Highlights:

• All data transfers are covered, irrespective if via automated means or not;
• Both decisions on UK adequacy are subject to a “sunset clause”, meaning that they will automatically expire in 2025; until then, EC will actively monitor the UK legislation to ensure satisfactory adequacy level;
• Personal data transferred for UK immigration control purposes are carved out from the scope of the GDPR Decision.

What to do?

Controllers transferring data in UK might consider:

• Reviewing the legal basis for transferring data to UK; if they concluded standard contractual clauses (SCCs) to support such transfer, the SCCs can be terminated;
• Updating their privacy policies by indicating that data transfers to UK are being made in consideration that UK ensures an adequate level of protection;
• Closely monitoring the status of the GDPR Decision, so as to ensure that such is not retracted or otherwise amended by the European Commission.

Keep an eye on our next newsletter on Greenlight for “EU – Republic of Korea data transfers” ® currently European Commission launched the process towards adoption of a draft of an adequacy decision for transfers towards Republic of Korea.

Pe 16 iulie, CJUE a pronunțat hotărârea Schrems II care invalidează decizia privind Scutul de Confidențialitate (Privacy Shield) și oferă clarificări asupra Clauzelor Contractuale Standard (CCS).

Mult zgomot și „ceață” în rândul organizațiilor, în special asupra efectelor hotărârii Schrems II. Urmează ca autoritățile de supraveghere din UE și EDPB să reacționeze în curând și să aducă mai multă lumină privind acest subiect.

Până atunci, redăm mai jos câteva aspecte cheie pe care ar trebui să le luați în considerare.

1. Ce înseamnă că Privacy Shield UE-SUA a fost invalidat?

Privacy Shield UE-SUA a permis organizațiilor UE să exporte date către organizații din SUA, enumerate în Lista Privacy Shield UE-SUA. Privacy Shield UE-SUA a fost emis în baza articolului 45 din GDPR, care conferă Comisiei dreptul de a decide că anumite state terțe sau teritorii asigură un nivel de protecție adecvat pentru persoanele vizate și, prin urmare, organizațiilor li se permite să transfere date în astfel de state sau teritorii.

Prin articolul 1 alineatul (1) din Decizia privind Privacy Shield, Comisia a constatat că SUA asigură un nivel de protecție adecvat al datelor cu caracter personal transferate din UE către organizații din SUA pe baza Privacy Shield UE-SUA.

Prin hotărârea Schrems II, CJUE a constatat că, dimpotrivă, SUA nu asigură un nivel de protecție adecvat (echivalent cu cel asigurat de țările UE) și, prin urmare, a stabilit că decizia Comisiei privind Privacy Shield UE-SUA este invalidă.

Aceasta presupune că organizațiile UE nu ar mai trebui să se bazeze pe Privacy Shield UE-SUA pentru transferul de date către organizații din SUA.

2. Ce se întâmplă cu transferurile în curs de desfășurare în baza Privacy Shield UE-SUA?

CJUE a fost destul de directă pe acest subiect extrem de sensibil și a statuat că organizațiile ar trebui să utilizeze mijloacele alternative de transfer de date prevăzute de articolul 49 din GDPR.

Important de menționat, Secretarul comerțului din SUA, Wilbur Ross, a declarat în 16 iulie 2020 că Departamentul de Comerț al SUA va continua să gestioneze programul Privacy Shield și, în particular, va continua să proceseze cererile de înregistrare (pe bază de auto-certificare) în Privacy Shield.

Deși este destul de devreme să tragem concluzii, cu excepția cazului în care Comisia va adopta o nouă decizie privind nivelul de protecție adecvat oferit de SUA, cel mai probabil Privacy Shield UE-SUA își va încheia în curând existența.

În viitorul apropiat, ne așteptăm ca autoritățile de supraveghere a UE și EDPB să emită poziții (comune) și îndrumări suplimentare către organizații de a nu (mai) utiliza Privacy Shield UE-SUA și de a încerca să se bazeze pe mijloace alternative valabile de transfer de date.

3. Există vreo perioadă de grație pentru conformare în ceea ce privește transferurile în curs în temeiul Privacy Shield UE-SUA?

Nu. Organizațiile ar trebui să ia în considerare imediat mijloace alternative valide pentru transferul de date în SUA. Acestea ar putea consta fie în punerea în aplicare a CCS adecvate sau a regulilor corporative obligatorii – RCO (fezabilitatea de evaluat de la caz la caz) sau utilizarea oricăruia dintre mecanismele alternative de transfer descrise la articolul 49 din GDPR.

4. Sunt clauzele contractuale standard (CCS) în continuare valide?

În principiu, da. Totuși, principala provocare va fi ca organizațiile UE care exportă datele în țări terțe în baza CCS să poată demonstra că importatorul de date din țara terță este în fapt capabil să îndeplinească garanțiile stipulate în cadrul CCS. Acest lucru ar presupune că organizațiile care se bazează pe CCS verifică dacă legislația țării terțe asigură un nivel similar de protecție în conformitate cu legislația UE în ceea ce privește drepturile persoanelor vizate.

5. La ce ar trebui să se aștepte organizațiile pe viitor?

În primul rând, organizațiile ar trebui să se aștepte la o creștere semnificativă a numărului de solicitări de acces ale persoanelor vizate în ceea ce privește transferurile de date către țări terțe. Putem presupune în mod rezonabil că cele mai expuse industrii vor fi telecomunicațiile, industria financiar-bancară, asigurările, sănătatea, retail etc.

În mod corespunzător, anticipăm o creștere a numărului de reclamații ale persoanelor vizate și, în acest sens, a investigațiilor inițiate de autoritățile UE (inclusiv ANSPDCP) în legătură cu transferurile de date către țări terțe (indiferent dacă sunt făcute pe baza Privacy Shield UE-SUA, CCS sau RCO).

De asemenea, nu putem exclude ca autoritățile naționale să deschidă investigații din oficiu cu privire la validitatea mecanismelor de transfer de date utilizate de organizații, cu accent pe transferurile de date către țări terțe. În special, unele autorități de supraveghere ale UE au subliniat deja necesitatea unei abordări unitare în ceea ce privește deciziile pe care le vor lua în privința companiilor care transferă date în țări terțe^[1].

Însă, probabil cel mai dramatic impact pentru organizații este că, în conformitate cu articolului 58 din GDPR, autoritățile de supraveghere din UE (inclusiv ANSPDCP) vor putea interzice (temporar sau definitiv) sau ordona suspendarea unui transfer de date sau a unui set de transferuri bazate pe CCS, dacă constată că transferul ar putea să aibă un efect negativ semnificativ asupra garanțiilor oferite persoanei vizate (inclusiv în cazul în care s-ar constata că, în fapt, legislația importatorului de date îl împiedică să se conformeze cu garanțiile oferite formal prin CCS).

În sfârșit, din perspectiva cadrului de conformare, cel mai probabil Comisia va emite versiuni actualizate ale CCS^[2]. Este de așteptat ca aceste versiuni să includă mecanisme mai dure pentru asigurarea unei protecții adecvate și eficiente a persoanelor vizate și, cel mai probabil, organizațiile vor fi obligate să încheie noi CCS pe modelul acestor versiuni actualizate.

6. Ce ar trebui să facă organizațiile în continuare?

Puteți lua în considerare următorii pași:

1. Identificați urgent și țineți o evidență a tuturor transferurilor către țări terțe pentru care v-ați bazat pe Privacy Shield UE-SUA, CCS or RCO.
2. Pentru transferurile către SUA:
   1. Suspendați sau încetați temporar orice transfer de date pe baza Privacy Shield UE-SUA. Monitorizați îndeaproape orice evoluție pe această temă, în special emiterea de către Comisie a unei noi decizii privind asigurarea unui nivel de protecția adecvat de către SUA.
   2. Identificați mecanisme alternative de transfer conform GDPR, precum CCS, RCO sau derogările enumerate la articolul 49 din GDPR.
   3. Dacă nicio variantă dintre cele de mai sus nu este posibilă, evaluați impactul asupra afacerii care rezultă din încetarea acestor transferuri de date imediat și analizați opțiuni alternative (cum ar fi mutarea bazei de date în UE sau într-o țară terță recunoscută ca asigurând un nivel de protecție adecvat).
3. Pentru transferurile de date către țări terțe altele decât SUA desfășurate în baza CCS:
   1. Evaluați dacă legislația țării terțe asigură un nivel similar de protecție ca și legislația UE. Inter alia, ar trebui să verificați garanțiile legale legate de orice acces potențial la date al autorităților publice din țara terță și capacitatea reală a importatorului de date de a respecta angajamentele din CCS.
   2. Dacă nu este cazul, ar trebui să luați în considerare următoarele:
      • Verificați dacă țara terță beneficiază de o decizie privind recunoașterea unui nivel de protecție adecvat emisă de Comisie. Dacă există o astfel de decizie, inițiați negocieri pentru încetarea CCS și bazați-vă în continuare pe această decizie privind nivelul de protecție adecvat.
      • În cazul în care nu există nicio decizie privind nivelul de protecție adecvat, puteți lua în considerare punerea în aplicare a unor garanții suplimentare CCS pentru a face eficientă protecția persoanelor vizate.
      • Dacă nu sunt disponibile sau fezabile garanții suplimentare, puteți lua în considerare încetarea CCS și aplicare unor mecanisme alternative de transfer valabile în conformitate cu GDPR (cum ar fi RCO sau una dintre derogările enumerate la articolul 49 GDPR).
      • Dacă nicio variantă dintre cele de mai sus nu este posibilă, evaluați impactul asupra afacerii care rezultă din încetarea imediată a acestor transferuri de date către țara terță și evaluați opțiunile alternative (cum ar fi mutarea bazei de date în UE sau într-o țară terță recunoscută ca asigurând un nivel de protecție adecvat).
4. Revizuiți documentele de informare utilizate (politici de confidențialitate, note de informare etc.) pentru a vă asigura că respectați toate cerințele de transparență impuse de GDPR în ceea ce privește transferurile de date către țări terțe.
5. Pregătiți un plan de acțiune și prezentați-l managementului organizației.
6. Documentați toți pașii pentru a vă asigura că puteți dovedi că ați pus în aplicare controale eficiente pentru a respecta GDPR și noul cadru stabilit de hotărârea CJUE Schrems II.

NOTE DE SUBSOL:

[1]  A se vedea comunicatul emis de autoritatea de protecție a datelor din Germania HmbBfDI – https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/paukenschlag-eugh-schreddert-den-privacy-shield-datenuebermittlung-in-staaten-jenseits-der-eu-aber/.

[2]   În observațiile introductive cu privire la hotărârea CJUE Schrems II, comisarul Reynders a subliniat că „lucrăm deja de ceva timp la modernizarea [CCS] și la asigurarea că setul nostru de instrumente pentru transferurile internaționale de date este potrivit scopului. […] Acum suntem într-un stadiu avansat al acestui proiect și vom ține cont, desigur, de cerințele hotărârii” – a se vedea https://ec.europa.eu/commission/presscorner/detail/en/statement_20_1366.

Acest document conține o serie de răspunsuri sintetice și pragmatice din perspectiva protecției datelor cu caracter personal în ceea ce privește anumite probleme-cheie care ar putea apărea la nivelul organizațiilor în contextul evoluțiilor recente privind COVID-19. Informațiile sunt furnizate în lumina opiniilor recent exprimate la nivelul autorităților de reglementare europene.

1. Ce acțiuni sau măsuri pot lua, în general, angajatorii în contextul pandemiei COVID-19?
• Să încurajeze angajații să fie transparenți cu privire la interacțiuni cu persoane cunoscute sau suspecte ca fiind infectate cu COVID-19.
• Să întrebe verbal angajații, în situații excepționale, cu privire la interacțiuni cu persoane cunoscute sau suspecte ca fiind infectate cu COVID-19 sau cunoscute ca venind din străinătate (e.g. din zonele „fierbinți”), în special atunci când există motive întemeiate de a considera că angajații în cauză pot fi infectați.
• Să încurajeze angajații să fie responsabili și să raporteze prezența oricărui simptom al gripei, cum ar fi febră, tuse, dureri în gât etc.
• Să utilizeze un chestionar cu întrebări de tipul „Da/ Nu” pentru a evalua riscurile și a limita răspândirea bolii (e.g. Prezentați simptome ale COVID-19, cum ar fi dureri de cap, febră, dureri de oase sau dificultăți respiratorii? Ați interacționat recent cu o persoană care a revenit dintr-o zonă de risc?). Răspunsul negativ al angajaților ar trebui să fie suficient.
• Să implementeze puncte de control medical la nivelul organizației (e.g. la punctele de lucru – hale de producție, puncte de desfacere) și să recomande angajaților (însă să nu-i oblige) să facă o vizită medicului companiei.

2. Ce acțiuni sau măsuri ar trebui evitate de angajatori în contextul pandemiei COVID-19?
Angajatorii ar trebui să evite:
• Să solicite angajaților (eventual cu consecința aplicării unei sancțiuni disciplinare) să informeze angajatorii cu privire la orice călătorie privată pe care au făcut-o recent sau la orice simptome de gripă pe care aceștia sau contactele lor apropiate le-ar putea avea.
• Să impună angajaților (eventual cu consecința aplicării unei sancțiuni disciplinare) să raporteze în mod regulat (e.g., zilnic) temperatura corpului.
• Să colecteze într-un mod sistematic și generalizat (în special prin cereri specifice adresate angajaților) informații despre prezența oricăror simptome de gripă ale angajaților și ale contactelor sale apropiate.
• Să solicite vizitatorilor sau altor persoane să semneze declarații standard prin care să ateste că nu prezintă simptome ale COVID-19 sau că nu au călătorit recent într-o zonă de risc.

3. Pot angajatorii să efectueze teste de măsurare a temperaturii corporale sau alte teste medicale cu privire la angajați, în cazul în care există o amenințare directă cu infecția cu COVID-19?
În principiu, angajatorii nu pot prelucra în mod direct date cu privire la sănătate (inclusiv temperatura corpului). Totuși, angajatorii ar putea să solicite angajaților suspectați să efectueze de urgență un control medical, de exemplu contactând furnizorul de servicii de sănătate contractat – dacă există. Dacă angajatul suspectat refuză, angajatorul ar trebui să poată trimite angajatul acasă (a se vedea, pentru detalii, și răspunsul nostru de la întrebarea 5 de mai jos).

4. Ce ar trebui să facă angajatorii în caz de whistleblowing/ raportări interne?
Atunci când primesc informații despre un potențial angajat infectat, angajatorii ar trebui să documenteze, ca parte a obligațiilor de securitate și sănătate în muncă:
(i). data și identitatea persoanei suspectate sau care a fost expusă virusului, și
(ii). măsurile organizatorice luate (izolare, lucrul de acasă, contactarea furnizorului de servicii de medicina muncii etc.).

5. Ce poate face angajatorul dacă angajatul suspect de infectarea cu COVID-19 refuză să fie consultat de furnizorul de servicii medicale?
Angajatorii ar trebui să documenteze:
• Sursa din care provine informația că angajatul în cauză ar fi infectat (ca urmare a unor denunțuri, raportări, semne vizibile de îmbolnăvire etc.).
• Investigațiile derulate. În mod particular, angajatorii ar trebui să încurajeze angajații să ia legătura cu furnizorii de servicii medicale pentru efectuarea de teste/ investigații medicale pentru a înlătura suspiciunea.
• Refuzul angajatului de a fi suspus unor teste/ investigații medicale.
În urma demersurilor de mai sus, angajatorii ar trebui să poată trimite acasă angajații în cauză până la momentul la care situația medicală se clarifică.

6. Pot angajatorii să informeze ceilalți angajați că un coleg de-ai lor a fost diagnosticat cu virusului COVID-19?
Angajatorii pot transmite informări generale cu privire la faptul că unul sau mai mulți colegi au fost testați pozitiv cu COVID-19. Totuși, în lipsa unor motive temeinic justificate, angajatorul nu ar trebui să divulge identitatea angajatului infectat. Prin urmare, în acest context angajatorii vor trebui să ia acele măsuri rezonabile care să garanteze anonimitatea angajatului infectat astfel încât ceilalți colegi să nu-l poată identifica. Desigur, măsurile ce trebuie luate pentru asigurarea anonimității se vor stabili în funcție de împrejurări, fiind posibil ca în ciuda eforturilor de păstrare a confidențialității, colegii să poată totuși determina identitatea colegului infectat.

7. Pot angajatorii informa persoane din afara organizației că angajații lor au fost diagnosticați cu virusul COVID-19?
Cu excepția autorităților publice competente, angajatorii nu ar trebui să divulge persoanelor din afara organizației că unul sau mai mulți angajați au fost diagnosticați cu virusul COVID-19 sau că aceștia s-ar afla în carantină/ auto-izolare. În schimb, angajatorii ar trebui să comunice persoanelor care încearcă să contacteze respectivii angajați (e.g. persoane de contact pe relația cu furnizorii/ contractorii) că aceștia sunt temporar indisponibili sau că absentează de la locul de muncă, eventual cu indicarea de substituenți.

8. Este necesar ca angajatorii să respecte regulile din materia protecției vieții private atunci când aceștia acționează în baza instrucțiunilor sau recomandărilor autorităților publice?
Cel mai probabil, angajatorii vor putea prelucra datele cu caracter personal ale angajaților (inclusiv date privind starea de sănătate) atunci când prelucrarea unor astfel de date face obiectul recomandărilor sau instrucțiunilor specifice ale autorităților publice (din domeniul medical, din domeniul muncii și protecției sociale etc.) Chiar și în astfel de situații, angajatorii ar trebui să implementeze garanții adecvate pentru asigurarea protecției vieții private, precum: prelucrarea datelor să se efectueze de personal dedicat, ținut de obligații de confidențialitate; limitarea accesului la astfel de date; perioade de retenție stricte; instruire adecvată a angajaților implicați etc.

9. Pot angajatorii solicita angajaților comunicarea datelor private de contact în vederea transmiterii de alerte sau cereri urgente?
Angajatorii ar putea solicita angajaților datele private de contact (e.g. numărul de telefon personal) după ce aceștia au fost informați despre scopul utilizării (e.g. pentru comunicări urgente în legătură cu evoluția COVID-19). Cu toate acestea, dacă angajatul refuză, angajatorul nu îl va putea obliga, nici nu va putea exercita presiuni asupra acestuia să furnizeze respectivele informații. În orice caz, datele private de contact vor trebui șterse cel mai târziu la terminarea pandemiei.

10. Dacă o organizație este închisă temporar sau capacitatea de reacție este limitată din cauza COVID-19, se vor mai aplica termenele de răspuns la cererile de exercitare a drepturilor persoanelor vizate prevăzute de GDPR?
Pandemia generată de infectarea cu virusul COVID-19 poate afecta capacitatea organizațiilor de a răspunde în termenele legale la cererile persoanelor vizate, spre exemplu, cereri de acces la date.
Angajatorii care întâmpină dificultăți în analiza și soluționarea cererilor din cauza pandemiei generate de virusul COVID-19 pot lua în considerare:
• Să comunice persoanelor vizate care au înregistrat cereri că răspunsul va fi amânat, indicând motivele care justifică amânarea (inclusiv dovezile în acest sens). De notat, angajatorii trebuie să documenteze în mod corespunzător respectivele motive.
• Să evalueze dacă respectivele cereri ar putea fi soluționate în etape. De exemplu, accesul la documentele fizice este mai dificil pentru angajații care lucrează de acasă și, în acest context, petentului i s-ar putea transmite doar documentele în format electronic, urmând ca documentele fizice să fie furnizate la o dată ulterioară. În orice caz, organizațiile ar trebui să fie transparente cu privire la acest proces față de petenți.
• Să reia cererea (sau partea neadresată din cerere) în cel mai scurt timp posibil de la încetarea motivelor care au determinat imposibilitatea formulării unui răspuns în termenul prescris de lege.

LEGISLAȚIE

Hotărârea Guvernului nr. 584/2019 pentru modificarea și completarea Hotărârii Guvernului nr. 494/2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO

• Monitorul Oficial al României Partea I nr. 673 din 13 august 2019. ● Data intrării în vigoare: 13 august 2019 ● Aplicabilă de la: 27 august 2019

Hotărârea reglementează înființarea CERT RO – în calitate de autoritate competentă la nivel național pentru securitatea rețelei și a sistemelor informatice care asigură servicii esențiale sau servicii digitale în sensul Legii nr. 362/2018.

Regulamentul BNR nr. 2/2019 privind prevenirea și combaterea spălării banilor și finanțării terorismului

• Monitorul Oficial al României Partea I nr. 736 din 9 septembrie 2019. ● Data intrării în vigoare: 9 septembrie 2019 ● Aplicabil de la: 2 octombrie 2019

Regulamentul schimbă regulile privind cunoașterea clientelei. Printre altele, sunt notabile următoarele modificări:

• dispozițiile privind reducerea la minimum a prelucrării datelor – de exemplu, la efectuarea tranzacțiilor ocazionale pot fi prelucrate mai puține date în scopul cunoașterii clientelei; posibilitatea aplicării de măsuri simplificate de cunoaștere a clientelei în situația în care există un risc scăzut de spălare a banilor și finanțare a terorismului;
• instituțiile de credit nu pot iniția, nu pot continua o relație de afaceri sau nu pot efectua o tranzacție ocazională dacă nu pun în aplicare măsuri de cunoaștere a clientelei, inclusiv în cazurile în care nu pot stabili legitimitatea scopului și natura relației de afaceri ori nu pot gestiona adecvat riscul de spălare a banilor și finanțare a terorismului.

SANCȚIUNI PENTRU ÎNCĂLCAREA RGPD

RECOMANDĂRI

• Atunci când „timpul este esențial”: ICO – recomandare privind stabilirea unui termen de răspuns la solicitarea de acces la date formulată de persoanele vizate

Ca urmare a sentinței CJUE pronunțată în Cauza C-171/03 Maatschap Toeters și M.C. Verberk  Productschap Vee en Vleesof, ICO și-a actualizat recomandările privind solicitările persoanelor vizate.

Aspecte principale: Termen de răspuns la o solicitare de acces la date

/ La stabilirea termenului pentru comunicarea unui răspuns la solicitările de acces la date, ziua în care este primită solicitarea de acces la date va fi considerată „Ziua 1”. Astfel, termenul de răspuns la o solicitare de acces la date primită la 29 august se împlinește pe 29 septembrie (și NU pe 30 septembrie).

/ Același sistem trebuie aplicat pentru calculul termenului de răspuns și cu privire la exercitarea celorlalte drepturi de către persoanele vizate, reglementate prin RGPD.

• Sunteți pregătiți? Lista de verificare privind implementarea RGPD a Autorității pentru Protecția Datelor din Saxonia Inferioară („LfD Niedersachsen”)

LfD Niedersachsen a publicat o listă de verificare privind implementarea RGPD care poate fi utilizată pentru a verifica stadiul conformării cu RGPD.

• IAB Tech Lab actualizează specificațiile tehnice pentru Cadrul de transparență și consimțământ al IAB Europe

IAB Europe, principala asociație de la nivel european pentru ecosistemul marketingului digital și al industriei publicitare, în parteneriat cu IAB Tech Lab, a anunțat lansarea celei de a doua versiuni a Transparency and Consent Framework (TCF) (Cadrul de transparență și consimțământ).

• Manualul responsabilului cu protecția datelor^[1]

Manualul este menit să sprijine formarea responsabililor cu protecția datelor pentru instituțiile publice în ceea ce privește noile lor atribuții conform RGPD. Deși se adresează instituțiilor publice, aceleași standarde pot fi luate în considerare și în cazul responsabililor cu protecția datelor din sectorul privat. Manualul poate fi accesat aici.

Aspecte principale:

/ Cunoștințele de specialitate ale responsabililor cu protecția datelor se referă la:

(a) experiență privind legislația europeană din domeniul confidențialității și al protecției datelor, inclusiv experiență în IT și securitate cibernetică; și

(b) o bună înțelegere a modului în care funcționează instituția [în cadrul căreia este desemnat responsabilul cu protecția datelor] și a activităților sale de prelucrare a datelor cu caracter personal și abilitate de interpretare a normelor relevante privind protecția datelor în acest context.

/ Deținerea de cunoștințe tehnice privind sistemele informatice implică o bună înțelegere a terminologiei din domeniul IT, a practicilor informatice și a formelor diferite de prelucrare a datelor. Spre exemplu, un responsabil cu protecția datelor trebuie să cunoască, spre exemplu:  sistemele de administrare și exploatare a datelor, tipul de software utilizat, sistemele de stocare a fișierelor și datelor, precum și cerințele politicilor de confidențialitate și securitate (criptarea datelor, semnături electronice, elemente biometrice etc.)

• Recomandările Comisarului landului Schleswig-Holstein responsabil pentru protecția datelor („ULD”) pentru prevenirea încălcărilor securității datelor – versiune disponibilă doar în limba germană

ULD a publicat câteva recomandări pentru prevenirea încălcărilor securității datelor. Printre altele, acestea se referă la necesitatea utilizării criptării în situația în care site-urile afișează formulare pentru colectarea datelor clienților. 

• Comisarul pentru informații („IC”) al Insulei Man: recomandări privind utilizarea sistemelor de supraveghere video

IC a publicat un set de recomandări privind utilizarea sistemelor de supraveghere video de către operatori.

Aspecte principale:

/ Camerele de supraveghere video trebuie să fie amplasate iar capturarea imaginilor să fie limitată, astfel încât să nu acopere zone care nu sunt relevante pentru scopul prelucrării (spre exemplu, proprietăți private ale persoanelor fizice).

/ Specificațiile tehnice ale sistemului trebuie să asigure o calitate adecvată a imaginilor pentru scopul avut în vedere.

/ Semnele/pictogramele legate de camerele video trebuie: (i) să fie vizibile în mod clar și să fie inteligibile; (ii) să menționeze detalii privind organizația care utilizează sistemul, scopul/scopurile utilizării sistemului de supraveghere video și persoana de contact cu privire la acest sistem – în situația în care acestea nu reies din context; și (iii) să fie de dimensiuni adecvate.

/ De asemenea, divulgarea imaginilor din sistemul de supraveghere video trebuie să fie controlată și să respecte scopul pentru care a fost instalat sistemul. Cu toate acestea, persoanele fizice au dreptul de a solicita copii ale imaginilor cu propria persoană.

• Autoritatea pentru Jocuri de Noroc din Malta: Recomandări privind comunicările comerciale

Aceste recomandări constituie un ghid practic pentru persoanele care comercializează jocuri de noroc licențiabile și persoanelor care colaborează în orice fel sau care prestează orice serviciu, inclusiv servicii de marketing sau de promovare pentru sau pe seama acestor persoane.

• Declarația CNIL (Autoritatea pentru Protecția Datelor din Franța): Înregistrarea convorbirilor telefonice și a utilizării calculatorului de către angajați

CNIL a publicat o declarație privind înregistrarea convorbirilor telefonice și a utilizării calculatorului de către angajați (disponibil numai în limba franceză)

Aspecte principale:

/ De regulă, prelucrarea informațiilor de pe capturile de ecran alături de înregistrarea convorbirilor telefonice este considerată disproporționată atunci când această prelucrare este folosită în alte scopuri decât formarea profesională a angajaților (de exemplu, evaluarea personalului, combaterea fraudei interne, etc.)

• Nota tehnică a AEPD (Autoritatea pentru Protecția Datelor din Spania): Responsabilitatea proactivă în aplicațiile mobile

AEPD a publicat o notă tehnică pentru prezentarea pe scurt a practicilor RGPD pentru organizațiile responsabile cu prelucrarea în aplicația mobilă și dezvoltatorii acestor aplicații.

Aspecte principale:

/ Informațiile RGPD trebuie să fie disponibile atât în magazinul virtual de aplicații (app store) cât și în aplicație, într-o limbă corespunzătoare pentru utilizatorul vizat;

/ Organizațiile care acționează în calitate de operatori pentru datele din aplicații trebuie să precizeze în contractele privind prelucrarea datelor, obligația persoanelor împuternicite de a asigura bunele practici și de a lua în calcul regulile Privacy by design and by default chiar de la momentul dezvoltării aplicațiilor;

/ Trebuie avute în vedere, în special, următoarele practici: gradul de detalii pentru gestionarea accesului acordat la resursele de sistem protejate; respectarea preferințelor de confidențialitate ale utilizatorului; evitarea transferului de date către prestatori de servicii de analiză a pieței (analytics) și publicitate  în momentul în care utilizatorul accesează aplicația fără oferi utilizatorilor posibilitatea de a accesa acele date ori de a își modifica opțiunile; utilizarea unor metode avansate pentru criptarea comunicațiilor.

• Garante (Autoritatea pentru Protecția Datelor din Italia): Codul de conduită pentru analiza riscului de credit pentru sistemele de informații private

Aspecte principale:

/ Prelucrarea datelor cu caracter personal cuprinse într-un SIC poate fi realizată exclusiv în scopul evaluării, recrutării sau gestionării unui risc de credit, al evaluării gradului de seriozitate și punctualitate în efectuarea plăților părții interesate – în vederea împiedicării riscului de fraudare și furt de identitate;

/ Prelucrarea datelor cu caracter personal este necesară pentru îndeplinirea intereselor legitime ale participanților la utilizarea SIC în scopurile menționate în CoC;

/ Informațiile negative despre credite în legătură cu întârzierile la plată, regularizate ulterior, pot fi păstrate într-un SIC cel mult: a) douăsprezece luni de la data înregistrării datelor în legătură cu regularizarea întârzierilor care nu depășesc două rate sau luni; b) douăzeci și patru de luni de la data înregistrării datelor în legătură cu regularizarea întârzierilor care depășesc două rate sau luni. 

JURISPRUDENȚA UE

• Decizia CJUE în Cauza Google vs. CNIL

La data de 24 septembrie 2019 CJUE a decis că, în momentul în care primește o cerere de a ascunde paginile de internet care conțin informații despre o persoana vizată, din partea acelei persoane vizate conform RGPD, operatorul motorului de căutare nu are obligația de a ascunde paginile de internet în toate versiunile motorului, ci numai în versiunea corespunzătoare pentru toate Statele Membre UE.

• Decizia preliminară a CJUE privind Articolul 15 alineatul (1) din Directiva 2000/31/CE

Pe 3 octombrie 2019, CJUE a emis o decizie preliminară privind interpretarea Articolului 15 alineatul (1) din Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societăților informaționale, în special privind comerțul electronic pe piața internă („Directiva privind comerțul electronic”)

Aspecte principale:

/ A decis că Directiva privind comerțul electronic, în special Articolul 15 alineatul (1), trebuie interpretat în sensul că nu se opune posibilității ca o instanță dintr-un stat membru:

/ să oblige un furnizor de servicii de stocare‑hosting să elimine informațiile pe care le stochează și al căror conținut este identic cu cel al unei informații declarate anterior ilicite sau să blocheze accesul la acestea, oricare ar fi autorul cererii de stocare a acestor informații;

/ să oblige un furnizor de servicii de stocare‑hosting să elimine informațiile pe care le stochează și al căror conținut este echivalent cu cel al unei informații declarate anterior ilicite sau să blocheze accesul la acestea, în măsura în care supravegherea și căutarea informațiilor vizate de o astfel de somație sunt limitate la informații care transmit un mesaj al cărui conținut rămâne în esență neschimbat în raport cu cel care a condus la constatarea caracterului ilicit și care cuprind elementele specificate în somație, iar diferențele din formularea acestui conținut echivalent în raport cu cea care caracterizează informația declarată anterior ilicită nu sunt de natură să îl constrângă pe furnizorul serviciilor de stocare‑hosting să efectueze o apreciere autonomă a acestui conținut și

/ să oblige un furnizor de servicii de stocare‑hosting să elimine informațiile la care se referă somația sau să blocheze accesul la acestea la nivel mondial în cadrul dreptului internațional relevant.

SFATUL NOSTRU

• Oportunități profesionale pentru candidați

În cazul în care candidatul nu este selectat pentru etapa următoare a procesului de recrutare, puteți lua în considerare următoarele:

/ Informați candidații într-un mod clar și complet înainte ca aceștia să-și depună candidatura cu privire la modul în care vor fi utilizate datele lor în cadrul recrutării.

/  În special:

(a) Comunicați candidaților dacă intenționați să utilizați CV-ul lor și pentru alte posturi decât cele indicate în anunțul de recrutare.

(b) Informați candidații că au dreptul de a se opune, fără a prezenta vreo justificare, utilizării pe viitor a CV-ului lor pentru alte posturi disponibile. Menționăm că opoziția candidaților poate fi exprimată și indirect, de exemplu prin precizarea în mod clar a faptului că sunt interesați exclusiv de postul pentru care a fost publicat anunțul sau prin indicarea postului vizat.

/  Dacă intenționați să utilizați CV-ul și pentru ocuparea altor posturi:

• Informați candidații cu privire la această intenție; în special, indicați perioada aplicabilă pentru această utilizare viitoare și măsurile de siguranță implementate în acest context (de ex., stocarea inactivă – precum arhivarea, folosirea unui pseudonim/criptarea, accesul limitat etc.); și
• Obțineți acordul candidaților pentru această utilizare.

Note:

[1]   Emis de următoarele autorități pentru protecția datelor: Garante per la Protezione dei Dati Personali (Italia), Agencia de Proteccion de Datos (Spania), Agencija za zastitu osobnih podataka (Croația), Comisia pentru Protejarea Datelor cu Caracter Personal (Bulgaria) și Urząd Ochrony Danych Osobowych (Polonia).

A trecut mai bine de un an de la momentul în care România a trebuit sa se conformeze regulilor impuse de GDPR. În tot acest timp, firmele de avocatura au avut de pus la punct un numar mare de proiecte rezultate din aceasta zona. Avocații implicați în practica de Data Protection s-au vazut obligați sa faca fața provocarilor aparute pe parcursul implementarii GDPR, fiecare dintre mandatele primite venind la pachet cu anumite probleme specifice. 

GDPR-ul este un „subiect la moda”, fiind una dintre temele cele mai dezbatute din ultimul an. Dincolo de acest aspect, este important de vazut efectele pe care le-a produs în realitate.

În cazul firmelor de avocatura, discutam despre faptul ca a antrenat un volum de munca semnificativ și foarte multe provocari. “Printre provocarile cele mai mari, aș aminti solicitarile (deloc puține) de implementare „la cheie” a GDPR, în special din partea industriilor cu expunere (cum ar fi financiar-bancar, telecom, IT&C). Pentru succesul unor astfel de mandate complexe, o echipa formata doar din buni specialiști în GDPR nu este suficienta. Avocatul coordonator al echipei respective trebuie sa fie un bun manager de proiect, sa aiba tact și sa

„simta” zonele fierbinți, cu expunere reala pentru client. În caz contrar, exista riscul sa se piarda foarte multe energii în zone irelevante sau cu expunere mica, iar clientul sa consume resurse (financiare și umane) în mod inutil”, subliniaza Ciprian Timofte, Managing Associate al Țuca Zbârcea & Asociații.

“Specialiștii” inventați nu au rezistat

Nu doar foarte multe proiecte au aparut ca urmare a intrarii în vigoare a prevederilor Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. “Mirajul GDPR” a facut ca în piața sa se nasca aproape „instant” numeroși consultanți în protecția datelor, juriști sau nejuriști.

Ciprian Timofte crede însa ca apele s-au limpezit destul de repede și, la momentul actual, traim o „perioada realista”, în care clienții au învațat sa detecteze pseudo-specialiștii. “Aceasta a reprezentat pentru noi o oportunitate fantastica de a ne consolida și mari portofoliul de clienți. Nu de puține ori am primit solicitari de preluare a procesului de implementare a GDPR, ca urmare a unor experiențe anterioare nefericite cu alți consultanți”, menționeaza avocatul Țuca Zbârcea & Asociații.

Specialistul atrage atenția ca, deși pe palierul produselor de conformare, ideea unui rețetar/ „kit GDPR” este seducatoare, este important de avut în vedere ca o astfel de abordare nu poate genera o conformare temeinica și durabila, prin prisma particularitaților fiecarei organizații și complexitații materiei. “Știu, exista anumite firme care au vândut soluții de conformare automatizate (soft-uri, platforme), pretinzând ca acestea pot înlocui consultantul. Totuși, aceste soluții și-au dovedit rapid limitele. Spre pilda, cunosc platforme de analiza GDPR care în repetate rânduri au semnalat probleme false sau inexistente sau, dimpotriva, nu au identificat probleme cruciale. De aceea, cred ca aceste produse pot reprezenta cel mult un „punct de plecare” pentru organizații pe lungul drum al procesului de conformare, fara a putea însa înlocui suportul și analiza juridica specializata”, argumenteaza expertul.

La rândul sau, Bogdan Halcu, Managing Associate al Țuca Zbârcea & Asociații, crede ca nu greșește atunci când afirma ca, odata cu intrarea în vigoare a GDPR, prelucrarea datelor cu caracter personal a devenit o activitate cu risc. „Aceasta înseamna ca fiecare operator trebuie sa fie conștient de riscurile pe care le implica activitatea sa și sa-și ia masuri pentru diminuarea sau eliminarea acestora. Sigur ca în acest demers operatorul are nevoie de consultanța de specialitate, iar avocații sunt bine poziționați pentru oferi o astfel de asistența având în vedere ca au atât capacitatea de a înțelege cerințele GDPR, cât și o buna cunoaștere a modului cum se raporteaza autoritațile și instanțele de judecata la prevederile GDPR”, puncteaza avocatul.

 „GDPR se aplica tuturor organizațiilor” 

Reprezentanții firmei de avocatura sunt de parere ca axioma „GDPR se aplica tuturor organizațiilor” este cât se poate de conforma cu realitatea. „Sigur, în mod natural unele industrii sunt mai expuse, în special prin prisma volumului mare de date prelucrate, caracterului sensibil al acestora sau, pur și simplu, prin multitudinea și complexitatea operațiunilor de prelucrare efectuate. Fara teama de a greși, pot spune ca firma noastra a acordat asistența în probleme de conformare cu GDPR pentru majoritatea industriilor cu expunere. În particular, am în vedere industria financiar-bancara (banci, IFN-uri, leasing, asigurari), telecom, medical, farma, media și digital”, arata Ciprian Timofte.

În proiectele pe care avocații le-au lucrat, nu au lipsit nici provocarile inerente, generate în special de aspectele sensibile sau „zonele gri” ale GDPR. “Clienții au așteptarea rezonabila sa li se spuna cum pot efectua o anumita prelucrare de date, iar nu ce sau de ce nu pot face respectiva prelucrare. În acest context, anumite zone „fierbinți” ale GDPR, cum ar fi marketingul, profilarea, gestionarea conflictelor de interese și evaluarea riscului de credit/ finanțare, sau monitorizarea comportamentului prin tehnologii de urmarire (tracking), ne-au pus la grea încercare pragmatismul și spiritul de inovație. În ciuda acestor provocari, am reușit, cred eu, sa gasim echilibrul optim dintre nevoia de conformare și necesitatea continuarii derularii activitații de o maniera eficienta și confortabila pentru organizații”, explica profesionistul Țuca Zbârcea & Asociații.

În implementarea tuturor masurilor vizate de GDPR, avocații s-au confruntat cu o serie de aspecte sensibile. Horia Ispas, Partener al Țuca Zbârcea & Asociații, spune ca cea mai mare provocare pe care echipa a trebuit sa o gestioneze a fost aceea de a calibra asistența de care aveau nevoie companiile la „realitatea din teren”. “Astfel, a trebuit sa facem o planificare atenta în funcție de contextul de conformare propriu fiecarui client, gradul de expunere pe zona de data privacy și, desigur, resursele alocate. În cadrul companiilor mari, am gasit în cele mai multe ori o cultura organizaționala compatibila, departamente de conformitate și un cadru procedural pre-existent, elemente care ne-au ajutat în proiectul de adecvare la cerințele GDPR. În cazul clienților de mai mici dimensiuni, se pornea deseori de la un grad limitat de cunoaștere a problematicii, astfel încât a fost necesar un efort suplimentar de explicare, am avut un rol mai mare în selecția direcțiilor critice de adecvare și, pe baza astfel creata, am derulat ulterior etapele de implementare”, detaliaza avocatul.

Țuca Zbârcea & Asociații are o practica puternica în aceasta industrie 

Țuca Zbârcea & Asociații este una dintre firmele de avocatura de pe piața cu o practica puternica în acesta industrie. De altfel, Horia Ispas amintește ca, deși GDPR a fost prezentat deseori în spațiul public ca o noutate absoluta, protecția datelor în România nu s-a nascut odata cu intrarea în vigoare a Regulamentului.

“Chiar daca a avut o vizibilitate mai scazuta, înaintea GDPR a existat Legea nr. 677/2001, au existat ordine și decizii ale autoritații de reglementare care au impus companiilor obligații de conformare. Corespunzator, noi nu am creat o echipa ad hoc când subiectul GDPR a devenit fierbinte, ci aveam deja o echipa coagulata și experimentata, care oferea asistența constanta în zona de data privacy. Așadar, protecția datelor este o arie de practica de sine statatoare pentru firma noastra, cu o echipa-core dedicata exclusiv. La nivel de organizație, am anticipat oportunitatea creata de noul Regulament și am facut cu suficient timp înainte realocarile de echipa și pregatirile necesare. Astfel, am fost bine poziționați sa gestionam „valul” GDPR fara a crea „peste noapte” specialiști în protecția datelor și, în continuare, volumul de munca este susținut”, puncteaza Partenerul firmei de avocatura.

Pentru perioada urmatoare, Țuca Zbârcea & Asociații și-a propus consolidarea acestei practici. “În piața exista o nevoie reala pentru asemenea servicii. Este adevarat ca aceasta nevoie nu este pe deplin conștientizata în unele cazuri, însa probabil ca este doar o chestiune de timp pâna când companiile mai mici și entitațile publice vor înțelege ca au nevoie de asistența în materia GDPR. Oferim asistența unei palete largi de companii care activeaza în domenii variate, plecând de la societați de exploatare agricola și mergând pâna la societați bancare, operatori telecom, platforme online, companii farma etc. În general, clienții care solicita asistența în acest domeniu au în comun faptul ca sunt conștienți de riscurile pe care le presupun afacerile lor. Nu am avut pâna acum solicitari de asistența din partea entitaților controlate de stat”, amintește Bogdan Halcu.

Clienți și proiecte majore 

În ultimul an, echipa dedicata practicii de Data Protection a trebuit sa mute accentul din zona de audit GDPR în zona de acțiuni de conformare și, în anumite cazuri, pe aspecte de post-implementare.

“Concret, asistența noastra s-a concentrat pe efectuarea evaluarilor de impact asupra protecției datelor (data privacy impact assessment), a testului interesului legitim (legitimate interest assessment), redactarea politicilor de confidențialitate și a altor proceduri interne cu impact pe prelucrarea datelor. Am acordat și asistența în relația cu autoritatea de supraveghere (ANSPDCP), inclusiv pe zona notificarii incidentelor de securitate. Nu aș lasa nemenționate nici solicitarile în ceea ce privește organizarea de traininguri și work-shopuri dedicate problematicii GDPR pe diverse arii de interes și care, conform feedbackurilor primite, au fost considerate extrem de utile de catre clienții noștri. Interesant, au existat și solicitari de realizare a unor audituri post-implementare, care au vizat fie maniera de transpunere a recomandarilor noastre de catre organizație, fie chiar maniera de implementare a GDPR de catre alți consultanți. Au existat și proiecte în zona de contencios și litigii; de altfel, pe acest segment anticipam o creștere accelerata în viitorul apropiat, în special în ceea ce privește contestarea sancțiunilor sau a altor masuri dispuse de autoritatea de supraveghere (ANSPDCP)”, detaliaza Ciprian Timofte.

Referindu-se la cele reprezentative proiecte de consultanța, Horia Ispas le nominalizeaza pe cele în industriile cu expunere majora pe relația cu consumatorii, care gestionau baze semnificative de date cu caracter personal. “Vorbesc de clienți top 5 din sectoare precum financiar-bancar, IT&C / telecom sau media. În anul scurs de la intrarea în vigoare a GDPR, echipa noastra a gestionat câteva astfel de proiecte-ancora în industriile menționate care au presupus asistența în toate etapele de derulare (evaluare inițiala, identificare vulnerabilitați, implementare soluții de conformare) și, în cele mai multe cazuri, ne aflam astazi în faza de post-implementare, asistența curenta sau pentru proiecte punctuale. Particularitatea tuturor acestor proiecte a fost unicitatea fiecaruia dintre ele. Daca ar fi totuși sa caut o trasatura comuna este aceea a necesitații unei interacțiuni strânse a consultantului cu oamenii-cheie din companii pentru a putea oferi un produs juridic de calitate. Un proiect GDPR gestionat profesionist nu poate fi realizat din biroul avocatului. Ca principiu, am alocat de fiecare data unul sau doi coordonatori experimentați în fiecare din aceste proiecte, care au asigurat colaborarea permanenta cu clientul și câțiva colegi în zona de back-office pentru prelucrarea informațiilor și suport în redactare”, mai spune avocatul.

În plus, Țuca Zbârcea & Asociații are colaborari cu firme de avocatura internaționale și regionale și clienți internaționali care au nevoie de asistența în jurisdicția locala. În acest context, echipa a fost cooptata sa ofere asistența în proiecte multi-jurisdicționale mai ales pentru clienți cu produse și servicii globale prezenți și în România.

“Am lucrat și lucram în continuare în proiecte care implica prelucrarea datelor cu caracter personal în mai multe state. Am putea sa amintim aici un proiect în care am oferit asistența și reprezentare în fața ANSPDCP și a instanței de judecata în legatura cu o breșa de securitate care a survenit la nivelul infrastructurii software din afara României și care a afectat mai multe persoane vizate atât din România, cât și din afara. Totodata, echipa noastra este parte a unei echipe internaționale formate din avocați din mai multe țari care este pregatita sa ofere asistența clienților tocmai în cazul unor breșe de securitate ale caror efecte s-ar extinde în mai multe jurisdicții”, exemplifica Horia Ispas.

Ca întotdeauna însă, în spatele problemelor aparent simple stau o multitudine de nuanțe. În special, organizațiile vor trebui să aibă în vedere următoarele aspecte:

Care este sursa obligației legale?

„Legea” care instituie obligația de prelucrare a datelor cu caracter personal trebuie să fie un act normativ intern sau european.

Actele normative interne pot fi atât legi emise de Parlament, dar și acte normative de forță juridică inferioară, cum ar fi hotărârile și ordonanțele Guvernului. De asemenea, vor putea fi surse ale obligației legale de prelucrare și actele secundare, de tipul regulamentelor, ordinelor, instrucțiunilor, normelor, avizelor sau alte asemenea, dacă acestea instituie în sarcina organizațiilor obligații (conduite obligatorii) privind prelucrarea datelor cu caracter personal.

De notat, actele secundare sus-menționate:

• Pot fi emise de autoritățile publice centrale (cum ar fi ANSPDCP, ANPC, BNR, ANCOM, CNA etc.) sau locale (hotărâri ale Consiliilor Locale).
• Sunt în mod tipic acte normative, instituind obligații general aplicabile organizațiilor cărora li se adresează. Prin excepție, sursa obligației legale ar putea fi și un act individual, dacă acesta este emis în aplicarea unui act normativ. De exemplu, avem în vedere ipoteza în care, printr-un act individual (decizie), ANSPDCP dispune unei organizații ștergerea anumitor date; ca tip de prelucrare, ștergerea datelor ar putea fi fundamentată pe obligația legală (în acest caz, sursa obligației fiind însă mixtă, anume: legea-cadru care acordă ANSPDCP prerogativa legală de a dispune măsuri de remediere, împreună cu decizia individuală care instituie obligația propriu-zisă de ștergere a datelor).

Nu vor putea fi calificate drept „surse” ale obligației legale:

• Actele normative emise în state terțe (din afara UE).
• Actele oficiale care nu au caracter obligatoriu pentru operator (așa-numiții „falși prieteni”). Nu de puține ori, organizațiile solicită puncte de vedere diverselor autorități (inclusiv ANSPDCP) sau, în anumite situații, chiar primesc diverse recomandări – mai ales în cadrul industriilor reglementate (financiar-bancar, medical, asigurări etc.). Aceste puncte de vedere sau, după caz, recomandări nu trasează „obligații” în sarcina organizațiilor. Prin urmare, în măsura în care respectivele puncte de vedere/ recomandări se referă la prelucrări de date cu caracter personal, organizațiile vor trebui să fie atente pe ce temei fundamentează prelucrarea (în mod tipic, temeiul pentru prelucrare nu va fi obligația legală, ci cel mai probabil interesul legitim sau un alt temei prevăzut la art. 6 din GDPR).
• Obligațiile contractuale. Organizațiile nu vor putea invoca o obligație contractuală pentru a fundamenta prelucrarea datelor cu caracter personal pentru scopul conformării cu obligaţia legală generală de a executa un contract (conform principiului forței obligatorii a contractului reglementat de Codul Civil).
• Actele normative de autorizare a deciziilor automatizate (art. 22 din GDPR). Au existat o serie de opinii potrivit cu care unul dintre temeiurile ce justifică utilizarea deciziilor automate este „obligația legală”. Respectivele opinii au la bază o confuzie între „obligațiile legale” și „actele normative de autorizare”. Legea nu poate obliga la utilizarea deciziilor automate, ci cel mult poate autoriza (permite) utilizarea unor asemenea decizii. Problema nu este doar una pur teoretică, întrucât, printre altele, GDPR impune organizațiilor ca informarea adresată persoanelor vizate să indice și temeiul legal al prelucrării. Prin urmare, pentru aceste situații, temeiul de prelucrare adecvat va fi autorizația legală de a utiliza decizia automatizată (art. 22 din GDPR), iar nu obligația legală (art. 6 alin. (1) lit. c) din GDPR).

Obligația legală vs interesul legitim: un „tango” permanent

Pentru a putea constitui temei al prelucrării datelor cu caracter personal conform art. 6 alin. (1) lit. c) din GDPR, obligația legală trebuie să fie suficient de caracterizată (concretă). O normă generică (care impune o conduită abstractă) nu poate constitui temei pentru prelucrarea datelor; eventual, în aceste cazuri temeiul pentru prelucrarea datelor ar putea fi interesul legitim al organizațiilor de a se conforma obligației legale respective – art. 6 alin. (1) lit. f) din GDPR.

Prin urmare, pentru a identifica temeiul de prelucrare adecvat, organizațiile trebuie să „penduleze” permanent între obligația legală (art. 6 alin. (1) lit. c) din GDPR) și interesul legitim de a se conforma respectivelor obligații legale (art. 6 alin. (1) lit. f) din GDPR).

Criteriul de distincție va fi întotdeauna gradul de caracterizare a obligației legale în cauză. Cu cât obligația va fi mai puțin caracterizată, lăsând libertatea organizației de a stabili elementele esențiale ale prelucrării (scop, date, mijloace, persoane vizate, destinatari etc.), cu atât mai probabil va fi ca temeiul de prelucrare să fie interesul legitim, iar nu necesitatea conformării cu obligația legală respectivă.

Desigur, nu va fi neapărat nevoie ca obligaţia legală să descrie în mod detaliat și exhaustiv toate elementele necesare pentru conformarea cu obligația legală în cauză (cumulativ: tipuri de date, operațiuni de prelucrare, categorii de destinatari, persoane vizate etc.). O indicare succintă a anumitor elemente de natură să „contureze” prelucrarea impusă de respectiva normă legală ar fi suficientă (cum ar fi indicarea tipurilor și obiectului prelucrării).

Cu titlu exemplificativ, vor putea constitui temei al prelucrării datelor următoarele obligații legale:

• Obligațiile standard de cunoaștere a clientelei (KYC) ce trebuie luate de către instituțiile de credit, instituțiile de plată, instituțiile emitente de monedă electronică și IFN-uri (art. 8 și 9 din Regulamentul BNR nr. 9/2008).
• Obligaţia furnizorilor de servicii de comunicații electronice de a colecta și divulga anumite date despre abonați către administratorul Serviciul Național Unic pentru Apeluri de Urgență (SNUAU) (art. 33 din Decizia ANCOM nr. 1023/2008).
• Obligația emitenților de valori mobiliare de a publica raportări periodice, cu indicarea datelor pe care acestea trebuie să le conțină, precum și a frecvenței raportărilor (art. 223 B1 din Regulamentul ASF nr. 5/2018).
• Obligația de includere a unor informații obligatorii pe biletele de valoare sau suporturile electronice echivalente emise de către emitenții unor astfel de tichete în beneficiul angajaților (art. 23 și 24 din H.G. nr. 1045/2018).
• Obligația organizațiilor care derulează campanii sau concursuri promoționale prin tragere la sorți (loterii publicitare) de a publica anumite date – numele câștigătorilor și câștigurile acordate acestora (art. 42 din O.G. nr. 99/2000).
• Obligația autorităților competente din domeniul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracțiunilor sau al executării pedepselor, măsurilor educative şi de siguranță de a înregistra în cadrul sistemelor de prelucrare automată anumite loguri (art. 30 din Legea nr. 363/2018).

La polul opus, nu vor putea constitui temei al prelucrării în baza unei obligații legale (nefiind suficient de caracterizate):

• Obligațiile instituțiilor de credit de a avea procese eficace de identificare, administrare, monitorizare și raportare a riscurilor, precum și mecanisme adecvate de control intern (art. 24 alin. 1 din O.U.G. nr. 99/2006).
• Obligația furnizorilor de servicii de comunicații electronice de a lua toate măsurile tehnice şi organizatorice adecvate pentru a administra riscurile care pot afecta securitatea rețelelor şi serviciilor (art. 46 din O.G. nr. 111/2011).
• Obligația organizațiilor de a asigura paza bunurilor ori valorilor deținute de respectivele organizații cu orice titlu (art. 2 din Legea nr. 333/2003).
• Obligația și dreptul angajatorului de a exercita controlul asupra modului de îndeplinire a sarcinilor de serviciu ori de a stabili obiectivele de performanță individuală, precum şi criteriile de evaluare a realizării acestor.

Cui revine obligația legală?

Obligaţia legală trebuie să se aplice în mod direct organizației în cauză (operatorului). Dacă obligaţia legală este stabilită în sarcina altei entităţi (de exemplu, în sarcina unei alte societăți din grup), organizația nu va putea fundamenta prelucrarea datelor pe acest temei, ci eventual pe interesul său legitim.

***

În loc de concluzii…

Organizațiile trebuie să analizeze atent posibilitatea de a se întemeia pe obligația legală pentru a justifica prelucrarea datelor cu caracter personal. În particular, organizațiile vor trebui să se întrebe: 1. Care este sursa obligației legale pe care o am în vedere? 2. Este respectiva obligație legală suficient de caracterizată? 3. Respectiva obligație legală stabilește prelucrări direct în sarcina organizației sau, dimpotrivă, în sarcina unei alte entități cu care organizația are o anumită legătură?

În funcție de răspunsul la aceste întrebări, organizația va putea stabili dacă poate fundamenta prelucrarea datelor pe necesitatea conformării cu obligația legală (art. 6 alin. (1) lit. c) din GDPR) sau, dimpotrivă, pe un alt temei de prelucrare prevăzut de GDPR (eventual pe interesul legitim al organizației sau al unui alt operator).

În orice caz, prelucrările de date cu caracter personal care vor depăși limitele stabilite de obligația legală (exemplu, păstrarea ulterioară a datelor pentru a dovedi conformarea cu obligația legală) vor fi cel mai probabil întemeiate pe interesul legitim al organizației sau al unui terț, iar nu pe respectiva obligație legală.

Organizațiile pot prelucra date cu caracter personal numai dacă identifică un temei legal valid pentru respectiva prelucrare. GDPR enumeră limitativ temeiurile care pot sta la baza prelucrărilor de date cu caracter personal. Interesul legitim este unul dintre acestea.

Întrucât în „era GDPR” consimțământul și-a pierdut mult din aura de ”silver bullet”, organizațiile au devenit tot mai interesate în a utiliza interesul legitim ca temei legal pentru prelucrarea datelor cu caracter personal. Pe bună dreptate, de cele mai multe ori.

Totuși, simpla existență a unui interes legitim nu poate justifica prelucrarea datelor cu caracter personal. Pentru aceasta, este necesar ca interesul legitim să nu fie depășit de interesele sau drepturile și libertățile fundamentale ale persoanelor vizate (art. 6 (1) lit. f) din GDPR).

Prin urmare, organizațiile vor trebui să pună în balanță interesul lor legitim de a efectua prelucrarea, pe de o parte, și dreptul la viață privată al persoanelor vizate, pe de altă parte. Prelucrarea va putea fi realizată doar dacă „balanța” înclină pentru interesul legitim al organizației. Altfel spus, organizațiile vor trebui să efectueze o evaluare a interesului legitim (legitimate interest assesment – LIA).

B. Când trebuie efectuată și documentată LIA?

Articolul 6 (1) lit. f) din GDPR impune organizațiilor să se asigure că interesul lor legitim nu este depășit de interesele sau drepturile și libertățile fundamentale ale persoanelor vizate. Prin urmare, o analiză de tipul LIA (în sensul de a pune în balanță interesul legitim cu drepturile persoanelor vizate) va trebui efectuată în toate cazurile.

Se ridică totuși o întrebare: va trebui fiecare LIA documentată sau formalizată în vreun fel? Autoritatea din UK (Information Commissioner’s Office – ICO) consideră că principiul responsabilității prevăzut de GDPR ar impune ca LIA să fie documentată în toate cazurile.

Pe de altă parte, GDPR nu prevede vreo obligație de a documenta LIA. Dacă ar fi dorit-o, GDPR ar fi spus-o expres, așa cum a făcut, de pildă, pentru obligația de a documenta evaluarea impactului asupra protecției datelor (data protection impact assessment – art. 35 din GDPR).

De aceea, cred că problema trebuie nuanțată. Fără îndoială, documentarea LIA reprezintă o bună-practică pentru organizații. Mai mult, pentru prelucrările complexe sau intruzive, aș zice că documentarea LIA devine stringentă și necesară. Nu cred însă că se impune documentarea LIA și pentru prelucrările total nesofisticate, pentru care balansul dintre interesul legitim și drepturile persoanelor vizate transpare în mod facil, intuitiv.

Spre pildă, dacă o organizație decide implementarea unui sistem de monitorizare prin GPS a flotei de autovehicule, documentarea LIA va fi cel mai probabil necesară. Aceasta întrucât vorbim de prelucrarea unui volum relativ mare de date, date intruzive (date de geo-localizare, date privind conduita în trafic etc.), persoane vulnerabile (salariații organizației), precum și consecințe potențial negative pentru persoanele vizate (e.g. inițierea unei proceduri disciplinare).

La polul opus, documentarea LIA nu ar trebui să fie necesară pentru situația în care, spre pildă, organizația utilizează datele de contact ale reprezentantului partenerului comercial pentru diverse corespondențe legate de executarea contractului. În acest caz, întrucât vorbim despre o intruziune minimă în viața privată a persoanelor vizate (volum redus de date, date neintruzive, așteptarea rezonabilă a reprezentantului de a fi contactat etc.), îndeplinirea cerințelor privind testul balanței transpare în mod natural și intuitiv din caracteristicile prelucrării.

C. Care este structura unei LIA?

În mod tipic, LIA are trei părți: 1. Descrierea interesului legitim, 2. Fundamentarea necesității, și 3. Fundamentarea proporționalității (care include și măsurile de salvgardare).

C.1.    Descrierea interesului legitim

Această secțiune va descrie sintetic interesul legitim urmărit de organizație.

De cele mai multe ori, interesul legitim aparține operatorului (organizației care va prelucra datele). Se poate însă ca interesul legitim să aparțină și unei terțe persoane (e.g. companiei-mamă din grupul operatorului) sau chiar unei comunități sau industrii (e.g. constituirea unor baze de date comune – de tipul birourilor de credit, ce profită industriei bancare).

Interesul legitim trebuie să fie întotdeauna legal; nu vorbim de interes legitim atunci când scopul prelucrării este contrar legii sau bunelor moravuri (e.g. monitorizarea unui angajat cu scopul de a-l șantaja ulterior).

De asemenea, interesul legitim trebuie să fie specific (caracterizat); colectarea de date cu scopul (generic) de a le prelucra pentru asigurarea bunăstării organizației nu reprezintă un interes legitim suficient de caracterizat.

C.2.    Fundamentarea necesității

Această secțiune va releva motivele pentru care prelucrarea datelor cu caracter personal servește scopului/ scopurilor urmărit(e).

Legat de fundamentarea necesității, trebuie reținute următoarele:

• Prelucrarea nu trebuie să fie absolut indispensabilă pentru realizarea scopului, dar nici nu poate fi doar utilă sau convenabilă.
• Dacă scopul urmărit poate fi atins prin mijloace de prelucrare mai puțin intruzive, de regulă se vor utiliza respectivele mijloace. Prin excepție, deși organizația a identificat mijloace mai puțin intruzive, acestea nu vor fi utilizate dacă ar implica eforturi disproporționate pentru organizație.

C.3.    Fundamentarea proporționalității

C.3.1.      Criterii pentru fundamentare

Reprezintă partea cea mai complexă și sensibilă a unei LIA. În esență, secțiunea va trebui să fundamenteze echilibrul dintre interesul legitim al organizației și drepturile persoanelor vizate.

Pentru evaluarea unui atare echilibru, se vor avea în vedere diverse criterii, cum ar fi:

• Natura și volumul datelor prelucrate

Organizațiile vor trebui să se întrebe: Prelucrăm date sensibile/ intruzive (e.g. date speciale în sensul art. 9 din GDPR, date privind situația financiară/ fiscală, identificatori etc.)? Dar volume mari de date? Combinăm seturi de date?

În cazul unor răspunsuri afirmative la aceste întrebări, cel mai probabil se va impune instituirea unor măsuri de salvgardare/ sporire a garanțiilor pentru viața privată a persoanelor vizate.

• Așteptările persoanelor vizate cu privire la prelucrare

Pentru a determina dacă persoanele vizate se așteaptă la prelucrarea datelor acestora de maniera preconizată, printre altele, organizațiile vor putea lua în considerare tipul de date prelucrate, raportul organizației cu persoanele vizate, frecvența interacțiunii dintre organizație și persoanele vizate, natura serviciului/ prelucrării etc. Bunăoară, angajații tehnici din cadrul unui prestator de servicii pot anticipa în mod rezonabil că CV-urile lor vor fi transmise potențialilor clienți ai prestatorului cu prilejul unor oferte. Prin contrast, respectivii angajați nu ar putea previziona că datele din CV-uri vor fi transmise unor parteneri comerciali ai prestatorului pentru ca respectivii parteneri să transmită angajaților comunicări comerciale personalizate.

• Potențialul impact asupra persoanelor vizate

De multe ori, prelucrările preconizate nu afectează persoanele vizate de o manieră semnificativă. Mai mult, în anumite cazuri prelucrările pot chiar produce consecințe pozitive pentru persoanele vizate. De exemplu, o monitorizare CCTV poate acționa nu doar în avantajul organizației, dar și al persoanelor vizate (e.g. permițând identificarea autorului unui furt).

Există însă și situații când prelucrarea este de natură să afecteze sau să prejudicieze persoanele vizate. Am în vedere, spre pildă, situația unei profilări în contextul unor campanii de marketing care ar avea ca efect excluderea din audiență sau, după caz, transmiterea unor oferte mai oneroase pentru anumite categorii de persoane (de exemplu, cazul profilărilor în funcție de locația reședinței, bazate pe predicția că locuitorii din anumite zone ale unei țări/ oraș au o situație financiară mai bună/ un risc de neplată a serviciului mai mic față de locuitorii altor zone).

În stabilirea potențialului impact al prelucrărilor asupra persoanelor vizate, vor putea fi avute în vedere, printre altele, și natura datelor prelucrate (risc crescut în cazul unor date sensibile), tipul de prelucrări realizate (risc crescut în cazul unor  prelucrări complexe sau atipice, de tipul profilării descrise mai sus sau a prelucrărilor combinând seturi mari de date), tipul de persoane vizate (risc crescut în cazul minorilor sau a altor persoane vulnerabile), consecințele care ar putea fi incidente în cazul accesului neautorizat al terților la datele prelucrate etc.

• Potențialul impact asupra organizației

Organizațiile vor trebui să aibă în vedere: care ar fi consecințele/ potențialul impact (prejudicii, riscuri semnificative etc.) dacă prelucrarea nu ar avea loc?

Relevante în acest sens ar putea fi și industriile în care activează organizațiile. Spre pildă, industriile reglementate (e.g. financiar-bancar, telecom) ar putea justifica o intruziune mai mare în viața privată a persoanelor vizate, în special pentru a evita riscurile sistemice și de contaminare. De multe ori în aceste situații chiar legislația specială poate impune organizațiilor implementarea unor politici/ proceduri adecvate pentru prevenirea fraudelor și incidentelor de neplată.

C.3.2.      Măsuri de salvgardare

Ca urmare a aplicării criteriilor sus-enunțate, organizațiile ar putea ajunge la concluzia că interesul lor legitim este întrucâtva debalansat de dreptul la viață privată al persoanelor vizate. În acest caz, se va impune implementarea unor măsuri de contra-balansare, așa-numitele „măsuri de salvgardare”.

Desigur, măsurile de salvgardare vor varia de la caz la caz, în funcție de criteriile care au determinat debalansarea interesului legitim. Printre altele, organizațiile ar putea lua în considerare implementarea următoarelor măsuri de salvgardare:

• Limitarea tipurilor de date prelucrate – de exemplu, în cazul raportării unor date negative într-o bază comună de risc constituită la nivelul unui grup de entități, alternativ raportării cuantumului/ vechimii datoriilor restante s-ar putea lua în considerare raportarea unor nivele de risc (de tipul, Scăzut/ Ridicat/ Mare/ Fraudă).
• Limitarea și calibrarea cazurilor de prelucrare a datelor (în special când prelucrările produc efecte negative). În exemplul de la pct. (i) de mai sus, raportarea unor date negative (e.g. neplata unor datorii) ar putea avea loc doar în cazul în care cuantumul datoriei depășește un anumit prag.
• Creșterea transparenței prelucrărilor – În exemplul de la pct. (i) de mai sus, raportarea unor date negative numai după notificarea persoanei vizate cu privire la intenția de raportare.
• Limitarea perioadei de retenție a datelor.
• Sporirea mecanismelor de exercitare a drepturilor persoanelor vizate (cum ar fi implementarea unor mecanisme de exercitare facilă a drepturilor, de exemplu în format digital).
• Restricționarea accesului la date (privilegii de acces limitate, chiar și în rândul personalului relevant).
• Utilizarea tehnicilor de anonimizare, agregare a datelor, privacy by design etc.

D. Recomandări

Indiferent de tipul de interes legitim pe care îl invocă, atunci când efectuează/ documentează o LIA, organizațiile ar trebui:

• Să fie obiective: LIA presupune înainte de toate o analiză tehnico-juridică privind posibilitatea invocării interesului legitim ca temei pentru prelucrare, deci un exercițiu obiectiv. O LIA pro-causa/ formală ar putea aduce un fals confort și ar putea expune organizația în cazul unei investigații sau a unor obiecții din partea persoanelor vizate.
• Să sporească măsurile de salvgardare: în cazul unor măsuri de salvgardare multiple, vor spori și argumentele ce susțin atenția acordată vieții private și prelucrării datelor cu bună-credință, ceea ce ar putea constitui un factor decisiv pentru înclinarea balanței spre interesul legitim al organizației.
• Dacă rezultatul LIA este negativ, organizațiile ar trebui să identifice un alt temei pentru prelucrarea datelor. Dacă prelucrarea a fost inițiată, organizațiile ar trebui să înceteze prelucrarea.
• Dacă rezultatul LIA este neconcludent (în sensul identificării unui echilibru fragil interes legitim vs. drepturile persoanelor vizate), organizațiile ar putea lua în considerare efectuarea unei evaluări a impactului asupra protecției datelor (data protection impact assessment – art. 35 din GDPR).
• În orice caz, organizațiile ar trebui să revizuiască LIA periodic sau ori de câte ori se modifică condițiile de prelucrare avute inițial în vedere.

Articolul a fost publicat în Revista Română de Protecția Datelor și preluat de pe site-ul – https://www.juridice.ro/631568/liant-pentru-interesul-legitim.html?utm_source=newsletter&utm_medium=email&utm_campaign=juridice_news&utm_term=2019-03-12

Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații

Companiile se găsesc în prezent în etape diferite de conformare, în funcție de diverși factori și constrângeri cu care s-au confruntat.

Nu a fost deloc ușor pentru companiile cu expunere. Distinct de provocările de ordin tehnic aduse de GDPR, aș spune că un alt factor critic pentru evoluția procesului de conformare a fost sinergia resurselor.

De cele mai multe ori, companiile cu expunere sunt companii mari și mijlocii, cu o activitate și organizare complexe. Aceasta a implicat eforturi semnificative pentru coordonarea la nivel decizional, planificare și alocare de resurse (atât de ordin financiar, cât și uman).

Pe un alt palier, au existat și o serie de alți factori, intrinseci și extrinseci, care au amânat sau încetinit procesul de conformare. De exemplu, au fost companii care au așteptat suport și ghidaj de la grup; or, nu de puține ori suportul fie a venit cu întârziere, fie s-a dovedit insuficient (de așteptat, de altfel, având în vedere că fiecare organizație are particularități în prelucrările de date efectuate).

Toate acestea au făcut ca startul procesului de implementare a GDPR să fie, în general, mai inerțial pentru aceste companii. Au existat, desigur, și excepții: unii dintre clienții noștri cu expunere pe GDPR au demarat procesul de conformare încă de la începutul anului 2017, deci cu mult timp înainte de intrarea în vigoare a GDPR.

Sunt însă convins că, indiferent de momentul inițierii procesului de conformare, la momentul actual toate aceste companii (și nu mă refer doar la cele pe care firma noastră le-a asistat în procesul de conformare cu GDPR) au acoperit deja toate sau majoritatea „zonelor fierbinți” ale GDPR.

Care sunt industriile cele mai expuse?

Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații

Este deja celebră axioma: „Nu există organizație căreia să nu i se aplice GDPR”. Asta pentru că, într-o măsură mai mare sau mai mică, toate organizațiile prelucrează date cu caracter personal.

Desigur, anumite industrii sunt mai expuse, în special prin prisma volumului mare de date pe care le prelucrează, tipului de date prelucrate (date sensibile, date ale minorilor etc.), tipurilor de prelucrări pe care le realizează, tehnologiilor utilizate în prelucrarea datelor, etc. Vorbim aici de organizații din domeniul telecomunicațiilor, financiar-bancar (bănci, IFN-uri, societăți de asigurare, pensii), medical, farma, furnizori de utilități. Nu trebuie uitate nici companiile din domeniul digital/ IT, inclusiv furnizorii de servicii de cloud sau prestatorii de servicii ale societății informaționale.

Care sunt acele particularități ale Regulamentul care îl transformă într-o provocare pentru companii?

Horia ISPAS, Partener al Țuca Zbârcea & Asociații

Regulamentul este în primul rând o inițiativă de uniformizare la nivel european a unor standarde de protecție a datelor cu caracter personal. Regulamentul se aplică indiferent de industrie. El se aplică, cu unele diferențe, atât multinaționalelor, cât și întreprinderilor mici și mijlocii.

Acest cadru de reglementare universal valabil se constituie de multe ori într-un „pat al lui Procust” în care trebuie să încapă (și să performeze) organizații extrem de neomogene. Pentru companiile mici, angajarea unor cheltuieli de conformare cu normele Regulamentului se poate dovedi nesustenabilă.

Există, așadar, grade diferite de înțelegere și conformare la noile reguli.

Pe un alt palier, Regulamentul are un caracter general, cu o logică intrinsecă și limbaj tehnic specific. Chiar și pentru organizațiile complexe, cu resurse semnificative alocate, adecvarea la noile reguli este un proces laborios, îndelungat și costisitor. În mod practic, cvasi-totalitatea proceselor dintr-o companie presupun prelucrări de date cu caracter personal, deci un efort de evaluare și ajustare orizontal, în profunzimea activităților fiecărui operator.

Care este rolul consultantului în materie de conformare la Regulament?

 Horia ISPAS, Partener al Țuca Zbârcea & Asociații

E o întrebare foarte interesantă într-o piață în care s-au născut „peste noapte” consultanți în protecția datelor, fie ei juriști sau nejuriști. Din punctul meu de vedere, rolul consultantului este acela de „a traduce” în realitatea fiecărei organizații regulile generale, cu grad ridicat de tehnicitate, stabilite de Regulament. Într-un fel va arăta un proiect de conformare la o companie din industria farmaceutică, altfel la un asigurător și altfel la o agenție de publicitate. Un „kit GDPR” care să asigure instant și ieftin conformarea este un fals confort care și-ar putea dovedi limitele în cazul unui audit sau investigații.

GDPR impune cerințe suplimentare privind informarea persoanelor vizate – informarea trebuie să fie clară, completă, dar concisă și accesibilă. Cum poate fi informarea completă și, în același timp, concisă?

Horia ISPAS, Partener al Țuca Zbârcea & Asociații

Este un subiect sensibil pentru mulți dintre clienții noștri, mai ales în industriile cu expunere pe categorii largi de consumatori, persoane fizice. Ca avocați, prioritatea noastră este desigur aceea de a asigura conformarea operatorilor de date cu caracter personal cu noile standarde de transparență (Ce spunem? Cum spunem? Când spunem? Prin ce canale spunem?). Un consultant experimentat va avea însă întotdeauna în vedere să nu compromită sau să intre în conflict cu strategia de comunicare a clientului, poziționarea produselor pe piață, mesajul comercial, etc. Informarea persoanelor vizate nu este un simplu document standard care poate fi replicat indiferent de industrie. Uneori informarea trebuie să încapă pe o etichetă, pe un flyer sau într-un SMS.

În mediul electronic există o serie de tehnici care sunt folosite cu succes. Informările pot fi structurate pe mai multe niveluri de detaliu – multi-layered information notices. La un prim nivel găsim informația contrasă, absolut necesară (principii, elementele cheie). Cei interesați de detalii suplimentare pot apoi accesa un al doilea nivel, care oferă explicații extinse pentru o informare completă.

Sunt necesare „clauzele GDPR” în toate contractele comerciale?

Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații

Am spus-o și cu alte ocazii, nu cred în obligativitatea inserării „clauzelor GDPR” în toate contractele comerciale. GDPR o spune foarte clar: informarea persoanei vizate nu este necesară: 1. dacă persoana vizată cunoștea respectivele informații (pentru datele obținute direct de la persoana vizată) sau 2. dacă informarea ar implica eforturi disproporționate (pentru datele obținute din alte surse).

Prin urmare, organizațiile vor trebui să se uite atent la caracteristicile prelucrării și, în special, să răspundă la următoarele întrebări: Se așteaptă persoanele vizate la prelucrarea datelor cu caracter personal? Pot ele anticipa în mod rezonabil caracteristicile esențiale ale prelucrării (scopul prelucrării, tipul de date prelucrate, perioadele de stocare, destinatarii datelor)? Raportat la caracteristicile prelucrării și, în special, la efectele produse asupra persoanelor vizate, ar putea implica informarea eforturi disproporționate pentru organizație? În cazul unui răspuns afirmativ la toate întrebările de mai sus, „clauzele GDPR” nu vor fi necesare în contractile comerciale.

De exemplu, să spunem că încheiem un contract de livrare marfă, ocazie cu care se vor prelucra datele semnatarilor contractului (numele, prenumele și semnătura) și, eventual, datele persoanelor de contact (nume, prenume, e-mail, telefon).

În acest caz, semnatarii contractelor/ persoanele de contact se așteaptă în mod rezonabil la prelucrarea datelor de maniera respectivă. Mai mult, având în vedere tipul și volumul redus de date prelucrate, cel mai probabil o informare detaliată a persoanelor vizate ar implica eforturi disproporționate pentru organizația receptoare. Iată de ce cred că în contractele comerciale de tipul celor de mai sus nu va fi necesară utilizarea de „clauze GDPR”.

Din păcate însă, am remarcat o tendință de a insera „clauze GDPR” în toate contractele comerciale, pe principiul „better safe than sorry”. Aceasta ar putea duce la cristalizarea unei practici păguboase pentru organizații și, pe alocuri ilare (am văzut „clauze GDPR” de câteva pagini în contracte comerciale de una-două pagini, cu prelucrări minime de date cu caracter personal). În plus, o atare practică ar putea crea un „efect de bumerang” pentru organizații, care s-ar putea confrunta cu anumite contestații/ obiecții privind maniera de realizare a informării, în ciuda faptului că informarea nu era obligatorie conform GDPR.

Așadar, recomand ca organizațiile să analizeze temeinic necesitatea inserării „clauzelor GDPR” în contractele comerciale pe care le încheie și să își calibreze eforturile de informare cu particularitățile prelucrărilor de date cu caracter personal realizate.

Mai pot fi utilizate în activitatea de marketing noile tehnologii bazate pe profilare?

Ciprian TIMOFTE, Managing Associate al Țuca Zbârcea & Asociații

Deși s-a consumat multă cerneală pe subiect, profilarea pentru scop de marketing ridică încă multe necunoscute și ridicări de sprânceană.

Ce mi se pare important de reținut:

• Profilarea reprezintă în sine o prelucrare de date cu caracter personal. De aceea, pentru a utiliza profilarea (inclusiv profilarea pentru scop de marketing bazată pe noi tehnologii) avem nevoie de un temei legal pentru prelucrare, respectiv de transparență în prelucrare.
• Nu orice tip de profilare necesită consimțământul persoanelor vizate. Chiar dacă este destinată marketingului, o profilare superficială, bazată pe date standard/ nesensibile, ar putea fi realizată, de principiu, pe bază de interes legitim. Aici am în vedere profilări neintruzive, de tipul unor segmentări bazate pe seturi reduse de date.
• Pe de altă parte, profilările profunde/ intruzive vor necesita, ca regulă, obținerea consimțământului persoanelor vizate. Cu precădere, profilările realizate prin utilizarea de noi tehnologii vor putea fi realizate cel mai probabil doar pe bază de consimțământ, având în vedere că, de regulă, noile tehnologii (de tipul inteligenței artificiale (AI), internet of things (IoT) etc):
• antrenează prelucrarea unor volume/ seturi mari de date cu caracter personal;
• implică, în mod tipic, un grad sporit de intruzivitate în viața privată, în special prin prisma combinărilor rapide și complexe de date realizate, evaluărilor/ predicțiilor cu grad ridicat de risc pentru persoanele vizate, prelucrărilor intruzive realizate (de ex., prelucrarea datelor de localizare etc.).
• De asemenea, nu de puține ori utilizarea noilor tehnologii se corelează cu decizii automatizate luate cu privire la persoanele vizate. Dacă decizia produce efecte juridice sau efecte similare semnificative pentru audiența de marketing, organizațiile vor trebui să furnizeze audienței și informații precise privind logica de prelucrare automată(“meaningful information about the logic involved”), precum și o descriere a consecințelor pe care prelucrarea le-ar putea produce asupra audienței.
• În sfârșit, este foarte probabil ca o profilare prin utilizarea de noi tehnologii să necesite și efectuarea unei evaluări a impactului asupra protecției datelor (privacy impact assessment).

Cine și cum răspunde pentru încălcările GDPR?

Horia ISPAS, Partener al Țuca Zbârcea & Asociații

Principalul titular al obligațiilor de conformare impuse de GDPR este operatorul de date cu caracter personal (acționând singur sau în asociere cu un alt operator). Operatorul stabilește scopurile și mijloacele prelucrării de date cu caracter personal. O dimensiune esențială a principiului responsabilității este aceea de documentare a conformității, operatorul fiind obligat să demonstreze în orice moment adecvarea la standardele de protecție a datelor (e.g. protocoale stricte de securitate a datelor, rutine de actualizare și ștergere a datelor, mijloace eficiente de răspuns la solicitări de exercitare a drepturilor din partea persoanelor vizate, documentarea capturării consimțământului, a informării persoanelor vizate, etc).

La rândul său, persoana împuternicită de operator (data processor) are o serie de obligații distincte reglementate de Regulament (obligația de a prelucra date la instrucțiunile operatorului, obligația de a încheia un contract de prelucrare date cu operatorul, limitări privind utilizarea sub-contractorilor, obligația de a implementa măsuri de securitate specifice, etc).

Ca regulă, față de autoritatea de supraveghere și față de persoanele vizate, operatorul este direct răspunzător pentru faptele proprii și pentru modul de conformare a persoanelor împuternicite angajate. Persoana împuternicită răspunde la rândul său direct față de autoritatea de supraveghere și față de persoanele vizate pentru nerespectarea obligațiile specifice care îi revin. Prin excepție, în cazul unei culpe comune (pe relația operator – persoană împuternicită, respectiv operatori asociați), răspunderea este indivizibilă.

Interviul a fost publicat de Legal Marketing și este preluat de pe site-ul – http://legalmarketing.ro/exclusiv-interviu-cu-horia-ispas-partener-tuca-zbarcea-asociatii-si-ciprian-timofte-managing-associate-tuca-zbarcea-asociatii/

Decizia nr. 174/2018 privind lista operațiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecției datelor cu caracter personal („Decizia nr. 174/2018”), emisă de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, a fost publicată în Monitorul Oficial al României, Partea I, nr. 919 din 31 octombrie 2018.

Decizia nr. 174/2018 a fost emisă de ANSPDCP în aplicarea art. 35 alin. (4) din Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE („GDPR”), potrivit căruia autoritățile de supraveghere trebuie să publice o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (evaluare cunoscută și sub acronimul DPIA).

Ce înseamnă DPIA?

GDPR a introdus o nouă regulă în ceea ce privește obligațiile operatorilor, în virtutea principiului responsabilității. Mai exact, ori de câte ori, o anumită activitate de prelucrare a datelor este susceptibilă să genereze un risc ridicat cu privire la drepturile și libertățile persoanelor vizate operatorii de date cu caracter personal trebuie să efectueze o evaluare a respectivelor riscuri.

Pe baza acestei evaluări operatorii trebuie, apoi, să implementeze măsuri de reducere / eliminare a impactului, iar atunci când măsurile propuse nu sunt suficiente, operatorii trebuie să modifice sau chiar să renunțe la activitatea de prelucrare a datelor.

GDPR nu definește clar ce înseamnă operațiuni / tipuri de prelucrări cu risc ridicat pentru drepturile și libertățile persoanelor vizate, ci furnizează doar niște exemple de activități de prelucrare cu risc ridicat. De altfel, o definiție care să acopere în mod exhaustiv tipurile de activități de prelucrare cu risc ridicat ar fi mai degrabă inoportună, având în vedere complexul peisaj al activităților de prelucrare a datelor cu caracter personal care, în plus, cunoaște o evoluție continuă cu pași foarte alerți.

Tocmai de aceea, GDPR a delegat autorităților de supraveghere (care, în mod natural, sunt mai aproape de fenomenul de prelucrare a datelor) sarcina de a stabili tipurile de activități pentru care este necesară DPIA în mod obligatoriu.

Cazurile pentru care DPIA este obligatorie

Decizia nr. 174/2018 stabilește 7 cazuri în care DPIA este obligatorie:

a) prelucrarea datelor cu caracter personal în vederea realizării unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

b) prelucrarea pe scară largă a datelor cu caracter personal privind originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, a datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea, viața sexuală sau orientarea sexuală ale unei persoane fizice sau a datelor cu caracter personal referitoare la condamnări penale și infracțiuni;

c) prelucrarea datelor cu caracter personal având ca scop monitorizarea sistematică pe scară largă a unei zone accesibile publicului, cum ar fi supravegherea video în centre comerciale, stadioane, piețe, parcuri sau alte asemenea spații;

d) prelucrarea pe scară largă a datelor cu caracter personal ale persoanelor vulnerabile, în special ale minorilor și ale angajaților, prin mijloace automate de monitorizare și/sau înregistrare sistematică a comportamentului, inclusiv în vederea desfășurării activităților de reclamă, marketing și publicitate;

e) prelucrarea pe scară largă a datelor cu caracter personal prin utilizarea inovatoare sau implementarea unor tehnologii noi, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile, cum ar fi utilizarea tehnicilor de recunoaștere facială în vederea facilitării accesului în diferite spații;

f) prelucrarea pe scară largă a datelor generate de dispozitive cu senzori care transmit date prin internet sau prin alte mijloace (aplicații “Internetul lucrurilor”, cum ar fi smart TV, vehicule conectate, contoare inteligente, jucării inteligente, orașe inteligente sau alte asemenea aplicații);

g) prelucrarea pe scară largă și/sau sistematică a datelor de trafic și/sau de localizare a persoanelor fizice (cum ar fi monitorizarea prin Wi-Fi, prelucrarea datelor de localizare geografică a pasagerilor în transportul public sau alte asemenea situații) atunci când prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată.

Câteva observații în ceea ce privește lista propusă de ANSPDCP

• Lista activităților de prelucrare propusă de autoritate nu este exhaustivă; astfel, chiar dacă anumite activități de prelucrare nu se vor regăsi pe lista inclusă în Decizia nr. 174/2018, operatorii trebuie, în continuare, să facă o analiză, de la caz la caz, pentru a stabili dacă pentru operațiunile lor de prelucrare sunt necesare evaluările de tip DPIA. Pentru a facilita acest demers, operatorii trebuie să țină, în continuare, cont de orientările / recomandările incluse în „Ghidul privind evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este “susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679 (WP 248, revizuit)”, adoptat de Grupul de lucru Articolul 29 în data de 4 octombrie 2017 și aprobat de Comitetul European pentru Protecția Datelor (CEPD), cel puțin până la momentul la care un ghid nou/un ghid revizuit nu va fi emis de CEPD;
  • Art. 1 alin. (1) lit. d) din Decizia nr. 174/2018 utilizează sintagma „și/sau înregistrare sistematică” ca element de circumstanțiere a tipurilor de prelucrare. Această precizare poate să atragă necesitatea efectuării DPIA chiar și pentru activități de prelucrare care, în concret, nu ar atrage un risc ridicat pentru persoanele vizate. Un astfel de exemplu de prelucrări curente (i.e. sistematice) efectuate de aproape orice angajator este utilizarea mecanismelor de înregistrare a accesului în sistemele IT de către angajații proprii (i.e. așa numitele log-uri de acces utilizate pentru scop de securitate / asigurarea integritatea datelor accesate de angajați);
  • Art. 1 alin. (1) lit. f) din Decizia nr. 174/2018 impune obligația de efectuare a DPIA pentru orice tip de „prelucrare pe scară largă a datelor generate prin intermediul dispozitivelor cu senzori care transmit date prin Internet sau alte mijloace […]” (subl. ns.). Termenul alte mijloace lipsește această prevedere din decizie de predictibilitatea care ar trebui să caracterizeze orice act normativ. Ca atare, aici pot fi anticipate în continuare dezbateri în ceea ce privește modul de aplicare a acestui caz prevăzut de deciziei;
  • Art. 1 alin. (1) lit. g) din Decizia nr. 174/2018 impune obligația de a efectua DPIA pentru prelucrările la scară largă și/sau sistematică a datelor de trafic și/sau de localizare, dacă prelucrarea nu este necesară pentru prestarea unui serviciu solicitat de persoana vizată. Aparent, scopul acestui text este de a acoperi prelucrările efectuate de furnizorii serviciilor societății informaționale. Totuși, textul este destul de general. Astfel, nu se poate exclude o interpretare mai largă, respectiv o extindere la operațiuni care, în mod normal, nu atrag riscuri pentru viața privată a persoanelor fizice. Spre exemplu, se poate pune întrebarea dacă o astfel de obligație de efectuare a DPIA se aplică și datelor trafic (incluse în facturile de telefonie / internet) prelucrate de angajator în contextul relațiilor de muncă cu angajații proprii care utilizează telefoanele angajatorilor (e.g. pentru scop de gestiune economico-financiară și fără ca angajatorul să facă o monitorizare a comunicațiilor electronice utilizate de salariați)?
• Decizia nr. 174/2018 prevede și o excepție de la obligația efectuării DPIA, respectiv: atunci când prelucrarea este efectuată în temeiul art. 6 alin. (1) lit. (c) sau (e) din GDPR (i.e. (obligație legală sau interes public sau exercitarea autorității publice) ce are la bază legislația UE sau românească pentru care deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte a unei evaluări generale a impactului în contextul adoptării actelor normative respective (regulă statuată, de altfel, și de GDPR).

Ca atare, operatorii trebuie să fie atenți că, deși există o obligație legală care le impune prelucrarea datelor, aceștia ar putea fi totuși nevoiți să facă o DPIA, dacă o astfel de analiză nu a fost efectuată în procesul de legiferare.

Practic, orice entitate poate fi vizată de o investigație a Autorității, efectuată fie ex officio (inclusiv în urma unei notificări privind încălcări ale securității datelor), fie la plângerea persoanelor vizate. Prin noua reglementare, Autoritatea dobândește atribuții similare altor autorități cu competențe de control (e.g. Consiliul Concurenței) în a efectua investigații inopinate (dawn raids), alături de cele cu înștiințare prealabilă. Dincolo de detaliile procedurale pentru fiecare tip de investigație, notăm câteva aspecte sensibile care ne-au atras atenția:

• Potrivit Procedurii (art. 19 e)), entitatea controlată are obligația „să furnizeze într-o formă completă documentele, informațiile, înregistrările și evidențele solicitate […] fără a putea opune caracterul confidenţial al acestora”. Această obligație generală de dezvăluire de date la cererea Autorității, dacă nu va fi judicios filtrată de echipa de control, poate ridica probleme în privința acelor documente, informații care sunt protejate de garanții edictate la nivel de legislație primară, precum cele privind privilegiul avocat-client și secretul profesional (art. 35 din Legea avocaturii nr. 51/1995);
• Remarcăm, de asemenea, caracterul univoc al investigației, inspectorii Autorității având largi competențe în a organiza investigația, accesând, la alegere, sursele și mijloacele pe care le consideră necesare (verificarea oricăror documente, echipamente, audiere de persoane, etc). Din păcate, Procedura nu formalizează pe parcursul investigației un cadru de răspuns/fundamentare a poziției entității controlate (dreptul de a depune comentarii la neregularitățile invocate, dreptul de a solicita audierea unor persoane, etc). Singurele mijloace de apărare sunt oferite doar ex post, după finalizarea investigației, sub forma obiecțiunilor la procesul-verbal de constatare/sancționare (nu este clar care ar fi efectul acestora după întocmirea procesului-verbal) și, desigur, contestație la instanța competentă;
• În fine, anticipând o creștere a numărului de investigații din partea Autorității, recomandăm entităților cu expunere în zona prelucrării datelor cu caracter personal adoptarea unor proceduri interne și efectuarea de sesiuni de training privind obligațiile, drepturile și conduita în cazul unei investigații din partea Autorității.