Documente Academic
Documente Profesional
Documente Cultură
GDPR (General Data Protection Regulation) este un regulament UE care are ca scop
întărirea protecțieidatelor cu caracter personal al persoanelor membre UE și, de asemenea,
reglementarea exportului acestor date în afara UE. Regulamentul general privind protecția datelor cu
caracter personal a fost adoptat de Consiliul Uniunii Europene la data de 14 aprilie 2016 și a intrat
învigoare la doi ani de la publicarea sa în monitorul official al Uniunii Europene, pe 25 mai 2018. Datorită
statutului său de regulament, și nu de directivă, toate statele membre trebuie să îl aplice conform
acelorași norme de implementare. GDPR este una dintre cele mai recente initiative legislative a EU
și înlocuiește directiva privind protecția datelor din 1995.
Întrucât directiva inițialădin 1995 putea fi interpretată și aplicată diferit in statele membre,
aceasta a avut diferite rezultate negative: nivele de securitate diferite pe teritoriul UE, conflicte
între țările membre și o dificultate ridicata pentru Curtea Europeană de Justiție în arbitrarea cazurilor în
care ambele state respectau principiile directivei, însă în diferite moduri. Acestea au fost motivele
pentru care Parlamentul UE a decis să înlocuiască directiva cu un regulament cu aplicare uniform pe tot
teritoriul UE, cu justificarea că, deși spațiul geografic este fragmentat, spațiul online este comun
și trebuie legislat în mod uniform.
Subiect și obiective
Prezentul regulament stabilește norme referitoare la protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal și norme
referitoare la libera circulație a datelor cu caracter personal.
Prezentul regulament protejează drepturile și libertățile fundamentale ale
persoanelor fizice și în special dreptul acestora la protecția datelor cu caracter
personal.
Libera circulație a datelor cu caracter personal în cadrul Uniunii nu este nici
restricționată, nici interzisă din motive legate de protecția persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal.
( art. 1 din prezentul regulament)
Principalele obiective ale GDPR sunt:
1. oferirea de bunuri sau servicii, indiferent dacă este necesară o plată a persoanei vizate,
acestor persoane vizate din Uniune; sau
2. monitorizarea comportamentului lor în măsura în care comportamentul lor are loc în cadrul
Uniunii.
- Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care
nu este stabilit în Uniune, dar într-un loc în care dreptul statelor membre se aplică în temeiul
dreptului internațional public.
Inainte de GDPR, datele cu caracter personal erau definite in mod larg ca fiind „orice informație
legată de un individ, fie ca este legată de viața sa personală, profesională sau publică. Poate fi orice de la
nume, poză, adresă de email, detalii bancare, postări pe rețele sociale, informații medicale, adresa IP”.
GDPR aduce o definiție mai clară a acestui concept ca fiind“orice informații privind o persoană fizică
identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată,
direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de
identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice,
proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale”(Regulamentul general privind protecția datelor, 2016). In Declaratia Drepturilor Fundamentale
se stiplueaza ca orice persoana are dreptul la protectia datelor personale in toate aspectele vietii sale.
Prin prelucrarea datelor cu caracter personal se înțelege“orice operațiune sau set de operațiuni
efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau
fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea,
stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea,
ștergerea sau distrugerea” (Regulamentul general privind protecția datelor, 2016).
GDPR se aplica doar in cazul in care organismul care colecteaza datele personale, organismul
care colecteaza datele sau cetateanul ale carui date sunt prelucrate se alfa pe teritoriul UE. Astfel, un
cetatean UE care se afla in afara spatiului European nu va fi protejat de GDPR atunci cand ii sunt
procesate datele, iar un cetean al unui stat care nu este membru al UE este protejat de GDPR, atat timp
cat datele sale au fost colectate cand se afla pe teritoriul UE. GDPR nu se aplică datelor colectate de
poliție sau de serviciile judiciare: pentru acestea există o directivă separată care a fost dată în același
pachet de legi cu GDPR. GDPR de asemenea nu se aplică transferului de date între persoane fizice, doar
între companii și persoane sau între companii diferite.
Datele nu pot fi procesate de o companie decat in baza unui temei legal, care se obtine doar in
anumite cazuri precum:
- Subiectul datelor și-a dat acordul ca aceste date să fie procesate în vederea unuia sau mai
multor scopuri
- Prelucrarea este necesară pentru a îndeplini o sarcină de interes public sau cerută de o
autoritate publică
- Prelucrarea este necesară pentru urmărirea intereselor legitime ale companiei, cu excepția
cazurilor când aceste interese sunt depășite de interesele, drepturile și libertățile fundamentale
ale subiectului. (Regulamentul general privind protecția datelor, 2016)
Utilizatorul ale cărui date sunt prelucrate are dreptul oricând să aibă acces la datele sale și să
ceară informații cu privire la motivele prelucrării acestora. Drepturile sale includ accesul la informații
precum:
- scopurile prelucrării
- destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau
urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale
- acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter
personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această
perioadă;
- dreptul de a depune o plângere în fața unei autorități de supraveghere(Regulamentul general
privind protecția datelor, 2016)
drepturi – completare
Dreptul la informare
- persoana trebuie să fie informată, printre altele, cu privire la ce date sunt prelucrate, de ce, în ce
scopuri, cui sunt transmise și ce drepturi are.
Dreptul de acces
Dreptul la rectificare
- persoana are dreptul de a obține rectificarea informațiilor incomplete și inexacte care o privesc
Dreptul la ștergere
- în unele situații, persoana are dreptul de a solicita ștergerea datelor care nu mai sunt necesare
Dreptul la obiecție
- persoana are dreptul la intervenție umană în cazul deciziilor importante care o privesc
- atunci când este nemulțumită de modalitatea în care i se prelucrează datele sau când drepturile
nu i-au fost respectate
Autoritățile de supraveghere
RGPD prevede faptul că amenda poate ajunge până la 4% din cifra de afaceri. Legea națională
de punere în aplicare a RGPD (Legea nr. 190/2018) confirmă acest lucru.
Atunci când optează între a aplica un avertisment sau o amendă, iar în cazul amenzii,
cuantumul acesteia, ANSPDCP ia în calcul mai mulți factori printre care: gradul de conformare, măsurile
implementate, gravitatea abaterii, numărul încălcărilor, prejudiciile aduse persoanelor vizate și măsurile
întreprinse de operator sau împuternicit pentru prevenirea limitarea prejudiciului.
Cele mai mari amenzi aplicate în anii 2019, 2020, 2021 pe fondul nerespectării GDPR
amenda aplicată companiei Amazon, în sumă de 746 milioane de euro.
Fabuloasa amendă primită în contextul nerespectării GDPR , anunțată în raportul privind încasările
companiei din luna iulie 2021, este de 15 ori mai mare față de recordul anterior. Motivele care au stat la
aplicarea acestei amenzi nu au fost dezvăluite în totalitate, însă cu siguranță au de-a face cu politica
cookie. Și nu e pentru prima dată când Amazon a fost sancționată pentru modul în care colectează
datele persoanale prin intermediul cookie-urilor. Astfel, la finalul anului 2020, Franța a sancționat
Amazon cu 35 milioane de euro după ce nu a respectat politica cookie.
Cum putea fi evitată amenda... E tentant să forțezi utilizatorii să fie de acord cu politica cookie, sau să le
induci faptul că refuzarea acestei politici îți restricționează accesul pe site-ul respectiv, în acest mod
colectând cât mai multe date personale posibil. Însă legislativul Uniunii Europene a modificat regulile de
aplicare a politicii cookie, astfel încât nicio persoană să nu mai fie obligată să-și dea acordul privind
colectarea datelor cu caracter personal.
Dacă Amazon ar fi optat pentru un acces liber, lipsit de ambiguitate, cât și pentru informarea
persoanelor, înainte de a aplica politica cookie pe dispozitivele utilizatorilor, probabil ar fi evitat această
amendă uriașă.
La ceva timp după ce amenda cu care a fost sancționată compania Amazon a detronat Google din topul
celor mai mari amenzi GDPR aplicate, Whatsapp a trimis Google pe locul 3, primind o amenda de
aproape 5 ori mai mare față de recordul stabilit anterior de Google.
Astfel, Irlanda a sancționat Whatsapp cu 225 milioane de euro fiindcă nu a respectat prevederile GDPR,
în urma demonstrării faptului că serviciul de mesagerie nu a explicat pe înțelesul tuturor modul de
procesare a datelor cu caracter personal.
Amenda ar fi putut fi evitată dacă Whatsapp ar fi furnizat informații cu privire la colectarea de date
personale, folosindu-se de un limbaj accesibil.
Un petent a reclamat faptul că la nivelul comunei în care locuiește este instalat un sistem de
supraveghere video de către primărie, care nu respectă prevederile Regulamentului (UE) 2016/679,
inclusiv sub aspectul dreptului la informare, a asigurării măsurilor de securitate, a lipsei unui responsabil
cu protecția datelor. De asemenea, petentul a menționat că dreptul său la viața privată este afectat,
având în vedere ca una dintre camere este instalată pe un stâlp aflat în colțul proprietății sale.
Ca urmare a investigației efectuate, s-a constatat că operatorul a încălcat prevederile art. 12,
13, 32 si 37 alin. (1) si (7) din Regulamentul (UE) 2016/679, întrucât nu a prezentat dovezi din care să
rezulte că a asigurat informarea corectă și completă a persoanelor vizate ale căror imagini sunt colectate
prin intermediul sistemului de supraveghere video. De asemenea, nu a adoptat măsuri tehnice și
organizatorice adecvate în vederea asigurării confidențialității datelor prelucrate (inclusiv în legatură cu
autorizarea unui numar restrâns de persoane), conform atribuțiilor din fișa postului, de a avea acces
limitat și securizat la imagini și la înregistrările provenite din sistemul de supraveghere video, numai în
situația producerii unor incidente corespunzătoare scopului pentru care au fost instalate camerele. În
același timp, s-a constatat că nu a desemnat un responsabil cu protecția datelor, conform obligațiilor ce
îi reveneau conform art. 37 alin. (1) lit. a) din Regulamentul (UE) 2016/679, și nici nu a comunicat datele
de contact ale acestuia către Autoritatea naționala de supraveghere și către public, așa cum prevede art.
37 alin. (7) din Regulamentul (UE) 2016/679.
Față de constatări, operatorul a fost sancționat cu avertisment și s-au dispus trei măsuri, prin
planul de remediere, care se refereau:
- la comunicarea către Autoritatea națională de supraveghere și către public a datelor de contact ale
persoanei responsabile cu protecția datelor personale la nivelul operatorului.
Sursa speță: EuroAvocatura.ro, Instalarea unui sistem de supraveghere video de catre primarie, care nu
respecta prevederile GDPR, Publicare la data de 12 Aug 2021, Coordonator avocat Marius-Catalin
Predut, titular MCP Cabinet avocati.