Arhive GDPR - Battlegroup

Categorie: GDPR

Registrul de evidenta a rezervarilor clientilor pentru terase – o noua provocare GDPR

Mult-asteptata redeschidere a teraselor, afectate de pandemia generat? de virus SARS-CoV 2, a fost reglementat? de Ordinul comun al Ministerului S?n?t??ii, Ministerului Economiei si al ANSVSA nr. 966/1.809/105/2020, publicat în Monitorul Oficial al României nr. 461 din 30.05.2020.

Informa?iile pe care le vom prezenta în cele ce urmeaz? sunt deopotriv? utile atât de?in?torilor de restaurante si cafenele cu terase, cât si clien?ilor acestora. Principala problem? generat? de acest Ordin este obligativitatea p?str?rii de c?tre operatorii economici a unui registru de eviden?? a rezerv?rilor clien?ilor, fapt ce d? nastere unui nou set de obliga?ii ce intr? sub inciden?a Regulamentului UE 679/2016 (GDPR).

Ce spune legea

Potrivit art. 4 alin. 1 litera l) din Normele privind stabilirea m?surilor specifice de prevenire a r?spândirii virusului SARS-CoV-2 pentru activit??ile de preparare, servire si consum al produselor alimentare, b?uturilor alcoolice si nealcoolice în spa?iile special amenajate din exteriorul cl?dirilor unit??ilor de alimenta?ie public? aprobate prin Ordinul mai sus men?ionat, operatorii economici din sectorul alimenta?iei publice trebuie s? se îngrijeasc? de existen?a unui registru de eviden?? a rezerv?rilor clien?ilor, astfel încât, în cazul apari?iei unui caz de îmboln?vire cu virusul SARS-CoV-2 în rândul clien?ilor unit??ii de alimenta?ie, s? existe date concrete pe baza c?rora s? poat? fi efectuat? ancheta epidemiologic?.

Se prelucreaz? date cu caracter personal?

Da. Aceast? activitate de ?inere a eviden?ei rezerv?rilor clien?ilor, împreun? cu datele acestora de contact, reprezint? o prelucrare a datelor în sensul art. 4 punctul 2 GDPR care for?eaz? operatorii economici s? îsi îndeplineasc? toate obliga?iile prev?zute de GDPR. Pe scurt, aceste obliga?ii vizeaz? urm?toarele:

  • îndeplinirea obliga?iei de informare a persoanelor vizate conform art. 13 sau, dup? caz, al art. 14 GDPR;
  • elaborarea documenta?iei de conformitate cu GDPR (proceduri interne, politici de prelucrare a datelor, acorduri de prelucrare a datelor, etc);
  • în cazurile prev?zute de art. 37 GDPR si de art. 4 din Legea 190/2018, desemnarea unui Responsabil cu Protec?ia Datelor (DPO) si notificarea desemn?rii lui c?tre ANSPDCP;
  • implementarea tuturor m?surilor necesare pentru garantarea securit??ii datelor personale prelucrate.

Ce date personale vom prelucra?

Ordinul nu prevede indica?ii concrete în privin?a categoriilor de date personale ce se vor colecta, însa instituie obliga?ia operatorilor economici de a solicita si ob?ine date concrete în baza c?rora sa fie efectuat? o eventual? anchet? epidemiologic?.

Ce înseamn? acest lucru? Operatorii economici sunt cei care vor trebui sa aplice principiul minimiz?rii datelor personale prev?zut de art. 5 alin. 1 litera c) GDPR si, ca urmare, s? solicite doar acele date strict necesare pentru a putea fi contactat ulterior clientul. Adic? numai numele, prenumele si num?rul de telefon sunt relevante în circumstan?a în care Direc?ia de S?n?tate Public? va fi nevoit? sa contacteze persoana în cauz?.

Sunt numeroase discu?ii pro si contra asupra solicit?rii, de exemplu, a unei adrese de email în locul num?rului de telefon, îns?, în situa?ia unei posibile contamin?ri cu coronavirus, viteza de reac?ie a autorit??ilor este esen?ial?, la fel cum este esen?ial? si utilizarea celui mai rapid mijloc de comunicare.

Riscurile pentru registrul de eviden?? a rezerv?rilor clien?ilor

Principalul risc, apar?inând atât operatorului economic, cât ?i clientului, îl reprezint? obliga?ia ambilor de a se asigura c? datele personale prelucrate în scopul p?str?rii registrului de eviden?? sunt corecte ?i actuale – principiul exactit??ii prelucr?rii datelor consacrat de art. 5 alin. 1 litera d) GDPR. Înseamn? c? operatorii economici sunt datori s? se asigure ca ob?in date reale de la clien?i, precum ?i c? ace?tia din urm? furnizeaz?, sub sanc?iunea aplicabil? falsului în declara?ii, datele lor personale corecte ?i complete.

O a doua provocare o reprezint? securitatea datelor personale con?inute de aceste registre de evident? a clien?ilor. Aceasta obliga?ie apar?ine exclusiv operatorilor economici, ace?tia fiind responsabili de a nu permite niciunei persoane neautorizate s? aib? acces la aceste date, precum ?i de a folosi datele ob?inute numai în scopul prev?zut în Ordinul 966. Operatorii economici sunt cei care aleg modalitatea concret? de tinere a acestui registru, care poate fi în format fizic, în format electronic (de exemplu, un fi?ier Excel) sau poate fi ?inut prin intermediul unei aplica?ii software a unui furnizor ter?. In func?ie de modalitatea aleas? de operator, cerin?ele de securitate ?i confiden?ialitate pot fi diferite ?i pot face obiectul unei analize de impact asupra protec?iei datelor personale.

Sanc?iuni

Multitudinea de acte normative cu incidenta asupra registrului de evident? a clien?ilor implic? sanc?iuni diferite pentru operatorii economici ?i pentru clien?ii acestora.

Operatorii economici pot fi sanc?iona?i astfel:

  • amend? contraven?ional? de pan? la 20 milioane EUR sau 4% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa inform?rii clien?ilor cu privire la modul, scopul, temeiul legal ?i drepturile persoanei vizate conform art. 13 si 14 GDPR, pentru înc?lcarea principiilor minimiz?rii ?i/sau al exactit??ii datelor personale prev?zute de art. 5 GDPR sau pentru neasigurarea securit??ii ?i confiden?ialit??ii datelor personale, conform art. 32 GDPR;
  • amend? contraven?ional? de pan? la 10 milioane EUR sau 2% din cifra total? anual? de afaceri, aplicat? de ANSPDCP, pentru lipsa sau neconformitatea acordurilor de prelucrare a datelor ce trebuiesc încheiate, potrivit art. 28 GDPR, cu furnizorii externi de aplica?ii software pentru rezerv?ri ?i/sau similare;
  • amend? contraven?ional? de pan? la 10.000 lei pentru lipsa registrului de eviden?? a clien?ilor, aplicat? de ITM sau organele de poli?ie, jandarmerie sau poli?ie local? conform Legii nr. 55/2020 privind unele m?suri pentru prevenirea ?i combaterea efectelor pandemiei de COVID-19;
  • atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal si/sau pentru infrac?iunea de omisiune a declar?rii unor informa?ii, prevazut? de art. 352^1 Cod Penal.

Clien?ii teraselor pot fi sanc?iona?i astfel:

  • amend? contraven?ional? de pana la 20 milioane EUR, aplicat? de ANSPDCP,  pentru înc?lcarea principiului exactit??ii datelor personale prev?zut de art. 5 GDPR;
  • atragerea r?spunderii penale pentru infrac?iunea de fals în declara?ii prevazut? de art. 326 Cod Penal;
  • atragerea r?spunderii penale pentru infrac?iunea de z?d?rnicirea combaterii bolilor prevazut? de art. 352 Cod Penal.

Pentru informa?ii suplimentare sau pentru analiza situa?iilor particulare, folosi?i cu încredere pagina noastr? de contact.

Uniunea Europeana se preg?te?te pentru modificarea GDPR

Comisia Europeana a stabilit, la 19 februarie 2020, prin intermediul Strategiei privind datele ?i Strategiei privind inteligen?a artificial?, liniile directoare ale ac?iunilor legislativului european pentru o transformare digital? fundamental?.

Pre?edinta Comisiei Europene, Ursula von der Leyen, a declarat: „Ast?zi prezent?m tuturor viziunea noastr? ambi?ioas? cu privire la viitorul digital al Europei. Este o viziune care abordeaz? toate aspectele, de la securitatea cibernetic? la infrastructurile critice, de la educa?ie digital? la competen?e, de la democra?ie la mass-media. Îmi doresc ca Europa digital? s? reflecte valorile noastre cele mai de pre?, care ne definesc ca europeni – deschiderea, echitatea, diversitatea, democra?ia ?i încrederea.”

Principalele modific?ri propuse de CE vizeaz? urm?toarele ac?iuni:

  • crearea unui spa?iu european al datelor, o pia?? unic? pentru date, pentru a debloca poten?ialul datelor neutilizate, permi?ând fluxul liber al acestor date în Uniunea European? ?i între diferitele sectoare, în beneficiul întreprinderilor, al cercet?torilor ?i al administra?iilor publice;
  • stabilirea unui cadru normativ adecvat cu privire la guvernan?a datelor, la accesarea ?i reutilizarea acestor date între întreprinderi, în rela?ia întreprinderi–administra?ii centrale ?i între diferitele administra?ii;
  • modificarea Regulamentului UE 679/2016 (GDPR), în special pentru îmbun?t??irea securit??ii datelor digitale ?i facilitarea exercit?rii drepturilor persoanelor fizice vizate;
  • reglementarea transferurilor de date personale intre companii (business-to-business – B2B – data-sharing);
  • reglementarea transferurilor de date publice de la autorit??ile publice c?tre companii private (government-to-business – G2B – data sharing);
  • reglementarea utiliz?rii de date personale transmise de companiile private c?tre autorit??ile publice (business-to-government – B2G – data sharing)
  • Elaborarea unui nou act normativ, pana in anul 2021, pentru reglementarea fluxurilor de date in Uniunea Europeana, cu accent pe utilizarea noilor tehnologii de tipul internet of things (IoT) si inteligenta artificiala (AI) – Data Act 2021.

Click aici pentru textul complet al Strategiei Europene privind datele (versiunea originala in limba engleza)

Toate detaliile privind planul de ac?iune al Uniunii Europene în domeniul datelor sunt disponibile pe website-ul Comisiei Europene:

https://ec.europa.eu/commission/presscorner/detail/ro/ip_20_273

Sursa informa?iilor: Comisia Europeana, www.ec.europa.eu/commission/

Implica?iile Brexit asupra GDPR

De?i incertitudinea este cuvântul de ordine în ceea ce prive?te ie?irea Marii Britanii din Uniunea Europeana la 31 octombrie 2019, autoritatea de supraveghere a datelor personale din Regatul Unit, Information Commissioner’s Office, desf??oar? campanii de informare a operatorilor de date britanici pentru clarificarea modului în care Brexit-ul va afecta prelucr?rile de date personale ale cet??eniilor UE efectuate de ace?tia, în special în care ie?irea din Uniune nu se va face prin intermediul unui acord UE – UK.

In eventualitatea unui Brexit f?r? acord, cele mai mari provoc?ri le vor avea de înfruntat operatorii de date din Marea Britanie, urmând ca ace?tia sa fie considera?i dup? 31 octombrie operatori de date non-UE.

Care va fi legisla?ia aplicabil? dup? Brexit?

GDPR este un regulament al Uniunii Europene. Aceasta înseamn? c? a devenit un act normativ aplicabil în toate statele membre ale UE (inclusiv în Marea Britanie), inclusiv în statele Spa?iului Economic European – SEE.

Când Marea Britanie va ie?i din UE, GDPR UE nu va mai fi aplicabil în mod direct în Marea Britanie. Cu toate acestea, guvernul britanic va men?ine GDPR în legisla?ia Regatului Unit, cu modific?rile necesare pentru a-?i adapta dispozi?iile pentru Marea Britanie („GDPR UK”).

Principiile, drepturile ?i obliga?iile cheie vor r?mâne acelea?i. Cu toate acestea, exist? implica?ii pentru regulile privind transferurile de date cu caracter personal între Marea Britanie ?i SEE.

Guvernul britanic inten?ioneaz? ca GDPR-ul Regatului Unit s? se aplice ?i operatorilor de date personale ?i împuternici?ilor acestora cu sediul în afara Regatului Unit, dac? activit??ile lor de procesare se refer? fie la oferirea de bunuri sau servicii persoanelor fizice din Marea Britanie, fie la monitorizarea comportamentului persoanelor fizice din Marea Britanie.

Exist?, de asemenea, implica?ii pentru operatorii de date personale din Marea Britanie care au un sediu si în SEE, sau au clien?i în SEE sau monitorizeaz? persoanele din SEE. GDPR UE se va aplica în continuare pentru aceste prelucr?ri de date personale, dar modul în care operatorii britanici interac?ioneaz? cu autorit??ile europene pentru protec?ia datelor se va schimba.

Transferurile de date intre Marea Britanie si SEE dup? Brexit

Autoritatea Europeana de Protec?ie a Datelor (EDPB) a emis înc? din 12 februarie 2019 o informare cu privire la modul în care se vor putea efectua transferuri de date din SEE în Marea Britanie, dup? ie?irea din UE f?r? acord.

In lipsa unui acord pentru Brexit, Regatul Unit va deveni o ?ar? ter?? începând cu 31 octombrie 2019. Acest lucru înseamn? c? transferurile de date personale în Marea Britanie trebuie s? se bazeze pe unul dintre urm?toarele instrumente:

  •  Clauze contractuale standard sau ad-hoc de protec?ie a datelor 
  •  Reguli corporatiste obligatorii
  •  Coduri de conduit? ?i mecanisme de certificare
  •  Derog?ri ce pot fi utilizate numai în absen?a clauzelor standard de protec?ie a datelor sau a unei alte garan?ii alternative adecvate.

Efectele Brexit-ului asupra cerin?elor de conformitate cu GDPR

In situa?ia unui operator de date personale cu sediul în Marea Britanie care nu are o sucursal?, birou sau alt? unitate într-un stat al UE sau SEE, dar care ofera bunuri sau servicii persoanelor fizice din SEE sau monitorizeaz? comportamentul indivizilor afla?i în SEE, atunci acest operator britanic va trebui totu?i s? respecte GDPR cu privire la aceast? prelucrare chiar ?i dup? ce Marea Britanie va p?r?si UE.

Întrucât operatorii de date britanici vor fi considera?i non-SEE dup? Brexit, GDPR prevede obliga?ia de desemnare a unui reprezentant în SEE. Acest reprezentant va trebui s? fie înfiin?at într-un stat UE sau SEE în care sunt localizate unele dintre persoanele ale c?ror date personale pe care le prelucra?i în acest mod. Operatorii britanici vor trebui s? autorizeze, în scris, reprezentantul, s? ac?ioneze în numele lor cu privire la respectarea cerin?elor GDPR ?i s? gestioneze rela?iile cu autorit??ile de supraveghere sau persoanele vizate în acest sens. Reprezentantul poate fi o persoan? fizic? sau o companie sau organiza?ie înfiin?at? în SEE ?i trebuie s? poat? reprezenta operatorul britanic cu privire la toate obliga?iile pe care le are în baza GDPR (de exemplu, o societate de consultan??).

Operatorii britanici vor fi obliga?i s? furnizeze persoanelor cu domiciliul în SEE ale c?ror date personale le prelucreaz?, datele de contact ale reprezentantului desemnat. Acest lucru se poate face prin includerea lor în politica de confiden?ialitate sau în notele de informare furnizate persoanelor fizice atunci când sunt colectate datele lor. De asemenea, datele reprezentantului trebuiesc f?cute u?or accesibil autorit??ilor de supraveghere – de exemplu, publicându-l pe site-ul web. Numirea reprezentantului trebuie s? fie f?cut? obligatoriu în scris ?i ar trebui s? stabileasc? termenii rela?iei operatorului cu acesta. Desemnarea unui reprezentant nu afecteaz? propria responsabilitate sau r?spundere a operatorului în ceea ce prive?te respectarea cerin?elor GDPR.

Amend? GDPR de 400 000 EUR: înc?lcarea securit??ii datelor ?i nerespectarea duratei de p?strare

Autoritatea franceza de supraveghere a datelor personale – CNIL a dispus amendarea companiei SERGIC cu suma de 400.000 EUR pentru protec?ia insuficient? a datelor personale ale utilizatorilor site-ului s?u web ?i pentru modul necorespunz?tor de stocare a acestor date.

Prin decizia CNIL nr. SAN – 2019-005 din 28 mai 2019, s-a re?inut faptul ca societatea SERGIC este specializat? în dezvoltarea imobiliar?, cump?rarea, vânzarea, închirierea ?i administrarea propriet??ilor. În scopul desf??ur?rii activit??ii sale, a creat ?i gestionat site-ul www.sergic.com. Prin intermediul acestui site, compania permite clien?ilor înc?rcarea ?i desc?rcarea de documente justificative necesare pentru constituirea dosarului lor.

Sursa amenzii: plângerea unui utilizator

În august 2018, CNIL a primit o plângere din partea unui utilizator al site-ului, care a declarat c? poate accesa, din spa?iul sau personal de pe site, documentele salvate de al?i utilizatori prin modificarea u?oar? a adresei URL afi?ate în browser.
Un control la distanta, efectuat de autoritate la 7 septembrie 2018, a constatat c? documentele transmise de c?tre solicitan?i pentru închiriere au fost accesibile în mod liber, f?r? autentificare prealabil?. Aceste documente includeau copii ale c?r?ilor de identitate, declara?iilor fiscale, certificatelor eliberate de fondul de aloca?ii familiale, hot?râri de divor?, extrase de cont sau alte documente bancare.

Chiar în ziua controlului, CNIL a alertat compania asupra acestui incident de securitate ?i a înc?lc?rii în consecin?? a regulilor de prelucrare a datelor cu caracter personal.
Câteva zile mai târziu, s-a efectuat un control la sediul companiei. Cu aceast? ocazie, a devenit evident c? societatea era con?tient? de vulnerabilitate înc? din martie 2018 ?i c?, dac? ar fi ini?iat dezvolt?ri informatice pentru a o corecta, deficienta putea fi înl?turat? complet pana la data controlului.

Doua înc?lc?ri ale GDPR

In primul rând, CNIL a constatat c? societatea SERGIC nu ?i-a îndeplinit obliga?ia de a asigura securitatea datelor personale ale utilizatorilor site-ului s?u, prev?zut? la articolul 32 din GDPR.
Compania nu a avut o procedur? de autentificare a utilizatorului pentru site, pentru a se asigura c? persoanele care acceseaz? documentele au avut acest drept, chiar dac? era de a?teptat o astfel de m?sur? elementar?. Acest e?ec a fost agravat, pe de o parte, de natura datelor puse la dispozi?ie ?i, pe de alt? parte, de lipsa de diligen?? a societ??ii în corectarea acesteia: vulnerabilitatea nu a fost corectat? definitiv decât dup? 6 luni ?i nu au fost luate m?suri de urgen?? pentru a limita impactul vulnerabilit??ii.

In al doilea rând, autoritatea a constatat faptul c? societatea a p?strat în baza sa activ? de date toate documentele transmise de c?tre candida?i, f?r? o limitare a duratei de p?strare.

Concluzii

In motivarea sanc?iunii, CNIL a reamintit c?, în principiu, perioada de p?strare a datelor cu caracter personal trebuie s? fie stabilit? în func?ie de scopul prelucr?rii.
Atunci când acest scop (de exemplu, gestionarea cererilor utilizatorilor) este atins ?i c? nici un alt scop nu justific? p?strarea datelor în baza activ?, datele trebuie fie ?terse, fie arhivate, dac? reten?ia este necesar? pentru respectarea cerin?elor legale sau pentru eventuale litigii. În acest caz, datele trebuie plasate în arhivare intermediar?, de exemplu într-o baz? de date separat?. Din nou, durata acestei arhiv?ri trebuie s? fie limitat? la ceea ce este strict necesar.

Pentru stabilirea cuantumului amenzii, autoritatea a luat în considerare gravitatea înc?lc?rilor, lipsa de diligen?? a societ??ii în abordarea vulnerabilit??ii ?i faptul c? documentele astfel accesibile au relevat aspecte foarte intime ale vie?ii oamenilor. De asemenea, a ?inut cont ?i de m?rimea companiei ?i de situa?ia sa financiar?.

Textul complet al deciziei, in limba franceza, poate fi consultat AICI

Sursa informa?iilor: https://www.cnil.fr

De ce trebuie ?terse datele personale

Autoritatea danez? pentru protec?ia datelor Datatilsynet a aplicat recent prima sa amend? pentru înc?lcarea GDPR de c?tre compania de taxi Taxa 4 × 35 (Taxa), pentru p?strarea anumitor date ale clien?ilor pentru mai mult timp decât era necesar.

Înc?lcarea principiului minimiz?rii datelor personale

Autoritatea daneza a constatat c? societatea Taxa nu a respectat principiul minimiz?rii datelor GDPR prin re?inerea datelor cu caracter personal mult timp dup? limita de re?inere preconizat? pentru astfel de categorii de date. Taxa a eliminat numele ?i adresele clien?ilor dup? doi ani de re?inere, dar au p?strat numerele de telefon ale clien?ilor pentru înc? trei ani. Taxa a sus?inut c? numerele de telefon au reprezentat o parte esen?ial? a bazei sale de date IT ?i, prin urmare, nu au putut fi ?terse în acela?i timp.

Autoritatea de protec?ie a datelor nu a fost de acord cu justificarea c? o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de înc?lcare grav? a confiden?ialit??ii datelor. În plus, încerc?rile de anonimizare ale datelor de?inute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societ??ile s? fac? imposibil? conectarea anumitor informa?ii astfel încât sa nu poat? fi identificata o persoan? fizica. În ciuda ?tergerii numelor clien?ilor de la Taxa, informa?iile ce au r?mas în sistemul s?u informatic pot totu?i sa identifice persoanele vizate prin numerele de telefon.

Care este relevan?a sanc?iunii?

Autoritatea din Danemarca a aplicat o amend? de 1,2 milioane de coroane, adic? aproximativ 160,754 EUR. Aceasta reprezint? aproximativ 2,8% din cifra de afaceri anual? a companiei, ceea ce demonstreaz?, în esen??, disponibilitatea autorit??ilor de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amend? în Danemarca nu ar fi dep??it 25.000 de coroane (aproximativ 3.350 de euro). Aceast? amenda consistenta  este legata de cantitatea mare de date despre clien?i de care compania nu a mai avut nevoie, ci a p?strat-o prea mult timp – ?i anume numere de telefon personale conectate la nou? milioane de c?l?torii de taxi. Decizia autorit??ii stabile?te, de asemenea, ?i un precedent, in sensul c? limit?rile organiza?ionale ale procedurilor ?i aplica?iilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-p?stra datele cu caracter personal. Companiile care se confrunt? cu astfel de limit?ri sunt nevoite s? exploreze alte solu?ii pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon ?i a informa?iilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sanc?iunea autorit??ii daneze este prima impus? în aceasta ?ar? pentru nerespectarea cerin?elor GDPR, dup? cum tot prima a fost ?i amenda din Polonia pentru înc?lcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de c?tre o companie a inform?rii persoanelor vizate cu privire la modul în care prelucreaz? datele lor personale,  sau amenda-record aplicata în Fran?a gigantului Google, despre care am scris pe larg anterior.

Este evident c? aceast? list? de „prime sanc?iuni” este într-o continua cre?tere, în condi?iile în care autorit??ile de reglementare din UE vor folosi, f?r? îndoial?, practica recent? ca element definitoriu pentru viitoarele controale ?i sanc?iuni. Operatorii de date personale sunt nevoi?i astfel s? ?in? seama de sanc?iunile aplicate în întreaga UE pentru a aprecia consecin?ele înc?lc?rii GDPR ?i a începe s? adopte m?suri tehnice ?i organizatorice de protec?ie a datelor personale.