GDPR (General Data Protection Regulation) reprezintă regulamentul general al Uniunii Europene nr. 679/2016 privind protecția datelor cu caracter personal și este un instrument juridic prin care sunt apărate valori fundamentale precum intimitatea și viața privată și de familie ale persoanei fizice. Astfel, articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (,,carta’’) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.
Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate pot duce la identificarea unei anumite persoane, constituie și ele date cu caracter personal. Cu titlu de exemplu, includem în noțiunea de date cu caracter personal informații precum nume, prenume, adresa de domiciliu/reședință, CNP, locul de muncă, semnătura, amprenta, imaginea etc.
Ca natură juridică, regulamentul este un act legislativ cu caracter obligatoriu și trebuie să fie aplicat în integralitatea sa în toate statele membre.
Scopul implementării este acela de a asigura un nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și de a preîntâmpina discrepanțele care împiedică libera circulație a datelor în cadrul pieței interne. De asemenea, regulamentul furnizează securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderi și întreprinderi mici și mijlocii și oferă persoanelor fizice (iar nu juridice), în toate statele membre, același nivel de drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se realiza o monitorizare coerentă a prelucrării datelor cu caracter personal.
Regulamentul prevede sancțiuni echivalente în toate statele membre, ce pot consta în amenzi contravenționale de până la 2% sau chiar 4%, în funcție de tipul de dispoziție încălcată, din cifra de afaceri mondială totală anuală corespunzătoare exercițiului finaciar anterior în cazul întreprinderilor. La nivelul statelor, se mai pot stabili norme privind și alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83 din regulament. Aceste sancțiuni trebuie să fie eficace, proporțioanle și disuasive.
O sancțiune record s-a înregistrat în 2019 în valoare de 204.6 milioane de euro și a fost aplicată companiei British Airways pentru o breșă de securitate care a afectat aproximativ 500.000 de persoane. Clienții companiei au fost direcționați spre un site fraudulos, prin intermediul căruia datele personale ale utilizatorilor au ajuns în mâinile infractorilor cibernetici.
De asemenea, o sancțiune impresionantă, în valoare de 110 milioane de euro a fost aplicată companiei Marriott International pentru o breșă de securitate ce a generat expunerea datelor a 339 de milioane de clienți Marriott din întreaga lume.
O altă amendă de 50 de milioane de euro a fost dispusă de Commision Nationale de L’ informatique et des Libertes (CNIL) împotriva Google care a procesat date pentru reclame online personalizate în lipsa unei baze legale.
În România cea mai mare amendă de până acum a fost aplicată Raiffesen Bank, în valoare de 150.000 de euro pentru motivul conform căruia doi angajați ai băncii ar fi utilizat date transmise de către personalul Vreau Credit prin intermediul aplicației mobile WhatsApp la simulări de prescoring.
Pentru respectarea exigențelor regulamentului, la nivel național funcționează Autoritatea Națională de Prelucrare a Datelor cu Caracter Personal (ANPDCP) care cooperează cu Comitetul European pentru protecția datelor și cu celălalte autorități în domeniu din Uniunea Europeană. Aceasta este o intituție autonomă, așadar independentă față de orice altă autoritate a administrației publice, ca și față de orice persoană fizică sau juridică din domeniul privat și este abilitată să solicite operatorilor informații, documente sau înregistrari referitoare la prelucrările de date cu caracter personal efectuate.
Legalitatea prelucrării datelor cu caracter personal este dată de existența a cel puțin unuia dintre temeiurile de mai jos:
- consimțământul persoanei vizate dat în mod valabil. Acesta se poate retrage în orice moment de către persoana vizată și nu va afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia, iar persoana vizată este informată cu privire la dreptul său,
- contractul – ceea ce înseamnă că există un contract sau urmează să se încheie un contract,
- obligația legală,
- interesul vital – cand se protejează viața sau sănătatea persoanei,
- interesul public,
- interesul legitim al persoanei care prelucrează datele atât timp cât nu intră în conflict cu interesul persoanei fizice (spre exemplu supravegherea CCTV, monitorizarea locației prin miloace GPS etc). Acestea sunt situațiile în care nu se poate sau nu se dorește obținerea consimțământului și nu există alt temei. Totuși, este obligatoriu ca Organizatția să documenteze în înscris că interesul ei primează asupra drepturilor și intereselor persoanei vizate.
Este important de știut că persoanele fizice se pot adresa operatorului responsabil cu protecția datelor în vederea obținerii informațiilor cu privire la datele lor personale. Acest drept se poate realiza prin transmiterea unei cereri scrise, datate și semnate către operator, care are obligația de a răspunde în termen de cel mult o lună. În caz de nerespectare a acestui drept, persoana vizată se poate adresa cu plângere la Autoritatea națională de supraveghere. În acest demers, trebuie avute în vedere prevederile Deciziei nr. 133/2018 a președintelui Autorității de supraveghere privind aprobarea procedurii de primire și soluționare a plângerilor.
ALTE DREPTURI RECUNOSCUTE PERSOANEI VIZATE, PE LÂNGĂ CEL DE ACCES TRATAT MAI SUS, SUNT:
- dreptul la rectificarea unor date cu caracter personal inexacte care o privesc,
- dreptul la ștergerea datelor (,,dreptul de a fi uitat’’). Se poate exercita acest drept, spre exemplu, atunci când datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate,
- dreptul la restricționarea prelucrării. Persoana vizată se poate prevala de acest drept dacă prelucrarea este ilegală, iar aceasta se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor,
- dreprtul la portabilitatea datelor. Persoana vizată are dreptul de ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic,
- dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
CÂT TIMP SE POT STOCA DATELE CU CARACTER PERSONAL?
Potrivit Regulamentului general privind protecția datelor, datele se păstrează într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate. Datele pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu instituirea unor garanții.
Când nu se aplică Regulamentul (UE) 2016/679?
Acest Regulament nu se aplică prelucrării datelor cu caracter personal :
- în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
- de către statele membre atunci când desfășoară activități legate de politica externă și de securitatea comună a Uniunii;
- de către o personă fizică în cadrul unei activități exclusiv personale sau domestice;
- de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, al executării sanțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
Pentru situațiile care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor fizice cum ar fi evaluările sistematice și cuprinzătoare a aspectelor personale, care se bazează pe prelucrare automată, cazul prelucrării pe scară largă a unor categorii speciale de date ori al unei monitorizări sistematice pe scară largă a unei zone accesibile publicului, Regulamentul prevede obligativitatea efectuării unei evaluări de impact asupra protecției datelor. Acesta se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării.
SITUAȚII FRECVENTE DE ÎNCĂLCARE A GDPR:
Poate vi s-a întâmplat, la un moment dat, să vi se solicite o copie a actului de identitate de către asociația de proprietari. Ei bine, în urma unor controale desfășurate de către Autoritatea de protecție a Datelor (ANSPDCP) s-a constat că acastă practică este contrară Regulamentului general UE de protecție a datelor care impune respectarea unor serii de principii directoare în activitatea de prelucrare a datelor personale.
- Datele să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată;
- Datele prelucrate să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate ( reducerea la minimum a datelor).
Cele două principii sunt obligatorii și pentru activitatea desfășurată de asociațiile de proprietari, astfel încât poate fi considerat excesiv solicitarea, celor ce locuiesc în bloc, anumitor copii după documente și diverse informații ( privind profesia, ca exemplu).
A efectua copii după actul de identitate înseamnă a prelucra datele din acel document și ar putea conduce la obligativitatea, în unele cazuri, de a numi un responsabil cu protecția datelor (ceea ce nu se întâmplă în cadrul acestor asociații de proprietari).
O altă încălcare a Regulamentului general pentru protecția datelor (GDPR) este des întâlnită în cazul trimiterii de e-mail-uri nesolicitate (spam) fără consimțământul prealabil și valid al persoanei vizate. Această operațiune presupune o prelucrare de date personale și trebuie să corespundă textelor legale din Regulament. Astfel, actul normativ oferă posibilitatea persoanei vizate să se opună prelucrării de date ce îi aparțin, în temeiul articolului 21 (,, dreptul la opoziție’’). Manifestarea de voință în sensul negativ al prelucrării de date personale îl obligă pe operator să nu le mai prelucreze cu excepția cazului în care demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.
Autoritatea națională de supraveghere a prelucrării datelor aplică, de asemenea, amenzi companiilor pentru falptul că trimit newsletters persoanelor care s-au dezabonat de la această opțiune. Regulamentul prevede expres că persoana vizată are dreptul de a se opune prelucrărilor de date cu caracter personal atunci când datele sunt prelucrate în scop de marketing direct, iar nerespectarea acestei dorințe plasează operațiunea în sfera ilegalității.
Folosirea camerelor de supraveghere a făcut obiectul multor litigii începând cu intrarea în vigoare a Regulamentului UE privind protecția datelor. S-a pus întrebarea legitimă dacă această activitate cade sub incidența prevederilor Regulamentului UE. Pentru a putea verifica acest aspect, trebuie stabilit în concret dacă, prin captarea de imagini cu persoane, se realizează o prelucrare a datelor persoanale. Răspunsul este afirmativ întrucât aceste înregistrări video ale camerelor de supraveghere pot duce la identificarea de persoane și pot furniza informații despre identitatea ei, dar și despre locul în care se află și activitatea pe care o întreprinde. În consecință, este obligatorie semnalarea prezenței camerelor de supraveghere atât în spațiile publice cât și în cele private. O precizare se impune în legătură cu spațiile publice – ca bună practica, camerele video ar trebui să fie amplasate de firmele licențiate de Poliția Română. În ceea ce privește spațiile unde supravegherea video ar putea antenta la intimitatea unei persoane, cum sunt cabinele de probă, vestiarele, toaletele și altele similare, aceasta este interzisă.
În final, este de subliniat faptul că amenzile nu se aplică doar pentru breșe sau incidente de securitate în sine, cât și pentru lipsa unor proceduri menite să asigure conformarea operațiunilor de prelucrare a datelor cu Regulamentul. Este important pentru persoanele vizate să dețină informații legate de drepturile pe care le au în acest domeniu precum și despre remediile juridice de care dispun în eventualitatea încălcării lor. Recomanabil ar fi ca operatorii să depună toate diligențele în materie de informare a persoanelor vizate asupra proceselor de prelucrări de date.
Autor: Denisa Damian
