Blog - Battlegroup

Blog

Registrul de evidenta a rezervarilor clientilor pentru terase – o noua provocare GDPR

Mult-asteptata redeschidere a teraselor, afectate de pandemia generat? de virus SARS-CoV 2, a fost reglementat? de Ordinul comun al Ministerului S?n?t??ii, Ministerului Economiei si al ANSVSA nr. 966/1.809/105/2020, publicat în Monitorul Oficial al României nr. 461 din 30.05.2020.

Informa?iile pe care le vom prezenta în cele ce urmeaz? sunt deopotriv? utile atât de?in?torilor de restaurante si cafenele cu terase, cât si clien?ilor acestora. Principala problem? generat? de acest Ordin este obligativitatea p?str?rii de c?tre operatorii economici a unui registru de eviden?? a rezerv?rilor clien?ilor, fapt ce d? nastere unui nou set de obliga?ii ce intr? sub inciden?a Regulamentului UE 679/2016 (GDPR).

Ce spune legea

Potrivit art. 4 alin. 1 litera l) din Normele privind stabilirea m?surilor specifice de prevenire a r?spândirii virusului SARS-CoV-2 pentru activit??ile de preparare, servire si consum al produselor alimentare, b?uturilor alcoolice si nealcoolice în spa?iile special amenajate din exteriorul cl?dirilor unit??ilor de alimenta?ie public? aprobate prin Ordinul mai sus men?ionat, operatorii economici din sectorul alimenta?iei publice trebuie s? se îngrijeasc? de existen?a unui registru de eviden?? a rezerv?rilor clien?ilor, astfel încât, în cazul apari?iei unui caz de îmboln?vire cu virusul SARS-CoV-2 în rândul clien?ilor unit??ii de alimenta?ie, s? existe date concrete pe baza c?rora s? poat? fi efectuat? ancheta epidemiologic?.

Se prelucreaz? date cu caracter personal?

Da. Aceast? activitate de ?inere a eviden?ei rezerv?rilor clien?ilor, împreun? cu datele acestora de contact, reprezint? o prelucrare a datelor în sensul art. 4 punctul 2 GDPR care for?eaz? operatorii economici s? îsi îndeplineasc? toate obliga?iile prev?zute de GDPR. Pe scurt, aceste obliga?ii vizeaz? urm?toarele:

  • îndeplinirea obliga?iei de informare a persoanelor vizate conform art. 13 sau, dup? caz, al art. 14 GDPR;
  • elaborarea documenta?iei de conformitate cu GDPR (proceduri interne, politici de prelucrare a datelor, acorduri de prelucrare a datelor, etc);
  • în cazurile prev?zute de art. 37 GDPR si de art. 4 din Legea 190/2018, desemnarea unui Responsabil cu Protec?ia Datelor (DPO) si notificarea desemn?rii lui c?tre ANSPDCP;
  • implementarea tuturor m?surilor necesare pentru garantarea securit??ii datelor personale prelucrate.

Ce date personale vom prelucra?

Ordinul nu prevede indica?ii concrete în privin?a categoriilor de date personale ce se vor colecta, însa instituie obliga?ia operatorilor economici de a solicita si ob?ine date concrete în baza c?rora sa fie efectuat? o eventual? anchet? epidemiologic?.

Ce înseamn? acest lucru? Operatorii economici sunt cei care vor trebui sa aplice principiul minimiz?rii datelor personale prev?zut de art. 5 alin. 1 litera c) GDPR si, ca urmare, s? solicite doar acele date strict necesare pentru a putea fi contactat ulterior clientul. Adic? numai numele, prenumele si num?rul de telefon sunt relevante în circumstan?a în care Direc?ia de S?n?tate Public? va fi nevoit? sa contacteze persoana în cauz?.

Sunt numeroase discu?ii pro si contra asupra solicit?rii, de exemplu, a unei adrese de email în locul num?rului de telefon, îns?, în situa?ia unei posibile contamin?ri cu coronavirus, viteza de reac?ie a autorit??ilor este esen?ial?, la fel cum este esen?ial? si utilizarea celui mai rapid mijloc de comunicare.

Riscurile pentru registrul de eviden?? a rezerv?rilor clien?ilor

Principalul risc, apar?inând atât operatorului economic, cât ?i clientului, îl reprezint? obliga?ia ambilor de a se asigura c? datele personale prelucrate în scopul p?str?rii registrului de eviden?? sunt corecte ?i actuale – principiul exactit??ii prelucr?rii datelor consacrat de art. 5 alin. 1 litera d) GDPR. Înseamn? c? operatorii economici sunt datori s? se asigure ca ob?in date reale de la clien?i, precum ?i c? ace?tia din urm? furnizeaz?, sub sanc?iunea aplicabil? falsului în declara?ii, datele lor personale corecte ?i complete.

O a doua provocare o reprezint? securitatea datelor personale con?inute de aceste registre de evident? a clien?ilor. Aceasta obliga?ie apar?ine exclusiv operatorilor economici, ace?tia fiind responsabili de a nu permite niciunei persoane neautorizate s? aib? acces la aceste date, precum ?i de a folosi datele ob?inute numai în scopul prev?zut în Ordinul 966. Operatorii economici sunt cei care aleg modalitatea concret? de tinere a acestui registru, care poate fi în format fizic, în format electronic (de exemplu, un fi?ier Excel) sau poate fi ?inut prin intermediul unei aplica?ii software a unui furnizor ter?. In func?ie de modalitatea aleas? de operator, cerin?ele de securitate ?i confiden?ialitate pot fi diferite ?i pot face obiectul unei analize de impact asupra protec?iei datelor personale.

Sanc?iuni

Multitudinea de acte normative cu incidenta asupra registrului de evident? a clien?ilor implic? sanc?iuni diferite pentru operatorii economici ?i pentru clien?ii acestora.

Operatorii economici pot fi sanc?iona?i astfel:

  • amend? contraven?ional? de pan? la 20 milioane EUR sau 4% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa inform?rii clien?ilor cu privire la modul, scopul, temeiul legal ?i drepturile persoanei vizate conform art. 13 si 14 GDPR, pentru înc?lcarea principiilor minimiz?rii ?i/sau al exactit??ii datelor personale prev?zute de art. 5 GDPR sau pentru neasigurarea securit??ii ?i confiden?ialit??ii datelor personale, conform art. 32 GDPR;
  • amend? contraven?ional? de pan? la 10 milioane EUR sau 2% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa sau neconformitatea acordurilor de prelucrare a datelor ce trebuiesc încheiate, potrivit art. 28 GDPR, cu furnizorii externi de aplica?ii software pentru rezerv?ri ?i/sau similare;
  • amend? contraven?ional? de pan? la 10.000 lei pentru lipsa registrului de eviden?? a clien?ilor, aplicat? de ITM sau organele de poli?ie, jandarmerie sau poli?ie local? conform Legii nr. 55/2020 privind unele m?suri pentru prevenirea ?i combaterea efectelor pandemiei de COVID-19;
  • atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal si/sau pentru infrac?iunea de omisiune a declar?rii unor informa?ii, prevazut? de art. 352^1 Cod Penal.

Clien?ii teraselor pot fi sanc?iona?i astfel:

  • amend? contraven?ional? de pana la 20 milioane EUR, aplicat? de ANSPDCP,  pentru înc?lcarea principiului exactit??ii datelor personale prev?zut de art. 5 GDPR;
  • atragerea r?spunderii penale pentru infrac?iunea de fals în declara?ii prevazut? de art. 326 Cod Penal;
  • atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal.

Pentru informa?ii suplimentare sau pentru analiza situa?iilor particulare, folosi?i cu încredere pagina noastr? de contact.

GDPR: 10 lucruri pe care ar trebui s? le face?i

Au trecut peste 100 de zile de la intrarea în vigoare a GDPR. Ne-am gândit s? v? prezent?m zece ac?iuni-cheie pe care firma dvs. ar trebui s? le întreprind? pentru a demonstra în mod activ conformitatea cu GDPR.

maxresdefault

1. Testa?i-v? planul de r?spuns la bre?ele de securitate a datelor 

Pân? acum, ar trebui s? ave?i un plan de r?spuns la înc?lc?rile de securitate a datelor. Urm?torul lucru cheie trebuie f?cut: testa?i planul ?i asigura?i-v? c? func?ioneaz?. Dac? planul dvs. se baza pe persoane sau roluri specifice, s-ar putea s? descoperi?i c?, în cele câteva luni de la intrarea în vigoare a Regulamentului, oamenii s-au mutat sau rolurile s-au schimbat. Experien?a ne-a ar?tat c? planurile nerevizuite regulat se pot pr?bu?i, ajungând din nou la nivel de schi??, mai ales atunci când toat? lumea încearc? s? evite responsabilitatea pentru datele pierdute. Ve?i ob?ine doar acest lucru prin testarea sistemelor regulat – în mod ideal la cel pu?in fiecare ?ase luni. Un lucru pe care oamenii  îl pot trece cu vederea este s? se asigure c? sunt con?tien?i de obliga?ia de notificare a  Autorit??ii de supraveghere (ANSPDCP) care trebuie s? fie notificat? în cazul unei înc?lc?ri.

De asemenea, trebuie s? acorda?i prioritate persoanelor fizice ale c?ror date au fost afectate de bre?a de securitate. Nu fi?i tenta?i s? v? concentra?i atât de mult asupra propriei dvs. conformit??i interne ?i asupra posibilelor sanc?iuni ale autorit??ilor, cu riscul de a ignora persoanele care au fost efectiv afectate. ANSPDCP va dori s? aud? c? face?i tot ce pute?i pentru a ajuta persoanele vizate de date afectate. ?ine?i cont de faptul c? am putea vorbi despre angaja?i, clien?i sau parteneri de afaceri – oricine ar fi persoanele afectate, trebuie s? v? asigura?i c?:

  • acestea beneficiaz? de suportul dumnevoastr?;
  • simt c? nu a?i profitat de ei sau de datele lor personale;
  • furniza?i suficiente informa?ii pe baza c?rora persoanele vizate pot ac?iona ulterior,  în cazul în care acestea vor dori acest lucru.

Trebuie s? ave?i grij? de persoanele afectate în modul în care a?i avea grij? de un client dezam?git. O ridicare colectiv? din umeri nu va ar?ta bine atunci când ANSPDCP v? va întreba ce a?i f?cut pentru a remedierea situa?iei persoanelor vizate afectate.

2. Examina?i comunic?rile interne ?i externe

Folosi?i cele mai sigure platforme? Ave?i metodele corecte de securitate în func?iune? Orice sistem care este fie nesecurizat, fie bazat în afara UE ar trebui s? fi fost actualizat pân? acum. Dac? utiliza?i aplica?ii precum Gmail sau Dropbox, disponibile în mod gratuit, v? recomand?m s? lua?i m?suri alternative.

De asemenea, ar fi trebuit s? opri?i pân? acum utilizarea de sisteme de comunica?ii cum ar fi WhatsApp sau Telegram pentru transmiterea datelor personale.

Asigura?i-v? c? a?i implementat m?suri care s? demonstreze conformitatea dvs. cu  Regulamentul în fa?a autorit??ilor, dac? totu?i se întâmpl? un incident de securitate.

3. Reanaliza?i obliga?ia de desemnare a unui ofi?er de protec?ie a datelor (DPO)

S-ar putea s? fi decis anterior c? nu ave?i nevoie de un DPO, dar aceasta este o decizie pe care organiza?ia dumneavoastr? ar trebui s? o revad? în mod regulat. Noi recomand?m câte o reanalizare a situa?iei la un interval de aproximativ ?ase luni.

Vor trebui verificate:

  • circumstan?ele actuale ale firmei dvs.
  • prevderile legale actuale
  • planul de dezvoltare a afacerii
  • tipurile de activit??i pe care le desf??ura?i
  • sensibilitatea ?i volumul datelor personale pe care le manipula?i

Dac? observa?i modific?ri ale elementelor de mai sus, atunci un DPO ar trebui s? fie de ajutor. Dac? ave?i deja un DPO existent, acesta ar trebui s? se concentreze pe în?elegerea rolul s?u ?i pe eficientizarea activit??ii în companie. De asemenea, nu trebuie s? uita?i despre notificarea ANSPDCP-ului cu privire la desemnarea DPO-ului.

4. Efectua?i evalu?ri frecvente ale impactului asupra vie?ii private

Întreprinderile ar trebui s? realizeze un astfel de audit pentru orice nou proiect major care implic? prelucrarea de date cu caracter personal. De exemplu, vom avea nevoie de o astfel de evaluare atunci când:

  • implementa?i noi sisteme IT
  • realiza?i site-uri noi
  • introduce?i sisteme noi de management al datelor
  • schimba?i loca?ia birourilor
  • permite?i personalului s? lucreze de acas? / la distan??

Nu este cazul s? v? sim?i?i descuraja?i gândindu-v? c? o astfel de evaluare va fi costisitoare sau hiper-detaliat?; ea trebuie doar s?:

1. s? identifice riscurile pentru datele personale asociate proiectului

2. s? precizeze ce m?suri ar trebui s? fie luate pentru a reduce aceste riscuri

3. s? detalia?i cum ve?i reduce riscurile

Efectuarea periodic? a unei astfel de evalu?ri va contribui la asigurarea transferului responsabilit??ilor, mai ales în cazul în care personalul implicat poate p?r?si compania.

5. Aplica?i politici de p?strare ?i prelucrare a datelor

Întreprinderile ar trebui s? revizuiasc? în mod regulat arhivele, bazele de date ?i mesajele de po?t? electronic?. Asigura?i-v? c? datele cu caracter personal nu sunt ?inute mai mult timp decât a?i declarat ini?ial. Exist? motive întemeiate pentru care unele date sunt p?strate pentru perioade prelungite (de exemplu,acte financiar-contabile, state de salarii). Cu toate acestea, în cazul unei înc?lc?ri care implic? prelucr?ri de date cu caracter personal de-a lungul unei perioade de zece ani, dac? politica de p?strare a datelor a firmei afirm? c? aceste date vor fi ?terse dup? ?apte ani, a?i putea fi sanc?ionat de ANSPDCP. Asigura?i-v? c? politica dvs. este corect? ?i aplicat? uniform.

6. Documenta?i-v? riscurile

Asigura?i-v? c? documentele dumneavoastr? interne reflect? toate riscurile asociate cu GDPR ?i protec?ia datelor. Acestea ar trebui s? fie revizuite în mod regulat ?i actualizate ca parte a monitoriz?rii permanente a conformit??ii companiei cu GDPR. Din nou, este recomandat ca ?i aceast? revizuire s? aib? loc la fiecare sase luni, pentru a v? asigura c? respecta?i în continuare legile privind protec?ia datelor ?i lua?i în considerare orice noi orient?ri ale ANSPDCP.

7. Efectua?i teste regulate de penetrare a sistemelor informatice

Ar trebui s? v? asigura?i c? sistemele informatice ale firmei dvs. sunt testate în mod regulat. Testele ar trebui efectuate de un furnizor extern, pentru a evalua pe deplin orice riscuri asociate cu sistemele dumneavoastr? de comunica?ii electronice, inclusiv site – uri web, e-mail, servere, telefoane mobile sau dispozitivele pentru munca la distan??. Dac? apar probleme, ac?iona?i imediat ?i reduce?i la minimum riscurile identificate.

8. Examina?i practicile de lucru la distan??

Asigura?i-v? c? firma dvs. respect? cele mai bune practici în ceea ce prive?te munca de la distan??. De exemplu, personalul ar trebui s? ?tie s? nu foloseasc? Wi-Fi public gratuit, nici s? lucreze în cafenele sau în public transport (atunci când ecranul laptopului sau un fi?ier sensibil poate fi observat de c?tre persoana de lâng?).

9. Instrui?i-v? personalul

Firma dvs. ar trebui s? aib? un program de formare bine pus la punct, care ar trebui s? fie revizuit în mod regulat ?i prezentat tuturor angaja?ilor noi ca parte a instructajului lor ini?ial. În cadrul acestor activit??i aceast? formare, ar trebui s? oferi?i personalului o mul?ime de exemple pentru a le ajuta s? se identifice „ingineriile de social media”, cum ar fi phishing-ul, în cazul în care fraudatorii reprezint? o firm? sau o institu?ie public?. Re?ine?i c? astfel de atacuri nu se mai limiteaz? la e-mailuri, ci pot avea loc ?i prin social media, mesaj text sau alte forme de mass-media. Este notorie în?el?toria prin mesaje false care încearc? s?-i fac? pe oameni s? acceseze un link pentru a asculta aparent un mesagerie vocal?, în timp ce, de fapt, acest lucru ar instala malware sau ar permite accesul la PC sau la dispozitivul mobil.

10. Fi?i la curent cu cele mai recente prevederi legale ?i recomand?ri

În afar? de respectarea constant? a regulilor privind prelucrarea datelor, ar trebui s? ave?i o analiz? periodic? a activit??ii dumneavoastr? pentru a aborda noile probleme de reglementare pentru GDPR. În cadrul acestor analize ar trebui s? monitorizeze, printre altele, ?i actualiz?rile din partea Comitetului european pentru protec?ia datelor sau din partea ANSPDCP. De asemenea, trebuie s? fi?i la curent ?i cu ?tirile în leg?tur? cu GDPR provenite din activit??ile de control ale ANSPDCP.

GDPR – Regulamentul (UE) 679/2016 privind protec?ia datelor cu caracter personal

GDPR

Regulamentul (UE) 679/2016 – Regulamentul general privind protec?ia datelor cu caracter personal (GDPR) este un actul normativ principal, aplicabil pe intreg teritoriul Uniunii Europene ?i care va gestiona modul de protec?ie a datelor personale pentru toate entit??ile, publice sau private, care opereaz? în Uniunea European?  ?i care gestioneaz? datele personale ale cet??enilor s?i. GDPR va intra în vigoare la data de 25 mai 2018 ?i presupune modul de gestiune ?i prelucrare a datelor personale ale angaja?ilor ?i clien?ilor persoane fizice.

Noua reglementare va înlocui toate actele normative existente la nivel na?ional, instituind proceduri ?i controale adecvate pentru a preveni înc?lcarea securit??ii informa?iilor ?i a drepturilor cet??enilor.

 

CE NOUT??I ADUCE GDPR?

Data Protection Officer (DPO)

Toate institu?iile publice (cu excep?ia instan?elor de judecat?), companiile a c?ror activitate principal? const? în opera?iuni de prelucrare a datelor care necesit? o monitorizare periodic? ?i sistematic? pe scar? larg? a persoanelor vizate, precum ?i companiile care prelucreaz?, pe scar? larg?, categorii speciale de date (originea rasial? sau etnic?, opiniile politice, confesiunea religioas? sau convingerile filozofice, apartenen?a la sindicate, date genetice, date biometrice, date privind s?n?tatea, date privind via?a sexual? sau orientarea sexual?) sau date referitoare la condamn?ri penale ?i infrac?iuni, vor fi obligate s? î?i angajeze un responsabil cu protec?ia datelor personale (DPO – Data Protection Officer) sau sa încheie un contract cu un DPO extern.

În propor?ie covâr?itoare, majoritatea companiilor proceseaz?, într-o form? sau alta, date cu caracter personal, fie c? realizeaz? aceast? procesare în interes propriu, fie c? o realizeaz? în interesul altor companii. Conceptul de date personale este atât de larg, încât este aproape imposibil ca o entitate s? nu prelucreze astfel de date. Fie c? vorbim despre prelucrarea datelor angaja?ilor, a datelor clien?ilor în scopuri de marketing, sau a datelor sensibile ale unor clien?i (date de s?n?tate, cazier fiscal sau judiciar etc.), toate aceste situa?ii transform? compania într-un subiect al GDPR.

Reguli noi pentru consim??mânt

Consim??mântul persoanei vizate pentru prelucrarea datelor, unul din posibilele temeiuri legitime, va avea un regim mult mai restrictiv. Astfel, solicitarea acordului trebuie sa fie in form? inteligibil? ?i u?or accesibil?, utilizând un limbaj clar ?i simplu; dac? sunt incluse mai multe aspecte, solicitarea acordului trebuie clar diferen?iat? de celelalte aspecte; retragerea consim??mântului trebuie s? poat? fi f?cut? la fel de simplu cum a fost dat; ?i, mai ales, nu este admis? condi?ionarea consim??mântului (de exemplu, condi?ionarea prest?rii unui serviciu sau livr?rii unui bun de acordul de prelucrare a datelor pentru marketing direct).

Drepturi noi pentru persoana vizat?. Portabilitatea datelor personale

Pe lâng? drepturile reglementate deja, persoanele vizate vor avea unele drepturi noi, între care dreptul la portabilitatea datelor. Persoanele vor avea dreptul s? primeasc? (direct sau prin intermediul unui alt operator indicat) datele lor într-un format structurat, utilizat în mod curent ?i care poate fi citit automat – una dintre cele mai provocatoare nout??i pentru întreprinderile digitale.

Transparen?? extins?

?i în prezent prelucrarea datelor personale trebuie adus? la cuno?tin?a persoanelor vizate, îns? regulile aplicabile potrivit GDPR impun aducerea la cuno?tin?a persoanelor vizate a unor informa?ii suplimentare, cum ar fi cine este responsabilul cu protec?ia datelor, care este temeiul prelucr?rii, dac? se recurge la profilare, cât timp sunt stocate datele personale, etc.

Sanc?iuni pentru neconformarea la dispozi?iile GDPR

Nerespectarea GDPR poate atrage mai multe tipuri de sanc?iuni, inclusiv amenzi de pân? la 20 de milioane de euro sau 4% din cifra de afaceri global?, oricare dintre acestea este mai mare. În plus, dac? au suferit un prejudiciu, persoanele vizate pot ob?ine desp?gubiri care s? acopere valoarea acestor prejudicii, iar drepturile lor pot fi reprezentate inclusiv de organisme colective (asocia?ii, sindicate, etc).

Adaptarea activit??ii Battlegroup in contextul pandemiei de COVID-19

In ultimele s?pt?mâni, am urm?rit cu aten?ie evolu?ia situa?iei globale in ceea ce priveste  r?spândirea, transmiterea si, cel mai important, efectele produse de noul coronavirus, COVID-19, asupra noastr? si a celor din jurul nostru.

Battlegroup are in permanen?? misiunea de a livra clien?ilor serviciile premium pe care le merit?, la cele mai inalte standarde de calitate si de promptitudine. Cu toate acestea, in acelasi timp avem si datoria de a asigura si cele mai inalte standarde de securitate atât pentru noi, cât si pentru cei cu care interac?ion?m zi de zi. Prin urmare, am fost nevoi?i s? ne adapt?m modul de lucru, cel pu?in pentru cele 30 de zile in care ne vom afla sub imperiul st?rii de urgen?? decretate ast?zi.

Ce m?suri am luat?

  • vineri, 13 martie 2020, a fost ultima zi in care ne-am desf?surat activitatea f?r? restric?ii; incepând de astazi, 16 martie, toat? activitatea noastr? se desf?soar?  exclusiv remote (la distan??);
  • toate c?l?toriile noastre in scop de afaceri sunt fie amânate, fie deja reprogramate pentru lunile de var?;
  • toate cursurile si evenimentele cu prezen?? fizic?, organizate de noi si partenerii nostri, programate a se desf?sura in lunile martie si aprilie, sunt anulate;
  • intâlnirile cu clientii si partenerii nostri sunt limitate doar la situa?iile de extrem? urgen?? (de exemplu, incidente de securitate sau alte asemenea evenimente de maxim? importan?? ce nu pot fi gestionate de la distan??).

Ce vom face in continuare?

In mod evident, nu vom l?sa nimic s? afecteze activitatea noastr?. Intrucât Battlegroup este o companie ce functioneaz? integral informatizat, vom continua s? oferim aceleasi servicii si in aceleasi conditii ca si pân? acum, concentrându-ne in schimb mai mult asupra gestion?rii rela?iilor contractuale f?r? a fi necesar? prezen?a fizic?. La acest moment, estim?m c? acest scenariu va fi aplicabil cel pu?in pân? la sfârsitul lunii aprilie 2020.

To?i clien?ii nostri beneficiaz? de suport suplimentar in aceast? perioad?, in special cei care sunt nevoi?i s? implementeze, la rândul lor, lucrul la distant?.

Suntem al?turi de to?i clien?ii, partenerii si prietenii nostri in efortul comun de a dep?si cât mai repede aceast? perioad? grea.

Dac? mai era nevoie, v? reamintim c? ne face pl?cere s? v? fim de ajutor, pentru orice situatie.

 

Uniunea Europeana se preg?te?te pentru modificarea GDPR

Comisia Europeana a stabilit, la 19 februarie 2020, prin intermediul Strategiei privind datele ?i Strategiei privind inteligen?a artificial?, liniile directoare ale ac?iunilor legislativului european pentru o transformare digital? fundamental?.

Pre?edinta Comisiei Europene, Ursula von der Leyen, a declarat: „Ast?zi prezent?m tuturor viziunea noastr? ambi?ioas? cu privire la viitorul digital al Europei. Este o viziune care abordeaz? toate aspectele, de la securitatea cibernetic? la infrastructurile critice, de la educa?ie digital? la competen?e, de la democra?ie la mass-media. Îmi doresc ca Europa digital? s? reflecte valorile noastre cele mai de pre?, care ne definesc ca europeni – deschiderea, echitatea, diversitatea, democra?ia ?i încrederea.”

Principalele modific?ri propuse de CE vizeaz? urm?toarele ac?iuni:

  • crearea unui spa?iu european al datelor, o pia?? unic? pentru date, pentru a debloca poten?ialul datelor neutilizate, permi?ând fluxul liber al acestor date în Uniunea European? ?i între diferitele sectoare, în beneficiul întreprinderilor, al cercet?torilor ?i al administra?iilor publice;
  • stabilirea unui cadru normativ adecvat cu privire la guvernan?a datelor, la accesarea ?i reutilizarea acestor date între întreprinderi, în rela?ia întreprinderi–administra?ii centrale ?i între diferitele administra?ii;
  • modificarea Regulamentului UE 679/2016 (GDPR), în special pentru îmbun?t??irea securit??ii datelor digitale ?i facilitarea exercit?rii drepturilor persoanelor fizice vizate;
  • reglementarea transferurilor de date personale intre companii (business-to-business – B2B – data-sharing);
  • reglementarea transferurilor de date publice de la autorit??ile publice c?tre companii private (government-to-business – G2B – data sharing);
  • reglementarea utiliz?rii de date personale transmise de companiile private c?tre autorit??ile publice (business-to-government – B2G – data sharing)
  • Elaborarea unui nou act normativ, pana in anul 2021, pentru reglementarea fluxurilor de date in Uniunea Europeana, cu accent pe utilizarea noilor tehnologii de tipul internet of things (IoT) si inteligenta artificiala (AI) – Data Act 2021.

Click aici pentru textul complet al Strategiei Europene privind datele (versiunea originala in limba engleza)

Toate detaliile privind planul de ac?iune al Uniunii Europene în domeniul datelor sunt disponibile pe website-ul Comisiei Europene:

https://ec.europa.eu/commission/presscorner/detail/ro/ip_20_273

Sursa informa?iilor: Comisia Europeana, www.ec.europa.eu/commission/

Implica?iile Brexit asupra GDPR

De?i incertitudinea este cuvântul de ordine în ceea ce prive?te ie?irea Marii Britanii din Uniunea Europeana la 31 octombrie 2019, autoritatea de supraveghere a datelor personale din Regatul Unit, Information Commissioner’s Office, desf??oar? campanii de informare a operatorilor de date britanici pentru clarificarea modului în care Brexit-ul va afecta prelucr?rile de date personale ale cet??eniilor UE efectuate de ace?tia, în special în care ie?irea din Uniune nu se va face prin intermediul unui acord UE – UK.

In eventualitatea unui Brexit f?r? acord, cele mai mari provoc?ri le vor avea de înfruntat operatorii de date din Marea Britanie, urmând ca ace?tia sa fie considera?i dup? 31 octombrie operatori de date non-UE.

Care va fi legisla?ia aplicabil? dup? Brexit?

GDPR este un regulament al Uniunii Europene. Aceasta înseamn? c? a devenit un act normativ aplicabil în toate statele membre ale UE (inclusiv în Marea Britanie), inclusiv în statele Spa?iului Economic European – SEE.

Când Marea Britanie va ie?i din UE, GDPR UE nu va mai fi aplicabil în mod direct în Marea Britanie. Cu toate acestea, guvernul britanic va men?ine GDPR în legisla?ia Regatului Unit, cu modific?rile necesare pentru a-?i adapta dispozi?iile pentru Marea Britanie („GDPR UK”).

Principiile, drepturile ?i obliga?iile cheie vor r?mâne acelea?i. Cu toate acestea, exist? implica?ii pentru regulile privind transferurile de date cu caracter personal între Marea Britanie ?i SEE.

Guvernul britanic inten?ioneaz? ca GDPR-ul Regatului Unit s? se aplice ?i operatorilor de date personale ?i împuternici?ilor acestora cu sediul în afara Regatului Unit, dac? activit??ile lor de procesare se refer? fie la oferirea de bunuri sau servicii persoanelor fizice din Marea Britanie, fie la monitorizarea comportamentului persoanelor fizice din Marea Britanie.

Exist?, de asemenea, implica?ii pentru operatorii de date personale din Marea Britanie care au un sediu si în SEE, sau au clien?i în SEE sau monitorizeaz? persoanele din SEE. GDPR UE se va aplica în continuare pentru aceste prelucr?ri de date personale, dar modul în care operatorii britanici interac?ioneaz? cu autorit??ile europene pentru protec?ia datelor se va schimba.

Transferurile de date intre Marea Britanie si SEE dup? Brexit

Autoritatea Europeana de Protec?ie a Datelor (EDPB) a emis înc? din 12 februarie 2019 o informare cu privire la modul în care se vor putea efectua transferuri de date din SEE în Marea Britanie, dup? ie?irea din UE f?r? acord.

In lipsa unui acord pentru Brexit, Regatul Unit va deveni o ?ar? ter?? începând cu 31 octombrie 2019. Acest lucru înseamn? c? transferurile de date personale în Marea Britanie trebuie s? se bazeze pe unul dintre urm?toarele instrumente:

  •  Clauze contractuale standard sau ad-hoc de protec?ie a datelor 
  •  Reguli corporatiste obligatorii
  •  Coduri de conduit? ?i mecanisme de certificare
  •  Derog?ri ce pot fi utilizate numai în absen?a clauzelor standard de protec?ie a datelor sau a unei alte garan?ii alternative adecvate.

Efectele Brexit-ului asupra cerin?elor de conformitate cu GDPR

In situa?ia unui operator de date personale cu sediul în Marea Britanie care nu are o sucursal?, birou sau alt? unitate într-un stat al UE sau SEE, dar care ofera bunuri sau servicii persoanelor fizice din SEE sau monitorizeaz? comportamentul indivizilor afla?i în SEE, atunci acest operator britanic va trebui totu?i s? respecte GDPR cu privire la aceast? prelucrare chiar ?i dup? ce Marea Britanie va p?r?si UE.

Întrucât operatorii de date britanici vor fi considera?i non-SEE dup? Brexit, GDPR prevede obliga?ia de desemnare a unui reprezentant în SEE. Acest reprezentant va trebui s? fie înfiin?at într-un stat UE sau SEE în care sunt localizate unele dintre persoanele ale c?ror date personale pe care le prelucra?i în acest mod. Operatorii britanici vor trebui s? autorizeze, în scris, reprezentantul, s? ac?ioneze în numele lor cu privire la respectarea cerin?elor GDPR ?i s? gestioneze rela?iile cu autorit??ile de supraveghere sau persoanele vizate în acest sens. Reprezentantul poate fi o persoan? fizic? sau o companie sau organiza?ie înfiin?at? în SEE ?i trebuie s? poat? reprezenta operatorul britanic cu privire la toate obliga?iile pe care le are în baza GDPR (de exemplu, o societate de consultan??).

Operatorii britanici vor fi obliga?i s? furnizeze persoanelor cu domiciliul în SEE ale c?ror date personale le prelucreaz?, datele de contact ale reprezentantului desemnat. Acest lucru se poate face prin includerea lor în politica de confiden?ialitate sau în notele de informare furnizate persoanelor fizice atunci când sunt colectate datele lor. De asemenea, datele reprezentantului trebuiesc f?cute u?or accesibil autorit??ilor de supraveghere – de exemplu, publicându-l pe site-ul web. Numirea reprezentantului trebuie s? fie f?cut? obligatoriu în scris ?i ar trebui s? stabileasc? termenii rela?iei operatorului cu acesta. Desemnarea unui reprezentant nu afecteaz? propria responsabilitate sau r?spundere a operatorului în ceea ce prive?te respectarea cerin?elor GDPR.

Amend? GDPR de 400 000 EUR: înc?lcarea securit??ii datelor ?i nerespectarea duratei de p?strare

Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protec?ia insuficient? a datelor personale ale utilizatorilor site-ului s?u web ?i pentru modul necorespunz?tor de stocare a acestor date.

Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a re?inut faptul ca societatea SERGIC este specializat? în dezvoltarea imobiliar?, cump?rarea, vânzarea, închirierea ?i administrarea propriet??ilor. În scopul desf??ur?rii activit??ii sale, a creat ?i gestionat site-ul www.sergic.com. Prin intermediul acestui site, compania permite clien?ilor înc?rcarea ?i desc?rcarea de documente justificative necesare pentru constituirea dosarului lor.

Sursa amenzii: plângerea unui utilizator

În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat c? poate accesa, din spa?iul sau personal de pe site, documentele salvate de al?i utilizatori prin modificarea u?oar? a adresei URL afi?ate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat c? documentele transmise de c?tre solicitan?i pentru închiriere au fost accesibile în mod liber, f?r? autentificare prealabil?. Aceste documente includeau copii ale c?r?ilor de identitate, declara?iilor fiscale, certificatelor eliberate de fondul de aloca?ii familiale, hot?râri de divor?, extrase de cont sau alte documente bancare.

Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate ?i a înc?lc?rii în consecin?? a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu aceast? ocazie, a devenit evident c? societatea era con?tient? de vulnerabilitate înc? din martie 2018 ?i c?, dac? ar fi ini?iat dezvolt?ri informatice pentru a o corecta, deficienta putea fi înl?turat? complet pana la data controlului.

Doua înc?lc?ri ale GDPR

In primul rând, CNIL a constatat c? societatea SERGIC nu ?i-a îndeplinit obliga?ia de a asigura securitatea datelor personale ale utilizatorilor site-ului s?u, prev?zut? la articolul 32 din GDPR.
Compania nu a avut o procedur? de autentificare a utilizatorului pentru site, pentru a se asigura c? persoanele care acceseaz? documentele au avut acest drept, chiar dac? era de a?teptat o astfel de m?sur? elementar?. Acest e?ec a fost agravat, pe de o parte, de natura datelor puse la dispozi?ie ?i, pe de alt? parte, de lipsa de diligen?? a societ??ii în corectarea acesteia: vulnerabilitatea nu a fost corectat? definitiv decât dup? 6 luni ?i nu au fost luate m?suri de urgen?? pentru a limita impactul vulnerabilit??ii.

In al doilea rând, autoritatea a constatat faptul c? societatea a p?strat în baza sa activ? de date toate documentele transmise de c?tre candida?i, f?r? o limitare a duratei de p?strare.

Concluzii

In motivarea sanc?iunii, CNIL a reamintit c?, în principiu, perioada de p?strare a datelor cu caracter personal trebuie s? fie stabilit? în func?ie de scopul prelucr?rii.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins ?i c? nici un alt scop nu justific? p?strarea datelor în baza activ?, datele trebuie fie ?terse, fie arhivate, dac? reten?ia este necesar? pentru respectarea cerin?elor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediar?, de exemplu într-o baz? de date separat?. Din nou, durata acestei arhiv?ri trebuie s? fie limitat? la ceea ce este strict necesar.

Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea înc?lc?rilor, lipsa de diligen?? a societ??ii în abordarea vulnerabilit??ii ?i faptul c? documentele astfel accesibile au relevat aspecte foarte intime ale vie?ii oamenilor. De asemenea, a ?inut cont ?i de m?rimea companiei ?i de situa?ia sa financiar?.

Textul complet al deciziei, in limba franceza, poate fi consultat AICI

Sursa informa?iilor: https://www.cnil.fr