GDPR & Protecția datelor personale

ACCES PREMIUM

Autoritatea de protecție a datelor poate cere, din oficiu, ștergerea datelor prelucrate. Entitățile care le prelucrează sunt obligate să le șteargă și dacă nu li se cere asta de persoanele vizate

Chiar dacă cel căruia i s-au prelucrat datele nu a cerut ștergerea datelor personale, deși ar fi putut să o facă, entitatea care le-a prelucrat e obligată oricum să le șteargă, iar autoritatea de protecția datelor personale poate să oblige entitatea să le șteargă chiar și din oficiu. Citește articolul

ACCES PREMIUM

UPDATE Ghid final EDPB: Ce fel de incidente de securitate, pentru care sunt responsabili salariații firmei, trebuie raportate autorităților

Comitetul European pentru Protecția Datelor (EDPB) a publicat, în 2021, sub formă de proiect, un ghid prin care urmărește să clarifice situațiile cele mai dese în care pot avea loc breșe de securitate și în urma cărora firmele trebuie să notifice autoritățile de protecție a datelor. În această săptămână, instituția a publicat versiunea finală a ghidului. E interesant de menționat că una din situațiile prezentate în ghid se referă la activitatea neglijentă (sau chiar intenționată) a salariaților unei firme și când există riscul ca, din cauza acestora, să se ajungă la breșe de securitate. Citește articolul

ACCES PREMIUM

Nerespectarea GDPR de către salariați aduce amenzi angajatorilor. Companie, amendată pentru că un angajat a divulgat peste 11.000 de PIN-uri bancare

Cea mai recentă amendă dată de “arbitrul” aplicării regulilor privind respectarea Regulamentului General privind Protecția Datelor (GDPR) a vizat o companie al cărui angajat a atașat, dintr-o eroare, către un client o listă cu peste 11.000 de date personale bancare ale unor persoane fizice. Citește articolul

ACCES PREMIUM

Firmele nu au nevoie de consimțământul angajaților ca să monteze sisteme de supraveghere la locul de muncă. Care sunt însă condițiile de respectat

Când angajații pun pe tapet nemulțumirile legate de montarea unor sisteme de supraveghere la locul de muncă pun aproape de fiecare dată în față ideea că nu li s-a cerut opinia sau consimțământul. În realitate, consimțământul lor, și dacă l-ar avea angajatorul de la fiecare dintre salariați, nu ar legitima montarea sistemului de supraveghere din perspectiva legislației de protecția datelor personale - pentru nu e cerut de lege, în sens larg. Altceva cere legea aici: Citește articolul

ACCES PREMIUM

Incidentele de securitate: Respectarea obligațiilor impuse de GDPR și tot ce alege firma să facă ulterior pot cântări semnificativ în impunerea unei sancțiuni

Regulamentul european privind protecția datelor personale (GDPR) le impune firmelor ce prelucrează date să aducă „la lumină” incidentele de securitate atunci când află de producerea lor și să notifice Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu privire la gravitatea incidentului, numărul persoanelor afectate, dar și cu privire la ce măsuri a luat ulterior. Dacă ANSPDCP va verifica de ce s-a produs incidentul, firma va putea fi sancționată pentru că nu a luat un minim de măsuri necesare pentru a preveni astfel de întâmplări. Tot ceea ce decide să facă firma ulterior momentului când a aflat de incident, atât în raport cu activitatea sa, cât și în raport cu ANSPDPC și cu persoanele vizate de breșă poate cântări semnificativ când vine vorba de aplicarea unei sancțiuni - pentru că, în definitiv, buna-credință a companiei contează în orice domeniu de respectare a legii. Citește articolul

ACCES PREMIUM

Angajatorii nu ar trebui să strângă date privind vaccinarea sau să înregistreze rezultatele testelor antigen ale angajaților

Din rațiuni pe care le consideră legitime sau utile, firmele sunt tentate să strângă informații ce privesc gradul de vaccinare al salariaților. La fel, dacă îi testează periodic, date privind rezultatele testelor. Între a verifica vizual anumite condiții de intrare într-o incintă sau a colecta date anonimizate pentru scop statistic și a consemna sau înregistra datele respective în documentele firmei este o diferență uriașă din perspectiva obligațiilor privind procesarea datelor personale. Citește articolul

ACCES PREMIUM

Ce pot face companiile victime ale atacurilor cibernetice pentru a ajuta la prinderea și condamnarea celor care comit aceste atacuri

A devenit o realitate cvasi-cotidiană faptul că tot mai multe companii sunt ținte ale atacurilor cibernetice. Autorii acestor infracțiuni informatice rămân însă, de cele mai multe ori, nepedepsiți, ceea ce nu face decât să încurajeze acest fenomen infracțional. Citește articolul

ACCES PREMIUM

Monitorizarea telesalariaților din perspectiva protecției datelor personale se face în aceleași condiții ca pentru munca la birou

Aceleași condiții prevăzute de lege pentru monitorizarea salariaților la care firmele se raportează când e vorba de măsuri tehnice de supraveghere la birou se aplică la fel de bine și în cazul telemuncii, potrivit unei opinii emise de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Interes legitim care să prevaleze, temeinic motivat, informare prealabilă obligatorie și nu numai. Citește articolul

ACCES PREMIUM

Controale date personale: Pentru ce fel de încălcări ale GDPR-ului a sancționat ANSPDCP firmele și nu numai în 2020

În raportul de activitate recent publicat al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) regăsim, în mare, cam aceleași tipuri de încălcări ale legislației specifice ca în anii precedenți: neglijențe ale angajaților care duc la divulgări neautorizate de date personale, uneori, chiar pe rețelele sociale și chiar cu bună știință, prelucrări nelegale sau excesive ale datelor angajaților, accesul neautorizat la baze de date ori refuzul de a răspunde solicitărilor primite de la persoanele vizate de prelucrările de date. Citește articolul

ACCES PREMIUM

UPDATE Nu vom avea o lege a DPO-ului prea curând. Propunerea de anul trecut a fost clasată

Reglementarea profesiei de responsabil cu protecţia datelor (DPO) printr-o propunere legislativă înregistrată anul trecut la Senat nu va mai avea loc, după ce iniţiativa a fost clasată, ca urmare a faptului că nu a ajuns pe ordinea de zi a senatorilor înainte de schimbarea membrilor Parlamentului ca urmare a alegerilor parlamentare din decembrie 2020. În plus, iniţiativa nu a avut la bază consultări cu cea mai importantă instituţie în domeniul protecţiei datelor personale din România, respectiv Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), potrivit unei confirmări primite de redacţia noastră din partea acestei instituţii. Citește articolul