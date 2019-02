În contextul creșterii interesului pentru domeniul protecției datelor și a primelor amenzi impuse de la aplicarea GDPR, în Portugalia, Germania, Austria și, de curând, în Franța, o analiză a celui mai recent raport al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ne ajută să extragem cele mai relevante situații care ar putea deveni subiectul unor plângeri și/sau sancțiuni. Deși se bazează pe legislația anterioară GDPR (în principal, pe Legea nr. 677/2001), concluziile rămân valabile și în baza reglementărilor prezente.

Evident, de la an la an, activitatea ANSPDCP a fost una semnificativ crescută, atât la nivelul investigațiilor, precum și al plângerilor, fiind așteptat ca pentru 2018 și 2019, tendința să se mențină. Am sintetizat în continuare cele mai importante constatări ale autorității care pot fi lecții pentru viitor:

A fost verificată modalitatea de obținere a acordului pentru instalarea cookies pe device-ul persoanei vizate, precum și furnizarea informațiilor privind scopul prelucrării, tipurile de cookies stocate și accesate, durata acestora de stocare.

În contextul unor decizii aparent contradictorii la nivel european referitoare la opțiunile de acord pentru cookies oferite de paginile media (autoritatea din Austria și, respectiv autoritatea din Marea Britanie) privind analiza valabilității acordului cu privire la acceptarea anumitor cookies pentru vizualizarea gratuită a conținutului versus achitarea unei sume de bani și, mai ales, al actualității subiectului la nivel european, așteptăm cu interes ca verificarea acestui aspect să fie manifestată și de către ANSPDCP, cât și poziția față de care se va alinia.

Date incluse în procese-verbale încheiate în cadrul unor proceduri disciplinare

Verificarea identității persoanei vizate

Considerăm că precizarea este foarte importantă în contextul dreptului de acces, când, în multe situații, se pune problema necesității verificării identității persoanei vizate și, implicit, solicitarea unor informații (documente) în acest sens. Cu toate acestea, o copie a actului de identitate nu poate fi solicitată în toate situațiile în care o persoană vizată își exercită dreptul de acces sau oricare alt drept recunoscut în materie. Operatorul poate condiționa exercitarea unui drept atunci când informațiile pe care ar trebui să le furnizeze (ori prelucreze în alt mod, după caz, în funcție de dreptul exercitat) prezintă un grad de sensibilitate cel puțin mediu (precum date de sănătate - în cazul clinicilor medicale, comunicări cu terți - în cazul platformelor de social media, date financiare - în cazul băncilor).

Datele personale prelucrate în temeiul relațiilor de muncă dintr-un proces-verbal încheiat în cadrul unei proceduri disciplinare nu pot fi transmise, de exemplu, prin e-mail, către toți angajații operatorului, pentru a discuta situația în cadrul unui instructaj privind normele de securitate și sănătate în muncă.Facebook a solicitat copie a actului de identitate al unei persoanei vizate care voia să își recupereze parola și contul de pe această rețea de socializare. S-a considerat că Facebook pune la dispoziție proceduri diverse ce pot fi parcurse de către persoanele interesate (inclusiv pentru schimbarea parolei, raportarea de abuzuri). Însă, parcurgerea acestor proceduri poate presupune furnizarea de informații suplimentare cerute de Facebook tocmai pentru a putea identifica cu exactitate persoana sau problema la care se face referire.