Documente Academic
Documente Profesional
Documente Cultură
Prof. univ. dr. Daniel-Mihail Șandru analizează în revista Pandectele Române nr. 2/2019,
editată de Wolters Kluwer România, principalele probleme cu care se confruntă sectorul
public în domeniul GDPR: colectarea și transferul datelor, drepturile persoanelor vizate,
desemnarea responsabilului cu protecția datelor (DPO), proceduri specifice autorităților și
organismelor publice, regimul sancționator.
Potrivit autorului: „pentru operatorii definiți prin legislație națională ca fiind autoritate sau
organism public se aplică unele reguli specifice, reguli care au în vedere poziția entităților
publice.”
Pentru domeniul penal, se aplică o lege specială și anume Legea nr. 363 din 28 decembrie
2018 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal
de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale
și combaterii infracțiunilor sau al executării pedepselor, măsurilor educative și de siguranță,
precum și privind libera circulație a acestor date.
– Colectarea de date și transferul de date, întrucât încă există dispoziții legale care obligă
aceste entități să colecteze și să transfere date.
– Demonstrarea consimțământului persoanelor vizate: „Chiar dacă cele mai multe date sunt
prelucrate în temeiul legii și eventual al contractului, rămân situații în care entitățile publice
trebuie să demonstreze consimțământul persoanelor vizate. Este necesar consimțământul și nu
este suficientă informarea pentru site (cookies, chestionare și alte sondaje, dacă nu sunt
anonime, software, apps, transferul datelor în afara scopului pentru care au fost stocate/
colectate).”
– Verificarea surselor fizice pe care sunt stocate datele: „Entitățile publice trebuie să verifice,
precum orice operator, într-o măsură rezonabilă, sursele fizice pe care sunt stocate datele, mai
ales mediile informatice utilizate. Verificarea este, desigur, intelectuală, la nivelul clauzelor
contractuale pentru a se asigura că încălcarea securității datelor este limitată la maxim.
– Problema licitațiilor: „Pentru a obține un preț scăzut la licitație sau pentru a stoca gratuit
date personale uneori se apelează la cloud, pentru care, dacă nu este încheiat un contract
riscurile rămân la entitățile publice. Licitațiile reprezintă o problemă când sunt achiziționate
produse ieftine, care nu au implementat GDPR (sub forma impactului asupra vieții private
pentru produs) și care pot conduce la incidente și încălcări de securitate a datelor.”
1. multitudinea de situații în care sunt prelucrate date ale unor persoane vizate vulnerabile
2. imposibilitatea utilizării temeiului prevăzut de art. 6 lit. f), interesul legitim (nu se aplică în
cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor).
– solicitările abuzive: „Trebuie verificate toate modalitățile legale prin care să fie descurajate
solicitările abuzive cu mențiunea că operatorul, inclusiv autoritate sau organism public, este
cel care trebuie să demonstreze caracterul abuziv. Cereri repetitive, solicitări anonime,
solicitări ale datelor pe care persoana vizată le cunoaște deja sunt modalități de hărțuire a
entităților publice, dar pe care acestea trebuie să le demonstreze”. Excepțiile, prevăzute în art.
12 GDPR, nu trebuie să încalce dreptul la informare și dreptul la exprimare, precizează
autorul, întrucât dreptul la protecția datelor nu este un drept absolut: „În cazul în care cererile
din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza
caracterului lor repetitiv, operatorul poate fie să perceapă o taxă rezonabilă ținând cont de
costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea
măsurilor solicitate, fie să refuze să dea curs cererii. În aceste cazuri, operatorului îi revine
sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.”
– răspunsul la cereri: „Operatorul trebuie să răspundă într-o lună de la formularea cererii, însă
trebuie observat cu atenție temeiul cererii. Dacă solicitantul formulează cererea în temeiul
unei alte legi, de exemplu, a Legii nr. 544/2001 privind liberul acces la informațiile de interes
public dar solicitarea se referă la exercitarea drepturilor asupra datelor cu caracter personal ale
persoanei vizate, atunci cererea va fi corect încadrată și se va răspunde potrivit legislației
proprii.
Exercitarea anumitor drepturi, nu pun doar probleme de calificare din punctul de vedere al
termenelor dar și din punctul de vedere al exercitării drepturilor. Aceasta are influență și
asupra activității responsabilului cu protecția datelor care nu trebuie să avizeze toate
contractele doar pentru că, evident, conțin date cu caracter personal. Dreptul la rectificare are
conotații specifice pentru că poate infera cu reglementări speciale care privesc drepturi
civile.”
Referitor la desemnarea DPO în cadrul autorităților publice, Daniel Mihai Șandru precizează
care sunt elementele specifice: «Pentru toate entitățile publice, fără excepție, desemnarea unui
responsabil cu protecția datelor (DPO) este obligatorie, cu excepția instanțelor care acționează
în exercițiul funcției lor jurisdicționale.
Anumite dispoziții din Regulament facilitează desemnarea responsabilului însă mai rămân
elemente necunoscute la nivelul legislației naționale dar și probleme de ordin practic privind
desemnarea unui DPO pentru mai multe autorități și organisme publice, în conformitate cu
art. 37 alin. (3) din GDPR: „În cazul în care operatorul sau persoana împuternicită de operator
este o autoritate publică sau un organism public, poate fi desemnat un responsabil cu protecția
datelor unic pentru mai multe dintre aceste autorități sau organisme, luând în considerare
structura organizatorică și dimensiunea acestora.”
În ceea ce privește procedurile specifice autorităților publice în domiul GDPR, Daniel Mihai
Șandru expune câteva recomandări, necesare în contextul actual al reglementărilor naționale:
– Coduri de conduită: „Din punctul de vedere al procedurilor, este necesar să se discute prin
organizațiile reprezentate, în special asociații, elaborarea de coduri de conduită pentru
anumite tipuri de entități din administrația publică, de exemplu, pentru primării. Dacă
entitatea are pagini pe rețele sociale, va trebui să informeze în mod corespunzător persoanele
avizate despre aceasta pe pagina web proprie dar și pe rețelele sociale.”
„Într-unul din puținele comunicate ale autorității române de supravegherea datelor cu caracter
personal, din cele 15 exemple, niciunul nu se referă la o entitate publică. Cu toate acestea,
după intrarea în vigoare a GDPR, una dintre sancțiunile cunoscute, este un avertisment pentru
Primăria Cluj-Napoca (din păcate decizia nu este disponibilă, până în prezent pe site-ul
autorității) pentru utilizarea e-mailului personal al funcționarului în comunicările oficiale cu
petenții.
Aplicarea sancțiunilor are două etape, reglementate distinct de Legea nr. 190/2018:
2. Constituie contravenție care se sancționează cu amendă de la 10.000 lei până la 100.000 lei:
c) transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o
organizație internațională, în conformitate cu art. 44-49;
e) nerespectarea unei decizii sau a unei limitări temporare sau definitive asupra prelucrării sau
a suspendării fluxurilor de date, emisă de către Autoritatea națională de supraveghere în
temeiul art. 58 alin. (2), sau neacordarea accesului, prin încălcarea dispozițiilor art. 58 alin.
(1).
1. SCOPURI ȘI CONTEXT
1.1. Această politică stabilește liniile directoare ale (a se introduce denumirea
Organizației) pentru utilizarea CCTV (televiziune cu circuit închis) pentru a se respecta
cerințele GDPR și drepturile persoanelor vizate.
1.6. Toți operatorii autorizați și angajații care au acces la imagini au luat cunoștință de
procedurile care trebuie urmate cu ocazia accesării imaginilor înregistrate. Toți angajații au
luat cunoștință de restricțiile privind accesul la imaginile înregistrate, precum și la divulgarea
acestora.
1.7. Utilizarea sistemului CCTV va fi efectuată într-un mod profesional, etic și legal și orice
deturnare a tehnologiilor de securitate CCTV pentru alte scopuri este interzisă prin această
politică. De exemplu, sistemul CCTV nu va fi folosit pentru monitorizarea performanței
angajaților.
2.1. Scopul înregistrării imaginilor prin utilizarea unui sistem de supraveghere video (CCTV)
include protejarea spațiilor, prevenirea incidentelor, atenuarea impactului sau facilitarea
investigației eventualelor incidente, prinderea făptuitorilor în flagrant, prevenirea actelor
ilegale, protecția vieții omului, integritatea fizică și libertatea personală, protecția comerțului
și a valorilor mobiliare, protecția proprietății, precum și investigarea legală a plângerilor
consumatorilor. Funcționarea unui sistem de televiziune cu circuit închis (CCTV) contribuie
decisiv la realizarea obiectivelor de mai sus, deoarece o parte semnificativă a incidentelor
poate fi împiedicată în cazul în care potențialii infractori știu că faptele lor vor fi capturate de
un aparat de filmat, iar o mare parte din incidente, încălcări și plângeri pot fi investigate prin
vizualizarea imaginilor înregistrate.
2.3. Deși au fost căutate metode mai puțin intruzive, acestea nu au fost găsite. În prezent, nu
există nicio altă tehnologie sau soluție care să permită reconstrucția evenimentelor trecute în
legătură cu o plângere, un accident sau o infracțiune fără înregistrarea imaginilor și, prin
urmare, realizarea acestor scopuri nu poate fi asigurată prin utilizarea mijloacelor mai
puțin intruzive. Din punctul de vedere al protecției proprietății, este posibil să se utilizeze
doar un sistem de alarmă, dar acest lucru nu ar permite investigarea accidentelor sau
plângerilor, a depistării infracțiunilor și a identificării făptuitorilor. Posibila anonimizare a
înregistrărilor și estomparea fețelor persoanelor vizate ar face, de asemenea, imposibilă
identificarea persoanelor vizate în înregistrări și, prin urmare, scopul lor fundamental
(protecția) nu a putea fi atins. În plus, fără stocarea pentru o anumită perioadă de timp,
înregistrările nu ar putea fi folosite ca dovezi sau ca mijloace de efectuare a controalelor.
3.1. Cu ocazia instalării noilor sisteme sau camere CCTV, (a se introduce denumirea
Organizației) va efectua o analiză a impactului asupra protecției datelor, identificând riscurile
cauzate de instalarea acestora și stabilind măsurile pentru conformarea la legislația privind
protecția datelor.
4. LOCAȚIA CAMERELOR
4.1. Camerele vor fi situate astfel încât să captureze imagini relevante pentru scopurile pentru
care au fost instalate și se vor lua măsuri pentru a se asigura faptul că așteptările rezonabile
privind confidențialitatea nu sunt încălcate.
4.3. Sistemul CCTV nu va fi utilizat în birourile angajaților, în toalete, în vestiare sau în alte
locuri unde angajații au o așteptare ridicată cu privire la confidențialitate.
4.4. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa
fel încât să prevină sau să minimizeze înregistrarea proprietății private sau înregistrarea
trecătorilor.
5. INFORMAREA
5.1. O copie a acestei politici CCTV se va furniza pe bază de cerere oricărei persoane
interesate.
5.2. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea
corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune.
6. STOCAREA ȘI ACCESAREA
6.2. Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia
i-au fost furnizate acele informații (numele acelei persoane și, dacă e cazul, întreprinderea pe
care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în
cazul unei contestații.
6.3. Datele vor fi furnizate ca răspuns la anumite cereri de acces conform art. 15 RGPD.
6.4. În circumstanțe relevante, înregistrările CCTV vor putea fi furnizare, în condițiile legii,
organelor judiciare, instanțelor de judecată sau altor autorități publice abilitate.
7.1. Persoanelor fizice li se acordă dreptul de-și accesa propriile înregistrări CCTV potrivit
art. 15 GDPR.
7.2. Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații
pentru a putea fi identificate.
7.3. Organizația va răspunde acestor cereri într-un termen de o lună de la primirea cererii, în
conformitate cu politica privind facilitarea drepturilor persoanelor vizate în temeiul GDPR.
7.4. Organizația își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când
acest lucru ar duce atingere altor drepturi și libertăți, proprietății intelectuale sau secretelor de
afaceri.
7.5. Se va ține o evidență a datei când a avut loc divulgarea, împreună cu datele persoanei
solicitante (numele persoanei și, dacă e cazul, întreprinderea pe care o reprezintă), precum și
cu motivele din spatele cererii.
7.6. Dacă cererea este întemeiată, Organizația va furniza persoanei vizate acces la înregistrări
într-un format electronic structurat.
7.7. Atunci când înregistrarea conține imagini referitoare la terți, Organizația va lua măsurile
necesare pentru a proteja identitatea acestor persoane.
Informarea și consimțământul nu sunt necesare în cazurile prevăzute de art. 4 alin. (6) din
Legea nr. 506/2004:
Atunci când navighează pe web sau utilizează aplicații mobile, utilizatorii de internet sunt
urmăriți din ce în ce mai mult de diferiți actori (editori de servicii, agenții de publicitate,
rețele sociale etc.) care le analizează navigarea pe internet și comportamentul online, în
special pentru a le oferi publicitate direcționată sau servicii personalizate. Această urmărire se
realizează prin diverse instrumente de tracking, din care fac parte și cookie-urile.
Din punct de vedere juridic, există două tipuri de tehnologii de urmărire (i.e. cookies), unul
care nu necesită informarea și consimțământul utilizatorilor și alt tip care necesită informarea
și consimțământul.
2. Permite utilizatorului să își dea consimțământul prin intermediul unei acțiuni clare
Tăcerea, inacțiunea, inclusiv prin simpla continuare a navigării sau căsuțele prebifate nu
reprezintă consimțământ în conformitate cu legislația actuală. În schimb, bifarea unei căsuțe
de consimțământ (care nu a fost bifată by default) este un exemplu de consimțământ valabil
conform legii. Autoritățile de supraveghere recomandă ca practicile de colectare a
consimțământului să nu fie înșelătoare: butoane decolorate, bare de defilare („slide bar”)
dificile de înțeles.