O speță postată ieri pe unul din grupurile de pe Facebook dedicate protecției datelor ne-a atras atenția, nu datorită complexității ci a diversității răspunsurilor. 

Proprietarul unui site dorea să afle dacă poate publica o listă care conține datele de contact ale medicilor de familie dintr-un anume județ, aceste informații fiind extrase din surse publice, mai exact de pe site-ul Casei Naţionale de Asigurări de Sănătate.

Părerile au fost atât pro cât și contra, ceea ce ne-a sugerat că acest subiect merita un articol. Întâmplarea face ca numai cu o zi înainte să fi citit un articol foarte interesant care analiza o situație similară. Așa că nu ne-am mai bătut capul și ne-am rezumat la expune concluziile speței din Polonia.

Aici este o problema de principii, nu de riscuri

Cu siguranță că, la prima prima vedere, o astfel de prelucrare nu reprezintă niciun risc pentru persoanele vizate, având în vedere ca datele sunt deja publice, adică accesibile oricui dorește să le aibă. Atunci care ar putea fi problema?

Unul dintre principiile fundamentale de protecție a datelor este principala problemă. Și nu de ieri, de azi, ci încă din 1981, de la adoptarea Convenției 108 pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal, aducă de la primul instrument internațional legal obligatoriu în domeniul protecției datelor.

Una din calitățile pe care o prelucrare trebuie să le îndeplinească este „echitatea”, sau altfel spus „corectitudinea prelucrării”. Aceasta presupune ca persoanele vizate să fie conștiente de faptul că datele lor personale vor fi colectate, stocate și prelucrate, astfel încât persoanele să aibă posibilitatea de a-și exercita drepturile prevăzute de Regulament. 

Ce au decis instituțiile din Polonia  

Compania de marketing digital Bisnode a fost sancționată de autoritatea de supraveghere din Polonia cu o amendă de 220.000 euro pentru încălcarea încălcarea obligației de informare prevăzută de articolul 14 alineatele (1-3) din GDPR.

Mai exact ce a făcut Bisnode să merite o sancțiune atât de usturătoare? A achiziționat datele personale ale antreprenorilor din registrele publice, folosindu-le pentru a crea rapoarte comerciale și de piață pentru clienții săi, fără a-și îndeplini obligația de informare față de persoanele vizate.

Compania a contestat în instanță sancțiunea impusă de autoritate, susținând, printre altele, că nu este obligată să furnizeze informații în temeiul art. 14 alineatele (1,2) din GDPR, invocând derogarea prevăzută de același articol la paragraful 5 litera b), susținând că furnizarea acestor informații ar presupune un efort disproporționat, din cauza costului ridicat al îndeplinirii acestei obligații prin trimiterea acestor informații prin intermediul serviciilor poștale. 

UODO și-a apărat decizia susținând că acele costuri aferente furnizării informațiilor persoanelor vizate nu pot fi folosite ca pretext pentru demonstra caracterul disproporționat al efortului necesar pentru informarea persoanelor. Autoritatea a mai subliniat faptul că dreptul la informare prevăzut în articolele 13 și 14 este unul dintre drepturile de bază ale persoanelor vizate în cadrul GDPR. 

Curtea Administrativă Provincială din Varșovia a acceptat poziția autorității de supraveghere poloneze și a decis că publicarea de către Bisnode a unei politici de confidențialitate pe site-ul său web a fost insuficientă și contrară drepturilor persoanelor vizate.

Curtea a menținut măsura dispusă de UODO care prevedea ca Bisnode să furnizeze informațiile prevăzute la art 14 direct persoanelor sale vizate, fie prin poștă tradițională, fie prin e-mail. 

Cu alte cuvinte, pe lângă amendă, vor fi obligați să suporte și costurile pentru informarea persoanelor vizate.

Concluzii pe scurt

Deși majoritatea consideră că datele administratorilor, ale asociaților, ale consiliului de administrație s.a.m.d., ale unei entități juridice înscrise în Registrul Comerțului. nu sunt date personale, iată că lucrurile nu stau chiar așa. Acele informații își păstrează calitatea de date personale chiar dacă sunt public disponibile.

Mai mult, informațiile referitoare la capacitatea profesională / activitatea persoanelor (cum ar fi datele înscrise în diverse registre, ex. Lista experților tehnici atestați de Ministerul Dezvoltării) sunt și acestea date cu caracter personal. Prin urmare, prelucrarea acestor date se supune rigorilor GDPR-ului.

Eventualele costuri ridicate necesare realizării informării persoanelor vizate nu constituie o bază suficientă pentru a invoca excepția de la obligația de informare. Cu alte cuvinte, dacă vrei sa faci bani de pe urma datelor persoanelor, trebuie să iți permiți să o faci cu respectarea drepturilor și a libertăților acelor persoane.

Sursa: uodo.gov.pl, dataprotectionpeople.com 

• GDPR
  • GDPR Introduction
  • GDPR Foundation
  • Certified Data Protection Officer (DPO)
• Information Security
  • ISO/IEC 27001 Introduction
  • ISO/IEC 27001 Foundation
  • ISO/IEC 27001 Lead Implementer
  • ISO/IEC 27001 Lead Auditor
• Privacy
  • ISO/IEC 27701 Foundation
  • ISO/IEC 27701 Lead Implementer
  • ISO/IEC 27701 Lead Auditor
• Risk Management
  • ISO/IEC 27005 Introduction
  • ISO/IEC 27005 Foundation
  • ISO/IEC 27005 Risk Manager
  • ISO/IEC 27005 Lead Risk Manager
  • ISO 31000 Introduction
  • ISO 31000 Foundation
  • ISO 31000 Risk Manager
  • ISO 31000 Lead Risk Manager
  • ISO 31000 Transition
• CyberSecurity
  • ISO/IEC 29100 Lead Privacy Implementer
  • ISO/IEC 27032 Lead Cybersecurity Manager
  • Computer Forensics Introduction
  • Forensics Examination Foundation
  • Lead Computer Forensics Examiner
  • Lead Pen Test Professional
  • Cybersecurity Audit Foundation
• Incident Management
  • ISO/IEC 27035 Introduction
  • ISO/IEC 27035 Foundation
  • ISO/IEC 27035 Incident Manager
  • ISO/IEC 27035 Lead Incident Manager
• Business Continuity
  • ISO 22301 Introduction
  • ISO 22301 Foundation
  • ISO 22301 Lead Implementer
  • ISO 22301 Lead Auditor
  • ISO 22301:2019 Transition

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional.

„Suntem foarte încântați de acest parteneriat și promitem că vom oferi serviciile noastre la cel mai înalt nivel. Mă simt profund onorat și extrem de încântat să semnez acest acord cu NeoPrivacy România ”, a declarat Eric Lachapelle, CEO PECB. „Am susținut întotdeauna parteneriatele cu astfel de companii care sunt în concordanță și împărtășesc misiunea noastră. În anii trecuți am asistat la o dezvoltare extraordinară a programului nostru de parteneriat, susținând inițiativele care vizează în special dezvoltarea parteneriatelor internaționale. Ambele companii au echipe grozave de profesioniști și resurse care vor fi un sprijin deosebit pentru acest parteneriat ”, a adăugat Lachapelle.

„Parteneriatul dintre NeoPrivacy România și PECB ne onorează și ne obligă să oferim servicii de înaltă calitate clienților noștri din România și Republica Moldova. În primul rând, acest parteneriat strategic își propune să crească calitatea serviciilor de formare românești dedicate domeniului confidențialității și protecției datelor, punând un accent mai mare pe experiența practică. Toți formatorii NeoPrivacy România sunt în primul rând practicieni în domeniul protecției și securității datelor. ” a declarat Marius Dumitrescu, Managing Partner, NeoPrivacy Romania.

Prin intermediul acestui parteneriat, specialiștii români în protecția și securitatea datelor cu caracter personal, care își doresc o certificare la standardul PECB, pot demonstra la nivel international că dețin cunoștințele practice și capacitățile profesionale pentru a ajuta organizațiile în aplicarea legilor și reglementărilor privind protecția datelor și nu numai. Candidații pot economisi timp și bani, având în vedere că nu există cheltuieli de deplasare și pot învăța practic din confortul casei sau al biroului. Fiecare își poate stabili ritmul propriu de învățare cu posibilitatea de a obține certificarea prin susținerea examenului online, în orice moment, într-o perioadă de 12 luni.

Pechetul de cursuri în regim Self-Study lansat de NeoPrivacy Romania prin intermediul portalului dpo-NET.ro este următorul:

Metoda Self Study – materiale in format electronic, in limba engleza

PECB, prin intermediul NeoPrivacy România, ajută profesioniștii și organizațiile din România să își demonstreze angajamentul și competența, raportându-se la standarde internaționale, oferind această asigurare prin educație, evaluare și certificare cu cerințe de competență riguroase, recunoscute la nivel internațional. Misiunea noastră este de a oferi clienților noștri servicii complete care inspiră încredere, îmbunătățire continuă, demonstrarea recunoașterii și accent pe beneficiul societății, în ansamblu. Pentru informații suplimentare despre PECB și pentru lista completă a standardelor, vizitați http://www.pecb.com.

Despre NeoPrivacy Romania

La începutul anului 2018, NeoPrivacy și-a lansat oferta de servicii pentru companii din România și Republica Moldova, promovând soluții software pentru conformitate și implementarea GDPR, precum și servicii de audit pentru măsuri tehnice și organizatorice, servicii de audit pentru prevenirea incidentelor de securitate, ISO27001 și traininguri specializate pentru DPO și alți specialiști.

NeoPrivacy Romania a dezvoltat primul portal web românesc dedicat exclusiv comunității profesioniștilor din domeniul protecției datelor și securității informațiilor (https://dpo-net.ro/), oferind informații naționale și internaționale, resurse utile și traininguri online. Pe baza dezvoltării tehnologice din ultimii zece ani, proiectele echipei noastre rezultă din convingerea că „Privacy is a right, NeoPrivacy is a currency” și prin activitățile noastre de formare, creștem activ gradul de  conștientizare cu privire la importanța și valoarea datelor cu caracter personal.

Etapele de certificare / absolvire curs

1. Alegeti cursul care vi se potriveste
Fiecare certificare PECB are o programă de curs specifică și un set de cerințe de experiență. Pentru a stabili care acreditare este potrivită pentru Dumnevoastră, verificați toate cerințele de eligibilitate pentru diferitele certificări, în concordanță cu nevoile Dumneavoastră profesionale.

2. Pregătiți-vă pentru examen
Toți candidații în sistemul Self Study sunt responsabili pentru propriul program de studiu și pentru pregătirea în vederea examinării. Nu este obligatoriu parcurgerea un set specific de informații sau a unei material  unic de studiu, ca parte a procesului de certificare. Totuși, finalizarea unui curs sau a unui program de studiu vă va spori semnificativ șansa de a trece un examen de certificare PECB. Pentru a afla mai multe despre examene, domenii de competență și declarații de cunoștințe, accesați: Ghiduri de pregătire a examenelor PECB.

3. Aplicați și programați examenul
Candidații pot să susțină un examen PECB de la distanță, din comoditatea propriei case, prin aplicația de examen PECB si efecutand o programare: https://pecb.com/en/eventExamList/schedule

4. Absolvirea examenului
Candidații trebuie să ajungă cu cel puțin 30 de minute înainte de începerea examenului de certificare. Candidaților care sosesc cu întârziere nu li se va acorda timp compensatoriu pentru sosirea cu întârziere și li se poate refuza participarea la examen. Toți candidații sunt obligați să prezinte o carte de identitate valabilă, cum ar fi o carte de identitate națională, un permis de conducere sau un pașaport. Durata examenului variază în funcție de tipul de examen (vezi descrierea diferitelor examene pentru mai multe detalii). Timpul suplimentar poate fi oferit candidaților care susțin examenul într-o limbă diferită de limba maternă (la solicitarea candidaților, în ziua examenului).

Tipul examenului: eseuri, cunoscute sub numele de examene cu intrebari deschise, sunt examene în care candidații sunt autorizați să utilizeze numai următoarele materiale de referință:

• O copie a Regulamentului 679/2016 pe suport de hârtie;
• Notele de curs din Fișa Participantului;
• Orice note personale făcute de student în timpul cursului;
• Un dicționar;

Pentru mai multe informații despre detaliile examenului, consultați Regulile și politicile de examinare

5. Primește rezultatele examenului tău
Rezultatele vor fi comunicate prin e-mail într-o perioadă de la 6 până la 8 săptămâni de la data examinării. Candidatului i se vor oferi doar două rezultate posibile ale examinării: admis sau respins. În caz de eșec, rezultatele vor fi însoțite de lista domeniilor în care candidatul nu a răspuns complet la întrebare. Acest lucru poate ajuta candidatul să se pregătească mai bine pentru o reluare a examenului. Candidații, care nu sunt de acord cu rezultatele examenului, pot depune o contestatie.

6. Aplicați pentru certificare
Toți participanții care susțin cu succes examenul de certificare PECB au dreptul să solicite acreditările PECB pentru care au fost examinați. Cerințele educaționale și profesionale specifice vor trebui îndeplinite pentru a fi certificate PECB. Candidații trebuie să completeze Formularul de Cerere de Certificare online și să completeze toate celelalte formulare online (care pot fi accesate prin intermediul profilului lor online PECB), inclusiv datele de contact ale referințelor care vor fi contactate pentru a valida experiența profesională a candidaților.

Aprobarea cererii are loc imediat ce Departamentul de certificare validează că îndepliniți toate cerințele de certificare cu privire la acreditarea pentru care ați solicitat-o. Un mesaj va fi trimis la adresa de e-mail pe care ați furnizat-o în timpul procesului de inregistrare. Dacă este aprobat, vei putea descărca certificatul din contul de membru.

7. Mențineți certificarea
Certificările PECB sunt valabile timp de trei ani. Pentru a menține certificarea, solicitantul trebuie să demonstreze în fiecare an că el / ea încă îndeplinește sarcini care țin de această certificare. Profesioniștii cu certificare PECB furnizează anual PECB numărul de ore de audit și / sau sarcini legate de implementare pe care le-au îndeplinit, împreună cu datele de contact ale persoanelor care pot valida aceste sarcini. În plus, profesioniștii certificați ar trebui să plătească periodic taxele anuale de întreținere a certificării PECB.

Un e-mail de notificare este trimis membrilor noștri certificați, care sunt obligați să depună documente care atestă dezvoltarea profesională continuă (CPD) împreună cu taxa anuală de întreținere (AMF) cu trei luni înainte de data anuală a certificării lor.

În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere că în această țară nu există o lege care să introducă această obligație pentru operatori. Ghidul urmărește să ofere consultanță operatorilor care doresc, sau au obligația legală, să controleze accesul la spațiile lor prin restricționarea persoanelor cu febră, cu scopul de a preveni răspândirea în continuare a virusului. Ghidul prevede că organizațiile nu pot efectua aceste controale de temperatură dacă se înregistrează rezultatele acestor verificări și că nu se pot face verificări de temperatură folosind mijloace precum camere termice, digitale, scanere de temperatură sau alte mijloace automate de măsurare. Cu toate acestea, simpla citire a temperaturilor persoanelor fără a înregistra date nu constituie o activitate de prelucrare în temeiul Regulamentului general al UE privind protecția datelor („GDPR”) și, prin urmare, este permisă din punct de vedere al protecției datelor. 

Concluziile transmise de autoritate prin intermediul acestui Ghid sunt următoarele:

• Simpla citire a temperaturii unei persoane cu un termometru de bază nu constituie prelucrarea datelor cu caracter personal în baza GDPR, cu condiția ca datele de temperatură și răspunsul la verificările de temperatură (cum ar fi dacă accesul unei persoane) să nu fi fost înregistrat.

• Dacă organizațiile înregistrează răspunsul la verificările de temperatură (de exemplu, un angajator trimite angajații acasă în urma verificărilor de temperatură și înregistrează motivele pentru trimiterea acelor angajați conform dreptului muncii), aceasta constituie o activitate de procesare la care se aplică cerințele GDPR și pentru care este necesar un temei legal valabil. În cazul în care activitatea de prelucrare nu este reglementată de o lege, aceasta nu se poate utiliza consimțământul din cauza unui dezechilibru al puterii (de exemplu, într-o relație angajator-angajat) și atunci această prelucrare va fi considerată ilegală.

• Potrivit Autorității de Supraveghere Belgiene, verificările de temperatură folosind mijloace sofisticate, cum ar fi camere termice, scanere digitale de temperatură sau alte mijloace de măsurare automate care permit citirea temperaturii unei persoane la distanță, constituie activități de procesare care implică date de sănătate în baza GDPR și nu sunt permise.

• În măsura în care verificările de temperatură implică prelucrarea datelor de sănătate, trebuie să fie satisfăcut unul dintre motivele legale prevăzute la articolul 9 din GDPR. Potrivit Autorității de Supraveghere Belgiene, datele referitoare la sănătate pot fi procesate numai în scopuri de monitorizare COVID-19 atunci când:

  • (1) persoana vizată și-a dat consimțământul explicit pentru prelucrare;

  • (2) este necesar pentru îndeplinirea obligațiilor și exercitarea drepturilor specifice în domeniul ocupării forței de muncă, al securității sociale și al protecției sociale și în măsura în care este autorizat de legislația Uniunii sau a statului membru sau a unui acord colectiv care oferă garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;

  • (3) este necesar din motive de interes public având ca bază dreptului Uniunii sau al statelor membre; sau

  • (4) în cazul în care este necesar din motive de interes public în domeniul sănătății publice în temeiul dreptului Uniunii sau al statelor membre, care trebuie să ofere garanții adecvate și specifice ale drepturilor și libertăților persoanelor fizice, în special secretul profesional.

• Autoritatea de Supraveghere Belgiană consideră faptul că utilizarea consimțământului nu este o bază legală adecvată pentru a legitima verificările de temperatură, întrucât:
  • (1) consimțământul trebuie să fie dat liber;
  • (2) persoanelor fizice trebuie să li se recunoască dreptul de a nu-și da consimțământul pentru prelucrarea datelor lor personale și de a se opune verificărilor de temperatură;
  • (3) angajații se pot simți obligați de angajator să își ofere consimtământul din cauza relației disproporționate în aceștia;
• Potrivit Autorității de Supraveghere Belgiene, chiar și în cazul în care consimțământul este considerat valabil, acesta nu poate fi utilizat ca bază a legitimității prelucrarii excesive a datelor cu caracter personal. Acesta ar fi cazul, de exemplu, unde prelucrarea nu este absolut necesară pentru atingerea scopului.
• Ghidul clarifică faptul că în prezent nu există o bază legală specifică în conformitate cu legislația belgiană care ar permite organizațiilor precum angajatorii sau școlile să efectueze verificări sistematice de temperatură care implică prelucrarea datelor de sănătate. Deși angajatorii au obligația de a asigura sănătatea și securitatea la locul de muncă, conform Autorității de Supraveghere Belgiene, această obligație nu este suficient de specifică pentru a legitima procesarea datelor de sănătate în scopuri de monitorizare COVID-19. Prin urmare, DPA belgian solicită legiuitorului belgian să completeze acest decalaj legislativ în măsura necesară în contextul actual
• Autoritatea de Supraveghere Belgiană subliniază că verificările de temperatură sunt doar parțial eficiente în detectarea COVID-19, deoarece nu toți pacienții infectați au febră, iar febra ar putea fi un simptom al unei boli diferite.