0 comentarii la „De ce trebuie șterse datele personale”

De ce trebuie șterse datele personale

Autoritatea daneză pentru protecția datelor Datatilsynet a aplicat recent prima sa amendă pentru încălcarea GDPR de către compania de taxi Taxa 4 × 35 (Taxa), pentru păstrarea anumitor date ale clienților pentru mai mult timp decât era necesar.

Încălcarea principiului minimizării datelor personale

Autoritatea daneza a constatat că societatea Taxa nu a respectat principiul minimizării datelor GDPR prin reținerea datelor cu caracter personal mult timp după limita de reținere preconizată pentru astfel de categorii de date. Taxa a eliminat numele și adresele clienților după doi ani de reținere, dar au păstrat numerele de telefon ale clienților pentru încă trei ani. Taxa a susținut că numerele de telefon au reprezentat o parte esențială a bazei sale de date IT și, prin urmare, nu au putut fi șterse în același timp.

Autoritatea de protecție a datelor nu a fost de acord cu justificarea că o dificultate în cadrul sistemului informatic al unei companii poate justifica o astfel de încălcare gravă a confidențialității datelor. În plus, încercările de anonimizare ale datelor deținute de Taxa erau insuficiente. Anonimizarea datelor presupune ca societățile să facă imposibilă conectarea anumitor informații astfel încât sa nu poată fi identificata o persoană fizica. În ciuda ștergerii numelor clienților de la Taxa, informațiile ce au rămas în sistemul său informatic pot totuși sa identifice persoanele vizate prin numerele de telefon.

Care este relevanța sancțiunii?

Autoritatea din Danemarca a aplicat o amendă de 1,2 milioane de coroane, adică aproximativ 160,754 EUR. Aceasta reprezintă aproximativ 2,8% din cifra de afaceri anuală a companiei, ceea ce demonstrează, în esență, disponibilitatea autorităților de supraveghere ale UE de a se apropia de plafonul anual de 4% anual al cifrei de afaceri globale impus de GDPR. Anterior GDPR, o astfel de amendă în Danemarca nu ar fi depășit 25.000 de coroane (aproximativ 3.350 de euro). Această amenda consistenta  este legata de cantitatea mare de date despre clienți de care compania nu a mai avut nevoie, ci a păstrat-o prea mult timp – și anume numere de telefon personale conectate la nouă milioane de călătorii de taxi. Decizia autorității stabilește, de asemenea, și un precedent, in sensul că limitările organizaționale ale procedurilor și aplicațiilor IT nu pot fi recunoscute ca fiind un motiv legitim de a supra-păstra datele cu caracter personal. Companiile care se confruntă cu astfel de limitări sunt nevoite să exploreze alte soluții pentru a diminua riscurile, de exemplu înlocuirea numerelor de telefon și a informațiilor cu identificatori aleatorii pentru a anonimiza în mod eficient datele personale mai vechi.

Sancțiunea autorității daneze este prima impusă în aceasta țară pentru nerespectarea cerințelor GDPR, după cum tot prima a fost și amenda din Polonia pentru încălcarea articolului 14 din GDPR – aproape 220 000 EUR pentru nerespectarea de către o companie a informării persoanelor vizate cu privire la modul în care prelucrează datele lor personale,  sau amenda-record aplicata în Franța gigantului Google, despre care am scris pe larg anterior.

Este evident că această listă de „prime sancțiuni” este într-o continua creștere, în condițiile în care autoritățile de reglementare din UE vor folosi, fără îndoială, practica recentă ca element definitoriu pentru viitoarele controale și sancțiuni. Operatorii de date personale sunt nevoiți astfel să țină seama de sancțiunile aplicate în întreaga UE pentru a aprecia consecințele încălcării GDPR și a începe să adopte măsuri tehnice și organizatorice de protecție a datelor personale.

0 comentarii la „De ce chiar avem nevoie de GDPR: bazele publice de date”

De ce chiar avem nevoie de GDPR: bazele publice de date

Existența companiilor care extrag informații din bazele de date publice și ulterior le vând sau revând, într-o formă sau alta, publicului larg, nu reprezintă nicio noutate. Activitatea acestor companii se desfășoară în cea mai mare parte în mediul online, prin intermediul diferitelor site-uri și portale, nefiind afectate (până acum) de legislația europeană privind protecția datelor personale.

Probabil că v-ați confruntat de numeroase ori cu diverse solicitări cu caracter comercial, provenite de la persoane ce justifică deținerea datelor dumneavoastră cu caracter personal ca fiind preluate din baze de date publice. Sau poate ați fost puși în situația de a cumpăra chiar de la aceste societăți părți din aceste baze de date, pentru diverse activități de marketing. Credeți că doar pentru faptul ca ele provin din registre publice, avem voie sa le folosim asa cum vrem? Think again.

Ce s-a întâmplat?

In 26 martie 2019, Autoritatea de supraveghere a prelucrării datelor personale din Polonia (UODO) a amendat o companie poloneza cu suma de 200.000 euro pentru încălcarea obligației de informare a persoanelor fizice vizate. Compania în cauza prelucra datele a peste 6 milioane de persoane, date colectate în majoritate din Registrul Electronic Central al Activităților Economice din Polonia, echivalentul Registrului Comerțului din Romania. Prin decizia de sancționare, s-a reținut în esență faptul ca, deși acele informații proveneau din surse publice, compania amendata le folosea pentru activități comerciale, fapt ce generează obligațiile prevazute de GDPR în sarcina operatorului de date personale.

Autoritatea a verificat nerespectarea obligației de informare cu privire la persoanele fizice care desfășoară activități economice. Aceste persoane sunt atât antreprenorii care desfășoară în prezent o astfel de activitate, sau au suspendat-o, precum și antreprenorii care au desfășurat o astfel de activitate în trecut. Operatorul de date personale și-a îndeplinit obligația de informare furnizând informațiile cerute de art. 14 alin. (1) – (3) din GDPR numai în privința persoanelor ale căror adrese de e-mail le-a avut la dispoziție. În cazul celorlalte persoane, operatorul nu a respectat obligația de informare – așa cum s-a explicat în cursul investigației – din cauza costurilor operaționale ridicate. Prin urmare, s-a rezumat la a prezenta o clauză de informare numai pe site-ul său web.

Ce a generat amenda?

În cazul de față, compania a prelucrat, printre alte tipuri de date, și adresele poștale și numerele de telefon ale persoanelor vizate. Prin urmare, compania ar fi putut respecta obligația de a furniza informații persoanelor ale căror date sunt prelucrate prin folosirea oricărei modalități de contact. Compania și-a justificat nerespectarea obligației de informare prin costurile disproporționate generate de transmiterea prin postă a  unei informări scrise către toate persoanele vizate, însă Autoritatea nu a luat în seamă aceste afirmații, motivând că existau și alte modalități de aducere la îndeplinire a obligației (n.r. prin telefon).

Importanța acestei decizii de sancționare este subliniată și de modul în care s-a făcut comunicarea publică a acesteia. Comitetul European pentru Protecția Datelor (EDPB) a publicat în mod direct comunicatul de presă aferent, lăsând să se întrevadă aplicabilitatea la nivelul întregii Uniuni Europene a concluziilor autorității poloneze. 

Ce trebuie să reținem?

  • Indiferent de sursa datelor personale, folosirea lor în scopuri comerciale fără respectarea cerințelor GDPR va duce la sancțiuni din partea autorităților competente;
  • Obligația de informare prevazută de articolul 14 GDPR, cunoscută în practica drept informarea din sursa indirectă, trebuie îndeplinită indiferent de costurile pe care aceasta le-ar putea genera;
  • Nu este suficientă o informare efectuată exclusiv prin afișarea pe site-ul propriu, aceasta fiind practic doar o completare a informării adresate individual fiecărei persoane fizice vizate.

 

Textul complet al comunicatului de presă (în limba engleză): https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president-personal-data-protection-office_en

0 comentarii la „Datele personale și marketingul intre companii”

Datele personale și marketingul intre companii

Se aplică GDPR  în cazul activităților de marketing între companii?

Da. GDPR se aplică ori de câte ori prelucrați date cu caracter personal. Aceasta înseamnă că, dacă puteți identifica o persoană fizica fie direct, fie indirect, GDPR se va aplica – deși acționați în calitate profesională. De exemplu, dacă aveți numele și numărul unui contact de afaceri sau o adresa de e-mail de tipul nume.prenume@companie.com, se va aplica GDPR în privința acestor date personale. In schimb, GDPR se aplică pentru cărțile de vizita care circula libere numai în măsura în care intenționați să arhivați informațiile conținute sau să introduceți acele date într-un sistem informatic.

GDPR ne obligă să luăm consimțământ pentru marketing?

Nu întotdeauna. Consimțământul este unul dintre temeiurile legale pentru prelucrarea datelor personale, dar există alternative. În special, poate fi folosit cu succes temeiul legal al interesului legitim al operatorului de date personale pentru a justifica o parte din marketingul de afaceri. Cu toate acestea, uneori veți avea nevoie de consimțământul persoanei fizice vizate pentru a vă asigura că respectați legislația privind protecția vieții private în sectorul comunicațiilor electronice (Legea 506/2004). 

Când ne putem baza pe interesul legitim pentru marketing?

Vă puteți baza pe interesul legitim al activităților de marketing în măsura în care puteți sa faceți dovada faptului că modul în care folosiți datele persoanelor fizice vizate este proporțional cu scopul urmărit, ca are un impact minim asupra vieții private a persoanelor fizice, iar destinatarii comunicărilor în scop de marketing vor putea întotdeauna să se opună la aceste prelucrări de date în scopuri de marketing.

Care sunt regulile pentru email-uri sau SMS-uri de marketing?

Persoanele fizice având calitatea de comercianții  (PFA, II și IF), precum și anumite asocieri fără personalitate juridică, sunt tratate de GDPR ca persoane fizice, astfel încât puteți sa le trimiteți mesaje SMS sau e-mail fie dacă au consimțit în mod expres, fie dacă au cumpărat un produs similar în trecut și nu s-au opus la mesajele de marketing la acel moment. Trebuie să includeți în corpul mesajului posibilitatea de oprire sau dezabonare.

Puteți în schimb sa trimiteți comunicări de marketing prin e-mail sau SMS către orice persoană juridică (societăți, ONG-uri, etc), cu păstrarea dreptului acesteia de a vă solicita încetarea acestor transmisiuni. 

Care sunt regulile privind apelurile telefonice de marketing?

Puteți apela orice persoana fizica sau juridica care fi v-a furnizat direct datele de contact în acest scop sau a consimțit în mod special la apelurile dvs. – de exemplu, bifând o căsuță de înscriere. De asemenea, puteți efectua apeluri telefonice către orice număr făcut public, dar numai dacă acesta nu s-a opus apelurilor dvs. în trecut.

Normele privind apelurile telefonice automate sunt mai stricte. Nu trebuie să efectuați un apel de marketing automatizat – adică un apel efectuat de un sistem de apelare automată care redă un mesaj înregistrat – cu excepția cazului în care compania a consimțit în mod expres să primească acest tip de apel de la dvs. Consimțământul general pentru marketing sau chiar consimțământul pentru apelurile obișnuite nu este suficient – trebuie să acopere în mod specific apelurile automate.

Cum luăm un consimțământ?

Consimțământul trebuie acordat în mod liber; acest lucru înseamnă a oferi persoanelor vizate o alegere reală în permanență și un control asupra modului în care le utilizați datele. Consimțământul trebuie să fie explicit și necesită o acțiune pozitivă din partea persoanei vizate. Solicitările de aprobare trebuie să fie clare, prezentate separat de alte informații (de exemplu, nu în cadrul unor termeni și condiții), concise și ușor de înțeles și ușor de utilizat. Consimțământul trebuie să indice în mod specific numele operatorului, datele de  contact ale DPO-ului, scopul prelucrării și tipurile de activități de prelucrare.

Cel mai important, trebuie să vă asigurați că persoanele vizate pot să-și retragă consimțământul oricând aleg să facă acest lucru.

Ce altceva ar trebui să mai luăm în considerare?

Trebuie să comunicați persoanelor vizate detalii despre ce anume faceți cu informațiile pe care le dețineți. Acestea includ scopurile dvs. pentru prelucrarea datelor personale, temeiul legal de prelucrare, cât timp doriți să păstrați datele și cui or fi transmise datele personale. Obligația operatorului de informare a persoanelor vizate se transpune într-un drept sine qua non al acestora din urmă, fiind expres reglementată de articolul 13 GDPR și sancționată pentru neîndeplinire cu amenda maximă prevazută la articolul 83 alin. 5 GDPR.

Dacă vă bazați pe interesul legitim pentru marketingul direct, dreptul persoanei de a se opune este absolut și trebuie să opriți prelucrarea atunci când cineva formulează o opoziție. 

Dacă vă bazați pe consimțământ, nu există posibilitatea persoanei de a se opune ca atare, însă aceasta are dreptul să-și retragă consimțământul în orice moment. Trebuie să opriți prelucrarea datelor atunci când cineva își retrage consimțământul.

0 comentarii la „Infracțiuni în sfera GDPR”

Infracțiuni în sfera GDPR

Legislația existentă în domeniul protecției datelor cu caracter personal, respectiv Regulamentul (UE) 2016/679 (GDPR), și Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, stabilește sancțiuni drastice și larg mediatizate, de pana la 20 milioane euro sau 4% din cifra globala anuala de afaceri a entității care nu a acționat conform prevederilor celor doua acte normative.

Scopul final al GDPR, preluat și de legea romană 190/2018, este acela de a proteja viata privata a persoanelor fizice prin gestiunea eficienta și judicioasa a datelor cu caracter personal aparținând acestor persoane fizice. In acest sens, sunt arhi-cunoscute deja principiile de baza ale confidențialității, securității și legitimității prelucrărilor de date cu caracter personal.

Răspunderea operatorilor de date personale

GDPR reglementează în mare parte răspunderea civilă și contravențională a operatorilor de date personale care nu se conformează principiilor și temeiurilor juridice de prelucrare a datelor. Cu toate acestea, în majoritatea cazurilor, faptele ce pot fi catalogate atât ca incidente de securitate conform GDPR sau legislației securității informatice reprezintă și infracțiuni prevazute și sancționate de Codul Penal roman în vigoare, pedepsele principale putând ajunge, în funcție de gravitatea faptei, de pană la 7 ani închisoare. Mai trebuie precizat și faptul că, în cazul concursului de infracțiuni, pedeapsa rezultantă poate depăși cu mult pedeapsa maximă aplicată pentru cea mai gravă infracțiune săvârșită, aplicându-se un spor de o treime din pedeapsa cea mai grea.

Codul Penal

In Capitolul VI Cod Penal sunt prevazute următoarele infracțiuni contra siguranței și integrității sistemelor și datelor informatice:

Art. 360 – Accesul ilegal la un sistem informatic

(1) Accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.

(2) Fapta prevăzută în alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoarea de la 6 luni la 5 ani.

(3) Dacă fapta prevăzută în alin. (1) a fost săvârșită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.

Art. 361 – Interceptarea ilegală a unei transmisii de date informatice

(1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică şi care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic se pedepsește cu închisoarea de la unu la 5 ani.

(2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic, ce conține date informatice care nu sunt publice.

Art. 362 – Alterarea integrității datelor informatice

Fapta de a modifica, șterge sau deteriora date informatice ori de a restricționa accesul la aceste date, fără drept, se pedepsește cu închisoarea de la unu la 5 ani.

Art. 363 – Perturbarea funcționării sistemelor informatice

Fapta de a perturba grav, fără drept, funcționarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor informatice sau prin restricționarea accesului la date informatice, se pedepsește cu închisoarea de la 2 la 7 ani.

Art. 364 – Transferul neautorizat de date informatice

Transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare a datelor informatice se pedepsește cu închisoarea de la unu la 5 ani.

Art. 365 – Operațiuni ilegale cu dispozitive sau programe informatice

(1) Fapta persoanei care, fără drept, produce, importă, distribuie sau pune la dispoziție sub orice formă:

a) dispozitive sau programe informatice concepute sau adaptate în scopul comiterii uneia dintre infracțiunile prevăzute în art. 360-364;

b) parole, coduri de acces sau alte asemenea date informatice care permit accesul total sau parțial la un sistem informatic, în scopul săvârșirii uneia dintre infracțiunile prevăzute în art. 360-364,

se pedepsește cu închisoare de la 6 luni la 3 ani sau cu amendă.

(2) Deținerea, fără drept, a unui dispozitiv, a unui program informatic, a unei parole, a unui cod de acces sau a altor date informatice dintre cele prevăzute în alin. (1), în scopul săvârșirii uneia dintre infracțiunile prevăzute în art. 360-364, se pedepsește cu închisoare de la 3 luni la 2 ani sau cu amendă.

Art. 366 – Sancționarea tentativei

Tentativa la infracțiunile prevăzute în prezentul capitol se pedepsește.

In final, în legătură cu infracțiunile de mai sus, mai trebuie amintit și faptul că pentru acestea sunt incidente și dispozițiile art. 267 Cod Penal, conform căruia reprezintă infracțiunea de omisiune a sesizării organelor de cercetare penală fapta funcționarului public care, luând cunoștință de săvârșirea unei fapte prevăzute de legea penală în legătură cu serviciul în cadrul căruia își îndeplinește sarcinile, omite sesizarea de îndată a organelor de urmărire penală, pedepsită cu închisoare de la 3 luni la 3 ani sau cu amendă penală.

 

 

 

0 comentarii la „Primele amenzi pentru prelucrare ilegală de date personale”

Primele amenzi pentru prelucrare ilegală de date personale

Primele efecte tangibile ale noii legislații europene în domeniul prelucrării datelor personale devin vizibile. Astăzi, Autoritatea de supraveghere a prelucrărilor de date personale din Marea Britanie (ICO) a amendat Facebook pentru că nu a protejat datele personale ale utilizatorilor săi și pentru că le-a divulgat pentru motive politice.

fb gdpr

Sancțiunea de astăzi vine după ce, săptămâna trecută, autoritatea austriacă pentru protecția datelor a emis o amendă pentru încălcarea GDPR.

Autoritatea austriacă pentru protecția datelor (DSB) a emis prima amendă pentru nerespectarea GDPR. Este surprinzător pentru mulți că prin această amendă nu a fost sancționată o companie importantă, ci un mic antreprenor. Încălcarea? Compania în cauză a instalat o cameră de supraveghere video (CCTV) în fața sediului său, însă camera înregistra și o bună parte din trotuar. Acest lucru a fost considerat de către DSB ca o monitorizare pe scară largă a spațiilor publice, ceea ce nu este permis în conformitate cu GDPR. În plus, camera nu era semnalizată corespunzător, ceea ce înseamnă că obligația de transparență nu a fost îndeplinită.

Amenda aplicată a fost totuși mică, de numai 4.800 de euro. Motivul? DSB vizează o anumită proporționalitate, astfel încât o societate cu cifră de afaceri de doar aproximativ 40.000 de euro pe an probabil nu va primi o amendă de 20 de milioane de euro.

Astăzi, totuși, amenda este emisă de ICO celei mai cunoscute companii, Facebook, și cuantumul ei depășește cu mult pe cel al autorității din Austria.

Faptul că Facebook nu excelează la capitolul de asigurare a securității datelor personale ale utilizatorilor săi este un fapt cunoscut, mai ales după scandalul Cambridge Analytica de anul acesta. După deliberări îndelungate, ICO a emis o amendă pentru Facebook pentru divulgarea datelor personale ale utilizatorilor săi din motive politice. Suma – 500.000 £ – este maximul care poate fi aplicat în acest caz conform legii naționale britanice.

Investigația ICO, a constatat că, între anii 2007 și 2014, Facebook a procesat datele personale ale utilizatorilor săi într-o manieră inechitabilă, fără un consimțământ valabil sau prin utilizarea unor practici netransparente. De exemplu, a permis terților accesul la datele persoanelor care nu au descărcat și folosit aplicația Facebook pentru mobil, pur și simplu pentru motivul că aceștia erau prieteni cu persoane care au instalat aplicația pentru mobil. De asemenea, s-a reținut și faptul că Facebook nu a reușit să păstreze datele personale securizate întrucât nu a verificat corespunzător și regulat aplicația sau platforma online în general. Toate acestea au fost urmate de celebrul scandal Cambridge Analytica, unde se estimează că până la un milion de utilizatori din Marea Britanie au  datele lor personale divulgate și utilizate fără drept.

Cu toate acestea, amenda nu a fost stabilită conform prevederilor GDPR, deoarece cele mai multe încălcări au avut loc înainte de punerea sa în aplicare, sancțiunea fiind întemeiată pe dispozițiile vechii legi britanice privind protecția datelor.

Referitor la sancțiunea aplicată Facebook, președintele ICO (UK Information Commissioner), Elizabeth Denham a spus:

Am considerat că aceste contravenții sunt atât de serioase încât am impus pedeapsa maximă conform legislației anterioare. În mod inevitabil, amenda ar fi fost semnificativ mai mare sub GDPR. Una dintre principalele noastre motivații pentru a lua măsuri de sancționare este de a aduce schimbări semnificative în modul în care organizațiile manipulează datele personale ale oamenilor. „
„Munca noastră continuă. Mai sunt încă întrebări mai mari de pus și dezbateri mai ample de ținut despre modul în care interacționează tehnologia și democrația, și despre cum sistemul juridic, etic și de reglementare în vigoare este adecvat pentru a proteja principiile pe care se bazează societatea noastră „.