Legislație în domeniul securității informatice

Regulamentul UE privind protecția datelor

cu caracter personal (679/2016).
Principii de bază și direcții de aplicare

Masterat Securitatea Sistemelor Informatice si a Rețelelor Informaționale

Introducere

GDPR (General Data Protection Regulation) este un regulament UE (679/2016) care doreste
sa intareasca si sa unifice protectia datelor cu caracter personal ale persoanelor din UE si de
asemenea sa reglementeze exportul acestor date in afara UE. Regulamentul general privind
protecția datelor cu caracter personal (GDPR) a fost adoptat de Consiliul Uniunii Europene la
data de 14 Aprilie 2016 și va intra în vigoare la doi ani de la publicarea sa în monitorul oficial
al Uniunii Europene, adică pe 25 mai 2018. Fiind un regulament, și nu o directivă, toate statele
membre UE vor trebui să îl aplice conform acelorași norme de implementare. GDPR este una
din cele mai recente inițiative legislative a EU și înlocuiește directiva privind protecția datelor
din 1995. Dat fiind importanța acestui nou regulament, precum și iminenta sa implementare,
în acest referat voi analiza istoria acestei inițiative, precursorii săi, principiile de bază, precum
și dificultățile care pot surveni în aplicarea sa.

Istoric al principiilor de bază. Precursori ai GDPR

În anul 1980, OECD a creat o listă cu principii de bază care ar trebui urmate în protecția vieții
private. Această listă numită “Recomandări ale Consiliului privind normele de guvernare
pentru protecția vieții private și a transferului trans-frontalier de date personale” stipula că
firmele sunt obligate să anunțe oamenii când și dacă le erau colectate datele. Datele colectate
trebuiau să fie păstrate într-un mod sigur și să fie accesibile persoanelor de la care fuseseră
colectate, acestea având dreptul să corecteze eventualele erori (O'Brien, 2017).

Aceste recomandări OECD au stat la baza directivei 95/46/CE adoptate de Comisia Europeană,
directivă pe care acum GDPR o va înlocui. Directivele europene pot fi interpretate și aplicate
diferit în statele membre, ceea ce a dus la o aplicare fragmentată, rezultând în diferite nivele de
securitate pe teritoriul UE, conflicte între țările membre și o dificultate crescută pentru Curtea
Europeană de Justiție în arbitrarea acelor cazuri în care ambele state respectau principiile
directivei 96/46, dar în moduri care duceau la apariția de conflicte.

“Obiectivele și principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit

fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune,
insecuritatea juridică sau percepția publică larg răspândită conform căreia există riscuri
semnificative pentru protecția persoanelor fizice, în special în legătură cu activitatea
online“ (Regulamentul general privind protecția datelor, 2016)

Astfel, Parlamentul UE a decis să înlocuiască Directiva 95/46 printr-un Regulament care va

avea aplicare uniformă pe tot teritoriul UE, cu justificarea că, deși spațiul geografic al UE este
fragmentat, spațiul online este comun și trebuie legislat în mod uniform.

În afară de Directiva 95/46, mai exista câteva inițiative legislative care compun programul de
securitate cibernetică al UE:

1
  Strategia Europeană de Cibersecuritate (Cybersecurity Strategy of the European Union
An Open Safe and Secure Cyberspace 7.2.2013 JOIN(2013);
 Agenda Europeană privind securitatea (European Agenda on Security
(COM/2015/0185);
 Directiva privind e-privacy (2002/58/EC);
 Carta Fundamentală a drepturilor în UE (Charter of Fundamental Rights of the EU
(2000/C 364/01) (articolul 8).

La acestea se adaugă, începând cu 2018, și GDPR. Principalele obiective ale GDPR sunt
următoarele:

 Prevenirea atacurilor cibernetice și a impactului negativ al acestora asupra economiei

și drepturilor fundamentale;
 Să dezvolte resurse industriale și tehnologice pentru cibersecuritate;
 Să propună soluții pentru securitatea online și a rețelelor;
 Să adopte reguli speciale aplicabile serviciilor de comunicații electronice (Directiva
privind Securitatea Rețelelor și a Informației) (Tikhomirova, 2016, p.147)

Există două precedente juridice stabilite de Curtea Europeană de Justiție care au condus la
înlocuirea Directivei 95/46 prin GDPR. În cazul Weltimmo (cazul C-230/14), o societate
comercială bazată în Slovacia, opera un site de imobiliare în Ungaria. Publicarea unui anunț pe
site-ul Weltimmo era gratuită în prima lună, apoi se cerea o taxă. Câteva agenții au trimis
mailuri companiei slovace cerând să li se șteargă anunțurile precum și datele personale după
prima lună. Weltimmo le-a ignorat cererile și, atunci când agențiile nu și-au plătit taxele, au
trimis datele personale ale acestora către o firmă de colectare de datorii. Agențiile au depus o
plângere contra Weltimmo la o autoritate ungară de protecția datelor care a impus o amendă
de 10 milioane de forinți ungurești pentru că Weltimmo încălcase legislația ungurească de
protecția datelor. Agenția ungurească de protecția datelor și-a motivat decizia dat fiind că
subiecții datelor erau cetățeni și firme ungurești. Curtea supremă din Ungaria a trimis cazul la
Curtea Europeană de Justiție cu întrebarea dacă o autoritatea ungurească are dreptul să aplice
amenzi în cazurile când sunt implicați subiecți maghiari (Tikhomirova, 2016).

Curtea Europeană a decis pe 1 octombrie 2015 că o companie Europeană trebuie să respecte

legile locale de protecția datelor dacă are sedii în alte state membre decât țara unde are sediul
central. Această decizie are rol de precedent și s-a pus problema dacă această decizie nu va
îngreuna totuși activitatea companiilor multi-naționale care vor trebui să fie în complianță cu

2
legile locale de protecția datelor din toate țările unde au sedii. Astfel s-a ajuns la ideea de un
singur loc (one stop shop) unde se pot rezolva problemele de protecția datelor, ceea a stat la
baza unui principiu central al GDPR. Astfel, legislatorii au vrut să facă viața mai ușoară
companiilor care aveau sedii în mai multe state și trebuiau să aibă de a face cu mai multe
autorități legislative (EU GDPR Portal).

Al doilea caz s-a petrecut la numai 5 zile după decizia Weltimmo, când Curtea Europeană de
Justiție a declarat acordul cu SUA de safe-harbour pentru transferul de date ca fiind invalid.
Acordul acesta stătea la baza activității a peste 4500 de companii. Decizia curții a precizat că
acordul nu protejează și autoritățile publice americane și că, mai mult, aceste autorități au legi
care intră în conflict cu acordul și îl invalidează de cele mai multe ori. Ideea din spatele GDPR
a fost și să înlocuiască acest acord pentru a separa companiile private de autoritățile juridice
(EU GDPR Portal).

Cronologie a pașilor legislativi

 21 Octombrie 2013: Comitetul Parlamentului UE pentru Libertăți civile și politici

interne (LIBE) a votat această propunere
 15 Decembrie 2015: Parlamentul UE, Consiliul Europei și Comisia Europeană au
încheiat negocierile și au căzut de acord privind termenii propunerii
 17 Decembrie 2015: Comitetul LIBE a votat în favoarea termenilor obținuți prin
negocierea anterioară
 8 Aprilie 2016: Regulamentul este adoptat de Consiliul Uniunii Europene cu un singur
vot împotrivă, cel al Austriei, care argumentase că directiva din 1995 avea unele aspecte
mai puternice decât actualul regulament.
 14 Aprilie 2016: parlamentul UE adoptă regulamentul
 4 Mai 2016, regulamentul este publicat în Monitorul Oficial al UE.
 24 Mai 2016, regulamentul intră în vigoare. Normele sale vor fi direct aplicabile în
toate statele membre la doi ani după data publicării
 25 Mai 2018, toate statele membre vor începe să aplice regulamentul (cf. (Wikipedia)

3
Figură 1 Cronologia adoptării GDPR. Sursă (O'Brien, 2017)

Termeni cheie

Datele cu caracter personal fuseseră definite în mod larg ca fiind “orice informație legată de
un individ, fie ca este legată de viața sa personală, profesională sau publică. Poate fi orice de
la nume, poză, adresă de email, detalii bancare, postări pe rețele sociale, informații medicale,
adresa IP” (European Commission, 2012). GDPR aduce o definiție mai clară a acestui concept
ca fiind:

“orice informații privind o persoană fizică identificată sau identificabilă („persoana

vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct
sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un
număr de identificare, date de localizare, un identificator online, sau la unul sau mai
multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice,
economice, culturale sau sociale” (Regulamentul general privind protecția datelor, 2016)

EU stipulează în Declarația Drepturilor Fundamentale că orice persoană are dreptul la protecția

datelor personale în toate aspectele vieții sale : acasă, la lucru, la cumpărături, la doctor, sau pe
internet (European Commission, 2012).

Prin prelucrarea datelor cu caracter personal se înțelege

4
 “orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau
asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace
automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin
transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau
combinarea, restricționarea, ștergerea sau distrugerea” (Regulamentul general privind
protecția datelor, 2016)

Pseudonimizarea se definește ca

“prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai
poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu
condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor
măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date
cu caracter personal unei persoane fizice identificate sau identificabile” (Regulamentul
general privind protecția datelor, 2016)

Prevederi majore ale GDPR

Domeniul de aplicare
GDPR se aplică în oricare din cazurile în care organismul care colectează datele personale, sau
organismul care procesează datele, sau cetățeanul ale cărui date sunt prelucrate, se află pe
teritoriul UE. Astfel, un cetățean UE care se află în afara spațiului European când îi sunt
procesate datele nu va fi protejat de GDPR. Un cetățean al unui stat non-membru UE este
protejat de GDPR atâta timp cât datele sale au fost colectate când se afla pe teritoriul UE.
Companiile non-Europene vor trebui să se supună GDPR dacă prelucrează sau colectează
datele persoanelor aflate pe teritoriul UE. GDPR nu se aplică datelor colectate de poliție sau
de serviciile judiciare: pentru acestea există o directivă separată care a fost dată în același
pachet de legi cu GDPR. GDPR de asemenea nu se aplică transferului de date între persoane
fizice, doar între companii și persoane sau între companii diferite.

5
Temeiuri legale de procesare a datelor
Datele nu pot fi procesate de o companie decât în baza unui temei legal. Acest temei legal se
obține doar în următoarele cazuri:

 Subiectul datelor și-a dat acordul ca aceste date să fie procesate în vederea unuia
sau mai multor scopuri
 Procesarea este necesară pentru a îndeplini prevederile unui contract între
subiect și companie, sau pentru a întemeia contractul
 Prelucrarea este necesară pentru a îndeplini o obligație legală aparținând
companiei
 Prelucrarea este necesară pentru a proteja interesele vitale ale subiectului sau
ale altei persoane private
 Prelucrarea este necesară pentru a îndeplini o sarcină de interes public sau cerută
de o autoritate publică
 Prelucrarea este necesară pentru urmărirea intereselor legitime ale companiei,
cu excepția cazurilor când aceste interese sunt depășite de interesele, drepturile și
libertățile fundamentale ale subiectului. (Regulamentul general privind protecția
datelor, 2016)

Consimțământul explicit
Compania care controlează datele trebuie să obțină consimțământul explicit al subiectului
datelor, iar acest consimțământ trebuie să poată fi dovedit oricând la cerere. Mai mult, subiectul
își poate retrage consimțământul oricând. Pentru minori, consimțământul este acordat de
tutorele legal. Consimțământul este definit ca "orice manifestare de voință liberă, specifică,
informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o
declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie
prelucrate" (Regulamentul general privind protecția datelor, 2016). În cazul formularelor
online, consimțământul explicit se recomandă a fi obținut prin formulare de tip opt-in, în care
utilizatorul trebuie să bifeze singur că acceptă să îi fie prelucrate și colectate datele.

“Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea
consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului
înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată

6
 este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de
simplu ca acordarea acestuia.” (Regulamentul general privind protecția datelor, 2016)

Dreptul de acces la date

Utilizatorul ale cărui date sunt prelucrate are dreptul oricând să aibă acces la datele sale și să
ceară informații cu privire la motivele prelucrării acestora. Drepturile sale includ accesul la
următoarele informații:

“(a) scopurile prelucrării;

(b) categoriile de date cu caracter personal vizate;

(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost
sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații
internaționale;

(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele
cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili
această perioadă;

(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu

caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la
persoana vizată sau a dreptului de a se opune prelucrării;

(f) dreptul de a depune o plângere în fața unei autorități de supraveghere;

(g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată,
orice informații disponibile privind sursa acestora;

(h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat
la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații
pertinente privind logica utilizată și privind importanța și consecințele preconizate ale
unei astfel de prelucrări pentru persoana vizată.” (Regulamentul general privind protecția
datelor, 2016)

7
Dreptul de a fi șters
Utilizatorul ale cărui date sunt procesate are dreptul să ceară oricând ca datele sale să fie șterse,
de obicei invocând articolul 16 care stipulează că drepturile și libertățile fundamentale ale
persoanei cu privire la viața privată au mai multă importanță decât interesele comerciale ale
firmei. Motivele de ștergere invocate pot fi următoarele:

“(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor
pentru care au fost colectate sau prelucrate;

(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în
conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a),
și nu există niciun alt temei juridic pentru prelucrarea;

(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există
motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se
opune prelucrării în temeiul articolului 21 alineatul (2);

(d) datele cu caracter personal au fost prelucrate ilegal;

(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care
revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența
căruia se află operatorul;

(f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale
societății informaționale menționate la articolul 8 alineatul (1).” (Regulamentul general
privind protecția datelor, 2016)

Dreptul de portare a datelor

Oricine are dreptul să își transfere datele de la un procesator de date la altul fără a fi împiedicat
de companie în acest proces. Pentru a facilita transferul de date, compania trebuie să ofere
datele într-un format electronic deschis și standard. Dacă datele au fost anonimizate, atunci
acest drept nu mai există.

“Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe
care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care
poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole

8
 din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în
care:

(a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera

(a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6
alineatul (1) litera (b); și (b) prelucrarea este efectuată prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1),

persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un
operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.”
(Regulamentul general privind protecția datelor, 2016)

Designul sistemului de date

Articolul 25 stipulează că protecția datelor trebuie gândită din faza de design al fluxului
companiei, la un loc cu prelucrarea de procese, produse și servicii. Specialiștii au numit această
prevedere privacy by design. Pe tot procesul prelucrării datelor trebuie avut grija ca datele să
nu fie compromise, de aceea ofițerul de protecția datelor trebuie să studieze toate ciclurile de
culegere și procesare a datelor.
De asemenea, compania nu trebuie să culeagă și să proceseze mai multe date decât are nevoie
pentru scopul său anume. Acest scop trebuie să fie făcut cunoscut utilizatorului. Recomandările
ENISA (Agenția Europeană pentru Securitatea rețelelor și a Informației) sunt de a cripta și
decripta datele doar local, deoarece atunci ambele chei rămân la dispoziția utilizatorului.
Folosirea găzduirii de tip cloud este relativ sigură dar numai cu condiția ca utilizatorul să
păstreze cheile de decriptare (ENISA, 2014).
Compania este obligată să păstreze o arhivă cu toate operațiunile de procesare a datelor,
inclusiv scopurile procesării, categoriile de date și intervalele de timp estimate. La cererea
autorităților, aceste arhive trebuie puse la dispoziție oricând.

Ofițerul de protecția datelor

Un ofițer de protecția datelor este un expert în legislația și practicile privind protecția datelor,
și rolul său este să asiste compania în monitorizarea sistematică și periodică a mecanismelor
de protecția datelor. Instituțiile publice precum și companiile unde monitorizarea trebuie făcută

9
frecvent vor trebui să angajeze câte un ofițer de protecția datelor dedicat. Rolul de ofițer de
protecția datelor nu cere doar cunoștințe legislative temeinice, ci și o pregătire tehnică.

Pseudonimizarea datelor
Pseudonimizarea este procesul de prelucrare a datelor prin care datele sunt transformate astfel
încât datele să nu poată fi atribuite unui subiect fără accesul la informații suplimentare. Un
exemplu de pseudonimizare este criptarea datelor. În cazul datelor criptate, GDPR prevede ca
cheia de criptare să fie stocată în altă parte decât datele criptate. De asemenea, datele criptate
se consideră tot date cu caracter personal și sunt în continuare sub protecția GDPR.

Notificarea compromiterii sistemului

Dacă sistemul care conținea datele a fost spart, compania este obligată să notifice autoritatea
de supervizare în termen de 72 de ore de la luarea la cunoștință. De asemenea, și utilizatorii ale
căror date au fost compromise trebuie notificați, cu excepția cazului când datele furate erau
criptate și compania are bune motive să creadă că aceste date nu pot fi decriptate.

Norme de aplicare
Fiecare stat membru va trebui să înființeze o autoritate de supervizare care va arbitra și
investiga plângerile, și va administra sancțiunile.

Companiile vor trebui să implementeze principii de protecția datelor la nivel de design (privacy
by design) , de exemplu prin pseudonimizarea automată a datelor. Companiile vor trebui să își
evalueze sistemele de prelucrare a datelor și să aducă modificări acolo unde este cazul.
Companiile vor trebui să angajeze sau să apeleze la serviciile de consultanță ale unor ofițeri de
protecția datelor sau ofițeri de complianță care vor evalua sistemul periodic (Wikipedia).

Sancțiuni

Există o clasă largă de sancțiuni ce pot fi impuse. De la un avertisment în scris la prima abatere
neintenționată, la obligativitatea de a face audituri de protecția datelor periodice. Apoi se poate
trece la amenzi de până la 10 milioane de Euro sau până la 2% din profitul anual global al
companiei, care este mai mare. Această amendă se poate aplica dacă a existat o încălcare a

10
anumitor articole din regulament (8, 11, 25-39, 42, 43, 41). Pentru încălcările altor prevederi
(articolele 5, 6, 7, 9, 12 -22, 44-49, 58) amenda poate ajunge până la 20 de milioane de Euro
sau 4% din profitul global al companiei.

Receptare în societatea civilă

Mai mulți specialiști în securitate, membri ai societății civile, precum și oameni de afaceri și-
au exprimat opiniile cu privire la GDPR. Astfel, Philippe de Backer, secretarul belgian de stat
al Consiliului privind frauda socială, viață privată și Marea de Nord, a caracterizat GDPR ca
fiind “o autoritate de protecție a datelor mult mai modernă, mai la zi, mai puternică, mai clară
și mai transparentă”. El a apreciat mai ales mecanismul de sancțiuni care este “mult mai
restrictiv” și, în același timp, existența unor măsuri mai detaliate de prevenție a scurgerilor de
date (Raywood, 2017).

Într-adevăr, GDPR este mult mai restrictiv în sensul că amenzile pentru încălcarea prevederilor
pot ajunge până la 20 de milioane de euro sau 4% din profitul anual al companiei. Erik
Luysterborg, expert în securitate la Deloitte, a declarat cu aceeași ocazie că aceste cerințe
restrictive vor “forța companiile să respecte cerințele de securitate“ precum și că această
aliniere la norme nu va putea fi formală, companiile chiar vor trebui să implementeze efectiv
toți pașii. Alinierea la GDPR va forța firmele să își revizuiască politicile de managementul
datelor, ceea ce va duce la un management mai efectiv al datelor și la un mediu mai stabil
pentru monitorizările de date (Raywood, 2017).

Probleme posibile legate de implementarea în practică a regulamentului:

Când GDPR era încă în stagiul de propunere, s-au iscat multe discuții și s-au propus numeroase
amendamente. Deși scopul acestui regulament era eficientizarea costurilor – din partea
administrației cel puțin – studii de fezabilitate au arătat că, cel puțin la început, costurile vor
crește – pentru companii. Un sondaj făcut de TrustArc a arătat că se estimează costuri în jur de
100.000$ din partea companiilor pentru alinierea la standardele GDPR (TrustArc, 2017). În
afară de problema costurilor, există îngrijorări privind povara birocratică și administrativă pe
care statele membre vor trebui să o suporte, înființând noi agenții. Dat fiind că activitățile
Agenției de Protecția Datelor se vor desfășura probabil în limba locală, companiile

11
internaționale vor prefera să discute cu agențiile din Irlanda și UK care vor folosi limba engleză,
ceea ce va duce la o suprasolicitare a acestor agenții.

Problemele practice care vor apărea la implementarea GDPR nu se cunosc încă, dar se pot
estima câteva arii de dificultăți. Astfel, la nivelul companiilor private, practicile existente vor
trebui schimbate rapid în condițiile în care multe companii nu aveau politici de securitate a
datelor. De la zero măsuri se trece la un cadru foarte strict. Lipsa experților în date cu caracter
personal se va face resimțită rapid. Sistemele de educație în privința protecției datelor și a
legislației privind dreptul la viață privată vor trebui să se adapteze rapid și să incorporeze noile
cerințe. Deși nu avem de a face cu o directivă, pot apărea diferențe de interpretare a
regulamentului, mai ales în normele practice de aplicare, și aceste diferențe vor trebui rezolvate
de comun acord la nivelul Comisiei Europene și al agențiilor de protecția datelor într-un mod
eficient. De asemenea, politicile de comerț internațional ale EU nu au fost încă aliniate la
GDPR (Wikipedia).

Ca orice lege care protejează cetățenii, recursul la aceasta presupune apelul la autoritățile
competente. Dreptul de a fi șters din bazele de date va fi probabil cel mai controversat în
practica juridică. Se estimează că exercitarea acestui drept de către persoanele fizice va fi
întâmpinată de destule obstacole. Astfel, pentru a cere ștergerea datelor personale, subiectul
trebuie să justifice de ce anume, în acea situație particulară, are nevoie să i se șteargă datele –
cu excepția în care procesarea se face pentru scopuri de marketing, atunci nu mai este nevoie
de motive (Ausloos, 2017). Problema este că listarea de motive nu duce automat la ștergerea
datelor, deoarece procesatorul de date are dreptul să se justifice și să refuze cererea dacă poate
demonstra motive suficiente pentru care procesarea trebuie să aibă loc. Aceasta este una din
schimbările majore față de directiva 95/46 unde pragul pentru obiecții individuale era mai
ridicat, subiectul datelor trebuia să prezinte motive temeinice pentru obiecția sa, dar acum
motivele pot fi și personale, doar că și procesatorul de date are dreptul să ridice obiecții
(Ausloos, 2017).

Din punct de vedere practic, exercitarea dreptului de a obiecta se va lovi de niște dificultăți.
Dat fiind că procesatorul poate refuza ștergerea dacă invocă interesele proprii ca fiind mai
importante decât interesele subiectului datelor. Se presupune că procesatorii de date se vor
folosi de această prevedere formulând motivele procesării de date în termeni cât mai vagi
pentru a permite interpretarea scopurilor cât mai largă. Astfel, până la urmă decizia dacă

12
drepturile procesatorului sunt mai importante decât ale subiectului va reveni unui arbitru care
va porni, cel mai probabil, de la termenii deja stabiliți de procesator. În practică, este probabil
că cererea de ștergere a datelor nu se va rezolva amiabil, ci va escala la o autoritate competentă
în cele mai multe cazuri (Ausloos, 2017).

O altă problemă privește drepturile companiilor de găzduire web de tip cloud. Dacă un
procesator de date găzduiește datele într-un serviciu de tip cloud al altei companii, se consideră
compania de găzduire ca fiind procesator de date personale? GDPR pare să spună că nu, dat
fiind că datele criptate nu sunt considerate date personale decât pentru cel care are cheia de
decriptare. Astfel, ar urma că datele sunt personale pentru procesatorul care le-a criptat, dar nu
și pentru gazda web care nu le poate citi. Totuși, problema este mai complicată. Pe de o parte,
se știe că nu există criptare perfectă și, astfel, în cazurile de hacking, providerul de găzduire
poate fi învinuit că a permis accesul la date personale deși el nu știa că găzduiește date
personale. Mai mult, rolul providerului de găzduire este ambiguu, dat fiind că există un contract
între compania de găzduire și compania de prelucrare și colectare a datelor. Dacă în contract
se stipulează că se vor găzdui date personale, atunci providerul de găzduire devine procesator
de date personale fără voia sa și trebuie să implementeze prevederile GDPR (Vogiatzoglou,
2017).

Concluzii
GDPR este un mare pas înainte în legislarea protecției datelor cu caracter personal. Prin
înlocuirea Directivei 95/46, s-a asigurat un cadrul legislativ uniform pe tot teritoriul UE care
va fi mai puțin vulnerabil la interpretările statelor membre. Această uniformizare are însă și
niște costuri pentru statele membre, cum ar fi stabilirea a noi organisme de control- Agenții
de protecția datelor – precum și pentru companiile mari care vor trebui să angajeze personal
specializat în legislația datelor. GDPR aduce niște beneficii clare prin faptul că subliniază
importanța păstrării unui acces limitat la datele personale, precum și importanța datelor
personale în păstrarea integrității personale și a libertăților fundamentale. Datele cu caracter
personal, deși au un potențial economic fabulos, pot fi exploatate prea ușor și de aceea UE
dorește să prevină eventualele abuzuri prin stabilirea unui cadru legislativ cam restrictiv.
Mulți procesatori de date vor fi nevoiți să își revizuiască politicile de colectare a
consimțământului și, astfel, utilizatorii vor avea mai mult control asupra datelor lor personale.
În același timp, GDPR birocratizează procedurile și introduce un nivel suplimentar de

13
administrație ceea ce va duce la dificultăți pentru utilizatorii de rând în a obține accesul la
propriile date. În mai 2018 GDPR va fi implementat de toate statele membre UE. Rămâne de
văzut dacă GDPR va fi un ajutor în protecția cetățenilor sau o barieră pentru mediul de
afaceri.

Referințe
Ausloos, J. (2017). The Interaction between the Rights to Object and to Erasure in the GDPR.
Retrieved from https://www.law.kuleuven.be/citip/blog/gdpr-update-the-interaction-between-
the-right-to-object-and-the-right-to-erasure/
Regulamentul general privind protecția datelor Official Journal of the European Union, Consiliul
Uniunii Europene 2016.
ENISA. (2014). Privacy and Data Protection by Design. Retrieved from
https://www.enisa.europa.eu/publications/privacy-and-data-protection-by-design
EU GDPR Portal. An overview of important regulatory events leading up to the GDPR. Retrieved from
https://www.eugdpr.org/how-did-we-get-here-.html
European Commission. (2012). Commission proposes a comprehensive reform of data protection
rules to increase users' control of their data and to cut costs for businesses. Brussels. Retrieved
from http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en
O'Brien, M. (2017). From 1980 through next May: The evolution of GDPR. Retrieved from
https://www.clickz.com/1980-next-may-evolution-gdpr/203155/
Raywood, D. (2017). Views on GDPR From Within Europe. Infosecurity group. Retrieved from
https://www.infosecurity-magazine.com/news-features/views-gdpr-within-europe/
Tikhomirova, A. (2016). REINFORCING TRUST AND SECURITY IN DIGITAL SERVICES AND IN THE
HANDLING OF PERSONAL DATA. InterEULawEast-Journal for International and European Law,
Economics and Market Integrations, 3(1), 145-153.
TrustArc. (2017). Privacy and the EU GDPR: 2017 Survey of Privacy Professionals. Retrieved from
https://download.trustarc.com/dload.php/?f=JT190EEP-669
Vogiatzoglou, P. (2017). Privacy enhancing techniques and the GDPR in a cloud computing
environment. Retrieved from https://www.law.kuleuven.be/citip/blog/privacy-enhancing-
techniques-and-the-gdpr-in-a-cloud-computing-environment/
Wikipedia. General Data Protection Regulation. Retrieved from
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

14