ACCES PREMIUM
Într-un context public dominat de discuțiile despre măsuri nefaste în zona fiscalității, Guvernul a adoptat săptămâna trecută și ordonanța care stabilește regulile instalării sistemelor de supraveghere audio-video în unitățile de învățământ. Vestea bună e că nu în forma propusă inițial, pe care nici Autoritatea de Supraveghere în sfera prelucrărilor de date personale (ANSPDCP) nu o susținea, ci într-una ușor îmbunătățită: acum, instalarea sistemelor de supraveghere se poate face cu aprobarea unei majorități simple, compuse din părinți, din reprezentanții elevilor majori, dar și, foarte important, ai cadrelor didactice. În cazuri excepționale de risc crescut de violență, sistemele pot fi instalate fără acord prealabil, doar cu informare. Supravegherea este limitată la un an, cu posibilitate excepțională de prelungire, iar înregistrările sunt păstrate maximum 30 de zile, fiind folosite doar pentru investigarea cazurilor de violență. Accesul la înregistrări este strict reglementat, iar utilizarea acestora în evaluarea cadrelor didactice sau a elevilor este interzisă.
Citește articolul
ACCES PREMIUM
Sâmbătă s-au împlinit
șase ani de când Regulamentul (UE) 2016/679 - pe scurt, GDPR - a început să se aplice, în mod direct, în România și în alte state membre ale Uniunii Europene (UE). Deși în foarte multe companii există necesitatea de a pune pe umerii cuiva atribuțiile legate de conformarea cu reglementările pe zona prelucrărilor de date personale, nu în toate acele companii există și obligația de a avea un responsabil cu protecția datelor (data protection officer - DPO).
Citește articolul
ACCES PREMIUM
Curtea de Justiție a Uniunii Europene (CJUE) a reafirmat joi că statele membre UE trebuie să includă amprente digitale în cărțile de identitate, dar a subliniat necesitatea de a respecta procedurile legislative corecte și de a proteja drepturile fundamentale ale cetățenilor. Cu toate acestea, întrucât regulamentul care prevede această măsură a fost adoptat pe baza unui temei juridic greșit, Curtea îl declară invalid, menținându-i însă efectele până la 31 decembrie 2026, cel târziu, pentru ca legiuitorul european să poată adopta un nou regulament pe baza temeiului juridic corect.
Citește articolul
ACCES PREMIUM
Într-o decizie pronunțată astăzi, Curtea de Justiție a Uniunii Europene (CJUE) clarifică faptul că autoritățile de supraveghere au puterea de a ordona ștergerea datelor personale procesate nelegal, indiferent dacă acestea au fost colectate de la persoana vizată sau de la o altă sursă.
Citește articolul
ACCES PREMIUM
Într-o hotărâre dată pe final de 2022, CJUE invalida accesul nelimitat al publicului la datele beneficiarilor reali, subliniind astfel tensiunea între dezideratul protecției datelor și cel al prevenirii infracțiunilor financiare în Uniunea Europeană (UE) și arătând necesitatea unei abordări echilibrate. CJUE a concluzionat că accesul nelimitat al publicului la toate datele beneficiarilor reali constituie o încălcare a vieții private și a protecției datelor, deoarece expune detaliile financiare și personale ale beneficiarilor reali la un număr nelimitat de persoane, ceea ce poate duce la utilizarea abuzivă a informațiilor. Deși accesul la registrele de beneficiari reali este considerat un instrument pentru creșterea transparenței în UE, CJUE a sugerat că obiectivele de transparență pot fi atinse și prin limitarea accesului pe baza interesului legitim. Decizia din 2022 deschide însă întrebări importante despre necesitatea și scopul publicării unor date personale extinse în documente oficiale și despre echilibrul dintre publicitatea legală necesară și protecția vieții private. De pildă, ne întrebăm de ce e necesară publicarea atâtor date personale ale asociaților firmelor din România în Monitorul Oficial.
Citește articolul
ACCES PREMIUM
Printr-o decizie recentă, Curtea de Justiție a Uniunii Europene (CJUE) a stabilit că comunicarea orală a datelor privind condamnările penale reprezintă o formă de prelucrare a datelor personale și, ca atare, intră sub incidența GDPR. Mai mult, Curtea a subliniat că prelucrarea astfel de date sensibile este permisă numai dacă se efectuează sub controlul unei autorități de stat sau dacă este autorizată de legislația națională, care trebuie să ofere garanții adecvate pentru drepturile și libertățile persoanelor vizate.
Citește articolul
ACCES PREMIUM
Dacă angajații utilizează platforme precum ChatGPT, unul dintre riscurile ce trebuie prezentate în instruirile periodice privind prelucrarea datelor personale trebuie să fie axat și pe aceste utilizări. Altfel spus, angajații trebuie să înțeleagă că, deși nu pare similar cu a distribui pe WhatsApp un document cu datele personale ale unui client, a încărca datele sale în discuțiile cu ChatGPT, oricât de profesionale ar fi ele și oricât de nobil scopul, ele nu ar trebui să ajungă nici acolo. Pentru a asigura conformitatea cu GDPR, angajații ar trebui să anonimizeze datele și să utilizeze exemple generice sau date fictive atunci când folosesc platforme de inteligență artificială (A.I.).
Citește articolul
ACCES PREMIUM
Autoritatea franceză pentru protecția datelor a aplicat o amendă de 32 de milioane de euro companiei Amazon France Logistique pentru implementarea unui sistem de monitorizare excesivă a angajaților. Compania folosea scannerele pentru a urmări activitatea și performanțele angajaților în timp real, inclusiv perioadele de inactivitate. Autoritatea a considerat că această monitorizare a fost disproporționată și a încălcat mai multe aspecte din GDPR, printre care principiul minimizării datelor. De asemenea, au fost identificate probleme legate de supravegherea video și de informarea insuficientă a angajaților cu privire la prelucrarea datelor lor personale. Autoritatea franceză a subliniat că măsurarea întreruperilor de muncă cu o asemenea precizie nu este legală și că tocmai prin excesivitatea măsurilor de monitorizare compania asigura avantaje competitive pe piața vânzărilor online.
Citește articolul
ACCES PREMIUM
Conformitatea cu GDPR implică asumarea de către operatori a unui angajament permanent de a proteja în mod eficient datele cu caracter personal și de a respecta drepturile persoanelor vizate. Acest angajament este însoțit însă de multiple provocări pe care companiile le întâmpină în mod frecvent în activitatea de zi cu zi. Revizuirea constantă a politicilor de prelucrare a datelor, punerea în aplicare a măsurilor de securitate din ce în ce mai stricte și instruirea corespunzătoare a personalului sunt doar câteva dintre activitățile esențiale pe care orice operator de date cu caracter personal trebuie să le aibă în vedere.
Citește articolul
ACCES PREMIUM
Curtea de Justiție a Uniunii Europene (CJUE) a concluzionat recent că
scoring-ul efectuat pentru aprobarea unui credit cade sub incidența art. 22 din GDPR, constând într-o decizie bazată exclusiv pe prelucrarea automată. Ca regulă generală, persoana vizată de prelucrări are dreptul de a nu face obiectul unei atare decizii, cu excepția situației în care, printre altele, își dă acordul expres pentru acest lucru. Totodată, în mod particular, când vorbim de insolvența persoanei fizice, entitățile private care se ocupă de calcularea acestor scoruri pentru clienții băncilor nu pot stoca datele pe termene mai lungi decât cele legale stabilite pentru registrele publice.
Citește articolul
avocatnet.ro explicăm legislația
Simona Voiculescu 
avocatnet.ro 
EY Romania 
Cristian Stanescu