificată prin referire la circumstanțe speciale. Monitorizarea din motive de sănătate și siguranță ar necesita dovezi că instalarea unui sistem CCTV a fost proporțională în lumina problemelor de sănătate și siguranță care au apărut înainte de instalarea sistemului CCTV. Va fi înregistrarea CCTV rezonabilă în raport cu impactul asupra persoanelor pe care le veți înregistra? Vei înregistra clienți, personalul angajat, sau alte persoane? Poți justifica utilizarea unui sistem de monitorizare video în comparație cu efectul pe care acesta îl va avea asupra altor persoane? Poți demonstra că instalarea unui sistem CCTV care colectează date cu caracter personal în mod continuu este justificată?

Atenție: Probabil va fi necesară efectuarea unei evaluări a impactului asupra protecției datelor pentru răspunde în mod adecvat acestor întrebări.

  • Securitate: Ce măsuri vei pune în aplicare pentru a te asigura că înregistrările CCTV sunt păstrate în condiții de siguranță și securitate, atât din punct de vedere tehnic, cât și din punct de vedere organizațional? Cine va avea acces la înregistrări CCTV în organizația ta. și cum va fi gestionat și înregistrat accesul? (adică exista o politica clară privind accesul la înregistrări și divulgarea acestora?)
  • Retenție: Cât timp veți păstra înregistrările, ținând seama de faptul că acestea nu trebuie păstrate mai mult decât este necesar pentru îndeplinirea scopului inițial?
  • Transparență: Cum îi informați pe oameni că le înregistrați imaginile și cum le furnizați alte informații necesare în vederea respectării obligațiilor privind transparența? Ați luat în considerare modul în care vă pot contacta pentru mai multe informații sau pentru a solicita o copie a unei înregistrări?

Pentru a descarca Ghidul accesați următorul link

Particularitățile legislației naționale din România

Principiile aplicabile protecției datelor personale sunt general valabile pe întreg teritoriul Uniunii Europene, motiv pentru care Ghidul poate fi interpretat ca un instrument de bune practici pentru toți cei care intenționează să utilizeze un sistem de monitorizare video. Cu toate acestea, legea 333/2003, prin care sunt reglementate paza obiectivelor, bunurilor, valorilor și protecția persoanelor, este extrem de importantă în stabilirea legalității sistemelor de monitorizare video.

Respectarea legii 333/2003 pas cu pas

  1. Înainte de a începe parcurgerea checklist-ului de mai sus, efectuați o analiza de risc la securitate fizică, în principal pentru ca este obligatorie conform legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, dar și pentru a determina dacă aveți sau nu obligația de a instala un sistem de monitorizare video.
  2. În condițiile în care evaluarea de risc prevede printre măsuri și instalarea sistemului CCTV, va trebui să apleți la o firma licențiată  de Inspectoratul General al Poliției Românei. În acest caz, temeiul legal pe care se va baza monitorizarea va fi obligația legală.
  3. Dacă în urma evaluării de risc nu a rezultat necesitatea instalării sistemului CCTV, cel mai probabil prelucrarea datelor se va realiza în baza interesului legitim, cu condiția ca acesta să existe și să poată fi demonstrat. În acest caz va trebui să parcurgeți checklist-ul prezentat mai sus și, cel mai probabil, va fi necesara o evaluare a impactului asupra protecției datelor, cunoscută sub acronimul “DPIA”.

Monitorizarea angajaților, un subiect mereu fierbinte

Decizia adoptării unei soluții de monitorizare a angajaților poate fi, de cele mai multe ori, justificată de interesele angajatorului, însă nu este legală dacă nu este în echilibru cu drepturile și libertățile angajaților. O astfel de decizie nu poate fi luată decât în urma unui proces amplu de analiză asupra impactului pe care soluția de monitorizare o are asupra datelor personale ale angajaților, consemnată printr-o procedură transparentă prin care angajaților le sunt aduse la cunoștință toate aspectele referitoare la monitorizarea activităților lor.

Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, a instituit norme detaliate în vederea respectării justul echilibru între scopul urmărit și respectarea drepturilor fundamentale ale omului, pentru cazurile în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de angajator.

Astfel, pentru a monitorizarea angajaților invocând interesul legitim, este necesară îndeplinirea, cumulativă, a următoarelor condiții:

  1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
  4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
  5. durata de stocare a datelor cu caracter personal sa nu fie mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Recomandările experților privind monitorizarea angajaților

  • Se recomandă evitarea prelucrării datelor angajaților în baza consimțământului acestora, din cauza dezechilibrului de putere din relația angajator-angajat. În cazul folosirii consimțământului pentru justificarea prelucrării datelor angajaților, angajatorii vor trebui să poată dovedi validitatea consimțământului, ceea ce s-ar putea dovedi a fi foarte dificil sau imposibil de realizat;
  • Monitorizarea în vederea evaluării activității angajaților este o măsura mult prea intruziva, motiv pentru care este indicat sa se identifice alte metode de evaluare;
  • Este interzisă prelucrarea datelor cu caracter personal prin mijloace de supraveghere video în spații în care se impune asigurarea intimității persoanelor, cum ar fi: cabine de probă, vestiare, cabine de duș, toalete sau alte locații similare;
  • Camerele de supraveghere video se montează în locuri vizibile;
  • Este interzisă utilizarea mijloacelor de supraveghere video ascunse, cu excepția situațiilor prevăzute de lege;
  • Amprentarea angajaților este o măsură disproporționată în raport cu riscurile identificate de angajator și nu e justificată temeinic de necesitatea luării unei astfel de măsuri;
  • Înainte de a lua de decizia de a instala un sistem de monitorizare al angajaților este necesara o analiză referitoare la necesitatea și proporționalitatea măsurii precum și analiza eventualelor soluții alternative care au un impact mai mic asupra vieții private a salariaților;
  • Monitorizarea angajaților trebuie realizată fără a aduce prejudicii drepturilor și libertăților angajaților, într-un mod transparent, în limita scopului declarat și în conformitate cu politicile și  procedurile instituite și comunicate angajaților.

Informarea, o provocare pentru operatori

Una dintre principiile care definesc esența GDPR-ului este transparența prelucrărilor. Aceasta presupune ca persoanele să fie pe deplin conștiente de prelucrările de date care le vizează, însemnând că în momentul în care o persoană este subiectul unei prelucrări de date, inclusiv prin intermediul sistemelor de supraveghere video, aceasta trebuie să fie informata conform dispozițiilor art. 14 din GDPR.

În practica, acest lucru este extrem de rar, informările privind existenta sistemelor de supraveghere video fiind incomplete, ambigue sau lipsesc cu desăvârșire.

Pentru a veni în ajutorul operatorilor care utilizează sisteme CCTV, am solicitat specialiștilor un model de informare.Mulțumim echipei DPO Consulting pentru furnizare modelului de informare, care poate fi descarcat, în format evitabil, accesând link-ul de mai jos.

MODEL informare monitorizare video - by DPO Consulting

Vă atragem atenția că acesta este doar un model orientativ de informare, aplicabil doar operatorilor care realizează monitorizarea video în temeiul legii 333/2003.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

[1 Aprilie 2019]: O mare firma de recrutare din România, iese din afaceri, acuzând GDPR

Resurse utile

Vizualizari: 7097

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Acest articol este un pamflet si trebuie tratat ca atare. 

 

Recruiting Great People SRL, agenție de recrutare cu peste 50 de ani de activitate in România,  a devenit una dintre primele victime ale GDPR din domeniul resurselor umane.

Compania a angajat un expert GDPR înainte de 25 mai 2020. În calitate de expert, a găsit un număr mare de date personale cu privire la CV-urile stocate. El a identificat că numele și istoricul locurilor de muncă au fost transmise ilegal consultanților de recrutare.

Aceasta ar putea fi o încălcare a principiului minimizării datelor ", a confirmat el.

Expertul GDPR a sugerat inițial distrugerea CV-urilor ca metodă de pseudomizare dar agenția de recrutare, prin vocea DPO-ului, a fost împotriva ideii, motivul evocat fiind costul reîntregirii CV-urilor, deoarece ar fi prea mult timp pentru personalul sa recupereze datele distruse.

Contactat de redatia noastra, domnul "D", in calitate de DPO al firmei de recurtare, a refuzat sa ii folosim numele real, dar fost de acord să-i dezvăluie numele de familie în format criptat "B9BF142CC55E1CA70388C41734170576ACBA58A0099E8EE7FD20D680EA4A2770".

Expertul GDPR a sugerat apoi fotocopierea CV-urilor cu o foaie albă în fața textului. Această soluție inteligentă a însemnat că CV-urile nu mai conțin date cu caracter personal. După câteva experimente, expertul GDPR a găsit un truc pentru a economisi timp: personalul de recrutare putea prelua un CV necompletat din tava de hârtie a fotocopierului și nu mai trebuia să apese butonul Copiere. Pentru firma de recrutare, în contextul unor constrângeri bugetare uriașe, aceasta sa dovedit a fi cea mai bună soluție.

Această soluție a funcționat bine, dar a creat o provocare atunci când candidații și-au exercitat drepturile în temeiul articolului 215 din GDPR. Mulți candidați s-au plâns că exemplarul CV-urilor furnizate nu era al lor.

Fiind toți identici a creat o adevărată provocare atunci când angajatii firmei au încercat să identifice subiecții de date.

A fost depusa o reclamatie la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în speranța că ar putea obține o amenda similara cu cea din ianuarie acordata celor da le Google.

Dupa investigatie care a durat mai multe de 48 de ore, ANSPDCP a amendat cu 20 de milioane de euro, ceea ce a depășit cu mult bugetul firmei de recrutare alocat amenzilor.

Recruiting Great People SRL a intrat în faliment, iar Directorul General a declarat într-un comunicat de presă " Am făcut tot ce am putut pentru a fi conform, angajând un expert GDPR care ne-a prezentat insigna, am urmat recomandările lui si cu toate acestea tot am primit amenda".

Directorul firmei de recrutare a inițiat o petiție on-line pentru a revoca GDPR si propune chiar un Referendum national in luna mai.

 

 

 

 

 

 

Foto: Exemplu de Insigna GDPR utilizata de expert

Sursa fotografie: Domnul D B9BF142CC55E1CA70388C41734170576ACBA58A0099E8EE7FD20D680EA4A2770

Text mic ilizibil: Doar pentru ca este pe internet nu inseamna ca este si adevarat.

 

 

Acest articol este un pamflet si trebuie tratat ca atare. 

Adaptare dupa articolul Bizoneo.eu

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

ASCPD: Știrile false, adevărate bombe invizibile

În contextul Zilei Internaționale a Păcălelilor, anunțul Asociației Specialiștilor în Confindențialitate și Protecția Datelor (ASCPD) prin care se anunța lansarea pe data de 1 Aprilie 2019 a unei […]

dpo-NET.ro lansează un nou curs online GRATUIT

In numai 20 de zile care au trecut de la lansarea noului modul pe portalul dpo-NET.ro, peste 250 de persoane au absolvit cursurile online dedicate atat profesionistilor cat […]

Elementele constitutive ale datelor cu caracter personal

În viața cotidiană, datele cu caracter personal sunt privite mai mult ca identificatorii persoanei fizice consemnați în buletinul de identitate, nefiind perceput în sensul larg a acestei noțiuni. […]

CERT-RO, Microsoft și Poliția Română colaborează pentru oprirea fraudelor de tip ‘suport tehnic fals’

Cu ocazia Safer Internet Day, Microsoft, Poliția Română și Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) au susținut un eveniment dedicat prevenirii și combaterii înșelăciunilor […]

GDPR – 64 Întrebări și răspunsuri cu exemple

Începând din 25 mai 2018, odată cu intrarea în vigoare a Regulamentului general privind protecția datelor, tuturor companiilor care desfășoară activități în UE li se aplică același set de norme […]

37% dintre români declară că au fost ținta unui atac de tip phishing

Aproape jumătate dintre români (49%) sunt interesați să protejeze datele financiare, accesul la internet banking sau datele din carduri, în timp ce peste o treime (37%) au fost […]

Lansarea studiului comparativ privind gradul de conștientizare a importanței datelor

Asociaţia Specialiştilor în Confidentialitate şi Protecţia Datelor (ASCPD) şi Asociaţia pentru Protecţia Vieţii Private din Republica Moldova, lansează în premieră un studiu comparativ ce are drept scop evaluarea […]

Studiu statistic privind gradul de conformitate GDPR în sistemul sanitar românesc

Pentru a marca Ziua Europeană a protecției datelor, Asociația SURYAM și Universitatea de Medicină, Farmacie, Stiinte si Tehnologie Tîrgu Mureș – Centrul de Cercetare pentru Politici de Sănătate […]

Noi reglementari legale privind accesul la datele pacientului

Prin publicarea in Monitorul Oficial, Partea I nr. 3 din 03.01.2019 a Legii nr. 347/2018 se completeaza art. 24 din Legea drepturilor pacientului nr. 46/2003 in sensul ca […]

Regulamentul (UE) 2016/679 in limba romana

  REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și […]

A fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679

In data de 19 Aprilie 2018 a fost publicata o RECTIFICARE la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în […]

A aparut standardul ocupational pentru DPO

Autoritatea Nationala pentru Calificari a aprobat conform deciziei 74/19.03.2018 standardul ocupational pentru educatia si formare profesionala a Responsabililor cu protectia datelor cu caracter personal – cod COR 242231. […]