Boboc & Asociatii Consulting

16/07/2020

Curtea Europeană de Justiție a UE a invalidat Privacy Shield considerând că autoritățile americane, în cadrul programelor de supraveghere, pot avea acces la datele cu caracter personal ale persoanelor vizate transferate în SUA fără a se limita la strictul necesar raportat la scopul prelucrării.
CJUE menține valabile clauzele standard aprobate la nivel european ca mecanism adecvat de transfer al datelor cu caracter personal în state terțe.
Prin urmare, în cazul în care este incident un transfer de date cu caracter personal în SUA, operatorii de date caracter personal ar trebui să revizuiască rapid documentația semnată.

25/06/2020

DIGI amendata in Ungaria pentru nerespectarea prevederilor GDPR

Filiala din Ungaria a grupului de comunicații DIGI a fost amendată de Autoritatea pentru protecția datelor din Ungaria, cu aproximativ 290.000 de euro pentru încălcarea prevederilor GDPR.
Motivul sancționării îl reprezintă o vulnerabilitate a site-ului care a permis unui hacker etic să aibă acces la informații ale abonaților la newsletter, dar și la informații aparținând administratorilor de sistem.
Hacker-ul etic a anunțat DIGI Zrt despre vulnerabilitate. DIGI Zrt a informat Autoritatea maghiară pentru protecția datelor despre incidentul de securitate, care în perioada octombrie – decembrie 2019 a desfășurat o investigație cu ajutorul unui IT extern.
Circumstanța agravantă care a dus la stabilirea cuantumului amenzii, a fost faptul că DIGI cunoștea vulnerabilitatea de 9 ani și nu a luat măsuri pentru remedierea situației, deși între timp a fost disponibil un patch (update de securitate) care nu a fost instalat.
DIGI poate apela decizia Autorității pentru protecția datelor din Ungaria.

02/06/2020

Implicații GDPR referitoare la redeschiderea teraselor

În data de 30 mai 2020 a intrat în vigoare Ordinul nr. 966/1809/105/2020 pentru aplicarea Normei privind stabilirea măsurilor specifice de prevenire a răspândirii virusului SARS-COV-2 pentru activitățile de preparare, servire și consum al produselor alimentare, băuturilor alcoolice și nealccolice în spații special amenajate din exteriorul clădirilor unităților de alimentație publică (Norma).
Conform articolului 5 litera k) din Normă, ocuparea locurilor se va face cu rezervare anterioară, astfel încât să se evite aglomerările la intrarea în unitate și să se faciliteze ancheta epidemiologică în cazul apariției unui caz de îmbolnăvire între clienții localului.
De asemenea, conform articolului 4 litera l) din Normă agenții economici au obligația să asigure existența unui registru de evidență a rezervărilor clienților, astfel încât, în cazul apariției unui caz de îmbolnăvire cu virusul SARS-CoV-2 în rândul clienților unității de alimentație, să existe date concrete pe baza cărora să poată fi efectuată ancheta epidemiologică.
Având în vedere prevederile mai sus menționate, din perspectiva prelucrării datelor cu caracter personal, atragem atenția asupra următoarelor aspecte:
- Fiind în prezența unei activități de prelucrare de date cu caracter personal, aceasta se poate realiza cu respectarea strictă a principiilor GDPR prevăzute în articolul 5;
- În lipsa altor precizări în Normă, pornind de la principiul GDPR cu privire la minimizarea datelor cu caracter personal, Registrul de evidență a rezervărilor va trebui să conțină date cu caracter personal strict necesare atingerii scopului prelucrării, respectiv date concrete pe baza cărora poate fi efectuată ancheta epidemiologică – ex. numele și prenumele persoanei care face rezervarea, telefonul, data și ora rezervării, numărul mesei, după caz;
- La momentul colectării datelor cu caracter personal, în vederea realizării rezervării, trebuie îndeplinite formalitățile de informare a persoanei vizate în ceea ce privește prelucrarea datelor cu caracter personal;
- Vor trebui implementate măsuri tehnice și organizatorice în ceea ce privește datele cu caracter personal colectate – ex. stabilirea modalității de colectare, desemnarea persoanei responsabile cu prelucrarea acestor date, asigurarea confidențialității și integrității acestor date, stabilirea drepturilor de acces, stabilirea perioadei de păstrare etc.;
- Este un moment oportun pentru revizuirea de către operatorii economici a politicilor interne privind prelucrările de date cu caracter personal efectuate în activitatea desfășurată sau pentru implementarea acestora.
Declararea corectă a datelor cu caracter personal ține de de responsabilitatea persoanei care le declară. Cu toate acestea, pornind de la principiul GDPR al exactității în prelucrarea datelor cu caracter personal, rămâne de stabilit de către agentul economic care sunt diligențele suplimentare necesare pentru a se asigura că prelucrează date cu caracter personal care aparțin persoanei vizate.
Recomandăm cu tărie evitarea colectării de date de identificare din CI sau legitimarea clienților la momentul efectuării rezervării sau la momentul prezentării la terasă.

24/05/2020

Măsurarea temperaturii la intrare în supermarket este sau nu o încălcare a normelor GDPR?
Opinia noastră formulată de avocatul Stefan Boboc - fondator Boboc & Asociatii Consulting

02/04/2020

GDPR – moft sau necesitate în vremea COVID-19?

Episodul DOI ...

Necesitate spunem noi și vrem să împărtășim cu voi câteva considerente în acest sens.

Dacă tu, cititorule, ești o entitate juridică (ex. societate, asociație) ai cărei angajați prestează muncă la domiciliu (indiferent de modalitatea juridică de a o desfășura) ar trebui să fi pus deja în aplicare un plan de continuitate a afacerii în caz de pandemie. Dacă acesta nu include măsuri specifice pentru o astfel de situație, atunci ar trebui să fie reevaluat și adaptat rapid.

În plus, este absolut necesar să pui la dispoziția angajaților un set de reguli scrise care să descrie măsurile tehnice, organizatorice și de securitate care ar trebui urmărite de fiecare angajat în parte atunci când desfășoară orice fel de muncă la distanță (ex. muncă la domiciliu, telemuncă).
Cu o precizare: regulile ar trebui să fie suficient de clare și accesibile ca limbaj, astfel încât să poată fi înțelese cu ușurință de orice angajat căruia îi sunt aplicabile, indiferent de nivelul acestuia de experiență sau vechime în funcția ocupată.

Dacă tu, cititorule, desfășori o activitate profesională sub formă de PFA, profesie liberală, microîntreprindere, SRL cu asociat unic, și nu ai angajați, regulile ar trebui să fie urmate inclusiv de tine și formalizate într-un document, pentru a avea o imagine clară asupra a ceea ce să faci/ să nu faci atunci când e vorba de a prelucra date cu caracter personal, indiferent dacă e vorba de pandemie sau nu.

Pe bune... de ce ar trebui să ne pese de protecția datelor cu caracter personal ACUM?

Hai să vedem.
.. to be continued ...

30/03/2020

GDPR – moft sau necesitate în vremea COVID-19?

Episodul UNU ...

Necesitate spunem noi și vrem să împărtășim cu voi câteva considerente în acest sens.

COVID-19 ne-a determinat pe mulți dintre noi – colegi, colaboratori, parteneri de afaceri – să ne adaptăm modul de lucru, să trecem de la a fi împreună în mod fizic, la a fi conectați prin echipamente și mijloace electronice într-o măsură mult mai mare decât ne-am fi imaginat sau ... dorit.
În lumea virtuală, e nevoie să acordăm o atenție sporită amenințărilor care pot veni de la cei mai puțin bine intenționați, amenințări care se pot ”invita” în echipamentele utilizate sub formă de phishing, scams (a se vedea avertizarea Organizației Mondiale a Sănătății https://www.who.int/about/communications/cyber-security), malware sau altele similare.

Munca la distanță ( ) presupune utilizarea echipamentelor personale sau aparținând angajatorului la domiciliu/ locuința ”aleasă”, spațiu pe care îl împărțim, din fericire, cu cei dragi ( ). De asemenea, așa cm ne-a arătat realitatea, presupune utilizarea unor aplicații/ programe software noi care aparțin unor furnizori externi.

Dar știm oare ce măsuri specifice se impun dincolo de aceste aspecte evidente, astfel încât datele cu caracter personal ale colegilor, colaboratorilor și partenerilor noștri să fie în siguranță?

Hai să vedem.
.. to be continued ...

19/03/2020

COVID-19 și Registrul Comerțului

20/12/2019

Craciun Fericit!!!

Dragilor, anul 2019 s-a cam incheiat. De astazi intram in vacanta! Ne vedem pe 6 ianuarie. Va dorim sa aveti un Craciun Minunat si un An Nou de poveste! Vacanta frumoasa, tuturor!

19/11/2019

Suntem bucuroși să participăm la evenimentul organizat de Sports Business Academy. Ne vedem mâine și vom discuta implicațiile GDPR în sport!🥋

21/10/2019

Onorați și bucuroși să susținem ICF Romania, în calitate de partener, și Conferința anuală dedicată coachingului.

Partenerii de incredere fac posibile evenimente de calitate.
Suntem mandri sa avem langa noi companii care sprijina viitorul coachingului profesionist in Romania, la Conferinta Anuala ICF Romania 2019, TEAMing for IMPACT.

Ne vedem pe 22 Octombrie, la hotelul Crowne Plaza, pentru o zi de discutii despre echipa si beneficiile pe care coachingul le aduce echipei.

https://www.coachfederation.ro

08/07/2019

O nouă amendă GDPR în România ca urmare a raportării unui incident de securitate.

În data de 02.07.2019, Autoritatea Națională de Supraveghere (ANSPDCP) a finalizat o investigație la operatorul WORLD TRADE CENTER BUCHAREST S.A., pe care l-a sancționat contravențional cu amendă în cuantum de 71.028 lei, echivalentul sumei de 15.000 euro.

ANSPDCP a efectuat investigația ca urmare a transmiterii de către WORLD TRADE CENTER BUCHAREST S.A. a unei notificări privind încălcarea securității datelor cu caracter personal prin completarea formularului privind încălcarea securității datelor cu caracter personal, prevăzută de art. 33 din RGPD.

În fapt, o listă printată pe suport de hârtie, utilizată pentru verificarea clienților care serveau micul dejun și care conținea date cu caracter personal ale unui număr de 46 de clienți, cazați la unitatea hotelieră aparținând WORLD TRADE CENTER BUCHAREST S.A., a fost fotografiată de către persoane neautorizate din afara societății, ceea ce a condus la dezvăluirea în mediul on-line a datelor cu caracter personal ale unor clienți, prin publicare.

Operatorul a fost sancționat deoarece nu a luat măsuri pentru a se asigura că angajații săi care au acces la date cu caracter personal nu le prelucrează decât la cererea sa, potrivit legii, și pentru că nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

Prin accesul neautorizat la datele cu caracter personal ale unui număr de 46 de clienți ai WORLD TRADE CENTER BUCHAREST S.A și divulgarea neautorizată a acestor date, în mediul on-line, a fost afectat dreptul la viață privată și la protecția datelor cu caracter personal.

04/07/2019

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România (ANSPDCP) a aplicat prima amendă pentru nerespectarea GDPR, Operatorului UNICREDIT BANK S.A.

În cuantum de 613.912 lei, echivalentul în euro al sumei de 130.000 euro, sancțiunea contravențională a fost dată pentru neaplicarea măsurilor tehnice și organizatorice adecvate, atât la momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării, neaplicarea principiului minimizării datelor, neintegrarea garanțiilor adecvate în cadrul prelucrării, pentru a îndeplini cerințele GDPR şi a proteja drepturile persoanelor vizate. Autoritatea menționează că în perioada 25 mai 2018 – 10 decembrie 2018, a fost afectat un număr de 337.042 persoane vizate.

Sancțiunea a fost aplicată ca urmare a unei reclamații primite de către ANSPDCP în data de 22.11.2018 prin care se sesiza faptul că prin intermediul efectuării tranzacțiilor on-line, CNP-ul și adresa persoanelor care efectuau plăți la UNICREDIT BANK S.A. erau dezvăluite către beneficiarul tranzacției prin formularele de extras de cont.

Pe data de 27.06.2019, Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul UNICREDIT BANK S.A. și a constatat că acesta a încălcat prevederile art. 25 alin. (1) din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind p...