Secţiuni » Selected
Selected Top Legal
CorporatePlatinum members

TZA News. Protecția datelor / 18 noiembrie 2019
18.11.2019 | JURIDICE.ro

JURIDICE - In Law We Trust

Selecție privind evoluțiile la nivelul UE în domeniul protecției datelor – octombrie 2019

În această ediție:
1. Legislația națională în domeniul protecției datelor
2. Sancțiuni pentru încălcarea RGPD
3. Recomandări și standarde oficiale din Uniunea Europeană
4. Jurisprudența UE
5. Sfatul nostru

LEGISLAȚIE

Hotărârea Guvernului nr. 584/2019 pentru modificarea și completarea Hotărârii Guvernului nr. 494/2011 privind înființarea Centrului Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO

● Monitorul Oficial al României Partea I nr. 673 din 13 august 2019. ● Data intrării în vigoare: 13 august 2019 ● Aplicabilă de la: 27 august 2019

Hotărârea reglementează înființarea CERT RO – în calitate de autoritate competentă la nivel național pentru securitatea rețelei și a sistemelor informatice care asigură servicii esențiale sau servicii digitale în sensul Legii nr. 362/2018.

Regulamentul BNR nr. 2/2019 privind prevenirea și combaterea spălării banilor și finanțării terorismului

● Monitorul Oficial al României Partea I nr. 736 din 9 septembrie 2019. ● Data intrării în vigoare: 9 septembrie 2019 ● Aplicabil de la: 2 octombrie 2019

Regulamentul schimbă regulile privind cunoașterea clientelei. Printre altele, sunt notabile următoarele modificări:

– dispozițiile privind reducerea la minimum a prelucrării datelor – de exemplu, la efectuarea tranzacțiilor ocazionale pot fi prelucrate mai puține date în scopul cunoașterii clientelei; posibilitatea aplicării de măsuri simplificate de cunoaștere a clientelei în situația în care există un risc scăzut de spălare a banilor și finanțare a terorismului;

– instituțiile de credit nu pot iniția, nu pot continua o relație de afaceri sau nu pot efectua o tranzacție ocazională dacă nu pun în aplicare măsuri de cunoaștere a clientelei, inclusiv în cazurile în care nu pot stabili legitimitatea scopului și natura relației de afaceri ori nu pot gestiona adecvat riscul de spălare a banilor și finanțare a terorismului.

SANCȚIUNI PENTRU ÎNCĂLCAREA RGPD

RECOMANDĂRI

Atunci când „timpul este esențial”: ICO – recomandare privind stabilirea unui termen de răspuns la solicitarea de acces la date formulată de persoanele vizate

Ca urmare a sentinței CJUE pronunțată în Cauza C-171/03 Maatschap Toeters și M.C. Verberk  Productschap Vee en Vleesof, ICO și-a actualizat recomandările privind solicitările persoanelor vizate.

Aspecte principale: Termen de răspuns la o solicitare de acces la date

–  La stabilirea termenului pentru comunicarea unui răspuns la solicitările de acces la date, ziua în care este primită solicitarea de acces la date va fi considerată „Ziua 1”. Astfel, termenul de răspuns la o solicitare de acces la date primită la 29 august se împlinește pe 29 septembrie (și NU pe 30 septembrie).

–  Același sistem trebuie aplicat pentru calculul termenului de răspuns și cu privire la exercitarea celorlalte drepturi de către persoanele vizate, reglementate prin RGPD.

Sunteți pregătiți? Lista de verificare privind implementarea RGPD a Autorității pentru Protecția Datelor din Saxonia Inferioară („LfD Niedersachsen”)

LfD Niedersachsen a publicat o listă de verificare privind implementarea RGPD care poate fi utilizată pentru a verifica stadiul conformării cu RGPD.

IAB Tech Lab actualizează specificațiile tehnice pentru Cadrul de transparență și consimțământ al IAB Europe

IAB Europe, principala asociație de la nivel european pentru ecosistemul marketingului digital și al industriei publicitare, în parteneriat cu IAB Tech Lab, a anunțat lansarea celei de a doua versiuni a Transparency and Consent Framework (TCF) (Cadrul de transparență și consimțământ).

Manualul responsabilului cu protecția datelor[1]

Manualul este menit să sprijine formarea responsabililor cu protecția datelor pentru instituțiile publice în ceea ce privește noile lor atribuții conform RGPD. Deși se adresează instituțiilor publice, aceleași standarde pot fi luate în considerare și în cazul responsabililor cu protecția datelor din sectorul privat. Manualul poate fi accesat aici.

Aspecte principale:

–  Cunoștințele de specialitate ale responsabililor cu protecția datelor se referă la:
(a) experiență privind legislația europeană din domeniul confidențialității și al protecției datelor, inclusiv experiență în IT și securitate cibernetică; și
(b) o bună înțelegere a modului în care funcționează instituția [în cadrul căreia este desemnat responsabilul cu protecția datelor] și a activităților sale de prelucrare a datelor cu caracter personal și abilitate de interpretare a normelor relevante privind protecția datelor în acest context.

–  Deținerea de cunoștințe tehnice privind sistemele informatice implică o bună înțelegere a terminologiei din domeniul IT, a practicilor informatice și a formelor diferite de prelucrare a datelor. Spre exemplu, un responsabil cu protecția datelor trebuie să cunoască, spre exemplu:  sistemele de administrare și exploatare a datelor, tipul de software utilizat, sistemele de stocare a fișierelor și datelor, precum și cerințele politicilor de confidențialitate și securitate (criptarea datelor, semnături electronice, elemente biometrice etc.)

Recomandările Comisarului landului Schleswig-Holstein responsabil pentru protecția datelor („ULD”) pentru prevenirea încălcărilor securității datelor – versiune disponibilă doar în limba germană

ULD a publicat câteva recomandări pentru prevenirea încălcărilor securității datelor. Printre altele, acestea se referă la necesitatea utilizării criptării în situația în care site-urile afișează formulare pentru colectarea datelor clienților.

Comisarul pentru informații („IC”) al Insulei Man: recomandări privind utilizarea sistemelor de supraveghere video

IC a publicat un set de recomandări privind utilizarea sistemelor de supraveghere video de către operatori.

Aspecte principale:

–  Camerele de supraveghere video trebuie să fie amplasate iar capturarea imaginilor să fie limitată, astfel încât să nu acopere zone care nu sunt relevante pentru scopul prelucrării (spre exemplu, proprietăți private ale persoanelor fizice).

–  Specificațiile tehnice ale sistemului trebuie să asigure o calitate adecvată a imaginilor pentru scopul avut în vedere.

–  Semnele/pictogramele legate de camerele video trebuie: (i) să fie vizibile în mod clar și să fie inteligibile; (ii) să menționeze detalii privind organizația care utilizează sistemul, scopul/scopurile utilizării sistemului de supraveghere video și persoana de contact cu privire la acest sistem – în situația în care acestea nu reies din context; și (iii) să fie de dimensiuni adecvate.

–  De asemenea, divulgarea imaginilor din sistemul de supraveghere video trebuie să fie controlată și să respecte scopul pentru care a fost instalat sistemul. Cu toate acestea, persoanele fizice au dreptul de a solicita copii ale imaginilor cu propria persoană.

Autoritatea pentru Jocuri de Noroc din Malta: Recomandări privind comunicările comerciale

Aceste recomandări constituie un ghid practic pentru persoanele care comercializează jocuri de noroc licențiabile și persoanelor care colaborează în orice fel sau care prestează orice serviciu, inclusiv servicii de marketing sau de promovare pentru sau pe seama acestor persoane.

Declarația CNIL (Autoritatea pentru Protecția Datelor din Franța): Înregistrarea convorbirilor telefonice și a utilizării calculatorului de către angajați

CNIL a publicat o declarație privind înregistrarea convorbirilor telefonice și a utilizării calculatorului de către angajați (disponibil numai în limba franceză).

Aspecte principale:

–  De regulă, prelucrarea informațiilor de pe capturile de ecran alături de înregistrarea convorbirilor telefonice este considerată disproporționată atunci când această prelucrare este folosită în alte scopuri decât formarea profesională a angajaților (de exemplu, evaluarea personalului, combaterea fraudei interne, etc.)

Nota tehnică a AEPD (Autoritatea pentru Protecția Datelor din Spania): Responsabilitatea proactivă în aplicațiile mobile

AEPD a publicat o notă tehnică pentru prezentarea pe scurt a practicilor RGPD pentru organizațiile responsabile cu prelucrarea în aplicația mobilă și dezvoltatorii acestor aplicații.

Aspecte principale:

–  Informațiile RGPD trebuie să fie disponibile atât în magazinul virtual de aplicații (app store) cât și în aplicație, într-o limbă corespunzătoare pentru utilizatorul vizat;

–  Organizațiile care acționează în calitate de operatori pentru datele din aplicații trebuie să precizeze în contractele privind prelucrarea datelor, obligația persoanelor împuternicite de a asigura bunele practici și de a lua în calcul regulile Privacy by design and by default chiar de la momentul dezvoltării aplicațiilor;

–  Trebuie avute în vedere, în special, următoarele practici: gradul de detalii pentru gestionarea accesului acordat la resursele de sistem protejate; respectarea preferințelor de confidențialitate ale utilizatorului; evitarea transferului de date către prestatori de servicii de analiză a pieței (analytics) și publicitate  în momentul în care utilizatorul accesează aplicația fără oferi utilizatorilor posibilitatea de a accesa acele date ori de a își modifica opțiunile; utilizarea unor metode avansate pentru criptarea comunicațiilor.

Garante (Autoritatea pentru Protecția Datelor din Italia): Codul de conduită pentru analiza riscului de credit pentru sistemele de informații private

Aspecte principale:

–  Prelucrarea datelor cu caracter personal cuprinse într-un SIC poate fi realizată exclusiv în scopul evaluării, recrutării sau gestionării unui risc de credit, al evaluării gradului de seriozitate și punctualitate în efectuarea plăților părții interesate – în vederea împiedicării riscului de fraudare și furt de identitate;

–  Prelucrarea datelor cu caracter personal este necesară pentru îndeplinirea intereselor legitime ale participanților la utilizarea SIC în scopurile menționate în CoC;

–  Informațiile negative despre credite în legătură cu întârzierile la plată, regularizate ulterior, pot fi păstrate într-un SIC cel mult: a) douăsprezece luni de la data înregistrării datelor în legătură cu regularizarea întârzierilor care nu depășesc două rate sau luni; b) douăzeci și patru de luni de la data înregistrării datelor în legătură cu regularizarea întârzierilor care depășesc două rate sau luni.

JURISPRUDENȚA UE

Decizia CJUE în Cauza Google vs. CNIL

La data de 24 septembrie 2019 CJUE a decis că, în momentul în care primește o cerere de a ascunde paginile de internet care conțin informații despre o persoana vizată, din partea acelei persoane vizate conform RGPD, operatorul motorului de căutare nu are obligația de a ascunde paginile de internet în toate versiunile motorului, ci numai în versiunea corespunzătoare pentru toate Statele Membre UE.

Decizia preliminară a CJUE privind Articolul 15 alineatul (1) din Directiva 2000/31/CE

Pe 3 octombrie 2019, CJUE a emis o decizie preliminară privind interpretarea Articolului 15 alineatul (1) din Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societăților informaționale, în special privind comerțul electronic pe piața internă („Directiva privind comerțul electronic”)

Aspecte principale:

–  A decis că Directiva privind comerțul electronic, în special Articolul 15 alineatul (1), trebuie interpretat în sensul că nu se opune posibilității ca o instanță dintr-un stat membru:

– să oblige un furnizor de servicii de stocarehosting să elimine informațiile pe care le stocheazăși al căror conținut este identic cu cel al unei informații declarate anterior ilicite sau să blocheze accesul la acestea, oricare ar fi autorul cererii de stocare a acestor informații;

–  să oblige un furnizor de servicii de stocarehosting să elimine informațiile pe care le stochează și al căror conținut este echivalent cu cel al unei informații declarate anterior ilicite sau să blocheze accesul la acestea, în măsura în care supravegherea și căutarea informațiilor vizate de o astfel de somație sunt limitate la informații care transmit un mesaj al cărui conținut rămâne în esență neschimbat în raport cu cel care a condus la constatarea caracterului ilicit și care cuprind elementele specificate în somație, iar diferențele din formularea acestui conținut echivalent în raport cu cea care caracterizează informația declarată anterior ilicită nu sunt de natură să îl constrângă pe furnizorul serviciilor de stocarehosting să efectueze o apreciere autonomă a acestui conținut și

–  să oblige un furnizor de servicii de stocarehosting să elimine informațiile la care se referă somația sau să blocheze accesul la acestea la nivel mondial în cadrul dreptului internațional relevant.

SFATUL NOSTRU

Oportunități profesionale pentru candidați

În cazul în care candidatul nu este selectat pentru etapa următoare a procesului de recrutare, puteți lua în considerare următoarele:

–  Informați candidații într-un mod clar și complet înainte ca aceștia să-și depună candidatura cu privire la modul în care vor fi utilizate datele lor în cadrul recrutării.

–   În special:
(a) Comunicați candidaților dacă intenționați să utilizați CV-ul lor și pentru alte posturi decât cele indicate în anunțul de recrutare.
(b) Informați candidații că au dreptul de a se opune, fără a prezenta vreo justificare, utilizării pe viitor a CV-ului lor pentru alte posturi disponibile. Menționăm că opoziția candidaților poate fi exprimată și indirect, de exemplu prin precizarea în mod clar a faptului că sunt interesați exclusiv de postul pentru care a fost publicat anunțul sau prin indicarea postului vizat.

– Dacă intenționați să utilizați CV-ul și pentru ocuparea altor posturi:
a) Informați candidații cu privire la această intenție; în special, indicați perioada aplicabilă pentru această utilizare viitoare și măsurile de siguranță implementate în acest context (de ex., stocarea inactivă – precum arhivarea, folosirea unui pseudonim/criptarea, accesul limitat etc.); și
b) Obțineți acordul candidaților pentru această utilizare.


[1] Emis de următoarele autorități pentru protecția datelor: Garante per la Protezione dei Dati Personali (Italia), Agencia de Proteccion de Datos (Spania), Agencija za zastitu osobnih podataka (Croația), Comisia pentru Protejarea Datelor cu Caracter Personal (Bulgaria) și Urząd Ochrony Danych Osobowych (Polonia).


:: English version

PLATINUM+
PLATINUM Signature       

PLATINUM  ACADEMIC

GOLD                                

VIDEO STANDARD
Aflaţi mai mult despre , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!












Securitatea electronică este importantă pentru avocaţi
 Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează şi recomandă SmartBill

Lex Discipulo Laus

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.