Secţiuni » Arii de practică » Business » Cyberlaw
Cyberlaw
CărţiProfesionişti

GDPR – pericole, drepturi, sancțiuni & studiu de caz


07.12.2022 | Romina CATANĂ
Secţiuni: Articole, Cyberlaw, Data protection, Note de studiu, Selected
JURIDICE - In Law We Trust
Romina Catană

Romina Catană

În ultimii ani observăm tot mai des mențiuni legate de GDPR, însă nu multe persoane își dau seama cât de benefice sunt prevederile acestui regulament[1] pentru a ne proteja datele cu caracter personal, fie ele cu caracter sensibil ori general, în special având în vedere tranziția acerbă spre era digitală.

Cu aplicabilitate din data de 25 mai 2018, regulamentul GDPR a fost implementat în România, având ca element central persoana fizică. Dispozițiile acestei legi protejează datele cu caracter personal ale persoanelor fizice, concentrându-se pe procedurile ce necesită a fi implementate și respectate de companii în timp ce lucrează cu datele persoanelor. Printre procedurile necesare a fi implementate se numără analizele, acordurile cu partenerii, consimțământul documentat, informări către persoane, politici, registre.

În prezent, de respectarea acestor proceduri se ocupă persoana însărcinată cu aceste atribuții în companie, care ar trebui să fie un expert/ofițer responsabil cu datele cu caracter personal special pregătit în acest sens și de regulă ar trebui să fie o persoană care nu are alte atribuții în cadrul companiei.

Ca autoritate ce are atribuții de supraveghere independentă a respectării legislației în discuție, în România funcționează Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Datele cu caracter personal general sunt cele precum vârstă, nume și prenume, data nașterii, adresa de reședință, număr de telefon, adresă de email, date privind sancțiunile disciplinare ori contravenționale, condamnări, fotografiile persoanelor vizate, nivel de studii, cod numeric personal, sex, cetățenie, în timp ce în categoria datelor personale cu caracter special se află etnia, datele privind sănătatea, date privind orientarea sexuală, date care dezvăluie originea rasială, opiniile publice.

De ce este important să conștientizăm riscurile pe care le implică oferirea datelor cu caracter personal?

În primul rând este necesar a se lua la cunoștință importanța acestui domeniu și amploarea impactului abonării la un anumit site în schimbul a 5% reducere la produsele comercializate de prestatorul de servicii.

La prima vedere, sună tentant ca în schimbul unor simple date să primim o reducere de 5, 10, 15%. Adevărul este însă că acest troc nu este unul avantajos pentru utilizatori, astfel că pentru o reducere unică infimă, datele noastre sunt păstrate în general chiar și timp de 10 ani în bazele de date ale unor companii, lucru ce ne poate dăuna.

În al doilea rând trebuie avută în vedere latura de securitate cibernetică, la care nu mulți se gândesc când accesează diferite site-uri. Păstrarea datelor personale în diferite baze de date pe o perioadă atât de lungă mărește riscul ca acestea să facă obiectul unui atac cibernetic și astfel să intervină mai multe complicații precum furtul de identitate de exemplu ori chiar accesarea de către hackeri a datelor bancare.

Graficul mai jos reprezentat se bazează pe statisticile oferite în domeniul securității cibernetice pentru anul 2021 cu referire la companiile existente la nivel global.[2]

Ce drepturi au persoanele fizice?

Reglementarea în discuție a adus un element de noutate puternic, menit a proteja mai mult consumatorii, prin întărirea elementelor legate de consimțământ. Solicitarea consimțământului trebuie să fie prezentată către utilizatori într-un limbaj ușor, lizibil și accesibil, fără utilizarea unor termeni greu de înțeles, astfel ca orice persoană să știe cu exactitate ce date oferă și în ce moment.

Ar trebui, conform regulamentului, ca persoanele vizate să fie încunoștințate și despre perioada pentru care se solicită accesul la prelucrarea datelor, și cel mai important, aceasta are dreptul de a-și retrage consimțământul în orice moment într-o modalitate la fel de simplă precum cea prin care l-a oferit la început.

Orice persoană poate solicita printr-un simplu email către compania în cauză să i se șteargă datele cu caracter personal, aspect cunoscut în domeniu sub denumirea de „drept de a fi uitat”. Acesta oferă dreptul persoanei vizate de a solicita ștergerea datelor personale din unitățile de stocare ale operatorului de date și de a opri prelucrare datelor de către terți. În spatele acestui drept se află de fapt retragerea consimțământului oferit în schimbul unei oferte de cele mai multe ori pentru a atrage cât mai multe persoane.

Persoana care și-a transmis datele cu caracter personal are dreptul de a obține de la operatorul de date informații legate de datele sale, precum confirmarea faptului că datele cu caracter personal sunt sau nu prelucrate de către terți (alte entități din țară sau din spațiul internațional), unde și de către cine sunt prelucrate, dacă sunt transmise de terți către alte persoane în lanț, în ce scop sunt transmise etc. Pe lângă aceste aspecte, persoana vizată are dreptul de a obține de la operatori în mod gratuit copia în format electronic a datelor sale.

De altfel, persoanele vizate se bucură de dreptul la rectificare, în baza căruia datele inexacte sau incomplete pot fi rectificate la cerere. Tot la cerere se va putea da eficiență și dreptului la restricționarea prelucrării, în cazurile exprese: se contestă exactitatea datelor cu caracter personal prelucrate, prelucrarea este nelegală și se optează pentru restricționare în locul ștergerii datelor, datele nu mai sunt necesare pentru realizarea scopului prelucrării dar sunt solicitate pentru alte motive, s-a înregistrat opunerea prelucrării în baza art. 21 GDPR împreună cu solicitarea de restricționare.

Sancțiuni aplicate în România în baza Regulamentului General Privind Protecția Datelor

În România până în prezent au fost aplicate 115 amenzi[3] ca sancțiuni pentru încălcarea regulamentului GDPR, iar printre operatorii sancționați se numără băncile, companiile de prestări servicii, companiile de telefonie, companiile din domeniul alimentar, brokerii, asociațiile de proprietari și multe altele.

Operatorul R.B. S.A. a fost sancționat contravențional pentru încălcarea regulamentului întrucât a eșuat în a lua măsurile necesare pentru a se asigura că persoanele fizice care acționează sub autoritatea companiei și care au acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, amenda fiind în cuantum de 28.000 euro.

O altă companie a fost sancționată prin amendă, constatându-se în urma investigației faptul că pe site-ul operatorului erau publicate 23 de decizii nominale de încetare a contractelor individuale de muncă, toate conținând date cu caracter personal, iar operatorul nu a prezentat dovezi din care să rezulte o prelucrare a datelor legală.

Deopotrivă și persoanele fizice pot face obiectul unei sancțiuni din domeniul GDPR, astfel că o persoană fizică a fost sancționată pentru încălcarea regulamentului, deoarece a folosit în mod neautorizat datele cu caracter personal ale altei persoane, fără a avea consimțământul acesteia din urmă.

Studiu de caz: Ce date colectează aplicația TikTok

Aplicația în discuție este printre cele mai intruzive, însuși directorul FBI Christopher Wray[4] menționându-și îngrijorarea în legătură cu amenințarea cibernetică pe care o reprezintă aplicația, în urma investigării a 100 de variante diferite de atacuri tip ransomware. Ce date colectează aplicația?

Toate aceste date sunt accesate de aplicație și eventual stocate pe o perioadă lungă de timp, atât în momentele în care vizionezi videoclipuri pe aplicație, cât și în timp ce aceasta este în stand-by.


[1] Disponibil aici
[2] Disponibil aici
[3] Disponibil aici
[4] Disponibil aici


Av. Romina Catană, Baroul Bacău

Cuvinte cheie: , , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

JURIDICE.ro foloseşte şi recomandă My Justice

Autori JURIDICE.ro
Juristi
JURIDICE pentru studenti
JURIDICE NEXT









Subscribe
Notify of

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

0 Comments
Inline Feedbacks
View all comments
Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.

↑  Înapoi în partea de sus a paginii  ↑

Secţiuni        Selected     Noutăţi     Interviuri        Arii de practică        Articole     Jurisprudenţă     Legislaţie        Cariere     Evenimente     Profesionişti