prelucrarea datelor

ANSPDCP a publicat raportul său de activitate pe anul 2019 privind prelucrarea datelor: puncte cheie de luat aminte

10 minute • Ana-Maria Udriste • 29 septembrie 2020


În data de 28 septembrie 2020, ANSPDCP a publicat pe site-ul său raportul de activitate pentru anul 2019, alături de informații importante privind aspecte de prelucrarea datelor personale, pe care le vom relua mai jos.

Școlile sunt obligate să facă o DPIA atunci când prelucrează date personale

Prin modificarea Legii Educației 1/2011 se intenționează prelucrarea de date cu caracter personal ale minorilor (imagine, voce) prin introducerea obligatorie de camere de supraveghere video și audio în unități care oferă servicii de educație timpurie și funcționează în regim de creșă, unitate antepreșcolară și preșcolară din mediul privat sau de stat (unități educaționale).

GDPR creează un nivel suplimentar de protecție în cazul în care sunt prelucrate datele cu caracter personal ale persoanelor fizice vulnerabile, în special ale copiilor, prin considerentele (38) și (75), întrucât copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, deoarece pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal.

Prin urmare, întrucât sistemele de supraveghere video comportă anumite riscuri în privinţa drepturilor şi libertăţilor persoanelor care sunt supravegheate, înainte de instalarea unor astfel de sisteme de supraveghere, s-a subliniat că operatorul trebuie să facă în prealabil o evaluare a riscurilor la care se supune activitatea sa pentru a stabili necesitatea implementării lor, în special în cazul minorilor și al angajaților (cadre didactice și personal auxiliar angajat în unitățile educaționale unde ar urma să fie instalate astfel de sisteme.)

Prelucrarea CNP-ului de către unitățile de cazare

În măsura în care prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau există o obligație legală pentru prelucrarea datelor ori în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, datele pot fi prelucrate fără consimțământul persoanei vizate.

Potrivit Normelor din 8 februarie 2001 cu privire la accesul, evidenţa şi protecţia turiştilor în structuri de primire turistice, aprobate prin Hotărârea Guvernului nr. 237/2001, republicată, completarea fişelor se face de către fiecare turist în momentul sosirii, pe baza actelor de identitate (buletinul/cartea de identitate, paşaportul etc.).

Potrivit art. 2 alin. (6) din normele sus-menţionate „fişele de anunţare a sosirii şi plecării, completate şi semnate de turiştii cazaţi, se preiau, împreună cu actele de identitate, de  către recepţioneri, care sunt obligaţi să confrunte datele din fişe cu cele din actul de identitate, să semneze fişele pentru confirmarea completării corecte a acestora şi să restituie imediat actele de identitate turiştilor.

Prin urmare, unitățile de cazare:

  • Pot folosi temeiul obligației legale pentru prelucrarea CNP-ului
  • Trebuie să facă informarea persoanelor vizate (persoanele care se cazează) anterior prelucrării datelor
  • Trebuie să se asigure că au măsuri de siguranță și protecție pentru stocarea datelor personale, inclusiv a fișelor de cazare, indiferent că această prelucrare se face în format fizic sau în format electronic prin intermediul unor aplicații

Prelucrarea datelor personale prin sisteme de localizare cu GPS

Întrucât dispozitivele de geolocalizare comportă anumite riscuri în privinţa drepturilor şi libertăţilor persoanei care utilizează bunul respectiv (angajatul), înainte de instalarea unor astfel de sisteme de supraveghere, angajatorul trebuie să facă în prealabil o evaluare a riscurilor (DPIA) la care se supune activitatea sa pentru a stabili necesitatea implementării lor, precum şi în vederea argumentării și dovedirii unui interes legitim al operatorului care ar trebui să prevaleze față de interesul, drepturile și libertățile persoanei fizice în cauză.

De asemenea, potrivit art. 5 din Legea nr. 190/2018 – Prelucrarea datelor cu caracter personal în contextul relațiilor de muncă

În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice și/sau prin mijloace de supraveghere video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaților, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:

a) interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;

b) angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;

c) angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;

d) alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența; și

e) durata de stocare a datelor cu caracter personal este proporțională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Ce trebuie să facă operatorii care doresc să folosească localizarea prin GPS?

  • Analiză a impactului prelucrării datelor cu caracter personal (DPIA)
  • Informarea persoanelor vizate
  • (dacă este cazul) revizuirea documentației existente pentru a demonstra conformitatea cu principiile GDPR

Supravegherea video efectuată în spații publice nu poate fi folosită și pentru supravegherea angajaților

Monitorizarea prin mijloace video a angajaților poate avea loc numai în condițiile legale stabilite de GDPR, iar supravegherea video efectuată în scopul asigurării securității și monitorizării spațiilor publice nu poate fi utilizată și pentru monitorizarea angajaților la locul de muncă, scopurile fiind incompatibile.

Ce trebuie să facă autoritățile care supraveghează spațiile publice dacă vor să monitorizeze și angajații?

  • Să introducă sisteme separate de monitorizare video
  • Să delimiteze clar scopurile prelucrării datelor
  • Să informeze persoanele vizate (angajații)
  • Să efectueze o analiză a impactului prelucrării datelor cu caracter personal (DPIA)

E-mail marketing & consimțământ

Regula instituită de art. 12 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările și completările ulterioare este aceea că astfel de comunicări comerciale prin poșta electronică sunt interzise, excepție făcând situația în care abonatul sau utilizatorul vizat își exprimă în prealabil consimţământul expres (nu prezumat) pentru a le primi.

Cu toate acestea, dacă o persoană fizică sau juridică obţine în mod direct adresa de poştă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile GDPR,  persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează.

E-mailurile comerciale pot fi transmise numai cu consimțământul expres al abonatului sau utilizatorului, exprimat anterior primirii unor astfel de comunicări. În caz contrar, astfel de comunicări sunt interzise.

De asemenea, adresa de e-mai a unui client, dar care a fost obținută cu ocazia vânzării către acesta a unui produs sau serviciu (iar nu cu ocazia negocierii/încheierii unui contract) se poate utiliza în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare comercializate de către operator. În plus, legea prevede condiţia de a oferi în mod clar şi expres clienţilor posibilitatea de a se opune printr-un mijloc simplu şi gratuit unei asemenea utilizări, atât la obţinerea adresei de poştă electronică, cât şi cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus iniţial.

Ce trebuie să reținem de aici?

  • poți trimite comunicări comerciale doar dacă ai acordul prealabil al persoanei în cauză
  • poți trimite comunicări comerciale unui client care a luat de la tine un produs sau serviciu anterior, dacă consideri că noul tău produs este similar cu cel achiziționat sau persoana respectivă ar avea un interes real să-l achiziționeze și să-l folosească
  • trebuie să oferi posibilitatea de unsubscribe în fiecare comunicare comercială

Prelucrarea datelor biometrice (trăsături faciale) este o metodă prea intruzivă în general

Autoritatea națională de supraveghere a considerat că nu se justifică necesitatea și proporționalitatea datelor prelucrate prin raportare la scopul urmărit (accesul angajaților și al vizitatorilor în clădirile unei instituții publice), fiind necesară analizarea atingerii acestuia într-un mod mai puțin intruziv, prin alegerea unui sistem care nu implică prelucrarea datelor biometrice ale persoanelor vizate.

Oricum, o DPIA este obligatorie.

Citește și:

Stabilirea de termene de stocare a datelor în contextul recrutării personalului

GDPR stabilește păstrarea datelor într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele, precum și faptul că datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu instituirea unor garanții.

De asemenea, termenele de stocare pot fi prevăzute și în diferite acte normative specifice

unor domenii de activitate, pe care operatorul trebuie să le respecte (dosar de personal, ștate de salarii).

În ceea ce privește stocarea datelor referitoare la candidații respinși, aceasta nu intră sub incidența dispozițiilor privind arhivarea în interes public, iar termenul de stocare se stabilește, în măsura în care nu există norme legale specifice, pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele, respectiv finalizarea procesului de selecție.

Ce trebuie să reținem de aici?

  • Prelucrarea datelor în timpul procesului de selecție trebuie limitată la scop (angajarea)
  • Stocarea datelor nu ar trebui să fie mai lungă decât finalizarea procesului de selecție. Totuși, datele pot fi păstrate și pentru o perioadă ulterioară în măsura în care angajatorul consideră că e posibil să existe poziții vacante ulterior pentru care respectivul candidat s-ar potrivi
  • Interesul legitim trebuie documentat
  • Candidații trebuie să fie informați despre prelucrarea datelor anterior momentului recrutării

Utile: Notă informare candidați privind prelucrarea datelor personale

Fișe de caz

Raportul prezintă o parte din deciziile sale publicate pe site (www.dataprotection.ro), sub formă de fișe de caz, însă, din păcate, acestea nu sunt într-o formă mult mai detaliată.

Ar fi util ca în viitorul apropiat deciziile să fie publice, așa cum sunt și la alte autorități, pentru a putea vedea exact care au fost aspectele sancționate, cu scopul de a educa și informa publicul.

Poză de Markus Winkler pe Pexels

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *