Actualizat în 7 Apr, 2021.

Ce înseamna produs refurbished?

Prin produse refurbished sau recondiționate, ne referim la laptopuri, calculatoare sau alte produse similare, care în esență sunt produse second hand curățate, verificate, actualizate daca este cazul și pot avea componente schimbate de cate distribuitor înainte de a fi revândute. Un laptop refurbished are de obicei un grad de uzură foarte mic, de cele mai multe ori insesizabil, având un aspect vizual plăcut.

Diferența dintre un laptop recondiționat (refurbished) și unul second hand

Diferența majoră dintre un laptop recondiționat și unul hecond hand este că cel din urmă poate prezenta semne de uzură de natură estetică, cum ar fi zgarieturi pe carcasă sau alte defecte optice.

O altă diferentă este referitoare la garanție. În cazul în care achiziționați un laptop refurbished, acesta va fi însoțit de garanție, astfel că nu vă veți face griji de funcționalitatea acestuia și veți sta liniștiți în cazul în care apar anumite probleme. Acest lucru nu este obligatoriu și în cazul produselor second hand.

Ce daune financiare si de imagine, poate aduce un laptop refurbished (recondiționat), daca nu este livrat in condiții optime

În decizia sa din 5 octombrie 2020, Judecătoria locală din Hildesheim (numărul de dosar 43 C 145/19) a decis că revânzarea unui laptop returnat și accesibilitatea datelor de pe computer către terți constituie o încălcare a protecției datelor personale .

Reclamantul a cumpărat un computer de la pârât. Deoarece nu a mai putut fi pornit după scurt timp, el l-a returnat. Potrivit companiei, laptopul returnat a trecut prin mai multe procese de recondiționare, dar unul dintre cele două hard disk-uri existente a fost trecut cu vederea și, prin urmare, nu a fost recondiționat. Ulterior, laptopul refurbished (recondiționat) a fost revândut unui terț care a găsit datele reclamantului pe respectivul hard disk și l-a contactat pe reclamant.

Cerere de despagubire în temeiul art. 82 alin. 1 GDPR

Instanța examinează o cerere a reclamantului împotriva pârâtului pentru plata despăgubirilor în temeiul art. 82 alin. 1 GDPR [„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”] în valoare de 800 EUR ca fiind suficient, dar și adecvat, pentru a compensa daunele nemateriale ale reclamantului.

În evaluarea cererii de despăgubire, instanța a considerat relevant că, deși pe laptopul refurbished exista o cantitate mare de date, doar o singură persoană avea acces la date și doar o mică parte a datelor a fost văzută de acea persoană. Cu toate acestea, incidentul s-a datorat neglijenței, deoarece, în principiu, operatorul a creat suficiente metode de implementare a standardelor de protecție a datelor și nu s-au cunoscut alte incidente.

Instanța a explicat încălcarea GDPR după cum urmează: „ Pârâtul a încălcat GDPR în acest caz, deoarece a vândut PC-ul  fără consimțământul reclamantului / al persoanei vizate și astfel datele din laptop au fost accesibile unei terțe părți. Aceasta constituie o prelucrare nelegitimă a datelor în sensul art. 6 alin. 1 teza 1 a) GDPR . [„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții: (a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;”]

În opinia Curții, pârâtul era operator de date cu caracter personal și era obligat să șteargă datele de pe un laptop refurbished: „După ce reclamantul a returnat computerul în cauză, pârâtul l-a primit în conformitate cu scopul intenționat și l-a trimis pentru procedura internă de ștergere a datele. În acest timp, datele rămase de pe computer au fost doar partial șterse. ” (alin. 29) [„Persoana împuternicită de operator și orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care dreptul Uniunii sau dreptul intern îl obligă să facă acest lucru.”]

În plus, pârâtul nu s-a putut absolvi de obligația sa de a asigura prelucrarea legală a datelor în temeiul GDPR făcând trimiteri generale la faptul că, la returnarea dispozitivelor, ștergerea datelor confidențiale și personale stocate era obligația cumpărătorului. “În cazul de față, schimbarea responsabilității pentru manipularea datelor ar însemna o excludere generală a răspunderii. Cu toate acestea, o excludere preventivă a răspunderii contravine scopului protector al GDPR.” (alin. 30).

Concluzii

În rândurile de mai sus am putut vedea cum anumite erori de procedură pot atrage răspunderea operatorului. Astfel, în acest caz, deși operatorul implementase măsuri tehnice și organizatorice pentru protecția datelor cu caracter personal a persoanelor vizate (adică ștergerea de pe hard diskuri a tuturor datelor, atunci când PC-ul era primit), măsurile nu erau suficient de adecvate, existând scăpări. Scăparea care a atras amenda, în acest caz a fost faptul că procedurile interne nu prevedeau situația verificării tuturor hard diskurilor (două sau mai multe prezente pe același laptop). Astfel, divulgarea de date în acest fel a fost găsită ca fiind în sarcina operatorului care era obligat, în baza principiului responsabilității să ia toate măsurile necesare pentru protejarea datelor cu caracter personal.

Dacă dorești să te ajutăm să îți conformezi politicile și procedurile pentru a evita astfel de sancțiuni, îți stăm la dispoziție la adresa contact@gdprcomplet.ro, prin unul din serviciile GDPR pe care le oferim.

Ai întrebări despre GDPR? Caută-le răspuns în Comunitatea DPO, sau pune o întrebare si un expert GDPR îti va răspunde.