Cum se aplică GDPR: de la cazul Vâlcov până la recuperatorii de creanţe care au acces la informaţiile cu caracter personal
0„Cred că în maximum 5 ani vom avea şi în domeniul GDPR amenzi de milioane de euro”, spune avocatul clujean Ciprian Păun. El a explicat în ce constă temutul regulament GDPR, legea adoptată la nivelul UE care prevede sancţiuni drastice pentru firmele şi instituţiile publice care gestionează informaţii cu caracter personal. Ce înseamnă GDPR în scandalul Darius Vâlcov şi ce înseamnă pentru persoane fizice, pentru firme şi pentru instituţii publice.
O casă de avocatură din Cluj a organizat astăzi o conferinţă de presă despre impactul regulamentului 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, aşa-zisul regulament GDPR, care a intrat în vigoare în 25 mai 2018. Ce riscă Darius Vâlcov, care a provocat un scandal naţional prezentând public fişa medicală a unui protestatar, din punctul de vedere al GDPR? Ce ar trebui să ştim, ca persoane fizice, despre protecţia datelor noastre personale? Cum afectează regulamentul GDPR mass-media, firmele private şi instituţiile publice? Sunt câteva dintre întrebările la care a răspuns avocatul Ciprian Păun, care este lector pe probleme de legislaţie pentru o firmă din Cluj care realizează cursuri de responsabil cu protecţia datelor cu caracter personal, un nou post cerut de regulamentul GDPR pentru companiile şi instituţiile care gestionează date personale pe scară largă.
ROMÂNIA ŞI GDPR
Cum se pune în România problema GDPR?
Problema cu gestiunea datelor cu caracter personal la nivel european – aşa-zisul regulament GDPR - a apărut în urmă cu 2 ani de zile. Fiecare ţară din UE a avut termen de 2 ani de zile să se pregătească pentru a implementa regulamentul GDPR. Fiecare ţară a trebuit să-şi stabilească legislaţie pe diferite domenii, cum ar fi medical, administraţie publică, mass-media etc. România s-a trezit în 2018, în 25 mai când a intrat în vigoare regulamentul, că nu are o lege de implementare a regulamentului. Deşi regulamentul european se aplică automat, 30% din prevederile lui necesită o lege de implementare conform competenţelor pe care le are fiecare stat în domeniu. Regulamentul a prevăzut că în anumite domenii fiecare stat îşi stabileşte nivelul de securitate a datelor cu caracter personal. Statul român nu a adoptat decât o lege de implementare a regulamentului GDPR cu un singur scop: să limiteze amenzile date instituţiilor publice pentru nerespectarea prevederilor GDPR la 200.000 de lei, ceea ce e contrar regulamentului GDPR.
Darius Vâlcov, consilierul premierului Viorica Dăncilă riscă încă doi ani de închisoare după ce a publicat pe Facebook fişa medicală a protestatarui #rezist din Piaţa Victoriei, Sandi Matei.
POATE FI CONDAMNAT DARIUS VÂLCOV PE GDPR?
Ce se întâmplă din punct de vedere al scandalului GDPR în scandalul Darius Vâlcov, care a publicat fişa medicală a unui protestatar, spunând că e bolnav psihic?
În primul rând trebuie să vedem de unde avem scurgerea de informaţii? De la spital. Din punctul de vedere al GDPR, datele medicale sunt considerate date personale cu caracter sensibil, date de cea mai mare importanţă şi se insistă pe protecţia acestora. Există şi infracţiune pentru divulgarea informaţiilor medicale. Ce se va întâmpla? Darius Vâlcov va spune probabil că a găsit aceste informaţii la poartă sau pe pragul uşii. Din punctul acesta de vedere, el va susţine că nu era obligaţia lui să aibă grijă de datele personale ale pacienţilor unui spital; El le-a găsit, le-a publicat. Eu cred că Darius Vâlcov poate să răspundă pentru divulgarea informaţiilor din punct de vedere penal sau civil, dar din punct de vedere al GDPR nu răspunde el, ci autoritatea care a gestionat aceste date – adică spitalul care le-a întocmit. Astfel, persoana lezată poate sesiza Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCA) pentru a investiga cum au ajuns acele informaţii la Darius Vâlcov. Aici spitalul, dacă va fi găsit vinovat, poate fi amendat cum spuneam cu maximum 200.000 de lei.
Ipotetic vorbind, dacă respectiva informaţie ar fi ajuns la un ziar, avea acesta dreptul de a divulga informaţia? Eu zic că da. Pentru că persoana respectivă era un lider civic al străzii. În momentul respectiv, eu ca ziar nu mă pot cenzura. Pot să-l sun pe respectivul să-i cer o reacţie. Având în vedere statutul acestuia de persoană publică, eu cred că se poate invoca interesul public pentru publicarea informaţiilor.
GDPR şi MASS MEDIA
Cum va afecta noul regulament mass-media?
Am văzut foarte multe dezbateri în care specialiştii erau stresaţi că noul regulament va afecta atât politica redacţională, cât şi activitatea jurnaliştilor. Fals. Având în vedere articolul 85 din Regulament, care prevede că statele membre trebuie să reglementeze printr-o lege aceste chestiuni şi faptul că în momentul de faţă nu există o astfel de lege în România situaţia mass-media rămâne neschimbată, adică aşa cum era înainte de intrarea în vigoare a regulamentul GDPR cu privire la toate chestiunile legate de libertatea de exprimare şi la modalităţile prin care mass-media poate să-şi exercite funcţia publică de informare a societăţii.
Referitor la persoanele fizice care sunt surprinse în diferite imagini, în diferite materiale de presă acolo trebuie un pic de atenţie suplimentară deoarece acele persoane fizice care nu deţin o calitate publică, care nu sunt expuse public şi nu desfăşoară un serviciu de interes public sunt până la urmă persoane private a căror identitate, a căror imagine trebuie protejate.
Există problema acelor imagini care sunt luate de către reporterii de televiziune cu oamenii care merg pe stradă sau în diferite locuri publice. Acelea nu încalcă dreptul la imagine al persoanei care se plimbă pentru că sunt nişte imagini luate dintr-o zonă publică. Problema apare atunci când se ia un interviu unei persoane de pe stradă – potrivit regulamentului GDPR trebuie solicitat la finalul interviului acordul persoanei pentru ca informaţia şi imaginea să fie difuzate.
GDPR-ul şi persoanele fizice
Persoanele fizice la ce trebuie să fie atente atunci când le sunt solicitate date cu caracter personal?
În primul rând trebuie să fim atenţi la scopul pentru care ne sunt solicitate aceste date, care trebuie să ni se comunice clar. Apoi, trebuie să fim informaţi care este perioada pentru care aceste informaţii vor fi stocate şi unde sunt salvate. Trebuie să ni se dea să semnăm că suntem de acord cu folosirea datelor noastre personale în scopul în care ne sunt cerute.
În situaţia în care ne dăm seama că datele nu au fost folosite în scopul în care ne-au fost cerute putem face plângere la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCA) sau direct în instanţă împotriva acelei companii.
Existau acele companii de marketing care vă cereau datele personale pentru a participa la un concurs, iar în următoarele săptămâni eraţi sunaţi de tot felul de firme. Se întâmpla pentru că datele dumneavoastră personale erau vândute.
Ce înseamnă date personale?
Orice succesiune „nume-prenume” sau „nume-telefon” este considerată dată cu caracter personal, nu doar CNP-ul. Până acum exista interpretarea că doar CNP-ul reprezintă o dată cu caracter personal. Fals. Orice succesiune de date, nume-prenume, adresa, adresa de e-mail profesională constituie dată cu caracter personal.
CE FIRME AU NEVOIE DE RESPONSABIL GDPR
Ce riscă firmele care nu respectă GDPR?
Amenzi de până la 4% din cifra de afaceri. Limita maximă e stabilită de regulament şi se ridică la 20 de milioane de euro. Amenzile pot fi aplicate de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCA) sau direct de către direcţiile specializate ale Comisiei Europene care au dreptul să intervină direct în orice spaţii, să facă controale, să ridice documente exact ca şi autorităţile privind concurenţa. Multă lumea luat în glumă şi chestiunea privind concurenţa şi nu cred că acum 10 ani se gândea cineva că un cartel al cimentului, al furnizorilor de telefonie mobilă sau de gaz ar putea fi amendat cu miliarde de lei de către Consiliul Concurenţei, lucru care s-a întâmplat. Cred că în maximum 5 ani vom avea şi în domeniul GDPR amenzi de milioane de euro.
Daţi-ne un exemplu.
Sunteţi sunat de un colector de creanţe, care vă cere CNP-ul pentru identificare. În acel moment, puteţi să spuneţi: „Aş dori să aflu cum vă numiţi şi ce companie reprezentaţi pentru că aş dori să fac o plângere la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCA) pentru că nu mi-am dat un acord expres la operatorul meu de telefonie, de gaz etc pentru ca în situaţia în care nu-mi plătesc aceste dări sau aceste servicii să-mi fie cesionată creanţa către un colector de creanţă care să intre în posesia datelor mele personale. E chestiune care priveşte pe toată lumea.
Mai sunt situaţii în care sunteţi sunaţi de diferite clinici şi farmacii, care vă sună pentru a vă face diferite oferte. Este o practică abuzivă, contrară GDPR, trebuie foarte clar să vă opuneţi atât în dialogul direct , cât şi după aceea puteţi face plângere la autoritate.
Ce fel de firmă trebuie să-şi angajeze responsabil DGPR?
Regulamentul spune în felul următor: orice companie care gestionează date personale pe scară largă, acesta este textul, este obligată să-şi numească un responsabil pentru datele cu caracter personal. Există un grup de lucru care a făcut o interpretare oficială a regulamentului şi, de exemplu, s-a stabilit: orice reţea, lanţ de farmacii, o instituţie medicală de tip clinică/spital sau un call center ar trebui să aibă un responsabil privind protecţia datelor cu caracter personal. Noi recomandăm ca o companie care are un număr de peste 600 de angajaţi să aibă un astfel de responsabil care să se ocupe, să conceapă politici privind gestiunea datelor pentru că aceste companii, şi cele mici, şi cele mijlocii, şi cele mari trebuie să-şi dezvolte politici de GDPR în interiorul companiei, iar primul pas este acela de a începe cu un audit în care să vedem ce date sunt folosite, cât timp sunt stocate, unde şi în baza cărui articol din lege. Şi instituţiile publice trebuie să aibă un astfel de responsabil. Dacă mergem acum la Finanţe şi vedem cum stau dosarele pe coridoare, eu cred că este necesară şi o regândire a locului de depozitare. Trebuie interzisă orice situaţie în care o persoană fizică are acces la datele altcuiva.
DREPTUL DE A FI UITAT
Din ceea ce cunoaşteţi câte firme din România au astfel de responsabili?
În momentul de faţă există un interes, eu aş spune un bâzâit al tuturor companiilor care în momentul în care văd câte lucruri trebuie puse la punct spun: „lasă că o să vină o lege şi se va abroga şi acest GDPR”, dar având în vedere că este un regulament european el se aplică la nivelul mediu spre ridicat de interpretare a tot ce înseamnă date cu caracter personal în UE. Dacă luăm, de exemplu, un sistem Wi Fi deschis trebuie să vedem unde se salvează log-urile de acces, cât timp sunt stocate. Există autorităţi publice care deservesc prin sistemul wi fi populaţia, situaţie în care trebuie să informeze cât timp stochează aceste informaţii, unde le stochează şi care este instituţia care le prelucrează şi care le şterge. În alte situaţii, vă dau exemplul camerelor video de pe domeniul public – pe site-ul Primăriei trebuie să avem o informare foarte clară: pentru ce se folosesc aceste imagini, cât timp sunt salvate imaginile, unde sunt stocate, cine poate să aibă acces la ele şi cum se furnizează „dreptul de a fi uitat”, dreptul introdus prin acest regulament prin care orice persoană fizică poate să solicite unei autorităţi sau unei companii să i se comunice ce date personale au fost stocate şi dacă nu au fost şterse să fie şterse la cerere acestuia în situaţia în care nu există o bază legală pentru păstrarea acestora.
La un hotel se pune în discuţie dacă solicitarea buletinului pentru a fi copiat este o solicitare proporţională cu scopul urmărit de regulament.
Citeşte şi
Tensiuni în coaliţia PSD-ALDE. Renate Weber cere demiterea lui Vâlcov
Se încarcă comentariile...
