drd. ec. Monica Florentina CALOPEREANU
drd. Alin Nicuşor CALOPEREANU*
Dreptul la protecţia datelor cu caracter personal, ca şi dreptul la viaţa privată, sunt considerate, la nivelul Uniunii Europene, drepturi fundamentale ale omului. Spre deosebire de Uniunea Europeană, în Statele Unite ale Americii, dreptul la protecţia datelor cu caracter personal este considerat un drept al consumatorului.
Interpretarea şi punerea în aplicare a normelor legislative privind protecţia datelor cu caracter personal a devenit obligatorie pentru toate organismele (persoane juridice), din Uniunea Europeană, sau care oferă bunuri şi servicii pe teritoriul Uniunii Europene ori către cetăţeni ai Uniunii Europene.
Declaraţia Universală a Drepturilor Omului este primul instrument international care recunoaşte intimitatea / viaţa privată ca drept al omului. Dreptul la viaţa privată şi implicit la protecţia acesteia (precum şi a datelor cu caracter personal) este regle-mentat pentru prima oară în art. 8 din Convenţia Europeană a Drepturilor Omului, respectiv în art. 7 din Carta drepturilor fundamentale ale Uniunii Europene.
Odată cu apariţia tehnologiei informaţiei în anii ’60, a apărut şi necesitatea adoptării unor norme juridice pentru protecţia datelor personale ale persoanelor fizice, fiind adoptate o serie de rezoluţii ale Comitetului de Miniştri al Consiliului Europei privind protecţia datelor cu caracter personal, cum ar fi: Rezoluţia 22 din 26 septembrie 1973 privind protejarea vieţii private a persoanelor în ceea ce priveşte bazele de date electronice din sectorul privat sau Rezoluţia 29 din 20 septembrie 1974 privind protejarea vieţii private a persoanelor în ceea ce priveşte bazele de date a persoanelor din sectorul public1.
Convenţia nr. 108 pentru protecţia persoanelor cu privire la prelucrarea automată a datelor cu caracter personal a fost semnată la nivelul Consiliului Europei în 28 ianuarie 1981 şi reprezintă unul dintre primele instrumente juridice adoptate la nivel internaţional în domeniul protecţiei datelor personale.2 România a ratificat acest act prin Legea 682/2001, iar prin Legea 55/2005 a fost ratificat şi Protocolul adiţional la Convenţia pentru protecţia persoanelor cu privire la prelucrarea automată a datelor cu caracter personal, cu privire la autorităţile de control şi fluxul transfontalier al datelor.3
La 24 octombrie 1995 a fost adoptată Directiva 95/46/CE a Parlamentului European şi a Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestora.
Principalele motive care au dus la adoptarea documentelor sunt:
– crearea unei uniuni tot mai strânse între popoarele Europei;
– promovarea unor relaţii mai strânse între statele membre;
– eliminarea barierelor care împart Europa;
– sistemele de prelucrare a datelor sunt în serviciul omului şi trebuie să le respecte drepturile şi libertăţile fundamentale, în special dreptul la viaţa privată;
– intensificarea cooperării ştiinţifice şi tehnice;
– nivelul protecţiei drepturilor şi libertăţilor persoanei în ceea ce priveşte prelucrarea unor astfel de date trebuie să fie echivalent în toate statele membre;
– statele membre nu vor mai putea împiedica libera circulaţie a datelor cu caracter personal din considerente de protecţie a drepturilor şi libertăţilor persoanei, în special a dreptului la viaţa privată.
La 27 aprilie 2016 a fost adoptată Directiva (UE) 2016 privind protecţia per-soanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiu-nilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului. Motivul adoptării Directivei este dat de faptul că evoluţiile tehnologice rapide şi globalizarea au generat noi provocări pentru protecţia datelor cu caracter personal în condiţiile creşterii fără precedent a volumului de date prelucrat.4
În Jurnalul Oficial al Uniunii Europene, seria L 119/1, a fost publicat Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în legătură cu prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul General privind Protecţia Datelor).
Motivele adoptării:
▪ Principiile referitoare la protecţia persoanelor fizice, în ceea ce priveşte prelu-crarea datelor lor cu caracter personal, ar trebui să respecte drepturile şi libertăţile fundamentale ale acestora, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice;
▪Regulamentul urmăreşte să îşi aducă aportul la realizarea unui spaţiu de libertate, securitate şi justiţie, la progresul economic şi social, la consolidarea şi conver-genţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice;
▪Apărarea dreptului la viaţa intimă, familială şi privată în privinţa prelucrării datelor cu caracter personal.
Conform „Art. 4: Definiţii”: „date cu caracter personal” înseamnă „orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”)”. Adică, „o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
„Prelucrarea datelor înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea”.
La Articolul 6 – Alineatul 1 se specifică foarte clar că „Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii”:
a. consimţământ – persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
b. contract – prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
c. obligaţie legală – prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
d. interese vitale – prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
e. interes public – prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;
f. interese legitime – prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Drepturile persoanelor fizice statuate în Regulament, în ceea ce priveşte prelucrarea datelor cu caracter personal:
-
Dreptul de acces la datele cu caracter personal prelucrate: dreptul de a obţine o confirmare că se prelucrează sau nu datele dumneavoastră cu caracter personal şi, în caz afirmativ, acces la tipul de date cu caracter personal şi la condiţiile prelucrării lor, prin formularea unei cereri în acest sens către operator;
-
Dreptul de a cere rectificarea sau ştergerea datelor cu caracter personal: posibilitatea de a solicita, prin trimiterea unei cereri în acest sens către operator, rectificarea datelor cu caracter personal care sunt inexacte, suplimentarea datelor cu caracter personal, în situaţia în care acestea sunt incomplete sau ştergerea datelor cu caracter personal în situaţiile în care:
-
datele cu caracter personal nu mai sunt necesare scopului lor iniţial (şi nu există un nou scop legal pentru prelucrare);
-
baza legală a prelucrării o reprezintă consimţământul persoanei vizate, iar persoana vizată îşi retrage consimţământul şi nu există niciun alt temei legal pentru prelucrare;
-
persoana vizată îşi exercită dreptul la opoziţie şi operatorul nu are motive în favoarea continuării prelucrării care prevalează;
-
datele cu caracter personal au fost prelucrate ilegal;
-
ştergerea este necesară pentru respectarea legislaţiei UE sau din Romania;
-
datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale oferite către copii (daca este cazul), pentru care consimţământul este guvernat de reguli speciale.
-
Dreptul de a solicita restricţionarea prelucrării: aveţi dreptul să obţineţi restric-ţionarea prelucrării în situaţiile în care:
-
consideraţi că se prelucrează date cu caracter personal inexacte, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor cu caracter personal;
-
prelucrarea este ilegală, dar nu se doreşte ştergerea datelor cu caracter personal, solicitând doar restricţionarea utilizării lor;
-
în situaţia în care operatorul nu mai are nevoie de datele cu caracter per-sonal pentru prelucrarea lor, în scopurile menţionate mai sus, dar se solicită datele pentru constatarea, exercitarea sau apărarea unui drept în instanţă;
-
persoana vizată s-a opus prelucrării pentru intervalul de timp în care se verifică dacă temeiurile legitime ale operatorului prevalează asupra drepturilor per-soanei vizate.
-
Dreptul de a vă retrage consimţământul pentru prelucrare, când prelucrarea este bazată pe consimţământ, fără a afecta legalitatea prelucrării efectuate până la momentul retragerii consimţământului;
-
Dreptul de a se opune cu privire la prelucrarea datelor cu caracter personal; din motive legate de situaţia particulară, atunci când prelucrarea este întemeiată pe un interes legitim şi în orice moment la prelucrarea datelor cu caracter personal în scopuri de marketing direct, inclusiv crearea de profiluri;
-
Dreptul de a nu fi obiectul unei decizii bazate exclusiv pe prelucrare auto-matizată, inclusiv crearea de profiluri, care produce efecte juridice ce privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă;
-
Dreptul la portabilitatea datelor, şi anume dreptul de a primi datele cu caracter personal, care au fost furnizate operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi dreptul de a transmite aceste date către un alt operator, în situaţia în care prelucrarea se face în baza consimţămân-tului sau executarea unui contract şi este efectuată prin mijloace automate;
-
Dreptul de a depune o plângere în faţa Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal şi dreptul de a se adresa instanţelor de judecată competente.
Principiile prelucrărilor datelor cu caracter personal sunt prevăzute la Art. 5: „Principii legate de prelucrarea datelor cu caracter personal”:
a) Legalitate, echitate şi transparenţă – un principiu esenţial, asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie prelucrate „în mod legal, echitabil şi transparent faţă de persoana vizată.”
b) Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se abată de la aceste scopuri.
c) Reducerea la minimum a datelor – prin acest principiu operatorii sunt avizaţi de faptul că orice colectare de date personale trebuie foarte bine analizată înainte de obţinerea efectivă a datelor, care trebuie să fie cele mai relevante şi strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate.
d) Exactitatea informaţiilor – operatorii trebuie să ia toate măsurile pentru a asigura validitatea datelor, iar cele dovedite inexacte trebuie actualizate rapid sau şterse.
e) Limitarea stocării – datele trebuie păstrate fix atâta timp cât sunt necesare pentru prelucrarea asumată.
f) Integritate şi confidenţialitate – Prelucrarea datelor personale trebuie făcută în cele mai proprii condiţii de siguranţă, care să includă „protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare”. Cine nu respectă acest principiu este direct expus la breşe de securitate şi confidenţialitate, fiind un candidat sigur pentru extrem de severele penalităţi.
În GDPR (Art. 5, alin. 2) apare clar principiul responsabilităţii: „Operatorul trebuie să fie responsabil de respectarea alineatului (1) şi să poată demonstra această respectare („responsabilitate”).”
Cu alte cuvinte, cea mai importantă prevedere a Regulamentului este principiul responsabilităţii. GDPR vă cere nu numai să respectaţi principiile – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci şi să demonstraţi oricând această responsabilitate.
Concluzionând, regulile stabilite în concordanţă cu principiile enunţate se regăsesc în Considerentul 39 din GDPR:
-
Orice prelucrare de date cu caracter personal trebuie să fie legală şi echitabilă.
-
Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal trebuie să fie uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar.
-
Persoanele fizice trebuie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea.
-
Scopurile specifice în care datele cu caracter personal sunt prelucrate trebuie să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective.
-
Datele cu caracter personal trebuie să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate.
-
Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace.
-
Operatorul trebuie să stabilească termene pentru ştergere sau revizuirea periodică.
-
Datele personale trebuie prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.
APLICAREA GDPR ÎN ACTIVITATEA DE RESURSE UMANE
A UNEI ENTITĂŢI CU PERSONALITATE JURIDICĂ.
Un volum considerabil de date cu caracter personal este prelucrată în cadrul activităţii de resurse umane. Noua reglementare europeană deschide nenumărate oportunităţi pentru salariaţi, care pot genera necazuri pentru angajatori. Salariaţii pot fi pretenţioşi în legătură cu protecţia datelor lor personale, pot să genereze breşe de securitate, pot să facă plângeri la Autoritatea Naţională pentru Protecţia Datelor, întrucât ei cunosc foarte bine vulnerabilităţile angajatorului. Spre deosebire de cazul salariaţilor din contabilitate, HR şi IT care, prin ipoteza că sunt bine plătiţi, sunt de încredere, problemele în ce priveşte protecţia datelor cu caracter personal pot să fie generate de către orice salariat, indiferent de poziţia lui în organizaţie.5
Foarte multe dintre activităţile desfăşurate în cadrul relaţiilor de muncă implică procesarea de date cu caracter personal, uneori chiar date cu caracter sensibil, sau date cu caracter special. Astfel, încă din momentul angajării, angajatorul procesează informaţii despre viitorul salariat (cum ar fi cele conţinute în CV-ul acestuia), acestea devenind din ce în ce mai numeroase, pe măsura executării raporturilor de muncă (informaţii privind situaţia familială, starea de sănătate, nivelul veniturilor, evaluări profesionale etc.).6
Considerentul 4, din preambulul Regulamentului, statuează faptul că dreptul la viaţa privată, ca şi dreptul la protecţia datelor cu caracter personal nu sunt drepturi absolute, ci trebuie evaluate în raport cu funcţia socială îndeplinită şi trebuie echilibrate cu alte drepturi esenţiale, în conformitate cu principiul proporţionalităţii, cum ar fi protecţia reputaţiei şi a drepturilor angajatorului, protecţia drepturilor şi libertăţilor angajatului sau prevenirea divulgării informaţiilor confidenţiale.
Normele privind securitatea prelucrării implică obligarea operatorului de a implementa măsuri tehnice şi organizatorice adecvate pentru prevenirea unei intervenţii neautorizate asupra operaţiunilor de prelucrare. Securitatea datelor nu se realizează numai prin implementarea echipamentelor hardware şi software, ci şi norme organi-zatorice adecvate, cum ar fi:
-
Accesabilitatea informaţiilor privind normele de securitatea a datelor, normele de confidenţialitate;
-
Desemnarea clară a responsabilităţilor privind prelucrarea datelor;
-
Implementarea unor măsuri de protecţie fizică, inclusiv în ceea ce priveşte echi-pamentele informatice;
-
Instruirea periodică a personalului cu acces la date cu caracter personal.
Protecţia datelor cu caracter personal în activitatea de resurse umane
Conform GDPR, în activitatea de resurse umane, prelucrarea de date cu caracter personal include orice operaţiune efectuată asupra datelor personale. Între cele mai frecvent întâlnite exemple de prelucrare a datelor se includ: păstrarea contractelor de muncă în arhiva fizică sau electronică a societăţii, înregistrarea imaginilor video folosind CCTV, geolocalizarea, monitorizarea folosirii internetului, emailului sau a activităţii de pe un calculator, inclusiv a folosirii reţelelor sociale.
Toate aceste prelucrări sunt un subiect sensibil nu doar prin prisma GDPR, ci şi prin prisma prevederilor Convenţiei Europene a Drepturilor Omului, care susţine că angajatul are dreptul la intimitate şi viaţă privată chiar şi la locul de muncă, indiferent de înţelegerea existentă între acesta şi angajator.
CLAUZA DE CONFIDENŢIALITATE PENTRU ANGAJAŢI
Din perspectiva asigurării măsurilor de protecţia datelor cu caracter personal, apreciem că este necesar ca angajatorul să includă o clauză de confidenţialitate7 în CIM (contractele individuale de muncă) ale persoanelor care au atribuţii de prelucrare a acestor date (de regulă pentru personalul din departamentele de resurse umane8 şi salarizare9, marketing, relaţii clienţi, dar şi în cazul altor salariaţi care au acces / pre-lucrează date cu caracter personal).
Este indicată o eventuală actualizare a fişelor de post ale salariaţilor care au acces şi prelucrează date cu caracter personal, în sensul de a preciza foarte clar care sunt atribuţiile concrete în ceea ce priveşte prelucrarea datelor, astfel încât fiecare salariat să ştie ce este autorizat şi ce nu este autorizat să facă cu datele personale pe care le gestionează.
Aceste aspecte ar trebui prevăzute şi în procedurile operaţionale / de lucru pe care le aplică salariaţii în activitatea lor, astfel încât aceştia să ştie pentru ce operaţiuni sunt responsabili şi cum să le realizeze, dar şi cum să evite şi să semnaleze accesul neautorizat la datele cu caracter personal.
RETENŢIA DATELOR CU CARACTER PERSONAL
Potrivit dispoziţiilor Anexei nr. 6 din Legea 16/1996 a Arhivelor Naţionale, pu-blicată în Monitorul Oficial nr. 71 din 9 aprilie 1996, în lista după care pot fi date în cercetare documentele privind interesele naţionale, drepturile şi libertăţile cetăţenilor avem următoarele termene:
– documentele medicale, după 100 de ani de la crearea lor;
– registrele de stare civilă, după 100 de ani de la crearea lor;
– dosarele personale, după 75 de ani de la crearea lor;
– documentele privind viaţa privată a unei persoane, după 40 de ani de la moartea acesteia;
– documentele referitoare la siguranţa şi integritatea naţională, după 100 de ani de la crearea lor;
– documentele privind afacerile criminale, după 90 de ani de la crearea lor;
– documentele privind politica externă, după 50 de ani de la crearea lor;
– documente ale societăţilor comerciale cu capital privat, după 50 de ani de la crearea lor;
– documentele fiscale, după 50 de ani de la creare;
– documentele notariale şi judiciare, după 90 de ani de la crearea lor.
Baza prelucrării datelor cu caracter personal
în conformitate cu Regulamentul
a) Executarea contractului
Când datele angajatului sunt necesare pentru executarea efectivă a contractului de muncă, compania va putea prelucra acele date personale şi doar pe acelea folosind acest temei.10
b) Respectarea unor obligaţii legale
Dacă există obligaţii legale (i.e. rezultate dintr-o lege sau ordin al unei autorităţi publice) pe care compania le are în calitate de angajator, cum ar fi: transmiterea datelor angajaţilor în scopul protecţiei muncii sau asigurărilor sociale, transmiterea către autorităţile fiscale, prelucrarea în scopuri legate de medicina muncii, evaluarea capacităţii de muncă a angajatului, compania are un temei legal pentru prelucrarea datelor necesare pentru îndeplinirea acestor obligaţii. Orice alte date personale colectate în mod suplimentar ar putea fi considerate excesive, atrăgând riscul aplicării unei amenzi.11
c) Consimţământ
Prelucrarea datelor personale ale angajaţilor pe baza consimţământului a devenit blamată de-a lungul ultimilor ani, chiar dinainte de adoptarea GDPR, prin diversele documente oficiale ce au fost publicate la nivelul UE. Argumentul principal este că angajatul se află într-o relaţie de subordonare, de dependenţă economică faţă de angajator, ceea ce pune sub semnul întrebării posibilitatea sa de a-şi manifesta voinţa în mod liber. Angajatul s-ar putea simţi constrâns să consimtă la prelucrări ale datelor sale solicitate de angajator, de teamă sau din dorinţa de a nu suferi consecinţe nefavorabile la locul de muncă. Din această cauză, un consimţământ exprimat de angajat pentru prelucrarea datelor sale, de exemplu în contextul monitorizării, ar putea fi considerat nevalabil.12
d) Interes legitim
Interesul legitim al angajatorului poate fi folosit ca temei pentru prelucrarea datelor, dacă nu aduce o ingerinţă nepermisă în viaţa privată a angajatului. Însă, anterior implementării unor măsuri întemeiate pe interes legitim, societatea trebuie să realizeze un test al proporţionalităţii prin care să evalueze în ce măsură scopurile sale prevalează sau nu asupra vieţii private a angajatului şi dacă nu cumva există alte metode prin care să îşi culeagă informaţiile necesare, fără să intervină în viaţa privată a angajaţilor săi.13
Monitorizarea activităţii angajaţilor
Monitorizarea angajaţilor nu se poate face în baza consimţământului acestora. În schimb, se poate face pe baza interesului legitim al angajatorului, dacă nu aduce o ingerinţă nepermisă în viaţa privată a angajatului. În toate cazurile, angajatorul trebuie să informeze în detaliu despre modul de desfăşurare a monitorizării, încă dinainte de începerea acesteia.
Monitorizarea documentelor şi comunicaţiilor personale
Trebuie evitată monitorizarea nediscriminatorie a informaţiilor din email, reţele sociale, informaţii de localizare, preferinţe personale etc, prin minimizarea colectării datelor personale ce sunt stocate în dispozitivele personale doar la cele necesare, orientate doar spre zonele de risc identificate de societate şi raportate la activitatea societăţii.
Ca regulă generală, documentele şi comunicaţiile personale nu ar trebui moni-torizate, la fel nici anumite zone sensibile (e.g. spaţiile de recreere, spaţiile cu destinaţie religioasă, grupurile sanitare, utilizarea camerei web pentru a înregistra activitatea angajatului ce lucrează la domiciliu, geolocalizarea nu ar trebui să monitorizeze continuu în cazul în care maşina este la dispoziţia angajatului 24/24, ci doar în timpul programului de lucru). Este recomandat să se apeleze la verificarea prin sondare la anumite intervale de timp în cadrul programului de lucru în locul verificării prin înregistrare continuă.14
Dreptul angajatului de a se opune
Orice monitorizare, indiferent de temei şi modalitate de desfăşurare, trebuie să fie complet transparentă faţă de angajat. De asemenea, angajatul are dreptul de a se opune unei astfel de prelucrări în cazul în care monitorizarea este întemeiată pe interes legitim. În acest caz, angajatorul va trebui să demonstreze că interesul său legitim prevalează dreptului angajatului la viaţă privată.15
Prelucrarea datelor cu caracter personal în contextul recrutărilor
Datele personale colectate în contextul recrutărilor ar trebui şterse, de regulă, imediat ce procesul de recrutare s-a finalizat şi este clar că persoanele în cauză nu vor fi angajate, dacă nu s-a specificat către persoana vizată o altă perioadă de stocare, stabilită în mod justificat.
Cu toate acestea, angajatorul ar putea justifica un interes legitim pentru păstrarea unor astfel de date până la procesele următoare de recrutare, însă oportunitatea acestui interes trebuie evaluată în mod real. Potenţialul angajat trebuie informat extensiv în acest sens, inclusiv cu privire la durata de stocare a datelor sale, care trebuie să fie o durată rezonabilă şi cu privire la dreptul de a se opune prelucrării.
Transferul datelor personale ale angajaţilor către alte state
GDPR are în vedere faptul că societăţile care fac parte dintr-un grup pot avea un interes legitim de a transmite date cu caracter personal ale angajaţilor în cadrul grupului de întreprinderi în scopuri administrative interne. Acest transfer se poate realiza fără o autorizare prealabilă atunci când datele personale sunt transferate în interiorul UE.
Atunci când transferul datelor se face către un stat din afara UE, regulile rămân neschimbate. Astfel, pe baza Regulilor Corporatiste Obligatorii (Binding Corporate Rules – BCR) care sunt menţionate expres în GDPR se poate realiza acest transfer către un stat terţ ce nu a fost evaluat şi aprobat de Comisie ca oferind un nivel adecvat de protecţie. Alte modalităţi conforme de transfer a datelor angajaţilor către state terţe sunt: clauzele standard de protecţie adoptate de Comisie, codurile de conduită însoţite de angajamente obligatorii şi executorii sau mecanismele de certificare însoţite de anga-jamente obligatorii şi executorii.
Păstrarea evidenţelor şi controlul autorităţii de supraveghere
Societăţile cu peste 250 angajaţi vor avea obligaţia de păstrare a evidenţelor activităţilor de prelucrare a datelor personale, în scris / electronic. Aceeaşi obligaţie o vor avea şi companiile cu mai puţin de 250 de angajaţi dacă prelucrările pe care le efectuează sunt susceptibile „să genereze un risc pentru drepturile şi libertăţile per-soanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, sau date cu caracter personal referitoare la condamnări penale şi infracţiuni”.
Verificarea conformităţii cu prevederile GDPR va fi efectuată de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În momentul unui control al autorităţii, compania va fi unica responsabilă să demon-streze că respectă prevederile legale, iar pentru a face acest lucru, va trebui să do-cumenteze toate activităţile de prelucrare şi să aibă implementate politici şi proceduri de prelucrare a datelor cu caracter personal. Amenzile maxime ce pot fi aplicate în cazul descoperirii neregulilor sunt de EUR 20 milioane sau 4% din cifra de afaceri globală a societăţii.
Aplicarea GDPR în activitatea economică a unei entităţi
GDPR a devenit cadrul legal european unic în materie de protecţie a datelor personale, iar noile reguli impactează toţi prestatorii de servicii, inclusiv firmele de contabilitate sau departamentele economice ale oricărei entităţi.
Între primele aspecte ce trebuie stabilite în momentul în care discutăm despre aplicarea regulilor de protecţie a datelor cu caracter personal în cadrul activităţii eco-nomic ar trebui să fie stabilirea rolului în contextul GDPR.
Regulamentul GDPR defineşte „operatorul” – CONTROLLER în limba engleză – ca fiind „persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal” (articolul 4 pct. 7). Deşi în definiţie apare şi sintagma persoana fizică, în accepţiunea legislaţiei române este vorba de Persoana Fizică Autorizată (P.F.A.), GDPR aplicându-se strict în relaţia dintre o persoană juridică (operatorul) şi o persoană fizică (persoana vizată).
Responsabilităţile descrise mai jos pot fi atribuite unei persoane individuale (dar care acţionează în numele entităţii) sau se aplică întregii organizaţii.
Operatorul de Date are următoarele responsabilităţi:
-
Să se asigure că principiile referitoare la prelucrarea datelor cu caracter personal descrise la articolul 5 din Regulamentul GDPR sunt respectate şi este în măsură să demonstreze respectarea acestora;
-
Să se asigure că, în anumite cazuri, consimţământul persoanei vizate supuse prelucrării datelor cu caracter personal este obţinut acolo unde este necesar, inclusiv consimţământul părinţilor pentru copii;
-
Să furnizeze toate informaţiile necesare în baza Regulamentului GDPR per-soanei vizate într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, folosind un limbaj simplu şi clar;
-
Să faciliteze exercitarea drepturilor persoanelor vizate în temeiul Regulamentului GDPR şi să menţină persoanele vizate informate despre progresul cererii lor;
-
Să implementeze măsuri tehnice şi organizaţionale adecvate pentru a se asigura şi a fi capabil să demonstreze că prelucrarea este efectuată în conformitate cu Regulamentul GDPR;
-
Să se asigure că alege doar acele persoanele împuternicite care furnizează suficiente garanţii privind implementarea unor măsuri tehnice şi organizaţio-nale adecvate în conformitate cu Regulamentul GDPR şi care să asigure totodată protecţia datelor personale;
-
Să menţină o înregistrare a activităţilor de prelucrare a datelor cu caracter personal care intră în responsabilitatea persoanei împuternicite;
-
Să coopereze, la cerere, cu autoritatea de supraveghere în îndeplinirea sar-cinilor sale;
-
Să se asigure că orice persoană care acţionează sub autoritatea persoanei împuternicite care are acces la datele cu caracter personal nu le procesează, cu excepţia instrucţiunilor persoanei împuternicite;
-
Să notifice o încălcare a datelor cu caracter personal autorităţii de supraveghere, cu excepţia cazului în care încălcarea nu este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, în conformitate cu procedurile organizaţiei;
-
Să documenteze orice încălcare a datelor cu caracter personal, inclusiv faptele referitoare la încălcarea datelor cu caracter personal, efectele acesteia şi măsurile de remediere luate;
-
Dacă este cazul, să comunice persoanei vizate o notificare cu privire la încăl-carea securităţii datelor cu caracter personal, fără întârzieri nejustificate;
-
Să efectueze evaluări de impact privind protecţia datelor, după caz, atunci când este obligatoriu;
-
Să desemneze un responsabil cu protecţia datelor atunci când este cerut de Regulamentul GDPR, să publice detaliile acestuia şi să le comunice autorităţii de supraveghere;
-
Să sprijine responsabilul cu protecţia datelor în îndeplinirea sarcinilor sale, oferind resursele necesare pentru îndeplinirea acestor sarcini şi accesul la datele cu caracter personal şi operaţiunile de prelucrare;
-
Să transfere datele cu caracter personal într-o ţară terţă sau într-o organizaţie internaţională numai dacă operatorul sau persoana împuternicită a furnizat garanţii adecvate şi cu condiţia ca drepturile aplicabile ale persoanelor vizate şi căile de atac eficiente pentru persoanele vizate să fie disponibile.
Persoana împuternicită – PROCESSOR – în limba engleză –
Regulamentul GDPR defineşte „persoana împuternicită” ca fiind „persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului” (articolul 4 pct. 8). Deşi în definiţie apare şi sintagma persoana fizică, în accepţiunea legislaţiei române este vorba de Persoana Fizică Autorizată (PFA), GDPR aplicându-se strict în relaţia dintre o persoană juridică (persoana împuternicită) şi o persoană fizică (persoana vizată). Responsabi-lităţile descrise mai jos pot fi atribuite unei persoane individuale (care acţionează în numele organizaţiei) sau se aplică întregii organizaţii.
Persoana împuternicită are următoarele responsabilităţi:
-
Să se asigure că orice prelucrare a datelor cu caracter personal este regle-mentată de un contract sau de un alt act juridic care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile persoanelor vizate şi obligaţiile şi drepturile operatorului de date;
-
Să proceseze datele cu caracter personal numai pe baza instrucţiunilor documentate ale operatorului de date, inclusiv în ceea ce priveşte transferul datelor cu caracter personal către o ţară terţă sau o organizaţie internaţională;
-
Se asigură că persoanele autorizate să proceseze datele cu caracter personal s-au angajat să păstreze confidenţialitatea sau că au obligaţia legală de confi-denţialitate;
-
Să implementeze măsurile tehnice şi organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului asociat procesării neautorizate a datelor cu caracter personal;
-
Să obţină autorizaţia anterioară specifică sau generală a operatorului de date înainte de a angaja o altă persoană împuternicită;
-
Să asiste operatorul de date în îndeplinirea obligaţiei operatorului de date de a răspunde cererilor de exercitare a drepturilor persoanei vizate;
-
Să şteargă sau să returneze toate datele personale către operatorul de date după încetarea furnizării serviciilor legate de prelucrare;
-
Să pună la dispoziţia operatorului de date toate informaţiile necesare pentru a demonstra conformitatea cu obligaţiile stabilite în Regulamentul GDPR şi să permită şi să contribuie la audituri, inclusiv inspecţiile, efectuate de operatorul de date sau de un alt auditor mandatat de operatorul de date;
-
Să menţină o înregistrare a tuturor categoriilor de activităţi de prelucrare efec-tuate în numele unui operator de date;
-
Să coopereze, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor sale;
-
Să se asigure că orice persoană care acţionează sub autoritatea persoanei împuternicite care are acces la datele cu caracter personal nu le procesează decât pe baza instrucţiunilor operatorului de date;
-
Să notifice operatorul de date fără întârzieri nejustificate după ce a constatat o încălcare a datelor cu caracter personal;
-
Să desemneze un ofiţer de protecţie a datelor atunci când este cerut de Regulamentul GDPR, să publice detaliile acestuia şi să le comunice autorităţii de supraveghere;
-
Să sprijine responsabilul cu protecţia datelor în îndeplinirea sarcinilor sale, oferind resursele necesare pentru îndeplinirea acestor sarcini şi accesul la datele cu caracter personal şi operaţiunile de prelucrare.
O persoană împuternicită de către operator devine operator în cazul în care utilizează datele cu character personal în alt scop decât cel transmis de operator, sau dacă nu respectă instrucţiunile operatorului.
O persoană care primeşte date de la operator, fără a efectua alte date de prelucrare, este destinatar.
Un terţ este o persoană fizică sau juridică, care nu acţionează în conformitate cu instrucţiunile operatorului (şi nu este persoana vizată).
Un destinatar terţ este o persoană sau o entitate separată din punct de vedere juridic de operator, dar care primeşte date cu caracter personal de la operator.16
Concluzionând, dacă structura economică a unui organism este integrată în structura acestuia, atunci acţionează în calitate de operator. Dacă serviciul, sau o parte dintre servicii (contabilitate, marketing etc.) sunt externalizate, atunci vorbim de o persoana împuternicită de operator.
Măsurile adoptate de structura economică a entităţii trebuie să fie armonizate cu politicile de protecţie a datelor cu caracter personal adoptate la nivelul persoanei juridice, cu adaptarea acestora la specificul activităţii.
În cazul firmelor care prestează servicii de contabilitate, putem schiţa o serie de paşi de urmat, respectiv de reguli ce trebuie adoptate în domeniul datelor cu caracter personal.
Încă de la început dorim să subliniem faptul că majoritatea covârşitoare a docu–mentelor fiscale conţin şi date personale. În plus, în practică, o mare parte dintre firmele de contabilitate se ocupă şi de Revisal, unde au acces la toate datele angajaţilor.17
Sintetic, contractul încheiat între un operator şi o firmă de contabilitate, prevede în special că persoana împuternicită de operator:
a) prelucrează datele cu caracter personal numai pe baza unor instrucţiuni docu-mentate din partea operatorului;
b) se asigură ca persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate;
c) adoptă toate măsurile necesare pentru asigurarea securităţii prelucrării datelor în conformitate cu articolul 32;
d) respectă condiţiile menţionate la alineatele (2) şi (4) ale art. 28 privind condiţiile recrutării unei alte persoane împuternicite de operator;
e) ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exer-citarea de către persoana vizată a drepturilor prevăzute în capitolul III din Regulament privind drepturile persoanei vizate cum sunt cele privind informarea şi accesul la datele personale, dreptul la rectificarea şi la stergerea datelor, dreptul la restricţionarea prelucrării ori cel privind portabilitatea datelor;
f) ajută operatorul să asigure respectarea obligaţiilor prevăzute la articolele 32-36, ţinând seama de caracterul prelucrării şi informaţiile aflate la dispoziţia persoanei împuternicite de operator;
g) la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
h) pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea. Informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.
Data Protection Officer (DPO)
Una dintre noutăţile cu care a venit GDPR este obligativitatea numirii unui ofiţer responsabil cu protecţia datelor (DPO – Data Protection Officer), al cărui rol principal este coordonarea şi supravegherea implementării condiţiilor de conformitate GDPR, precum şi ca persoană de legătură între organizaţie şi autoritatea de supraveghere.
Prin natura funcţiei şi a împuternicirilor de care dispune, un DPO deţine o poziţie centrală, cu rol strategic, într-o organizaţie:
– „este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal”.
– „Operatorul şi persoana împuternicită de operator se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini.” Un DPO nu poate fi demis sau sancţionat de către operator pentru îndeplinirea sarcinilor sale.
– responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
– are obligaţia de a respecta secretul şi confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor sale.
CONCLUZII
Este important de reţinut că, indiferent de prelucrările pentru care optează angajatorii, trebuie identificat în mod corect temeiul de prelucrare a datelor şi trebuie respectate drepturile angajatului în legătură cu prelucrarea.
GDPR legiferează obligaţia protejării datelor cu caracter personal pentru toate organismele private sau publice din Uniunea Europeană. Afirmaţiile de genul că anu-mitor categorii de activităţi nu li se aplică sunt de natură a afecta drepturile şi libertăţile persoanelor vizate şi să supună organizaţia la riscuri majore.
Între măsurile pe care le considerăm necesare pentru alinierea la prevederile GDPR în domeniul Resurselor umane, întâlnim:
-
Desemnarea unui Data Protection Officer (DPO) – Responsabil privind protecţia datelor personale – acolo unde este necesar. Menţionăm că toate instituţiile publice din UE au obligativitatea numirii unui DPO. Acesta poate fi o persoană desemnată dintre angajaţi, sau în baza unui serviciu externalizat.
-
Elaborarea, revizuirea / actualizarea unor proceduri şi politici stricte la nivelul instituţiei în domeniul protecţiei datelor cu caracter personal;
-
Identificarea riscurilor pe care le prezintă noile tipuri de activităţi dezvoltate la nivelul instituţiei în scopul cunoaşterii prelucrărilor efectuate, pentru asigurarea drepturilor şi libertăţilor persoanelor vizate, respectiv întocmirea evaluării de impact asupra protecţiei datelor;
-
Întocmirea declaraţiei de obligativitate a păstrării confidenţialităţii privind datele cu caracter personal şi semnarea acesteia de către toţi angajaţii;
-
Introducerea în contractele de muncă a unor clauze – precizări referitoare la protecţia datelor.
Aceste clauze trebuie să atingă următoarele aspecte:
-
-
-
Identitatea Operatorului de date (acesta este Angajatorul, dar în anumite situaţii poate fi vorba de operatori asociaţi). Trebuie precizate datele de contact la care angajatul poate să-şi exercite drepturile sale în legătură cu protecţia datelor personale. Dacă este cazul, persoana interesată este informată privitor la identitatea şi datele de contact ale Ofiţerului / Responsabilului de Date Personale.
-
Trebuie precizat ce categorii de date sunt colectate de la angajat, scopul şi baza legală a prelucrării. Consimţământul nu este, de regulă, baza legală a prelucrării datelor personale, în relaţia dintre angajator şi angajat. Executarea contractului şi obligaţiile legale furnizează de regulă baza legală pentru colectarea datelor de la angajat.
-
Dacă datele sunt exportate în afara Uniunii Europene (în cadrul grupurilor multinaţionale este o practică curentă), trebuie precizat care este interesul legitim pentru a face acest lucru şi este obligatorie furnizarea de informaţii referitoare la destinaţia şi tipurile de prelucrări ale datelor exportate, garanţiile legale şi de securitate oferite în acel teritoriu.
-
În contractele de muncă trebuie precizat care sunt destinatarii ulteriori ai datelor colectate de angajatori, respectiv care este scopul acestor prelucrări.
-
Dacă se colectează date despre angajaţi din surse terţe, acestea trebuie precizate. Dacă colectarea se face după angajare, angajatul trebuie informat în cel mult 30 de zile de la colectare.
-
Este obligatoriu ca în contract să fie indicate clar perioada de retenţie a datelor, sau criteriile avute în considerare, pentru a determina când trebuie şterse datele.
-
Persoana vizată (angajatul) trebuie informat despre drepturile sale. Este dezirabil şi indicat sa se folosească un limbaj clar, direct, fără termeni tehnici sau jargon juridic în redactarea clauzelor.
-
-
-
Training anual – la nevoie pentru angajaţi, respectiv instruirea noilor angajaţi, în perspectiva intrării în vigoare a GDPR.
Subiectul protecţiei datelor cu caracter personal este unul extrem de vast, lipsa unor norme explicite de aplicare fiind motorul apariţiei unor discuţii interminabile în interpretarea unora dintre articolele Regulamentului.
În esenţă, în aplicarea Regulamentului, putem identifica un sistem propriu de protecţie a datelor cu caracter personal, proiectat de către fiecare responsabil şi în funcţie de domeniul respectiv. Acest aspect poate fi considerat atât o ameninţare la nivelul instituţiei, cât şi o oportunitate pentru construirea unui sistem de protecţie a organizaţiei, un pretext pentru reorganizarea acesteia.
Bibliografie
-
Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor RGPD 2018)
-
Dragoş Marian Radulescu, Daniela Iuliana Radu, Marius Eugen Radu (coord) – Implementarea şi impactul regulamentului UE privind protecţia datelor cu caracter personal (GDPR) în România, ed. DIO, Bucureşti, 2018
-
Andrei Savescu – Noutăţile din Codul Muncii 2018 – Top 13 cele mai controversate modificări ale legii, https://legislatiamuncii.manager.ro/a/25365/noutatile-din-codul-muncii-2018-top-13-cele-mai-controversate-modificari-ale-legii.html
-
Marius Eftimie, Adina Rus – Protecţia datelor cu caracter personal în relaţiile de muncă. În Irina Alexe, Nicolae-Dragoş Ploeşteanu, Daniel Mihai Şandru (coord.) – Protecţia datelor cu caracter personal, Ed. Universitară, Bucureşti, 2017
-
Ruxandra Pîrlan – GDPR: Protecţia datelor în relaţia angajat – angajator, http://hrmanageronline.ro/ gdpr-protectia-datelor-in-relatia-angajat-angajator
-
Irina Alexe, Nicolae-Dragoş Ploeşteanu, Daniel Mihai Şandru (coord.) – Protecţia datelor cu caracter personal, Ed. Universitară, Bucureşti, 2017
-
Eduard Popescu – Contabilii şi protecţia datelor personale: Tot ce trebuie să ştii despre cum îţi va influenţa GDPR activitatea în https://www.avocatnet.ro/articol_48218/Contabilii-%C8%99i-protec%C8%9Bia-datelor-personale-Tot-ce-trebuie-s%C4%83-%C8%99tii-despre-cum-i%C8%9Bi-va-influen%C8%9Ba-GDPR-activitatea.html
-
Legea contabilităţii 82/1991 republicată în Monitorul Oficial, Partea I nr. 454 din 18/06/2008
Academia de Studii Economice din Bucureşti
1 Dragoş Marian Radulescu, Daniela Iuliana Radu, Marius Eugen Radu (coord) – Implementarea şi impactul regulamentului UE privind protecţia datelor cu caracter personal (GDPR) în România, ed. DIO, Bucureşti, 2018, p. 18;
2 Idem, p. 19;
3 Idem, p. 19;
4 Idem, p. 20;
5 Andrei Savescu – Noutăţile din Codul Muncii 2018 – Top 13 cele mai controversate modificări ale legii, https://legislatiamuncii.manager.ro/a/25365/noutatile-din-codul-muncii-2018-top-13-cele-mai-controversate-modificari-ale-legii.html;
6 Marius Eftimie, Adina Rus – Protecţia datelor cu caracter personal în relaţiile de muncă. În Irina Alexe, Nicolae-Dragoş Ploeşteanu, Daniel Mihai Şandru (coord) – Protecţia datelor cu caracter personal, Ed. Universitară, Bucureşti, 2017, p. 228-235;
7 http://legislatiamuncii.manager.ro/a/18503/ce-trebuie-sa-stii-despre-clauza-de-confidentialitate-din-contractul-individual-de-munca-ce-este-contractul-de-confidentialitate.html;
8 http://legislatiamuncii.manager.ro/articole/resurse-umane-7/;
9 http://legislatiamuncii.manager.ro/articole/salarizare-18/;
10 Ruxandra Pîrlan – GDPR: Protecţia datelor în relaţia angajat / angajator, http://hrmanageronline.ro/gdpr-protectia-datelor-in-relatia-angajat-angajator/;
11 Idem;
12 Idem;
13 Idem;
14 Idem;
15 Idem;
16 Dragoş Marian Radulescu, Daniela Iuliana Radu, Marius Eugen Radu (coord) – Implementarea şi impactul regulamentului UE privind protecţia datelor cu caracter personal (GDPR) în România, ed. DIO, Bucureşti, 2018, p. 31;
17 Eduard Popescu – Contabilii şi protecţia datelor personale: Tot ce trebuie să ştii despre cum îţi va influenţa GDPR activitatea în https://www.avocatnet.ro/articol_48218/Contabilii-%C8%99i-protec%C8%9Bia-datelor-personale-Tot-ce-trebuie-s%C4%83-%C8%99tii-despre-cum-i%C8%9Bi-va-influen%C8%9Ba-GDPR-activitatea.html;
Coments