GDPR ne strica sarbatorile de Craciun?

Acum GDPR ne pune la o nouă încercare: Cum respectăm GDPR și nu ne stricăm sărbătorile de Crăciun și Anul nou? După multe situații incomode cu care ne-am confruntat pentru conformarea la GDPR, vine și rândul cadourilor și fotografiilor de Crăciun, măsuri din cauza căror copiii vor avea de suferit din tendințe de super protecție sau neglijență.

Marea provocarea va fi: Cum vor strănge companiile, instituțiile de învățământ sau grădinițele listele cu cadouri, cu copii care trebuie să participe la serbări, să primească cadouri, etc. … și să nu uită de fotografiile adorabile de sărbatori. Avem consimțământ de la părinți pentru realizarea și publicarea lor pe site-ul web sau pe pagina de Facebook a instituției/companiei?

De exemplu, în Germania, există o tradiție de Crăciun care este foarte greu încercată de acest aspect, riscând chiar să fie interzisă.

În orașul Roth de lângă Nuremberg,  în fiecare an, în piața din centrul orașului, copiii  își atârnă listele de dorințe în pomul de Crăciun. 

Unul din bilețelele de anul trecut aparținea micului Fratz și dorința sa era: „Vreau să devin primar”. Pentru a îndeplini visul băiețelului, consiliul municipal a aranjat o întâlnire cu primarul, iar un grup de copii au fost lăsați să-l însoțească pe parcursul zilei.

Pentru ca acest lucru să se poată întmpla, au fost necesare datele de contact ale micuților și acordul parinților.

Conform prevederilor Regulamentului european general privind protecția datelor, acum  această tradiție nu mai este apicabilă și este definitiv încheiată. În acest caz, cei pe care dorim să îî protejăm sunt cei care au direct de suferit.

Anterior, copiii și-au scris dorințele împreună cu adresa și numele pe lista de dorințe și acestea au fost transmise către municipalitate. Potrivit GDPR, totuși, părinții trebuie să-și dea consimțământul expres că datele copiilor pot fi transmise „celor care implesc dorințele”. Iar lăsarea biletelor cu dorințele și datele personale ale copiilor în/sub brad, este total interzis.

Păi așa cum mai găsește Moș Crăciun copii și cum află dorințele lor?

În cazul în care compania care ar administra aceste bilețele sau autoritatea municipală nu protejează datele, sunt pasibile de amenzile sau cererile de despăgubire din partea păarinților, conform prevederilor GDPR, dar de fapt la noi ANSPDCP susținea că nu va da amenzi, doar mustrări și avertismente, oare?

În speța de mai sus, pentru a evita sancțiuni (ei nu vorbeau de mustrări) și neplăceri cauzate copiilor și părinților, municipalitatea, consultandu-se cu persoana desemnată pe poziția Respnsabilul cu protecția datelor (DPO) , au realizat o Evaluare a Impactului asupra protectiei datelor  DPIA, iar dupa analizarea raportului DPIA au ajuns la următoarele concluzii:

Prima întrebare care apare este daca GDPR este aplicabil
Potrivit art. 2 par. 1, GDPR se aplică prelucrării complete sau parțiale a datelor personale, precum și prelucrării neautomatizate a datelor cu caracter personal stocate sau care urmează să fie stocate într-un sistem de fișiere.

Termenul de automatizare include procedurile în care cel puțin o parte dintr-un proces de procesare a datelor se efectuează automat prin intermediul unui program dat fără intervenția umană ulterioară – vezi GDPR art. 2.

Acțiunea dorită se desfășoară fără implicarea unui program (software). Copiii sau părinții lor atârnă lista de dorințe pe bradul de Crăciun. Un angajat al municipalității orașului Roth preia bilețelele, le evaluează și le îndeplinește dorințele.

Potrivit art. 2 par. 1, GDPR se aplică și procesării neautomatizate a datelor cu caracter personal stocate sau care urmează să fie stocate într-un fisier.

Dat fiind faptul că fișierul are doar cerințe reduse pentru structurarea datelor conținute în acesta, regulamentul acoperă practic toate colectările de date manuale.

În cazul în care copiii își pot crea propriile liste de dorințe și nu trebuie să copieze informațiile sistematic sau formal, iar acest lucru poate fi împotriva adoptării unei soluții de sistematizare a informației în fișiere. Dacă municipalitatea furnizează un formular de Listă de Dorințe, se poate centraliza informația într-un fișier și obține consimțământul persoanelor vizate – părinți/tutori.

La completarea formularului de plasare a dorinței copilului, părintele va trebui să își exprime consimțământul. Chiar dacă GDPR prevede 6 baze de prelucrare diferite, în aceest caz, consimțământul este baza relevantă.

Dat fiind faptul că consimțământul nu trebuie neapărat să fie făcut în scris, consimțământul pentru prelucrarea datelor poate afișat vizibil în jurul bradului, iar plasara fomrularului de dorințe la bradul de Crăciun presupune avizarea parintelui sau tutorelui.

În concluzie, municipalitatea orașului a hotărât că pentru a putea păstra tradiția vor utiliza o formulă prin care să colecteze dorințele de la copii, prin care să obțină consimțământul părintelui/tutorelui, urmând să se decidă asupra măsurilor tehnice și organizatorice pe care le vor utiliza.

Noi, prin echipa de specialiști GDPR, considerăm că pentru astfel de situații se pot utiliza în practică două soluții:

  1. Copilul vine împreună cu părintele și părintele completează formular de consimțământ fizic, avizat în prealabil de modul de prelucrare a datelor, formular care pe verso poate conține lista de dorințe a copilului, iar acestea se introduc într-o urnă securizată la acces fizic și împotriva furtului, distrugerii, inundație, etc sau se predau unui angajat al municipalității.
  2. Copilul vine împreună cu părintele și părintele completează formular de consimțământ pe o aplicație online, avizat în prealabil de modul de prelucrare a datelor, formular care pe verso poate conține lista de dorințe a copilului.

În ambele cazuri, municipalitate va securiza și păzi datele personale colectate, le va utiliza în scopurile declarate și după atingerea scopului, va șterge datele colectate, utilizănd mijloace si metode tehnice și organizatorice adecvate pentru respectarea GDPR.

În cazul evenimentelor sau fotografiilor, recomandăm practici și măsuri similare cu cele enunțate mai sus.

Dacă considerați că aveți întrebări sau aveți nevoie de sprijin de specialitate pentru a evita să încălcați protecția datelor cu caracter personal și GDPR, vă recomandăm să apleți la o echipă specializată de consultanți GDPR.

Urmareste noutatile GDPR
Acest articol a fost publicat în Informații utile și etichetat cu , , , , , , , , , , , , . Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu GDPR – Regulamentul European 679/2016 și dacă trebuie să externalizați un DPO sau să aveți desemnat o persoana pe pozitia de DPO Responsabil cu protectia datelor cu caracter personal, specializat ulterior prin urmarea unui  Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți aplea la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate cu un simplu click.


Pentru a să sprijini, echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.