Protecția datelor personale în cadrul unui ONG

Protectia datelor personale

Pe  7 noiembrie 2017, participanții la webinar au învățat despre:

  • Concepte cheie din legislația specifică
  • Principalele obligații referitoare la prelucrarea datelor personale pe baza GDPR din mai 2018
  • Pașii pentru a ajunge spre respectarea legislației

 

 

Urmărește înregistrarea webinarului pe canalul nostru de Youtube AICI

 

Prezentare completă:

 

 

Definiția datelor cu caracter personal este stabilită actualmente prin legea 677/2001 și cuprinde următoarele informații cheie:

  • Datele cu caracter personal sunt informații referitoare la o persoană fizică, deci date care pot identifica un individ, nu despre date care pot identifica companii;
  • Datele cu caracter personal pot fi orice informații care duc la o persoana fizică identificată sau identificabilă.

Dacă în cazul informațiilor care fac referire la o persoană identificată, acestea sunt  mai ușor de observat ( de exemplu, identificată prin nume si prenume), în ceea ce privește informațiile despre persoane fizice identificabile, spectrul este mult mai larg.

Acest lucru înseamnă că o persoană identificabilă este acea persoană care poate fi identificată, în mod direct sau indirect, în mod particular cu referirea la un număr de identificare ori la unul sau la mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale. Cu alte cuvinte, în mod direct nu putem ști cine este acea persoană, dar ea poate fi identificată prin intermediul coroborării de informații din alte surse (de ex.: diverse baze de date).

Pot fi considerate date cu caracter personal:

  • Numărul și seria actului de identitate;
  • Adresa de e-mail;
  • Data nașterii (doar coroborată cu alte informații poate duce la identificarea persoanei, întrucât există un număr mare de oameni născuți în aceeași zi și în același an);
  • Numărul de înmatriculare al unei mașini (pentru că poate da informații despre cine este proprietarul mașinii sau cine a condus autovehiculul la un anumit moment);
  • Adresa IP.

Nu există o listă definitivă a ceea ce înseamnă date cu caracter personal, întrucât, în multe situații, pot fi luate în considerare două sau mai multe elemente separate care, coroborate, pot duce la identificarea unei persoane.

Colectarea acestor date nu este ilegală, dar legile din România și din UE spun că trebuie respectate unele principii:

Datele trebuie procesate legal și cu bună-credință.

  • În cazul trimiterii unui newsletter, de exemplu, datele procesate legal și cu bună-credință înseamnă că acele date sunt folosite doar cu consimțământul persoanei (de exemplu, nu se pot folosi baze de date cu adrese găsite pe Internet) și doar pentru ceea ce ONG-ul promite ca scop al utilizării lor, atunci când obține acordul persoanei pentru colectare și procesare de date personale.

Datele trebuie colectate în scop determinat și explicit.

  • În cazul unui newsletter, scopul este trimiterea newsletter-ului. Asta înseamnă că utilizatorul știe în momentul în care se abonează că va primi un newsletter, nu alte informații (de ex.: marșuri sau alte oportunități care nu fac parte din newsletter).

Datele trebuie să fie adecvate, pertinente și neexcesive în raport cu scopul declarat.

  • Practic, în cazul trimiterii unui newsletter, singura informație necesară este adresa de e-mail. Orice altă informație suplimentară legată de e-mail nu este adecvată în raport cu scopul. În plus, nu îi putem cere utilizatorului numărul, seria de buletin și data nașterii, pentru că am avea o colectarea de date excesive în raport cu scopul. Dacă este vorba despre un newsletter personalizat, e în regulă să fie cerute mai multe date personale, ca prenumele sau alte informații, daca explici de ce este nevoie. De asemenea, furnizarea anumitor date poate fi opțională și însoțită de o explicație pentru care acele date sunt necesare (de ex.: “Data nașterii este necesară pentru că, de obicei, trimitem un e-mail de felicitare la zile de naștere”).

Datele trebuie să fie exacte și actualizate și șterse când nu mai sunt necesare.

  • Legea spune că utilizatorul trebuie să aibă posibilitatea să își actualizeze datele personale (de exemplu, să își poată schimba adresa de e-mail pe care primește newsletter-ul). În plus, datele trebuie să fie șterse când nu mai sunt necesare. În practică, însă, în toată zona de tehnologie a informației, de obicei aceste date nu sunt șterse, ci rămân stocate pe un server (care poate fi atacat) și datele pot fi folosite într-un scop neadecvat. În cazul unui newsletter, datele ar putea fi șterse pentru că devin inutile dacă, de exemplu, utilizatorul nu a deschis 20 de e-mailuri succesive sau nu a interacționat cu newsletter-ul o perioadă foarte lungă de timp.

Datele trebuie păstrate doar pe perioada scopului declarat.

  • În funcție de scop, se stabilește perioada de păstrare. Datele nu ar trebui păstrate pe o perioadă nedeterminată sau pe tot parcursul vieții unei persoane pentru că ar însemna o prelucrare excesivă și acest lucru poate afecta dreptul la viață privată al persoanei respective.

 

 

Categoriile speciale de date cu caracter pesonal

Categoriile speciale de date sunt:

  • Originea rasială sau etnică;
  • Convingerile religioase, politice, filosofice sau de natură similară;
  • Apartenența sindicală;
  • Date cu caracter personal privind starea de sănătate sau viața sexuală;
  • + CNP și alte date având funcție de identificare de aplicabilitate generală;
  • Date legate de fapte penale/contravenții/cazier.

Pentru aceste date, în principiu, prelucrarea și colectarea sunt interzise pentru că sunt considerate date sensibile și pot afecta dreptul la viață privată al unei persoane.

Totuși, există excepții:

  • Colectarea și prelucrarea se fac cu acordul expres al persoanei. Însă asta nu înseamnă semnarea unui formular lung de către acea persoană, ci exprimarea unui acord clar, care stipulează și la ce vor fi folosite datele (de ex.: “Da, sunt de acord cu colectarea și prelucrarea acestor date care vor fi folosite pentru…”);
  • Dreptul muncii – dispoziții specifice. În temeiul unui contract de muncă, de exemplu;
  • În cazul unui ONG, când prelucrarea este efectuată în cadrul activităților sale legitime de către o fundație, asociație, cu condiția ca persoana vizată să fie membră sau să întrețină cu aceasta relații care privesc specificul activității organizației. Așadar, colectarea și prelucrarea de date cu caracter special este permisă dacă organizația se ocupă chiar de domeniul respectiv.

Prelucrarea acestor date necesită multă atenție și grijă întrucât sancțiunile pentru nerespectarea legii sunt pe măsură.

Alte excepții:

  • Date făcute publice în mod manifest de către persoana vizată;
  • Prelucrarea de date este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată – doar dacă prelucrarea este făcută de un medic;
  • Prelucrarea datelor privind starea de sănătate poate fi efectuată numai de către ori sub supravegherea unui cadru medical (excepție: pericol eminent sau consimțământ expres scris).

 

ONG-urile trebuie să fie interesate de protecția datelor?

Dacă ONG-ul păstrează sau procesează orice informație cu privire la persoane fizice în viață atunci da, pentru că ONG-ul devine operator de date cu caracter personal și i se aplică legislația în domeniu.

Alte întrebări esențiale pentru a stabili următorii pași:

  • Ce informație personală este păstrată?
  • Cum se utilizează informația și pentru ce?

Răspunsurile la cele două întrebări de mai sus ar trebui să rezulte din politica organizației cu privire la modul de procesare a datelor personale.

Până în acest moment, puține organizații parcurg acești pași și se interesează mai mult de înregistrarea la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Nevoia acestei înregistrări este eronată, întrucât nu există noțiunea de înregistrare la această autoritate, ci cel mult de notificare (vezi paragraful urmator pentru detalii). Acestă notificare nu dă dreptul colectării și prelucrării de date personale, ci anunță Autoritatea că a început colectarea și prelucrarea datelor cu caracter personal.

Începând cu finalul anului 2015, Autoritatea a dat o decizie care a limitat drastic tipurile de prelucrări de date cu caracter personal care trebuie să fie notificate către Autoritate. Astfel, a fost impusă o serie de aproximativ 12 cazuri în care ANSPDCP trebuie notificată de către cei care prelucrează date cu caracter special. Câteva dintre aceste cazuri sunt:

  • Prelucrarea de date legate de rasă, etnie, sex, convingeri politice, religie, starea de sănătate, apartenența sindicală;
  • Dacă sunt prelucrate date genetice sau biometrice;
  • Dacă sunt colectate date care permit localizarea geografică (de ex.: coordonate GPS);
  • Prelucrarea de date care duc la monitorizarea comportamentului, competenței profesionale sau personalității sau crearea de profiluri despre utilizatori;
  • Prelucrarea de date legate de rasă, etnie, sex, convingeri politice, religie, starea de sănătate, apartenență sindicală referitoare la propriii membri, efectuată de asociații, fundații sau orice alte organizații fără scop patrimonial, exclusiv în vederea realizării specificului activității organizației, în măsura în care datele sunt dezvăluite unor terți fără consimțământul persoanei vizate.

 

Noua legislație în domeniu

Noua legislație care se va aplica din mai 2018 se numește GDPR (General Data Protection Regulation – Regulamentul General privind Protecția Datelor) – Regulamentul UE 2016/679. El are directă aplicare în legislația internă din data de 25 mai 2018 (adică va înlocui legea 677/2001). Până la data de 25 mai 2018, obligațiile actuale din legea română (inclusiv notificarea către ANSPDCP, care în unele cazuri e obligatorie) rămân valabile.

Regulamentul UE are un domeniu larg de aplicare, adică vizează orice persoană (fizică sau juridică) care prelucrează date cu caracter personal. Noua legislație, care se va aplica din mai 2018, prevede sancțiuni impresionante pentru nereguli:

 

Pe scurt, Regulamentul va aduce o serie de noutăți pentru România:

  • Renunțarea la orice notificare/înregistrare la ANSPDCP. Practic, dispare birocrația;
  • Responsabilitate și conformare (compliance). Practic, operatorul de date personale trebuie să aibă toate informațiile cu privire la colectarea și prelucrarea de date personale, iar aceste informații să poată fi prezentate oricând Autorității;
  • Se introduce notificarea pentru încălcarea securității; imediat ce constați că serverul ți-a fost atacat și datele personale au fost compromise, trebuie să notifici Autoritatea;
  • Responsabilul pentru protecția datelor. O persoană din cadrul organizației poate avea rolul de responsabil cu protecția datelor cu caracter personal și poate ține legătura cu Autoritatea. Pentru ONG-uri nu este obligatoriu, dar este recomandat ca această persoană să existe, dacă organizația colectează date cu caracter special sau o cantitate mare de date;
  • Coduri de conduită și certificare.

 

Organizațiile ar trebui să aibă și să poată prezenta oricând autorităților documente care să demonstreze că datele sunt prelucrate în mod legal, echitabil șitransparent, fiind colectate în scopuri determinate, explicite și legitime, adecvate, relevante și limitate. În plus, datele trebuie să fie exacte, actualizate și stocate pe o perioadă determinată în condiții de integralitate și confidențialitate.

 

Câteva întrebări utile pentru a clarifica raportul pe care o organizație îl are cu colectarea și prelucrarea de date personale:

1.Ce date personale colectați?

Exemple: Datele membrilor, datele persoanelor înscrise la newsletter, datele vizitatorilor paginii web, datele vizitatorilor paginii de Facebook, datele angajaților, datele suporterilor sau suținătorilor, datele participanților la un eveniment etc.

2. Legalitate – pe ce bază colectați datele personale?

Cel mai simplu pentru a îndeplini temeiul de legalitate este consimțământul persoanelor vizate. Câteodată, însă, acordul este greu de luat (uneori persoana se poate și răzgândi, deci nu vă puteți baza pe consimțământ). Pe lângă consimțământ, se poate apela la: încheierea unui contract între două părți, obligația legală care îi revine operatorului, interesul legitim al operatorului;

Exemple: datele unui newsletter se bazează pe consimțământ, datele pentru un contract folosesc la încheierea acordului dintre cele două părți, datele pentru o factură este o obligație legală; datele cu caracter personal (inclusiv imagini) obținute de la un eveniment se colectează, de obicei, pe bază de consimțământ.

3. Cui îi mai dați datele personale colectate? (cine altcineva mai are acces la date, pe lângă acel ONG?)

Există două entități diferite care pot avea acces la date: operatorul (persoana fizică sau juridică care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. De obicei, operatorul este ONG-ul) sau persoana împuternicită de operator (persoana fizică sau juridică care prelucrează datele în numele operatorului, adică un intermediar ca: programatorii care lucreză la un site, o bancă, un software, un furnizor de marketing, un finanțator sau orice alt terț). În momentul în care ONG-ul folosește o persoană împuternicită, trebuie să existe un contract scris (pe hârtie sau electronic) care să precizeze în ce situații acea persoană poate să colecteze datele respective. Desigur, persoanele împuternicite de operator nu au dreptul să dea datele colectate către alte persoane.

4. Ce măsuri luați pentru a asigura securitatea datelor?

Nu există o listă finală și fixă de măsuri pentru securitatea prelucrării datelor, deci este la latitudinea operatorului, în funcție de datele colectate și în funcție de capacitatea de a face față anumitor măsuri (ex: pe care să și le permită). O măsură organizatorică pentru a spori securitatea ar putea fi ca doar anumite persoane din organizație (în special în organizațiile mari) să aibă accesla datele personale. Din categoria de măsuri tehnice care se pot lua pentru protecția datelor face parte, de exemplu, parolarea bazei de date cu datele personale colectate, criptarea datelor personale colectate. Angajații ONG-urilor care prelucrează date ar trebui să aibă clauze de confidențialitate în contracte. Clauze similare se pot stabili și în cazul terților care au acces la acele date.

5. Puteți să informați autoritatea în cazul încălcării securității datelor?

Noul Regulament UE va introduce obligația ca, dacă există o încălcare a securității datelor (nu neapărat o pierdere a lor, ci inclusiv faptul că cineva neautorizat a avut acces la acele date), în termen de 72 de ore de la încălcare Autoritatea să fie notificată. Este posibil ca momentul în care este sesizată această încălcare de către operator să fie foarte îndepărtat. Chiar și așa, trebuie să fie notificată Autoritatea (există posibilitatea chiar ca Autoritatea să oblige la notificarea persoanelor ale căror date au fost pierdute sau compromise).

 

De reținut:

  • Datele personale sunt orice fel de date care pot duce, direct sau indirect, la identificarea unei persoane fizice;
  • Datele personale trebuie colectate și procesate legal, transparent și cu bună-credință. Dateleși doar pentru scopul pentru care au fost colectate. Daca va bazati pe consimtamant, acordul persoanelor trebuie cerut clar și precis, astfel încât persoanele să știe exact pentru ce furnizează acele date și să le și poată actualiza la nevoie;
  • Securitatea datelor cu caracter personal poate fi asigurată și prin limitarea numărului de oameni din organizație care au acces la date și prin proceduri ca parolarea bazelor de date. În plus, există obligația legală de includere a unor clauze de confidențialitate în contractele de muncă ale angajaților organizației sau în contractele cu terții care au acces la date;
  • Datele personale pot fi colectate și procesate de un operator sau de o persoană împuternicită de operator;
  • Datele personale colectate nu trebuie păstrate pe perioadă nedeterminată, ci trebuie șterse atunci când nu mai sunt utile scopului pentru care au fost colectate;
  • Colectarea de semnături sau petițiile reprezintă colectare de date cu caracter personal, iar atât persoanele care le colectează cât și cele care le furnizează ar trebui informate clar și transparent cu privire la scopul colectării datelor;
  • Datele persoanelor juridice nu sunt date cu caracter personal, însă datele administratorilor organizației sunt;
  • Prelucrarea de date cu caracter special este interzisă, dar există o serie de excepții;
  • Nu există noțiunea de înregistrare la ANSPDCP, dar cei care colectează și prelucrează date din categoria de date speciale trebuie să trimită o notificare către Autoritate prin care să anunțe începerea acestei activități pentru anumite tipuri de date cu caracter special dacă aceasta activitate are loc pina în 25 mai 2018;
  • Din data de 25 mai 2018, va intra în vigoare un Regulament UE cu privire la colectarea și prelucrarea de date persoanale care va înlocui actuala lege, dar până atunci legea din România rămâne în vigoare.

 

Mai multe informații despre GDPR, pe site-ul Asociației pentru Tehnologie și Internet, aici:

 

Înregistrarea webinarului:





Click pe imagini pentru vizualizare

Dacă nu ai încă un certificat de securitate SSL pentru site-ul organizației tale, acum îl poți obține gratuit prin inițiativa globală https://letsencrypt.org/ în doar câțiva pași.

Trainer

  • ApTI

    Bogdan Manolea

    Bogdan este director executiv la Asociația pentru Tehnologie și Internet - ApTI și se implică de peste 20 de ani în acțiuni la interacțiunea dintre digital, juridic și implicarea civică.