Secţiuni » Articole
ArticoleRNSJESSENTIALSStudiiOpiniiInterviuriPovestim cărţi
Opinii
Print Friendly, PDF & Email

Folosirea unui cont de e-mail (G-mail, Yahoo) vs. protecția datelor cu caracter personal
04.11.2019 | Răzvan Nicolae POPESCU

Razvan Nicolae Popescu

Razvan Nicolae Popescu

1. Preambul

Generarea si folosirea unui cont de e-mail a devenit o conditie sine qua non pentru desfasurarea activitatii oricarui profesionist.

La ora actuala o serie de profesionisti din diverse domenii (ex. avocati, notari publici, executori judecatoresti, arhitecti, constructori, experti contabili etc.) folosesc conturi de e-mail oferite cu titlu gratuit de diverse companii.

Cele mai raspandite conturi de e-mail folosite in Romania sunt cele de g-mail furnizate de compania Google Ireland Limited si cele de yahoo furnizate de compania Verizon Media.

In general, conturile de e-mail de tip g-mail / yahoo, la fel ca orice alte conturi de e-mail, cuprind date cu caracter personal atat ale utilizatorului contului respectiv, cat si ale altor persoane (ex. persoanele care transmit e-mail-uri catre contul respectiv, persoanele mentionate in documentele de tip Word / Excel / PDF atasate unui e-mail transmis sau primit etc.).

In cuprinsul prezentului material vom prezenta cum simpla folosire a unei adrese de e-mail poate atrage incidenta legislatiei privind prelucrarea datelor cu caracter personal si in anumite situatii chiar sanctiuni pecuniare considerabile.

2. Inexistenta unui acord de tip operator de date cu caracter personal – imputernicit

Potrivit art. 4 par. 7 din GDPR, operatorul de date cu caracter personal este definit ca persoana care stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Titularul unui cont de e-mail este, in principiu, operator de date cu caracter personal, deoarece acesta hotaraste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

In acest sens, persoana care isi genereaza propriul cont de e-mail hotaraste atat scopurile de prelucrare a datelor (ex. pentru a putea fi contactat de diversi clienti, pentru a comunica cu clientii, pentru a stoca in Cloud diverse informatii, pentru a avea acces la informatiile stocate in Cloud de oriunde etc), cat si mijloacele de prelucrare a datelor (ex. prin folosirea unui cont de e-mail furnizat de o anumita companie, prin transmiterea unui e-mail, prin primirea unui e-mail, prin stocarea sau stergerea unui e-mail etc.).

Potrivit art. 4 par. 8 din GDPR, imputernicitul operatorului de date cu caracter personal este persoana care prelucreaza datele in numele operatorului.

Furnizorul unui cont de e-mail este, in principiu, imputernicit al operatorului de date cu caracter personal, deoarece acesta prelucreaza datele in numele operatorului (titularului contului de e-mail).

In acest sens, furnizorul contului de e-mail, prin chiar aplicatia de e-mail furnizata raspunde intru totul solicitarilor utilizatorului ( ex. cand utilizatorul doreste vizualizarea unui e-mail aplicatia furnizeaza informatia solicitata, cand utilizatorul unui cont doreste transmiterea unui e-mail catre un anumit destinatar aplicatia realizeaza acest transfer, cand utilizatorul doreste stergerea unui e-mail aplicatia realizeaza aceasta stergere etc.).

Din cele expuse mai sus, rezulta ca prelucrarea datelor cu caracter personal existente intr-un cont de e-mail se realizeaza de catre furnizorul serviciului respectiv, in calitate de imputernicit, in conformitate cu solicitarile titularului contului respectiv, in calitate de operator de date cu caracter personal.

Potrivit art. 28 alin. 3 din GDPR, ori de cate ori un operator de date cu caracter personal decide sa prelucreze datele prin intermediul unui imputernicit, este obligatorie incheierea unui contract in forma scrisa care sa cuprinda o serie de clauze specifice prelucrarii (ex. obiectul si durata prelucrarii, natura si scopul prelucrarii, tipul de date cu caracter personal ce urmeaza a forma obiectul prelucrarii etc.).

Contractul impus de prevederile legale anterior mentionate este un contract cu totul distinct fata de contractul privind furnizarea serviciilor aferente contului de e-mail.

Fiecare furnizor al unui cont de e-mail are propria politica de furnizare a serviciului respectiv, politica afisata in mod public inainte de generarea contului de e-mail.

Contractul privind prelucrarea datelor nu poate fi confundat cu cel privind furnizarea serviciilor, acesta avand un regim juridic aparte si fiind privit de lege ca fiind un act juridic total distinct.

Obligatia incheierii contractului de tip operator – imputernicit este una legala, ce incumba operatorului si care in caz de neindeplinire poate atrage aplicarea sanctiunilor prevazute de art. 83 alin. 4 lit. a din GDPR (ex. amenda).

Din cele expuse mai sus rezulta ca simpla folosire a unui cont de e-mail in vederea prelucrarii datelor cu caracter personal, neinsotita de incheierea unui acord de tip operator – imputernicit, reprezinta o incalcare a legislatiei privind protectia datelor cu caracter personal.

In lipsa unui astfel de acord, orice operatiune de prelucrare a datelor cu caracter personal prin intermediul folosirii unui cont de e-mail (ex. vizualizarea unui e-mail, transmiterea unui e-mail, primirea unui e-mail, stergerea unui e-mail etc.) va fi considerata nelegala.

3. Necunoasterea locului in care sunt stocate datele cu caracter personal

Toate informatiile existente in cadrul unui cont de e-mail (ex. e-mail-urile primite / transmise, atasamentele acestora, lista contactelor etc.) sunt stocate pe unul sau mai multe servere fizice aflate in diverse locatii (ex. data center-uri).

Locatia fizica a serverelor fizice prezinta o relevanta deosebita din perspectiva legislatiei privind protectia datelor cu caracter personal.

Atata timp cat serverele fizice se afla pe teritoriul Uniunii Europene, nu exista niciun fel de problema, deoarece in ceea ce priveste datele cu caracter personal localizate pe teritoriul EU legea nu impune conditii speciale.

In situatia in care serverele fizice se afla in afara teritoriului Uniunii Europene, se poate considera ca a existat un transfer de date in afara EU, motiv pentru care devin incidente prevederile Cap. V din GDPR.

Legislatia privind protectia datelor cu caracter personal nu interzice transferul datelor in afara Uniunii Europene, insa conditioneaza acest transfer de indeplinirea anumitor conditii specifice (ex. transferul este permis catre un stat tert cu privire la care Comisia Europeana a apreciat ca indeplineste cerintele legale care sa asigure acelasi standard de protectie al datelor ca si un stat din cadrul Uniunii, transferul este permis pe baza unui contract specific incheiat intre exportatorul datelor si importatorul datelor etc.).

Ceea ce trebuie subliniat este faptul ca orice operator de date cu caracter personal are obligatia de a informa persoana vizata cu privire la stocarea pe teritoriul EU sau transferul catre state terte a datelor sale.

In acest sens sunt prevederile art. 13 alin. 1 lit. f din GDPR:

In cazul in care datele cu caracter personal referitoare la o persoana vizata sunt colectate de la aceasta, operatorul, in momentul obtinerii acestor date cu caracter personal, furnizeaza persoanei vizate toate informatiile urmatoare: f) daca este cazul, intentia operatorului de a transfera date cu caracter personal catre o tara terta sau o organizatie internationala si existenta sau absenta unei decizii a Comisiei privind caracterul adecvat sau, in cazul transferurilor mentionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garantiile adecvate sau corespunzatoare si la mijloacele de a obtine o copie a acestora, in cazul in care acestea au fost puse la dispozitie.”.

In situatia in care persoana vizata isi exercita dreptul de acces, operatorul de date cu caracter personal este obligat sa-i precizeze acesteia daca datele sale au fost sau nu exportate in afara Uniunii Europene.

In acest sens sunt prevederile art. 15 alin. 1 lit. c si alin. 2 din GDPR:

Persoana vizata are dreptul de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii: c)destinatarii sau categoriile de destinatari carora datele cu caracter personal le-au fost sau urmeaza sa le fie divulgate, in special destinatari din tari terte sau organizatii internationale;

In cazul in care datele cu caracter personal sunt transferate catre o tara terta sau o organizatie internationala, persoana vizata are dreptul sa fie informata cu privire la garantiile adecvate in temeiul articolului 46 referitoare la transfer.”.

Principala problema privind localizarea fizica a serverelor care detin datele cu caracter personal existente intr-un cont de e-mail este determinata de faptul ca o parte din furnizorii acestor servicii nu mentioneaza locatia acestora.

Spre exemplu, o parte din furnizorii de conturi de e-mail mentioneaza ca respecta legislatia incidenta si ca iau masuri de securitate pentru a asigura respectarea legislatiei, insa acestia nu indica, in niciun fel, unde se afla serverele.

Cu alte cuvinte, in cazul acestor furnizori, utilizatorul serviciilor acestora nu cunoaste daca datele din propriul cont de e-mail se afla sau nu pe teritoriul Uniunii Europene.

O alta parte din furnizorii de conturi de e-mail mentioneaza tarile in care au localizate propriile servere, insa nu stabilesc daca datele unui anumit utilizator se afla pe un anumit server sau nu.

Nici in cazul acestora utilizatorul serviciilor nu cunoaste daca datele din propriul cont de e-mail se afla sau nu pe teritoriul Uniunii Europene.

In ambele situatii, utilizatorul unor astfel de servicii de e-mail, in calitatea sa de operator de date cu caracter personal este pe deplin expus sanctiunilor impuse de lege, intrucat din moment ce nu cunoaste locatia serverelor nu poate informa persoana vizata cu privire la faptul ca datele sale sunt / au fost vreodata pe teritoriul Uniunii Europene.

Cu alte cuvinte, in astfel de situatii, operatorul de date nu poate sa-si indeplineasca nici obligatia de informare prevazuta de art. 13 din GDPR si nici obligatia de a da curs unei cereri de acces prevazuta de art. 15 din GDPR.

Neindeplinirea celor doua obligatii poate atrage sanctiunile impuse de lege, potrivit art. 83 alin. 5 lit. b din GDPR (ex. amenda).

Ceea ce trebuie subliniat este faptul ca un operator de date nu se poate apara in fata organelor de control invocand faptul ca furnizorul contului de e-mail nu i-a prezentat datele privind localizarea serverelor, intrucat operatorul este cel care a hotarat sa foloseasca un anumit cont de e-mail.

Cu alte cuvinte, inainte de folosirea unui anumit cont de e-mail orice operator de date cu caracter personal trebuie sa se asigure de faptul ca furnizorul serviciului respectiv intruneste cerintele impuse de legislatia privind protectia datelor cu caracter personal.

In acest sens sunt prevederile exprese ale art. 28 alin. 1 din GDPR:

In cazul in care prelucrarea urmeaza sa fie realizata in numele unui operator, operatorul recurge doar la persoane imputernicite care ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in prezentul regulament si sa asigure protectia drepturilor persoanei vizate.”.

4. Inexistenta garantiilor specifice transferului de date in afara Uniunii Europene

In anumite situatii, serverele care detin informatiile existente intr-un cont de e-mail sunt localizate in afara Uniunii Europene, astfel incat orice informatie din contul respectiv poate fi considerata ca fiind transferata in afara EU.

In alte situatii, exista posibilitatea ca informatiile sa fie initial stocate in cadrul unui server localizat in cadrul Uniunii Europene, iar ulterior, sa fie transferate in afara Uniunii ca urmare a optiunii furnizorului contului de e-mail respectiv.

In toate aceste cazuri se va pune problema respectarii cerintelor privind transferul datelor in afara EU, cerinte stabilite de Cap. 5 din GDPR.

Un utilizator obisnuit nici macar nu poate sesiza faptul ca prin simpla transmitere a unui e-mail, acel e-mail este stocat in sectiunea “Trimise”, iar aceasta la randul ei implica o stocare de date cu caracter personal, stocare care se realizeaza pe un server situat in afara Uniunii Europene.

Transmiterea datelor cu caracter personal in afara Uniunii, in lipsa garantiilor impuse de lege este de asemenea sanctionata potrivit art. 83 alin. 5 lit. c din GDPR.

Din cele expuse mai sus rezulta ca folosirea unui cont de e-mail, desi indispensabila in ziua de astazi oricaror activitati profesionale, poate genera multiple incalcari ale legislatiei privind protectia datelor cu caracter personal.

Fata de aceste imprejurari recomandam tuturor utilizatorilor de conturi de e-mail gratuite sa se asigure ca furnizorii acestora indeplinesc cerintele impuse de GDPR.

Razvan Nicolae Popescu
Avocat Partener in cadrul DUMITRU POPESCU si ASOCIATII
Membru al DPA Legal Team


Aflaţi mai mult despre , , , , , , , ,
Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!

JURIDICE GOLD pentru studenţi foarte buni, free
JURIDICE.ro utilizează şi recomandă SmartBill













Newsletter JURIDICE.ro
Youtube JURIDICE.ro
Instagram JURIDICE.ro
Facebook JURIDICE.ro
LinkedIn JURIDICE.ro

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.