Data Privacy Blog » Țuca Zbârcea & Asociații

Greenlight for EU – UK Data Transfers

Țuca Zbârcea & Asociații — Mon, 05 Jul 2021 10:07:29 +0000

On 28 June 2021, the European Commission (EC) adopted two adequacy decisions for the United Kingdom: Decision on the adequate protection under Regulation 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (GDPR Decision); and Decision on the adequate protection under Directive 2016/680 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data (applicable to public authorities).

Highlights:

All data transfers are covered, irrespective if via automated means or not;
Both decisions on UK adequacy are subject to a “sunset clause”, meaning that they will automatically expire in 2025; until then, EC will actively monitor the UK legislation to ensure satisfactory adequacy level;
Personal data transferred for UK immigration control purposes are carved out from the scope of the GDPR Decision.

What to do?

Controllers transferring data in UK might consider:

Reviewing the legal basis for transferring data to UK; if they concluded standard contractual clauses (SCCs) to support such transfer, the SCCs can be terminated;
Updating their privacy policies by indicating that data transfers to UK are being made in consideration that UK ensures an adequate level of protection;
Closely monitoring the status of the GDPR Decision, so as to ensure that such is not retracted or otherwise amended by the European Commission.

Keep an eye on our next newsletter on Greenlight for “EU – Republic of Korea data transfers” ® currently European Commission launched the process towards adoption of a draft of an adequacy decision for transfers towards Republic of Korea.

Selecție privind evoluțiile la nivelul UE în domeniul protecției datelor – octombrie 2019

Țuca Zbârcea & Asociații — Mon, 18 Nov 2019 11:08:26 +0000

Documentul este disponibil și poate fi descărcat în limba română și limba engleză.

LEGISLAȚIE

Hotărârea Guvernului nr. 584/2019 pentru modificarea și completarea Hotărârii Guvernului nr. 494/2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO

Monitorul Oficial al României Partea I nr. 673 din 13 august 2019. ● Data intrării în vigoare: 13 august 2019 ● Aplicabilă de la: 27 august 2019

Hotărârea reglementează înființarea CERT RO – în calitate de autoritate competentă la nivel național pentru securitatea rețelei și a sistemelor informatice care asigură servicii esențiale sau servicii digitale în sensul Legii nr. 362/2018.

Regulamentul BNR nr. 2/2019 privind prevenirea și combaterea spălării banilor și finanțării terorismului

Monitorul Oficial al României Partea I nr. 736 din 9 septembrie 2019. ● Data intrării în vigoare: 9 septembrie 2019 ● Aplicabil de la: 2 octombrie 2019

Regulamentul schimbă regulile privind cunoașterea clientelei. Printre altele, sunt notabile următoarele modificări:

dispozițiile privind reducerea la minimum a prelucrării datelor – de exemplu, la efectuarea tranzacțiilor ocazionale pot fi prelucrate mai puține date în scopul cunoașterii clientelei; posibilitatea aplicării de măsuri simplificate de cunoaștere a clientelei în situația în care există un risc scăzut de spălare a banilor și finanțare a terorismului;
instituțiile de credit nu pot iniția, nu pot continua o relație de afaceri sau nu pot efectua o tranzacție ocazională dacă nu pun în aplicare măsuri de cunoaștere a clientelei, inclusiv în cazurile în care nu pot stabili legitimitatea scopului și natura relației de afaceri ori nu pot gestiona adecvat riscul de spălare a banilor și finanțare a terorismului.

SANCȚIUNI PENTRU ÎNCĂLCAREA RGPD

AUTORITATE	AMENDĂ	ÎNCĂLCARE	SECTOR	NR. DE PERSOANE VIZATE	ASPECTE PRINCIPALE
Autoritatea pentru Protecția Datelor din România (ANSPDCP)	150.000 Euro	Nu au fost implementate măsurile tehnice și organizatorice pentru prevenirea accesului neautorizat și a divulgării datelor cu caracter personal	Servicii financiare	1.177	/ Operatorul trebuie să se asigure că persoanele care acționează sub autoritatea sa prelucrează datele cu caracter personal în limitele atribuțiilor de serviciu ale acestora, și nu în scopuri personale (de exemplu, implementarea de norme interne privind gestionarea datelor, implementarea unor controale adecvate privind conformarea cu regulile interne relevante).
	20.000 Euro	Divulgarea ilegală a datelor cu caracter personalNu a fost notificată o încălcarea securității datelor cu caracter personal către autoritatea națională de supraveghere	Servicii financiare	1.177	/ Operatorul trebuie să notifice încălcarea securității datelor cu caracter personal autorității de supraveghere fără întârzieri nejustificate (și, dacă este posibil, în termen de cel mult 72 de ore) din momentul în care a luat la cunoștință de aceasta.
	9.000 Euro	Imposibilitatea dovedirii obținerii unui consimțământ explicitUtilizarea unui temei de prelucrare inadecvat	Servicii online	4.357	/ Consimțământul trebuie acordat printr-o acțiune neechivocă. Colectarea consimțământului pe baza pasivității persoanei vizate (utilizatori care nu bifează căsuța prin care declară că nu doresc să primească Actualizarea Datelor cu Caracter Personal) nu este adecvată./ Operatorii trebuie să se asigure că există un temei juridic adecvat pentru prelucrare – de exemplu transmiterea unei actualizări zilnice cu privire la articolele publicate pe un site de știri nu se poate baza pe necesitatea executării un contract, ci necesită consimțământul persoanelor vizate.
	2.100 Euro	Neluarea în considerare a dezabonării persoanelor vizate (încălcarea prevederilor Legii nr. 506/2004)	Servicii online	1	/ Organizațiile trebuie să implementeze controale adecvate pentru a asigura gestionare retragerii consimțământului (de exemplu, instruirea salariaților în mod adecvat, crearea de fluxuri dedicate retragerii, desemnarea unei persoane care să supravegheze gestionarea cererilor de retragere a consimțământului).
	1.000 Euro	Monitorizarea ilegală prin mijloace de supraveghere video (încălcarea normelor RGPD privind transparența, reducerea la minimum a prelucrării datelor și legalitatea prelucrării)	Cuptoare industriale și echipamente de încălzire		/ Organizațiile trebuie să poată dovedi că au informat corespunzător persoanele vizate cu privire la monitorizarea prin mijloace de supraveghere video (CCTV).
Autoritatea pentru Protecția Datelor din Belgia	10.000 Euro	Nerespectarea principiului reducerii la minimum a prelucrării datelor – solicitarea transmiterii cărții de identitate în format electronic drept condiție obligatorie pentru furnizarea unui serviciu	Comerț online		/ Organizațiile trebuie să ofere opțiuni alternative pentru accesul la un serviciu, în caz contrar consimțământul nu este considerat a fi liber exprimat.
Autoritatea pentru Protecția Datelor din Polonia (UODO)	644.780 Euro	Garanții tehnice și organizatorice necorespunzătoare care au permis accesul neautorizat la baza de date cu clienți a unui magazin online	Comerț online	Aprox. 2,2 mil.	/ Prelucrarea trebuie să aibă loc într-un mod care să asigure securitatea corespunzătoare a datelor cu caracter personal.
Autoritatea pentru Protecția Datelor din Polonia (UODO)	9.380 Euro	Neîncheierea unui contract cu persoana împuternicită conform Art. 28 din RGPDNerespectarea normelor privind stocarea datelor	Instituții publice		/ Dacă prelucrarea se desfășoară în numele unui operator de către o persoană împuternicită de operator, prelucrarea va fi guvernată de un contract sau alt act juridic care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal (în speță, cu societatea care oferea servicii de stocare a datelor și cu societatea care furniza programele software)/ Operatorul trebuie să efectueze o analiză a riscurilor și să pună în aplicare măsurile de securitate adecvate menționate în art. 32 din RGPD, corespunzătoare riscului de încălcare a drepturilor sau libertăților persoanelor fizice.
Autoritatea pentru Protecția Datelor din Spania (AEPD)	60.000 Euro	Prelucrarea ilegală a datelor ca urmare a neidentificării persoanei vizate	Cosmetice		/ Operatorii trebuie să depună un minimum de diligență în verificarea interlocutorilor pentru a evita deturnarea neautorizată a identității altor persoane.
	36.000 Euro	Prelucrarea ilegală a datelor ca urmare a identificării greșite a persoanei vizate	Servicii de comunicații electronice	1	/ Operatorii trebuie să depună un minimum de diligență în verificarea interlocutorilor pentru a evita prelucrarea neautorizată a identității altor persoane (în speță, consimțământul dat de un membru de familie al persoanei vizate nu a fost considerat valid pentru prelucrarea datelor altor membri ai familiei).
	30.000 Euro	Lipsa unui temei juridic pentru a nu permite utilizatorilor site-ului să refuze modulele cookie	Aviație		/ Societățile trebuie să prevadă un mecanism care să permită utilizatorilor site-ului să-și exprime în mod activ consimțământul pentru diferite categorii de module cookie (acces granular).
	8.000 Euro	Lipsa de cooperare cu autoritatea de supraveghere	Electricitate		/ Nefurnizarea informațiilor solicitate de autoritățile de protecție a datelor poate atrage amenzi.
Autoritatea pentru Protecția Datelor din Suedia	18.630 Euro	Utilizarea ilegală a tehnologiei de recunoaștere facială pentru a monitoriza prezența studenților	Educație		/ În cazul existenței unei relații bazate pe dependență între persoana vizată și operator, trebuie evaluat dacă consimțământul constituie o bază adecvată pentru prelucrare – consimțământul poate fi considerat ca nefiind liber exprimat.
Autoritatea pentru Protecția Datelor din Norvegia	49.100 Euro	Garanții tehnice și organizaționale insuficiente care au permis accesul neautorizat la datele cu caracter personal	Instituție Publică		/ Organizațiile trebuie să permită accesul la datele cu caracter personal doar salariaților cărora le este necesar acest acces pentru îndeplinirea atribuțiilor de serviciu ce le revin.
Autoritatea pentru Protecția Datelor din Bulgaria	2.600.000 Euro	Garanții tehnice și organizatorice insuficiente care au permis diseminarea unei baze de date în mediul online	Agenție Națională de Impozite și Taxe	Aprox. 6 mil	/ În cazul unui atac cibernetic, operatorul trebuie să dovedească că a implementat în prealabil măsuri de securitate organizatorice și tehnice adecvate pentru protejarea datelor cu caracter personal.
Autoritatea pentru Protecția Datelor din Bulgaria	511.000 Euro	Garanții tehnice și organizaționale insuficiente care au permis la diseminarea a 23.000 de istoricuri de creditare	Servicii Financiare	33.000	/ Organizațiile trebuie să pună în aplicare măsuri de securitate organizatorice și tehnice adecvate.
Autoritatea pentru Protecția Datelor din Lituania	7.000 Euro	Nu s-a răspuns la solicitarea persoanei vizate de ștergere a datelor sale cu caracter personalNecooperarea cu Autoritatea de Protecție a Datelor	Comerț online		/ Organizațiile trebuie să pună în aplicare o procedură pentru gestionarea cererilor de acces și a altor cereri în materia prelucrării datelor cu caracter personal ale persoanelor vizate/ Autoritățile pentru protecția datelor iau în considerare cu ocazia stabilirii cuantumului amenzii, inter alia, gradul de cooperare cu autoritatea de supraveghere.
Autoritatea pentru Protecția Datelor din Austria	18.000.000 Euro	Lipsa unui temei legal pentru prelucrarea datelor	Servicii poștale	Aprox. 3 mil.	/ Nu există un temei juridic conform Art. 6 din RGPD pentru crearea de profiluri pentru peste trei milioane de cetățeni austrieci, care să includă informații despre adresele de domiciliu, preferințele personale, obiceiurile și presupusele afinități politice ale acestora și vânzarea profilurilor printre altele, către partide politice și societăți.

RECOMANDĂRI

Atunci când „timpul este esențial”: ICO – recomandare privind stabilirea unui termen de răspuns la solicitarea de acces la date formulată de persoanele vizate

Ca urmare a sentinței CJUE pronunțată în Cauza C-171/03 Maatschap Toeters și M.C. Verberk Productschap Vee en Vleesof, ICO și-a actualizat recomandările privind solicitările persoanelor vizate.

Aspecte principale: Termen de răspuns la o solicitare de acces la date

/ La stabilirea termenului pentru comunicarea unui răspuns la solicitările de acces la date, ziua în care este primită solicitarea de acces la date va fi considerată „Ziua 1”. Astfel, termenul de răspuns la o solicitare de acces la date primită la 29 august se împlinește pe 29 septembrie (și NU pe 30 septembrie).

/ Același sistem trebuie aplicat pentru calculul termenului de răspuns și cu privire la exercitarea celorlalte drepturi de către persoanele vizate, reglementate prin RGPD.

Sunteți pregătiți? Lista de verificare privind implementarea RGPD a Autorității pentru Protecția Datelor din Saxonia Inferioară („LfD Niedersachsen”)

LfD Niedersachsen a publicat o listă de verificare privind implementarea RGPD care poate fi utilizată pentru a verifica stadiul conformării cu RGPD.

IAB Tech Lab actualizează specificațiile tehnice pentru Cadrul de transparență și consimțământ al IAB Europe

IAB Europe, principala asociație de la nivel european pentru ecosistemul marketingului digital și al industriei publicitare, în parteneriat cu IAB Tech Lab, a anunțat lansarea celei de a doua versiuni a Transparency and Consent Framework (TCF) (Cadrul de transparență și consimțământ).

Manualul responsabilului cu protecția datelor^{^[1]}

Manualul este menit să sprijine formarea responsabililor cu protecția datelor pentru instituțiile publice în ceea ce privește noile lor atribuții conform RGPD. Deși se adresează instituțiilor publice, aceleași standarde pot fi luate în considerare și în cazul responsabililor cu protecția datelor din sectorul privat. Manualul poate fi accesat aici.

Aspecte principale:

/ Cunoștințele de specialitate ale responsabililor cu protecția datelor se referă la:

(a) experiență privind legislația europeană din domeniul confidențialității și al protecției datelor, inclusiv experiență în IT și securitate cibernetică; și

(b) o bună înțelegere a modului în care funcționează instituția [în cadrul căreia este desemnat responsabilul cu protecția datelor] și a activităților sale de prelucrare a datelor cu caracter personal și abilitate de interpretare a normelor relevante privind protecția datelor în acest context.

/ Deținerea de cunoștințe tehnice privind sistemele informatice implică o bună înțelegere a terminologiei din domeniul IT, a practicilor informatice și a formelor diferite de prelucrare a datelor. Spre exemplu, un responsabil cu protecția datelor trebuie să cunoască, spre exemplu: sistemele de administrare și exploatare a datelor, tipul de software utilizat, sistemele de stocare a fișierelor și datelor, precum și cerințele politicilor de confidențialitate și securitate (criptarea datelor, semnături electronice, elemente biometrice etc.)

Recomandările Comisarului landului Schleswig-Holstein responsabil pentru protecția datelor („ULD”) pentru prevenirea încălcărilor securității datelor – versiune disponibilă doar în limba germană

ULD a publicat câteva recomandări pentru prevenirea încălcărilor securității datelor. Printre altele, acestea se referă la necesitatea utilizării criptării în situația în care site-urile afișează formulare pentru colectarea datelor clienților.

Comisarul pentru informații („IC”) al Insulei Man: recomandări privind utilizarea sistemelor de supraveghere video

IC a publicat un set de recomandări privind utilizarea sistemelor de supraveghere video de către operatori.

Aspecte principale:

/ Camerele de supraveghere video trebuie să fie amplasate iar capturarea imaginilor să fie limitată, astfel încât să nu acopere zone care nu sunt relevante pentru scopul prelucrării (spre exemplu, proprietăți private ale persoanelor fizice).

/ Specificațiile tehnice ale sistemului trebuie să asigure o calitate adecvată a imaginilor pentru scopul avut în vedere.

/ Semnele/pictogramele legate de camerele video trebuie: (i) să fie vizibile în mod clar și să fie inteligibile; (ii) să menționeze detalii privind organizația care utilizează sistemul, scopul/scopurile utilizării sistemului de supraveghere video și persoana de contact cu privire la acest sistem – în situația în care acestea nu reies din context; și (iii) să fie de dimensiuni adecvate.

/ De asemenea, divulgarea imaginilor din sistemul de supraveghere video trebuie să fie controlată și să respecte scopul pentru care a fost instalat sistemul. Cu toate acestea, persoanele fizice au dreptul de a solicita copii ale imaginilor cu propria persoană.

Autoritatea pentru Jocuri de Noroc din Malta: Recomandări privind comunicările comerciale

Aceste recomandări constituie un ghid practic pentru persoanele care comercializează jocuri de noroc licențiabile și persoanelor care colaborează în orice fel sau care prestează orice serviciu, inclusiv servicii de marketing sau de promovare pentru sau pe seama acestor persoane.

Declarația CNIL (Autoritatea pentru Protecția Datelor din Franța): Înregistrarea convorbirilor telefonice și a utilizării calculatorului de către angajați

CNIL a publicat o declarație privind înregistrarea convorbirilor telefonice și a utilizării calculatorului de către angajați (disponibil numai în limba franceză)

Aspecte principale:

/ De regulă, prelucrarea informațiilor de pe capturile de ecran alături de înregistrarea convorbirilor telefonice este considerată disproporționată atunci când această prelucrare este folosită în alte scopuri decât formarea profesională a angajaților (de exemplu, evaluarea personalului, combaterea fraudei interne, etc.)

Nota tehnică a AEPD (Autoritatea pentru Protecția Datelor din Spania): Responsabilitatea proactivă în aplicațiile mobile

AEPD a publicat o notă tehnică pentru prezentarea pe scurt a practicilor RGPD pentru organizațiile responsabile cu prelucrarea în aplicația mobilă și dezvoltatorii acestor aplicații.

Aspecte principale:

/ Informațiile RGPD trebuie să fie disponibile atât în magazinul virtual de aplicații (app store) cât și în aplicație, într-o limbă corespunzătoare pentru utilizatorul vizat;

/ Organizațiile care acționează în calitate de operatori pentru datele din aplicații trebuie să precizeze în contractele privind prelucrarea datelor, obligația persoanelor împuternicite de a asigura bunele practici și de a lua în calcul regulile Privacy by design and by default chiar de la momentul dezvoltării aplicațiilor;

/ Trebuie avute în vedere, în special, următoarele practici: gradul de detalii pentru gestionarea accesului acordat la resursele de sistem protejate; respectarea preferințelor de confidențialitate ale utilizatorului; evitarea transferului de date către prestatori de servicii de analiză a pieței (analytics) și publicitate în momentul în care utilizatorul accesează aplicația fără oferi utilizatorilor posibilitatea de a accesa acele date ori de a își modifica opțiunile; utilizarea unor metode avansate pentru criptarea comunicațiilor.

Garante (Autoritatea pentru Protecția Datelor din Italia): Codul de conduită pentru analiza riscului de credit pentru sistemele de informații private

Aspecte principale:

/ Prelucrarea datelor cu caracter personal cuprinse într-un SIC poate fi realizată exclusiv în scopul evaluării, recrutării sau gestionării unui risc de credit, al evaluării gradului de seriozitate și punctualitate în efectuarea plăților părții interesate – în vederea împiedicării riscului de fraudare și furt de identitate;

/ Prelucrarea datelor cu caracter personal este necesară pentru îndeplinirea intereselor legitime ale participanților la utilizarea SIC în scopurile menționate în CoC;

/ Informațiile negative despre credite în legătură cu întârzierile la plată, regularizate ulterior, pot fi păstrate într-un SIC cel mult: a) douăsprezece luni de la data înregistrării datelor în legătură cu regularizarea întârzierilor care nu depășesc două rate sau luni; b) douăzeci și patru de luni de la data înregistrării datelor în legătură cu regularizarea întârzierilor care depășesc două rate sau luni.

JURISPRUDENȚA UE

Decizia CJUE în Cauza Google vs. CNIL

La data de 24 septembrie 2019 CJUE a decis că, în momentul în care primește o cerere de a ascunde paginile de internet care conțin informații despre o persoana vizată, din partea acelei persoane vizate conform RGPD, operatorul motorului de căutare nu are obligația de a ascunde paginile de internet în toate versiunile motorului, ci numai în versiunea corespunzătoare pentru toate Statele Membre UE.

Decizia preliminară a CJUE privind Articolul 15 alineatul (1) din Directiva 2000/31/CE

Pe 3 octombrie 2019, CJUE a emis o decizie preliminară privind interpretarea Articolului 15 alineatul (1) din Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societăților informaționale, în special privind comerțul electronic pe piața internă („Directiva privind comerțul electronic”)

Aspecte principale:

/ A decis că Directiva privind comerțul electronic, în special Articolul 15 alineatul (1), trebuie interpretat în sensul că nu se opune posibilității ca o instanță dintr-un stat membru:

/ să oblige un furnizor de servicii de stocare‑hosting să elimine informațiile pe care le stochează și al căror conținut este identic cu cel al unei informații declarate anterior ilicite sau să blocheze accesul la acestea, oricare ar fi autorul cererii de stocare a acestor informații;

/ să oblige un furnizor de servicii de stocare‑hosting să elimine informațiile pe care le stochează și al căror conținut este echivalent cu cel al unei informații declarate anterior ilicite sau să blocheze accesul la acestea, în măsura în care supravegherea și căutarea informațiilor vizate de o astfel de somație sunt limitate la informații care transmit un mesaj al cărui conținut rămâne în esență neschimbat în raport cu cel care a condus la constatarea caracterului ilicit și care cuprind elementele specificate în somație, iar diferențele din formularea acestui conținut echivalent în raport cu cea care caracterizează informația declarată anterior ilicită nu sunt de natură să îl constrângă pe furnizorul serviciilor de stocare‑hosting să efectueze o apreciere autonomă a acestui conținut și

/ să oblige un furnizor de servicii de stocare‑hosting să elimine informațiile la care se referă somația sau să blocheze accesul la acestea la nivel mondial în cadrul dreptului internațional relevant.

SFATUL NOSTRU

Oportunități profesionale pentru candidați

În cazul în care candidatul nu este selectat pentru etapa următoare a procesului de recrutare, puteți lua în considerare următoarele:

/ Informați candidații într-un mod clar și complet înainte ca aceștia să-și depună candidatura cu privire la modul în care vor fi utilizate datele lor în cadrul recrutării.

/ În special:

(a) Comunicați candidaților dacă intenționați să utilizați CV-ul lor și pentru alte posturi decât cele indicate în anunțul de recrutare.

(b) Informați candidații că au dreptul de a se opune, fără a prezenta vreo justificare, utilizării pe viitor a CV-ului lor pentru alte posturi disponibile. Menționăm că opoziția candidaților poate fi exprimată și indirect, de exemplu prin precizarea în mod clar a faptului că sunt interesați exclusiv de postul pentru care a fost publicat anunțul sau prin indicarea postului vizat.

/ Dacă intenționați să utilizați CV-ul și pentru ocuparea altor posturi:

Informați candidații cu privire la această intenție; în special, indicați perioada aplicabilă pentru această utilizare viitoare și măsurile de siguranță implementate în acest context (de ex., stocarea inactivă – precum arhivarea, folosirea unui pseudonim/criptarea, accesul limitat etc.); și
Obțineți acordul candidaților pentru această utilizare.

Note:

[1] Emis de următoarele autorități pentru protecția datelor: Garante per la Protezione dei Dati Personali (Italia), Agencia de Proteccion de Datos (Spania), Agencija za zastitu osobnih podataka (Croația), Comisia pentru Protejarea Datelor cu Caracter Personal (Bulgaria) și Urząd Ochrony Danych Osobowych (Polonia).

Țuca Zbârcea & Asociații și ELSA București demarează primul program de cursuri în domeniul GDPR dedicat studenților la drept

Țuca Zbârcea & Asociații — Wed, 13 Mar 2019 14:06:28 +0000

București, 13 martie 2019: Termenul limită pentru înscrieri este 15 martie, ora 23:59. În cadrul programului, pot participa studenți în anii II și III din cadrul facultăților de drept.

Țuca Zbârcea & Asociații și ELSA București anunță organizarea ELSA Courses – Keep Calm and Love GDPR, primul proiect academic ce vizează inițierea studenților la drept în ceea ce privește prevederile GDPR.

ELSA Courses – Keep Calm and Love GDPR va avea loc la Facultatea de Drept, Universitatea din București, în perioada 19 martie – 16 mai 2019. Programul este dedicat studenților la drept din anii II și III și include șase module (trei teoretice și trei practice). În urma cursurilor, doi studenți vor fi selectați de către Țuca Zbârcea & Asociații pentru a efectua un stagiu de practică remunerat.

„Cursul GDPR este, fără îndoială, o provocare și o încântare, deopotrivă. În orice caz, inițiativa vine să combată mitul cum că studenții români ar fi interesați doar de materiile juridice „tradiționale”. Ne uităm cu încredere la generațiile de juriști care vin din urmă. Generații extrem de talentate și, parcă, tot mai pragmatice, creative și implicate. Vom urmări același set de valori și în cadrul cursului de GDPR. Promitem pragmatism: vom împleti conceptele teoretice (necesare asimilării ABC-ului GDPR) cu situațiile practice din activitatea noastră. Vom discuta spețe extrem de interesante din viața reală și vom încerca să descâlcim împreună „ițele” GDPR, într-un cadru interactiv, deschis dezbaterilor”, a declarat Ciprian Timofte, Managing Associate al Țuca Zbârcea & Asociații, specializat în protecția datelor cu caracter personal și coordonatorul proiectului academic.

„Prin intermediul departamentelor cheie (Activități Academice, Seminare & Conferințe, Student Trainee Exchange Programme), ELSA București contribuie în mod constant la dezvoltarea culturală și profesională a studenților și a tinerilor juriști. Anul acesta, departamentul „Activități Academice” înaintează o nouă provocare studenților: proiectul de amploare se numește ELSA Courses și este destinat studenților înmatriculați în anii II și III din cadrul facultăților de drept din București. Prin ELSA Courses – Keep Calm and Love GDPR sperăm să atragem cât mai mulți cursanți pasionați de acest domeniu și de ce nu, cu o dorință de viitoare specializare în GDPR. ELSA Courses – Keep Calm and Love GDPR consolidează astfel colaborarea pe care o avem cu Țuca Zbârcea & Asociații, de mai mulți ani de zile, în contextul activităților asociației noastre. De altfel, suntem onorați că firma de avocatură a devenit în acest an Partener Oficial al ELSA București”, a adăugat Ioana-Bianca Burciu, Vicepreședinte Activități Academice în cadrul ELSA București.

ELSA Courses – Keep Calm and Love GDPR este un proiect organizat de ELSA București, cu sprijinul societății de avocați Țuca Zbârcea & Asociații, Partener Oficial al ELSA București.

Regulamentul poate fi consultat la adresa: https://we.tl/t-95DL5LN3wq, iar înscrierile au loc până vineri, 15 martie, ora 23:59, prin completarea formularului disponibil la https://goo.gl/forms/S0VK1l6wKd0xXZdn2. Detalii suplimentare se regăsesc și pe pagina evenimentului: https://www.facebook.com/events/2568951476467899/?event_time_id=2568951483134565

EXCLUSIV Interviu cu Horia ISPAS, Partener Țuca Zbârcea & Asociații si Ciprian Timofte, Managing Associate Țuca Zbârcea & Asociații

Țuca Zbârcea & Asociații — Thu, 14 Feb 2019 13:27:53 +0000

Sunt aproape opt luni de când a intrat în vigoare Regulamentul UE nr. 679 / 2016 – GDPR. Unde se situează companiile cu expunere din perspectiva protecției datelor cu caracter personal după opt luni?

Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații

Companiile se găsesc în prezent în etape diferite de conformare, în funcție de diverși factori și constrângeri cu care s-au confruntat.

Nu a fost deloc ușor pentru companiile cu expunere. Distinct de provocările de ordin tehnic aduse de GDPR, aș spune că un alt factor critic pentru evoluția procesului de conformare a fost sinergia resurselor.

De cele mai multe ori, companiile cu expunere sunt companii mari și mijlocii, cu o activitate și organizare complexe. Aceasta a implicat eforturi semnificative pentru coordonarea la nivel decizional, planificare și alocare de resurse (atât de ordin financiar, cât și uman).

Pe un alt palier, au existat și o serie de alți factori, intrinseci și extrinseci, care au amânat sau încetinit procesul de conformare. De exemplu, au fost companii care au așteptat suport și ghidaj de la grup; or, nu de puține ori suportul fie a venit cu întârziere, fie s-a dovedit insuficient (de așteptat, de altfel, având în vedere că fiecare organizație are particularități în prelucrările de date efectuate).

Toate acestea au făcut ca startul procesului de implementare a GDPR să fie, în general, mai inerțial pentru aceste companii. Au existat, desigur, și excepții: unii dintre clienții noștri cu expunere pe GDPR au demarat procesul de conformare încă de la începutul anului 2017, deci cu mult timp înainte de intrarea în vigoare a GDPR.

Sunt însă convins că, indiferent de momentul inițierii procesului de conformare, la momentul actual toate aceste companii (și nu mă refer doar la cele pe care firma noastră le-a asistat în procesul de conformare cu GDPR) au acoperit deja toate sau majoritatea „zonelor fierbinți” ale GDPR.

Care sunt industriile cele mai expuse?

Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații

Este deja celebră axioma: „Nu există organizație căreia să nu i se aplice GDPR”. Asta pentru că, într-o măsură mai mare sau mai mică, toate organizațiile prelucrează date cu caracter personal.

Desigur, anumite industrii sunt mai expuse, în special prin prisma volumului mare de date pe care le prelucrează, tipului de date prelucrate (date sensibile, date ale minorilor etc.), tipurilor de prelucrări pe care le realizează, tehnologiilor utilizate în prelucrarea datelor, etc. Vorbim aici de organizații din domeniul telecomunicațiilor, financiar-bancar (bănci, IFN-uri, societăți de asigurare, pensii), medical, farma, furnizori de utilități. Nu trebuie uitate nici companiile din domeniul digital/ IT, inclusiv furnizorii de servicii de cloud sau prestatorii de servicii ale societății informaționale.

Care sunt acele particularități ale Regulamentul care îl transformă într-o provocare pentru companii?

Horia ISPAS, Partener al Țuca Zbârcea & Asociații

Regulamentul este în primul rând o inițiativă de uniformizare la nivel european a unor standarde de protecție a datelor cu caracter personal. Regulamentul se aplică indiferent de industrie. El se aplică, cu unele diferențe, atât multinaționalelor, cât și întreprinderilor mici și mijlocii.

Acest cadru de reglementare universal valabil se constituie de multe ori într-un „pat al lui Procust” în care trebuie să încapă (și să performeze) organizații extrem de neomogene. Pentru companiile mici, angajarea unor cheltuieli de conformare cu normele Regulamentului se poate dovedi nesustenabilă.

Există, așadar, grade diferite de înțelegere și conformare la noile reguli.

Pe un alt palier, Regulamentul are un caracter general, cu o logică intrinsecă și limbaj tehnic specific. Chiar și pentru organizațiile complexe, cu resurse semnificative alocate, adecvarea la noile reguli este un proces laborios, îndelungat și costisitor. În mod practic, cvasi-totalitatea proceselor dintr-o companie presupun prelucrări de date cu caracter personal, deci un efort de evaluare și ajustare orizontal, în profunzimea activităților fiecărui operator.

Care este rolul consultantului în materie de conformare la Regulament?

Horia ISPAS, Partener al Țuca Zbârcea & Asociații

E o întrebare foarte interesantă într-o piață în care s-au născut „peste noapte” consultanți în protecția datelor, fie ei juriști sau nejuriști. Din punctul meu de vedere, rolul consultantului este acela de „a traduce” în realitatea fiecărei organizații regulile generale, cu grad ridicat de tehnicitate, stabilite de Regulament. Într-un fel va arăta un proiect de conformare la o companie din industria farmaceutică, altfel la un asigurător și altfel la o agenție de publicitate. Un „kit GDPR” care să asigure instant și ieftin conformarea este un fals confort care și-ar putea dovedi limitele în cazul unui audit sau investigații.

GDPR impune cerințe suplimentare privind informarea persoanelor vizate – informarea trebuie să fie clară, completă, dar concisă și accesibilă. Cum poate fi informarea completă și, în același timp, concisă?

Horia ISPAS, Partener al Țuca Zbârcea & Asociații

Este un subiect sensibil pentru mulți dintre clienții noștri, mai ales în industriile cu expunere pe categorii largi de consumatori, persoane fizice. Ca avocați, prioritatea noastră este desigur aceea de a asigura conformarea operatorilor de date cu caracter personal cu noile standarde de transparență (Ce spunem? Cum spunem? Când spunem? Prin ce canale spunem?). Un consultant experimentat va avea însă întotdeauna în vedere să nu compromită sau să intre în conflict cu strategia de comunicare a clientului, poziționarea produselor pe piață, mesajul comercial, etc. Informarea persoanelor vizate nu este un simplu document standard care poate fi replicat indiferent de industrie. Uneori informarea trebuie să încapă pe o etichetă, pe un flyer sau într-un SMS.

În mediul electronic există o serie de tehnici care sunt folosite cu succes. Informările pot fi structurate pe mai multe niveluri de detaliu – multi-layered information notices. La un prim nivel găsim informația contrasă, absolut necesară (principii, elementele cheie). Cei interesați de detalii suplimentare pot apoi accesa un al doilea nivel, care oferă explicații extinse pentru o informare completă.

Sunt necesare „clauzele GDPR” în toate contractele comerciale?

Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații

Am spus-o și cu alte ocazii, nu cred în obligativitatea inserării „clauzelor GDPR” în toate contractele comerciale. GDPR o spune foarte clar: informarea persoanei vizate nu este necesară: 1. dacă persoana vizată cunoștea respectivele informații (pentru datele obținute direct de la persoana vizată) sau 2. dacă informarea ar implica eforturi disproporționate (pentru datele obținute din alte surse).

Prin urmare, organizațiile vor trebui să se uite atent la caracteristicile prelucrării și, în special, să răspundă la următoarele întrebări: Se așteaptă persoanele vizate la prelucrarea datelor cu caracter personal? Pot ele anticipa în mod rezonabil caracteristicile esențiale ale prelucrării (scopul prelucrării, tipul de date prelucrate, perioadele de stocare, destinatarii datelor)? Raportat la caracteristicile prelucrării și, în special, la efectele produse asupra persoanelor vizate, ar putea implica informarea eforturi disproporționate pentru organizație? În cazul unui răspuns afirmativ la toate întrebările de mai sus, „clauzele GDPR” nu vor fi necesare în contractile comerciale.

De exemplu, să spunem că încheiem un contract de livrare marfă, ocazie cu care se vor prelucra datele semnatarilor contractului (numele, prenumele și semnătura) și, eventual, datele persoanelor de contact (nume, prenume, e-mail, telefon).

În acest caz, semnatarii contractelor/ persoanele de contact se așteaptă în mod rezonabil la prelucrarea datelor de maniera respectivă. Mai mult, având în vedere tipul și volumul redus de date prelucrate, cel mai probabil o informare detaliată a persoanelor vizate ar implica eforturi disproporționate pentru organizația receptoare. Iată de ce cred că în contractele comerciale de tipul celor de mai sus nu va fi necesară utilizarea de „clauze GDPR”.

Din păcate însă, am remarcat o tendință de a insera „clauze GDPR” în toate contractele comerciale, pe principiul „better safe than sorry”. Aceasta ar putea duce la cristalizarea unei practici păguboase pentru organizații și, pe alocuri ilare (am văzut „clauze GDPR” de câteva pagini în contracte comerciale de una-două pagini, cu prelucrări minime de date cu caracter personal). În plus, o atare practică ar putea crea un „efect de bumerang” pentru organizații, care s-ar putea confrunta cu anumite contestații/ obiecții privind maniera de realizare a informării, în ciuda faptului că informarea nu era obligatorie conform GDPR.

Așadar, recomand ca organizațiile să analizeze temeinic necesitatea inserării „clauzelor GDPR” în contractele comerciale pe care le încheie și să își calibreze eforturile de informare cu particularitățile prelucrărilor de date cu caracter personal realizate.

Mai pot fi utilizate în activitatea de marketing noile tehnologii bazate pe profilare?

Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații

Deși s-a consumat multă cerneală pe subiect, profilarea pentru scop de marketing ridică încă multe necunoscute și ridicări de sprânceană.

Ce mi se pare important de reținut:

Profilarea reprezintă în sine o prelucrare de date cu caracter personal. De aceea, pentru a utiliza profilarea (inclusiv profilarea pentru scop de marketing bazată pe noi tehnologii) avem nevoie de un temei legal pentru prelucrare, respectiv de transparență în prelucrare.
Nu orice tip de profilare necesită consimțământul persoanelor vizate. Chiar dacă este destinată marketingului, o profilare superficială, bazată pe date standard/ nesensibile, ar putea fi realizată, de principiu, pe bază de interes legitim. Aici am în vedere profilări neintruzive, de tipul unor segmentări bazate pe seturi reduse de date.
Pe de altă parte, profilările profunde/ intruzive vor necesita, ca regulă, obținerea consimțământului persoanelor vizate. Cu precădere, profilările realizate prin utilizarea de noi tehnologii vor putea fi realizate cel mai probabil doar pe bază de consimțământ, având în vedere că, de regulă, noile tehnologii (de tipul inteligenței artificiale (AI), internet of things (IoT) etc):
antrenează prelucrarea unor volume/ seturi mari de date cu caracter personal;
implică, în mod tipic, un grad sporit de intruzivitate în viața privată, în special prin prisma combinărilor rapide și complexe de date realizate, evaluărilor/ predicțiilor cu grad ridicat de risc pentru persoanele vizate, prelucrărilor intruzive realizate (de ex., prelucrarea datelor de localizare etc.).
De asemenea, nu de puține ori utilizarea noilor tehnologii se corelează cu decizii automatizate luate cu privire la persoanele vizate. Dacă decizia produce efecte juridice sau efecte similare semnificative pentru audiența de marketing, organizațiile vor trebui să furnizeze audienței și informații precise privind logica de prelucrare automată(“meaningful information about the logic involved”), precum și o descriere a consecințelor pe care prelucrarea le-ar putea produce asupra audienței.
În sfârșit, este foarte probabil ca o profilare prin utilizarea de noi tehnologii să necesite și efectuarea unei evaluări a impactului asupra protecției datelor (privacy impact assessment).

Cine și cum răspunde pentru încălcările GDPR?

Horia ISPAS, Partener al Țuca Zbârcea & Asociații

Principalul titular al obligațiilor de conformare impuse de GDPR este operatorul de date cu caracter personal (acționând singur sau în asociere cu un alt operator). Operatorul stabilește scopurile și mijloacele prelucrării de date cu caracter personal. O dimensiune esențială a principiului responsabilității este aceea de documentare a conformității, operatorul fiind obligat să demonstreze în orice moment adecvarea la standardele de protecție a datelor (e.g. protocoale stricte de securitate a datelor, rutine de actualizare și ștergere a datelor, mijloace eficiente de răspuns la solicitări de exercitare a drepturilor din partea persoanelor vizate, documentarea capturării consimțământului, a informării persoanelor vizate, etc).

La rândul său, persoana împuternicită de operator (data processor) are o serie de obligații distincte reglementate de Regulament (obligația de a prelucra date la instrucțiunile operatorului, obligația de a încheia un contract de prelucrare date cu operatorul, limitări privind utilizarea sub-contractorilor, obligația de a implementa măsuri de securitate specifice, etc).

Ca regulă, față de autoritatea de supraveghere și față de persoanele vizate, operatorul este direct răspunzător pentru faptele proprii și pentru modul de conformare a persoanelor împuternicite angajate. Persoana împuternicită răspunde la rândul său direct față de autoritatea de supraveghere și față de persoanele vizate pentru nerespectarea obligațiile specifice care îi revin. Prin excepție, în cazul unei culpe comune (pe relația operator – persoană împuternicită, respectiv operatori asociați), răspunderea este indivizibilă.

Interviul a fost publicat de Legal Marketing și este preluat de pe site-ul – http://legalmarketing.ro/exclusiv-interviu-cu-horia-ispas-partener-tuca-zbarcea-asociatii-si-ciprian-timofte-managing-associate-tuca-zbarcea-asociatii/

Conferință-bilanț la 6 luni de la intrarea în vigoare a GDPR, 15 noiembrie, Hotel Intercontinental

Țuca Zbârcea & Asociații — Fri, 02 Nov 2018 17:30:23 +0000

Regulamentul UE nr. 679/2016 (GDPR) a intrat în vigoare la 25 mai 2018, aducând cu el importante cerințe de ajustare organizațională și conformare tehnică, în primul rând pentru mediul privat. Unde se situează companiile cu expunere din perspectiva protecției datelor cu caracter personal după șase luni? Ce constatări, ce dileme rămân și care sunt concluziile (de etapă) pe care le putem trage?

GDPR a ridicat standardul de protecție a datelor cu caracter personal, plasând o răspundere uriașă pe umerii companiilor și crescând rolul Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Ne propunem ca, prin conferința GDPR – Greu De pus în PRactică?, să concentrăm experiența acumulată de specialiștii noștri în coordonarea și implementarea proiectelor de conformare cu GDPR în industrii dintre cele mai diverse, de la domeniul financiar la telecom, industrii creative, media sau marketing direct. Astfel, vom aduce din „tranșeele GDPR” în fața audienței o serie de provocări și dificultăți identificate în procesul de adecvare la noul standard de protecție a datelor, soluții practice, precum și zonele „gri” care încă necesită clarificare sau cristalizare pe baza reglementărilor secundare, a îndrumărilor și practicii ANSPDCP și ale altor autorități de supraveghere.

Conferința GDPR – Greu De pus în PRactică? este organizată în data de 15 noiembrie, la Hotel Intercontinental, Sala Fortuna și va avea un caracter interactiv, presărat cu exemple concrete. Ne adresăm în principal consilierilor juridici și responsabililor cu protecția datelor, managerilor de resurse umane, directorilor de marketing, precum și specialiștilor în audit intern și în tehnologia informației.

Evenimentul va fi susținut de o echipă pluridisciplinară de lectori, formată din avocați Țuca Zbârcea & Asociații specializați în materia protecției datelor cu caracter personal, specialiști în domeniul IT din cadrul iSec Associates (member of ProVision IT Group), cu vastă experiență în asigurarea securității și integrității datelor, cărora li se alătură și reprezentanții Power Net Consulting, firmă IT ce oferă soluții de management infrastructură și soluții de securitate informatică și care va prezenta rezultatele unui studiu de piață privind stadiul conformării companiilor la 6 luni de la intrarea în vigoare a GDPR, precum și portofoliul de soluții de securitate IT recomandate în contextul GDPR. Nu în ultimul rând, ne vom bucura de sprijinul și de experiența reprezentanților Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal în susținerea temelor și a dezbaterilor rezultate.

Mai mult, în ultima sesiune a zilei, vom face împreună un exerciţiu practic concentrat pe o nevoie cvasi-universală, indiferent de dimensiunea companiei sau domeniul de activitate: construirea unui website conform cu standardele GDPR; vom evidenția lipsuri sau erori „capitale”, excese de conformare care îndepărtează vizitatorii, informații „must-have“, recomandări de bune practici.

Detaliile privind programul conferinței, procedura de înscriere și plata taxei de participare se regăsesc în fișierele de mai jos:

GDPR – Greu De pus in PRactica_AGENDA

GDPR – Greu De pus in PRactica-FORMULAR DE INSCRIERE

Țuca Zbârcea & Asociații a contribuit la lansarea, în premieră pe piața locală, a unui studiu de impact al GDPR la nivel multi-jurisdicțional

Țuca Zbârcea & Asociații — Mon, 20 Nov 2017 18:54:34 +0000

București, 20 noiembrie 2017: Cu prilejul conferinței „Regulamentul General privind Protecția Datelor. În bloc-starturi!” din data de 9 noiembrie, societatea de avocați Țuca Zbârcea & Asociații a organizat un duplex Londra-București, prilej cu care au fost prezentate rezultatele studiului „Personal Data: the new oil and its toxic legacy under the General Data Protection Regulation”, realizat de firma britanică DAC Beachcroft LLP.

Țuca Zbârcea & Asociații, în parteneriat cu Oracle România și Logika IT Solutions au organizat, în data de 9 noiembrie, conferința „Regulamentul General privind Protecția Datelor. În bloc-starturi!”. Evenimentul a reunit peste 200 participanți, reprezentați ai unor instituții financiar-bancare și companii active în varii industrii, precum tutun, farma și servicii medicale, telecomunicații, IT&C, electronice și electrocasnice, jocuri de noroc, energie, siderurgie, imobiliar, HR, publicitate, etc.

Conferința a analizat principalele elemente de noutate care vor fi introduse începând cu 25 mai 2018 de Regulamentul nr. 679/2016 (GDPR), aducând în dezbatere instrumentele juridice și tehnice prin care vor fi asimilate noile cerințe. La eveniment au participat, în calitate de vorbitori, reprezentanții Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) – Oana Luisa DUMITRU, Șef Birou Relații Internaționale și Adina DIACONESCU, Șef Serviciul Înregistrare Operatori, precum și avocați specialiști în data privacy din cadrul Țuca Zbârcea & Asociații, cu o echipă formată din Gabriel ZBÂRCEA, Managing Partener; Horia ISPAS, Partener; Bogdan HALCU, Managing Associate; Ciprian TIMOFTE, Managing Associate; Sergiu CREȚU, Avocat senior. Acestora li s-au adăugat echipele Oracle România și Logika IT Solutions, formate din Sorin MÎNDRUȚESCU, Country Leader și Silviu TEODORU, Technical Customer Adviser, respectiv Adrian SORA, Senior Enterprise Arhitect.

Lectorii au abordat teme precum: securitatea datelor, consimțământul conform GDPR, responsabilul cu protecția datelor (DPO), evaluarea impactului asupra protecției datelor (DPIA). Nu în ultimul rând, întrucât procesul de aliniere la GDPR la nivelul întregii organizaţii acoperă mai multe zone funcţionale şi tehnice şi implică o ajustare a proceselor curente din companie, experții au prezentat un exerciţiu interactiv extrem de apreciat. Astfel, pornind de la o situaţie curentă a unei companii, au fost simulați paşii de implementare a modificărilor impuse de GDPR, analizându-se implicațiile din punct de vedere juridic, precum și cele la nivel de procese de business, la nivel IT şi instrumentele software ce vin să automatizeze aceste procese.

Invitat în deschiderea evenimentului, avocatul Gabriel ZBÂRCEA, Managing Partner, Țuca Zbârcea & Asociații, a declarat: „Adoptarea Regulamentului nr. 679/2016 privind protecţia datelor cu caracter personal reprezintă un eveniment major, cu impact uriaş asupra operatorilor de date cu caracter personal. Subiectul este cu atât mai interesant, cu cât implică aspecte legate de procesarea big data, metadata, profilare sau alte chestiuni foarte sensibile, cum ar fi un posibil conflict între dreptul la protecţia datelor și reglementări din domeniul securității”.

În plus, ca element de noutate pe piața locală, a fost lansat, în cadrul unei videoconferințe colaborative, studiul firmei de avocatură britanice DAC Beachcroft LLP, cu tema „Personal Data: the new oil and its toxic legacy under the General Data Protection Regulation”. Analiza acoperă cele 28 de state membre UE și evidențiază riscurile de răspundere în aceste jurisdicții (sancțiuni financiare, dreptul la compensații și procese colective) după intrarea în vigoare a GDPR. Între altele, raportul arată că peste 80% dintre țări se așteaptă la o creștere a cererilor de despăgubire pentru încălcări ale protecției datelor după luna mai 2018. În cadrul acestui proiect, analiza referitoare la România a fost elaborată de avocații Țuca Zbârcea & Asociații – Cătălin BĂICULESCU, Partener și Sergiu CREȚU, Avocat senior.

Evenimentul „Regulamentul General privind Protecția Datelor. În bloc-starturi!” se înscrie în seria manifestărilor cu tradiție organizate de Țuca Zbârcea & Asociații pe subiecte de interes larg, cum ar fi Codul Civil, Codul de Procedură Civilă, legislaţia achiziţiilor publice, consecinţele dării în plată sau diverse teme de actualitate fiscală.

Parteneri media: News.ro și Profit.ro, Juridice.ro și Societatea de Științe Juridice, editura C.H. Beck.

Studiul DAC Beachcroft poate fi descărcat, gratuit: http://www.tuca.ro/articles/

ANSPDCP a publicat Ghidul Orientativ privind GDPR

Țuca Zbârcea & Asociații — Sun, 24 Sep 2017 13:21:54 +0000

Ieri, 21.09.2017, Autoritatea Națională pentru Supravegherea și Protecția Datelor cu Caracter Personal (ANSPDCP) a publicat Ghidul orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor.

Prin acest ghid se face o trecere în oglindă a principalelor noutăți aduse în materie de către Regulamentul UE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (GDPR).

Demnă de luat în considerare este recomandarea ANSPDCP de a numi un ofițer responsabil pentru protecția datelor cu caracter personal, chiar dacă GDPR nu impune expres o astfel de obligație în sarcina operatorului / persoanei împuternicite. Astfel, ANSPDCP se raliază la punctul de vedere al Grupului de Lucru al Art. 29 (organism cu rol consultativ în materie) exprimat în această direcție prin Avizul privind ofițerul pentru conformitate din 05.04.2017. Dată fiind această recomandare, nu e exclus ca numirea ofițerului de conformitate să poată fi asimilată în practică unei măsuri organizaționale minime ce ar trebui implementată (depinzând bineînțeles de sfera operațiunilor de prelucrare desfășurate de operator / persoana împuternicită).

Just in Case e-zine: The Watchful Eye

Țuca Zbârcea & Asociații — Fri, 22 Jul 2016 11:09:18 +0000

As part of our value-added client service programme, Țuca Zbârcea & Asociații regularly host bespoke events for the firm’s clients and other interested parties.

Our public speaking events have always aimed at creating a platform for debate, as well as trying to find solutions to legal issues that weigh on our clients’ minds. Drawing on their experience, our lawyers and consultants are genuinely interested in interacting with broad audiences in order to convene people from divergent economic sectors so as to reach desirable answers for the debated subjects. Our latest seminar, “Monitoring vs. Privacy of the Employees at the Workplace. Current Legal Dilemmas and Practical Solutions”, took place on 31 May at the Cesianu-Racoviță Palace (the Artmark Galleries), and it proved to serve its purpose. As a fair balance between the employer’s interests and the employee’s right to privacy is an extremely delicate issue, that might often give rise to numerous predicaments and controversies, we found it necessary for a discussion to be carried out in this regard. Moreover, recent enactments, such as the EU Regulation concerning data processing (i.e., the ECHR judgement in the Bărbulescu vs. Romania case), provided for a good occasion to comment on the impact of the latest case-laws in this matter. Along with the Țuca Zbârcea & Asociaţii team (Bogdan Halcu, Managing Associate; Ciprian Timofte, Managing Associate; and Sergiu Crețu, Senior Associate) specialising in data protection, speakers and representatives of the National Supervisory Authority for Personal Data Processing (ANSPDCP) took lead in the presentation and the ensuing discussions. Since its announcement, the event has quickly gained people’s interest and thus approximately 50 legal advisors, Human Resources managers, directors of internal audit (compliance) and specialists in the legal, administrative and even IT fields have joined our speakers, all interested in strengthening their knowledge on data privacy in relation to monitoring employees. The debate was highly appreciated, as the relevant news in the field were combined with case studies at hand. Not only did this discussion bring an insightful overview upon recently enacted regulations, but it also raised a well-based round of Q&A that helped put people’s mind at ease when applying the knowledge to their specific work situation. Most of the discussion was focused on matters concerning principles and general rules for monitoring employees, such as consent to monitoring and the need to provide this consent, internet and e-mail monitoring, video and audio monitoring at the workplace, GPS, and electronic access systems, from a legal and moral perspective.

This article was first published in Just in Case, an electronic magazine by Țuca Zbârcea & Asociații. To read the entire article, please go to: http://www.tuca.ro/just_in_case/

Interviu Bizlawyer: Țuca Zbârcea & Asociații anticipează o creștere a activitații în practica de Data Protection, în anii ce vor urma

Țuca Zbârcea & Asociații — Thu, 21 Jul 2016 12:12:22 +0000

Avocatii Tuca Zbarcea & Asociatii atrag atentia ca modificarile aduse de Regulamentul (UE) 2016/679 sunt unele de substanta. Una dintre principalele schimbari consta in eliminarea obligatiei de notificare a prelucrarilor datelor cu caracter personal catre ANSPDCP. “Aceasta va fi inlocuita de una sau, dupa caz, mai multe din urmatoarele obligatii: tinerea evidentei prelucrarilor de date cu caracter personal conform regulilor stabilite de Regulamentul 679/2016 si permiterea accesului la aceasta evidenta persoanelor vizate de prelucrare si ANSPDCP, la cerere (in principal, aceasta obligatie va fi impusa operatorilor care au cel putin 250 de angajati); desemnarea responsabilului cu protectia datelor cu caracter personal (asa numitul data protection officer) in cazul prelucrarilor care: sunt efectuate de o autoritate/organism public (exceptand instantele de judecata); implica o monitorizare periodica si sistematica a persoanelor vizate la scara larga; vizeaza categorii speciale de date, precum date privind
sanatatea, viata sexuala, condamnari penale si infractiuni, la scara larga; obligatia operatorilor de a evalua in prealabil impactul prelucrarii asupra drepturilor persoanelor vizate in cazul prelucrarilor care prezinta un risc ridicat pentru persoanele vizate si de a consulta in prealabil ANSPDCP in cazul in care evaluarea sus mentionata indica faptul ca prelucrarea ar genera un risc ridicat in absenta unor masuri luate de operator pentru atenuarea riscului. Autoritatile nationale (i.e. in Romania – ANSPDCP) vor publica o lista a prelucrarilor care presupun realizarea unui studiu de impact”, explica Ciprian Timofte, Managing Associate al Tuca Zbarcea & Asociatii.

Problematica protectiei datelor cu caracter personal a cunoscut o dezvoltare importanta in ultimii ani, in acord cu evolutiile tehnologice. In acelasi ton, firma Tuca Zbarcea & Asociatii a dezvoltat o practica semnificativa in domeniul protectiei datelor cu caracter personal, volumul proiectelor crescand constant de la an la an. „Nu putem afirma ca exista un profil anume al clientului Tuca Zbarcea & Asociatii in domeniul protectiei datelor cu caracter personal. Firma noastra de avocatura a consiliat un numar mare de companii, atat multinationale, cat si locale. Asistenta acordata a cuprins o paleta larga de servicii juridice, de la notificarea autoritatii nationale de supraveghere (ANSPDCP) cu privire la prelucrarea datelor pana la furnizarea de analize complexe vizand probleme sensibile de prelucrare a datelor personale, cum ar fi monitorizarea angajatilor la locul de munca, transferul de date in contextul unor transferuri de business (portofolii de asigurari, portofolii de credite neperformante etc.), punerea in aplicare a solutiilor de cloud computing, publicitate comportamentala etc”, precizeaza avocatul.

La randul sau, Sergiu Cretu, Avocat Senior al Tuca Zbarcea & Asociatii, arata ca, in general, mandatele firmei vizeaza aspecte necontencioase. “Clientii ne abordeaza in ideea de a preveni incalcarea legislatiei relevante si/sau aparitia unor eventuale litigii in aceasta materie. Mandatele cele mai frecvente constau in furnizarea de analize asupra modului in care sunt prelucrate sau se doreste sa se prelucreze date cu caracter personal, context in care sunt prezentate principalele obligatii ce revin operatorilor de date cu caracter personal, precum si recomandari de remediere a eventualelor incalcari constatate sau de prevenire a lor. De asemenea, ni s-a solicitat frecvent asistenta in implementarea masurilor impuse de legislatia relevanta operatorilor de date cu caracter personal ori imputernicitilor acestora. Nu in ultimul rand, serviciile noastre includ asistenta in cadrul tranzactiilor in care problemele de protectie a datelor personale devin incidente, precum in cazul transferurilor de intreprindere sau de portofolii de contracte cu persoane fizice”, detaliaza Sergiu Cretu.

Pentru articolul integral, accesați site-ul Bizlawyer: http://www.bizlawyer.ro/stiri/piata-avocaturii/tuca-zbarcea–asociatii-anticipeaza-o-crestere-a-activitatii-avocatiale-in-practica-de-data-protection-in-anii-ce-vor-urma-cum-lucreza-echipa-si-care-sunt-cele-mai-des-intalnite-solicutari-ale-clientilor

Cât de legală este publicarea online a numelor datornicilor persoane fizice?

Țuca Zbârcea & Asociații — Thu, 17 Mar 2016 15:03:54 +0000

Articol publicat de Avocatnet.ro în data de 17 martie 2016, cu opinii ale lui Bogdan Halcu, Managing Associate al Țuca Zbârcea & Asociații. Autor: Alexandru Boiciuc. Materialul este disponibil aici – http://www.avocatnet.ro/content/articles/id_42866/Cat-de-legal%C4%83-este-publicarea-online-a-numelor-datornicilor-persoane-fizice.html

Cât de legală este publicarea online a numelor datornicilor persoane fizice?

Începând din 2016, Fiscul trebuie să publice online şi lista datornicilor persoane fizice, nu doar cea a firmelor care au obligaţii fiscale restante, însă măsura poate fi considerată cel puţin discutabilă. În acest sens, pentru a vedea dacă noua obligaţie a organelor fiscale este în acord cu Legea protecţiei datelor personale şi cu Constituţia, am solicitat opiniile unor specialişti.

Până în 2015, organele Agenţiei Naţionale de Administrare Fiscală (ANAF) au publicat pe internet, în baza legii, doar lista persoanelor juridice care înregistrau obligaţii fiscale restante. Din acest an, odată cu intrarea în vigoare a noului Cod de procedură fiscală, obligaţia a fost extinsă şi pentru datornicii persoane fizice.

“Organele fiscale au obligaţia de a publica pe pagina de internet proprie lista debitorilor persoane fizice şi juridice care înregistrează obligaţii fiscale restante, precum şi cuantumul acestor obligaţii. Lista se publică trimestrial, până în ultima zi a primei luni din trimestrul următor celui de raportare şi cuprinde obligaţiile fiscale restante la sfârşitul trimestrului şi neachitate la data publicării listei”, este prevăzut în Codul de procedură fiscală.

Limita minimă de la care se face publicarea este de 100 de lei, conform Ordinului ANAF nr. 558/2016, pentru datoriile la organele fiscale centrale. În cazul datoriilor la organele fiscale locale, limita minimă este stabilită prin hotărâre a consiliului local.

Pe lista datornicilor persoane fizice se includ prenumele şi numele debitorilor, localitatea domiciliului fiscal şi cuantumul efectiv al obligaţiilor fiscale restante. În maximum 15 zile de la achitarea integrală a sumelor, autorităţile elimină datornicii din lista publică.

Motivul pentru care autorităţile au recurs la această măsură este, potrivit Ordinului ANAF nr. 558/2016, descurajarea acumulării datoriilor persoanelor fizice către stat. Iar România nu este singura ţară care procedează aşa, după cum a afirmat, la solicitarea AvocatNet.ro, un specialist de la Ţuca Zbârcea & Asociaţii (TZA).

“România nu este singurul stat care apelează la soluţia publicării datelor contribuabililor care înregistrează datorii faţă de bugetul de stat. Soluţii similare s-au vehiculat, spre exemplu, în Spania, Grecia sau Estonia, dar şi în mai multe state din SUA (între care Wisconsin, Kansas, Delaware şi Kentucky) sau în Taiwan. Autorităţile care au recurs la publicarea aşa-ziselor «name and shame lists» (în traducere, «listele ruşinii» – n. red.) speră că vor reuşi să stimuleze achitarea la timp a debitelor fiscale. De altfel, acesta este scopul declarat şi de autoritatea fiscală română”, a explicat Bogdan Halcu (foto stânga), managing associate la TZA.

Protecţia datelor personale este doar una dintre potenţialele probleme

Una dintre potenţialele probleme ce pot fi aduse în discuţie atunci când vorbim despre publicarea online a numelor şi a localităţilor de domiciliu ale datornicilor persoane fizice este protecţia datelor personale.

“Publicarea numelui şi a localităţii de domiciliu ale contribuabilului persoană fizică ridică probleme care ţin de protecţia datelor cu caracter personal. Astfel, publicarea unor asemenea date în condiţiile descrise în Ordinul ANAF nr. 588/2016 intră în sfera noţiunii de prelucrare a datelor cu caracter personal (…). Aşadar, trebuie respectate exigenţele prevăzute în legislaţia în domeniul prelucrării datelor cu caracter personal, chiar dacă datele ce vor fi publicate de către ANAF nu vor fi în toate cazurile suficiente cât să identifice persoana contribuabilului. (…) Din această perspectivă, este interesant de văzut dacă modul în care se va face publicarea listelor datornicilor respectă garanţiile oferite de legislaţia în domeniul protecţiei datelor cu caracter personal”, ne-a spus Bogdan Halcu.

Specialistul de la TZA a atras atenţia că atât directiva europeană cu privire la protecţia datelor personale, cât şi Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date oferă garanţia proporţionalităţii. Concret, aşa cum se arată în Legea protecţiei datelor personale, informaţiile de acest fel trebuie să fie, printre altele, prelucrate cu bună-credinţă, adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi apoi prelucrate.

Ce este o obligaţie fiscală restantă?
În această categorie de datorii sunt incluse atât obligaţiile fiscale pentru care a expirat termenul de plată, cât şi diferenţele de obligaţii fiscale principale şi accesorii stabilite prin decizie de impunere, chiar dacă pentru acestea termenul de plată încă n-a expirat.

“Mai întâi, este discutabil dacă publicarea numelui, a localităţii domiciliului fiscal şi a sumelor restante în sine este o măsură proporţională vizavi de scopul declarat, acela de a descuraja acumularea de arierate bugetare. Autoritatea Naţională pentru Supravegherea Prelucrării Datelor cu Caracter Personal a atras deja atenţia asupra faptului că practica publicării datelor contribuabililor nu ar satisface principiul proporţionalităţii. Apoi, chiar dacă am accepta că ideea de a publica datele contribuabililor datornici nu încalcă acest principiu, este din nou discutabil dacă se justifică publicarea datelor persoanelor fizice care datorează sume mici de bani. Notăm că intenţia ANAF este aceea de a publica datele persoanelor fizice care datorează sume peste pragul de 100 de lei. Este destul de evident că o datorie de acest fel poate fi efectul unei omisiuni sau erori şi este greu de argumentat că o atare datorie justifică înscrierea debitorului contribuabil pe «name and shame lists». Din acest punct de vedere, din nou se poate ridica problema proporţionalităţii datelor publicate vizavi de scopul urmărit de ANAF”, a punctat avocatul, care a amintit că în 2010 Casa Naţională de Asigurări de Sănătate a fost amendată pentru publicarea “listei ruşinii” cu datornicii la fondul de sănătate.

Totuşi, măsura publicării online a numelor datornicilor persoane fizice poate fi considerată legală, din moment ce chiar Legea nr. 677/2001 îi dă, în mod indirect, legitimitate, aşa cum este de părere un alt specialist contactat de redacţia noastră.

“Eu interpretez că prelucrarea de catre ANAF (dezvăluirea către terţi prin transmitere, diseminare sau în orice alt mod) a altor date cu caracter personal, cum ar fi numele şi prenumele debitorilor, poate fi efectuată în cazul de faţă în mod legal, întrucât prelucrarea este prevăzută în mod expres de o dispoziţie legală“, a afirmat, la solicitarea AvocatNet.ro, avocata Mădălina Moceanu.

Mai exact, actul normativ indicat stabileşte că “prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă persoana vizată şi-a dat în mod expres consimţământul sau prelucrarea este prevăzută în mod expres de o dispoziţie legală”. În situaţia de faţă, prelucrarea datelor personale este prevăzută de Codul de procedură fiscală.

Important! Conform Legii nr. 677/2001, este considerată prelucrare “orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea către terţi prin transmitere, diseminare sau în orice alt mod, alaturarea ori combinarea, blocarea, ştergerea sau distrugerea”. Practic, datele personale reprezintă orice informaţii referitoare la o persoană identificată sau identificabilă.

“Lista ruşinii”, contrară respectului demnităţii umane şi dreptului la imagine

Bogdan Halcu a opinat că articolul din Codul de procedură fiscală referitor la publicarea online a “listei ruşinii” ar putea să facă pe viitor obiectul unei excepţii de neconstituţionalitate, prin care să fie criticat pentru că nu respectă demnitarea umană şi dreptul la viaţă intimă, familială şi privată.

“Dreptul la viaţă privată include şi dreptul la propria imagine, ceea ce înseamnă că, în baza Constituţiei, autorităţile sunt responsabile pentru respectarea imaginii cetăţenilor. Or, publicarea numelor contribuabililor pe «name and shame lists» nu face altceva decât să păteze imaginea acestora”
Bogdan Halcu, managing associate la Ţuca Zbârcea & Asociaţii

“Publicarea numelui şi adresei de domiciliu pe listele ruşinii încalcă principiul ocrotirii demnităţii umane. Apariţia unui nume pe acea listă creează impresia că persoana respectivă a săvârşit o faptă reprobabilă, iar societatea ar trebui să ia atitudine faţă de conduita contribuabilului datornic pe care lista respectivă îl plasează într-o categorie socială inferioară. În realitate însă, nu există niciun motiv pentru care un contribuabil care datorează bugetului de stat sume mici de bani ar trebui să fie supus oprobriului public. Dacă admitem că datele din cazierul judiciar sunt protejate, şi ţinând cont că încălcarea legii penale dăunează mai grav societăţii decât neplata la timp a taxelor şi impozitelor, atunci este dificil de justificat publicarea unor atari liste. Statul are la îndemână mijloacele procedurale necesare pentru recuperarea sumelor datorate de contribuabili, astfel încât este greu de înţeles cum «demonizarea» datornicilor este o măsură necesară pentru ca statul să recupereze asemenea arierate”, a menţionat specialistul de la Ţuca Zbârcea & Asociaţii.

Totodată, avocatul a arătat că autorităţile au o obligaţie constituţională de a respecta şi ocroti viaţa intimă, familială şi privată a cetăţenilor, iar publicarea “listei ruşinii” nu face decât să le păteze imaginea: “Dreptul la viaţă privată include şi dreptul la propria imagine, ceea ce înseamnă că, în baza Constituţiei, autorităţile sunt responsabile pentru respectarea imaginii cetăţenilor. Or, publicarea numelor contribuabililor pe «name and shame lists» nu face altceva decât să păteze imaginea acestora. Însuşi scopul declarat al măsurii (acela de a descuraja acumularea de datorii) poate pune probleme de constituţionalitate. ANAF justifică măsura într-o cheie punitivă: se speră ca publicarea acestor liste să descurajeze pe contribuabilii rău-platnici prin stigmatizarea acestora. Or, dacă autorităţile îşi fac un scop din stigmatizarea cetăţenilor, există dubii serioase cu privire la modul în care acestea înţeleg să protejeze dreptul la imagine al cetăţenilor“.

Notă: AvocatNet.ro a solicitat Guvernului un punct de vedere oficial cu privire la potenţialele probleme ridicate de măsura publicării online a listei datornicilor persoane fizice. Răspunsul Executivului va fi adus în atenţia cititorilor cât mai curând după primirea acestuia.

ICCJ: Prenumele şi numele sunt date personale

Printr-o decizie publicată recent despre un caz referitor la cererile de acces la informaţiile de interes public, Înalta Curte de Casaţie şi Justiţie (ICCJ) a stabilit că prenumele şi numele unei persoane sunt date cu caracter personal.

“În interpretarea şi aplicarea art. 2 alin. (1) lit. c) din Legea nr. 544/2001 şi art. 3 alin. (1) lit. a) din Legea nr. 677/2001, numele şi prenumele unei persoane reprezintă informaţii referitoare la date cu caracter personal, indiferent dacă, într-o situaţie dată, sunt sau nu suficiente pentru identificarea persoanei“, scrie în Decizia ICCJ nr. 37/2015.

Concret, judecătorii au apreciat că, atunci când un document include atât informaţii de interes public, cât şi date personale ale persoanelor fizice, acesta trebuie să fie făcut accesibil numai după anonimizarea datelor personale.

“În cazul cererilor de liber acces la informaţii de interes public, întemeiate pe dispoziţiile Legii nr. 544/2001, atunci când informaţiile de interes public şi informaţiile cu privire la datele cu caracter personal sunt prezente în cuprinsul aceluiaşi document, indiferent de suportul ori de forma sau de modul de exprimare a informaţiilor, accesul la informaţiile de interes public se realizează prin anonimizarea informaţiilor cu privire la datele cu caracter personal; refuzul de acces la informaţiile de interes public, în condiţiile în care informaţiile cu privire la datele personale sunt anonimizate, este nejustificat“, subliniază magistraţii.

Decizia ICCJ a apărut în Monitorul Oficial spre sfârşitul lunii ianuarie şi, de la data publicării, a devenit obligatorie pentru toate instanţele din ţară. Aceasta are ca scop asigurarea unei practici unitare a instanţelor judecătoreşti.