{"id":236,"date":"2022-07-26T12:33:00","date_gmt":"2022-07-26T12:33:00","guid":{"rendered":"https:\/\/zi-deschisa.ro\/ofi\/?p=236"},"modified":"2022-09-30T12:33:19","modified_gmt":"2022-09-30T12:33:19","slug":"drepturi-privind-protectia-datelor-cu-caracter-personal-2","status":"publish","type":"post","link":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/2022\/07\/26\/drepturi-privind-protectia-datelor-cu-caracter-personal-2\/","title":{"rendered":"<strong>Drepturi privind protec\u021bia datelor cu caracter personal<\/strong>"},"content":{"rendered":"\n<p><strong>Notificarea compromiterii sistemului<\/strong><\/p>\n\n\n\n<p>Dac\u0103 sistemul care con\u021binea datele a fost spart, compania este obligat\u0103 s\u0103 notifice autoritatea de supervizare \u00een termen de 72 de ore de la luarea la cuno\u0219tin\u021b\u0103. De asemenea, \u0219i utilizatorii ale c\u0103ror date au fost compromise trebuie notifica\u021bi, cu excep\u021bia cazului c\u00e2nd datele furate erau criptate \u0219i compania are bune motive s\u0103 cread\u0103 c\u0103 aceste date nu pot fi decriptate.<\/p>\n\n\n\n<p><strong>Norme de aplicare<\/strong><\/p>\n\n\n\n<p>Fiecare stat membru va trebui s\u0103 \u00eenfiin\u021beze o autoritate de supervizare care va arbitra \u0219i investiga pl\u00e2ngerile, \u0219i va administra sanc\u021biunile.<\/p>\n\n\n\n<p>Companiile vor trebui s\u0103 implementeze principii de protec\u021bia datelor la nivel de design (privacy by design) , de exemplu prin pseudonimizarea automat\u0103 a datelor. Companiile vor trebui s\u0103 \u00ee\u0219i evalueze sistemele de prelucrare a datelor \u0219i s\u0103 aduc\u0103 modific\u0103ri acolo unde este cazul. Companiile vor trebui s\u0103 angajeze sau s\u0103 apeleze la serviciile de consultan\u021b\u0103 ale unor ofi\u021beri de protec\u021bia datelor sau ofi\u021beri de complian\u021b\u0103 care vor evalua sistemul periodic (Wikipedia).<\/p>\n\n\n\n<p><strong>Sanc\u021biuni<\/strong><\/p>\n\n\n\n<p>Exist\u0103 o clas\u0103 larg\u0103 de sanc\u021biuni ce pot fi impuse. De la un avertisment \u00een scris la prima abatere neinten\u021bionat\u0103, la obligativitatea de a face audituri de protec\u021bia datelor periodice. Apoi se poate trece la amenzi de p\u00e2n\u0103 la 10 milioane de Euro sau p\u00e2n\u0103 la 2% din profitul anual global al companiei, care este mai mare. Aceast\u0103 amend\u0103 se poate aplica dac\u0103 a existat o \u00eenc\u0103lcare a anumitor articole din regulament (8, 11, 25-39, 42, 43, 41). Pentru \u00eenc\u0103lc\u0103rile altor prevederi (articolele 5, 6, 7, 9, 12 -22, 44-49, 58) amenda poate ajunge p\u00e2n\u0103 la 20 de milioane de Euro sau 4% din profitul global al companiei.<\/p>\n\n\n\n<p><strong>Receptare \u00een societatea civil\u0103<\/strong><\/p>\n\n\n\n<p>Mai mul\u021bi speciali\u0219ti \u00een securitate, membri ai societ\u0103\u021bii civile, precum \u0219i oameni de afaceri \u0219i-au exprimat opiniile cu privire la GDPR. Astfel, Philippe de Backer, secretarul belgian de stat al Consiliului privind frauda social\u0103, via\u021b\u0103 privat\u0103 \u0219i Marea de Nord, a caracterizat GDPR ca fiind \u201co autoritate de protec\u021bie a datelor mult mai modern\u0103, mai la zi, mai puternic\u0103, mai clar\u0103 \u0219i mai transparent\u0103\u201d. El a apreciat mai ales mecanismul de sanc\u021biuni care este \u201cmult mai restrictiv\u201d \u0219i, \u00een acela\u0219i timp, existen\u021ba unor m\u0103suri mai detaliate de preven\u021bie a scurgerilor de date (Raywood, 2017).<\/p>\n\n\n\n<p>\u00centr-adev\u0103r, GDPR este mult mai restrictiv \u00een sensul c\u0103 amenzile pentru \u00eenc\u0103lcarea prevederilor pot ajunge p\u00e2n\u0103 la 20 de milioane de euro sau 4% din profitul anual al companiei. Erik Luysterborg, expert \u00een securitate la Deloitte, a declarat cu aceea\u0219i ocazie c\u0103 aceste cerin\u021be restrictive vor \u201cfor\u021ba companiile s\u0103 respecte cerin\u021bele de securitate\u201c precum \u0219i c\u0103 aceast\u0103 aliniere la norme nu va putea fi formal\u0103, companiile chiar vor trebui s\u0103 implementeze efectiv to\u021bi pa\u0219ii. Alinierea la GDPR va for\u021ba firmele s\u0103 \u00ee\u0219i revizuiasc\u0103 politicile de managementul datelor, ceea ce va duce la un management mai efectiv al datelor \u0219i la un mediu mai stabil pentru monitoriz\u0103rile de date (Raywood, 2017).<\/p>\n\n\n\n<p><strong>Probleme posibile legate de implementarea \u00een practic\u0103 a regulamentului:<\/strong><\/p>\n\n\n\n<p>C\u00e2nd GDPR era \u00eenc\u0103 \u00een stagiul de propunere, s-au iscat multe discu\u021bii \u0219i s-au propus numeroase amendamente. De\u0219i scopul acestui regulament era eficientizarea costurilor \u2013 din partea administra\u021biei cel pu\u021bin \u2013 studii de fezabilitate au ar\u0103tat c\u0103, cel pu\u021bin la \u00eenceput, costurile vor cre\u0219te \u2013 pentru companii. Un sondaj f\u0103cut de TrustArc a ar\u0103tat c\u0103 se estimeaz\u0103 costuri \u00een jur de 100.000$ din partea companiilor pentru alinierea la standardele GDPR (TrustArc, 2017). \u00cen afar\u0103 de problema costurilor, exist\u0103 \u00eengrijor\u0103ri privind povara birocratic\u0103 \u0219i administrativ\u0103 pe care statele membre vor trebui s\u0103 o suporte, \u00eenfiin\u021b\u00e2nd noi agen\u021bii. Dat fiind c\u0103 activit\u0103\u021bile Agen\u021biei de Protec\u021bia Datelor se vor desf\u0103\u0219ura probabil \u00een limba local\u0103, companiile interna\u021bionale vor prefera s\u0103 discute cu agen\u021biile din Irlanda \u0219i UK care vor folosi limba englez\u0103, ceea ce va duce la o suprasolicitare a acestor agen\u021bii.<\/p>\n\n\n\n<p>Problemele practice care vor ap\u0103rea la implementarea GDPR nu se cunosc \u00eenc\u0103, dar se pot estima c\u00e2teva arii de dificult\u0103\u021bi. Astfel, la nivelul companiilor private, practicile existente vor trebui schimbate rapid \u00een condi\u021biile \u00een care multe companii nu aveau politici de securitate a datelor. De la zero m\u0103suri se trece la un cadru foarte strict. Lipsa exper\u021bilor \u00een date cu caracter personal se va face resim\u021bit\u0103 rapid. Sistemele de educa\u021bie \u00een privin\u021ba protec\u021biei datelor \u0219i a legisla\u021biei privind dreptul la via\u021b\u0103 privat\u0103 vor trebui s\u0103 se adapteze rapid \u0219i s\u0103 incorporeze noile cerin\u021be. De\u0219i nu avem de a face cu o directiv\u0103, pot ap\u0103rea diferen\u021be de interpretare a regulamentului, mai ales \u00een normele practice de aplicare, \u0219i aceste diferen\u021be vor trebui rezolvate de comun acord la nivelul Comisiei Europene \u0219i al agen\u021biilor de protec\u021bia datelor \u00eentr-un mod eficient. De asemenea, politicile de comer\u021b interna\u021bional ale EU nu au fost \u00eenc\u0103 aliniate la GDPR (Wikipedia).<\/p>\n\n\n\n<p>Ca orice lege care protejeaz\u0103 cet\u0103\u021benii, recursul la aceasta presupune apelul la autorit\u0103\u021bile competente. Dreptul de a fi \u0219ters din bazele de date va fi probabil cel mai controversat \u00een practica juridic\u0103. Se estimeaz\u0103 c\u0103 exercitarea acestui drept de c\u0103tre persoanele fizice va fi \u00eent\u00e2mpinat\u0103 de destule obstacole. Astfel, pentru a cere \u0219tergerea datelor personale, subiectul trebuie s\u0103 justifice de ce anume, \u00een acea situa\u021bie particular\u0103, are nevoie s\u0103 i se \u0219tearg\u0103 datele \u2013 cu excep\u021bia \u00een care procesarea se face pentru scopuri de marketing, atunci nu mai este nevoie de motive (Ausloos, 2017). Problema este c\u0103 listarea de motive nu duce automat la \u0219tergerea datelor, deoarece procesatorul de date are dreptul s\u0103 se justifice \u0219i s\u0103 refuze cererea dac\u0103 poate demonstra motive suficiente pentru care procesarea trebuie s\u0103 aib\u0103 loc. Aceasta este una din schimb\u0103rile majore fa\u021b\u0103 de directiva 95\/46 unde pragul pentru obiec\u021bii individuale era mai ridicat, subiectul datelor trebuia s\u0103 prezinte motive temeinice pentru obiec\u021bia sa, dar acum motivele pot fi \u0219i personale, doar c\u0103 \u0219i procesatorul de date are dreptul s\u0103 ridice obiec\u021bii (Ausloos, 2017).<\/p>\n\n\n\n<p>Din punct de vedere practic, exercitarea dreptului de a obiecta se va lovi de ni\u0219te dificult\u0103\u021bi. Dat fiind c\u0103 procesatorul poate refuza \u0219tergerea dac\u0103 invoc\u0103 interesele proprii ca fiind mai importante dec\u00e2t interesele subiectului datelor. Se presupune c\u0103 procesatorii de date se vor folosi de aceast\u0103 prevedere formul\u00e2nd motivele proces\u0103rii de date \u00een termeni c\u00e2t mai vagi pentru a permite interpretarea scopurilor c\u00e2t mai larg\u0103. Astfel, p\u00e2n\u0103 la urm\u0103 decizia dac\u0103 drepturile procesatorului sunt mai importante dec\u00e2t ale subiectului va reveni unui arbitru care va porni, cel mai probabil, de la termenii deja stabili\u021bi de procesator. \u00cen practic\u0103, este probabil c\u0103 cererea de \u0219tergere a datelor nu se va rezolva amiabil, ci va escala la o autoritate competent\u0103 \u00een cele mai multe cazuri (Ausloos, 2017).<\/p>\n\n\n\n<p>O alt\u0103 problem\u0103 prive\u0219te drepturile companiilor de g\u0103zduire web de tip cloud. Dac\u0103 un procesator de date g\u0103zduie\u0219te datele \u00eentr-un serviciu de tip cloud al altei companii, se consider\u0103 compania de g\u0103zduire ca fiind procesator de date personale? GDPR pare s\u0103 spun\u0103 c\u0103 nu, dat fiind c\u0103 datele criptate nu sunt considerate date personale dec\u00e2t pentru cel care are cheia de decriptare. Astfel, ar urma c\u0103 datele sunt personale pentru procesatorul care le-a criptat, dar nu \u0219i pentru gazda web care nu le poate citi. Totu\u0219i, problema este mai complicat\u0103. Pe de o parte, se \u0219tie c\u0103 nu exist\u0103 criptare perfect\u0103 \u0219i, astfel, \u00een cazurile de hacking, providerul de g\u0103zduire poate fi \u00eenvinuit c\u0103 a permis accesul la date personale de\u0219i el nu \u0219tia c\u0103 g\u0103zduie\u0219te date personale. Mai mult, rolul providerului de g\u0103zduire este ambiguu, dat fiind c\u0103 exist\u0103 un contract \u00eentre compania de g\u0103zduire \u0219i compania de prelucrare \u0219i colectare a datelor. Dac\u0103 \u00een contract se stipuleaz\u0103 c\u0103 se vor g\u0103zdui date personale, atunci providerul de g\u0103zduire devine procesator de date personale f\u0103r\u0103 voia sa \u0219i trebuie s\u0103 implementeze prevederile GDPR (Vogiatzoglou, 2017).<\/p>\n\n\n\n<p><strong>Concluzii<\/strong><\/p>\n\n\n\n<p>GDPR este un mare pas \u00eenainte \u00een legislarea protec\u021biei datelor cu caracter personal. Prin \u00eenlocuirea Directivei 95\/46, s-a asigurat un cadrul legislativ uniform pe tot teritoriul UE care va fi mai pu\u021bin vulnerabil la interpret\u0103rile statelor membre. Aceast\u0103 uniformizare are \u00eens\u0103 \u0219i ni\u0219te costuri pentru statele membre, cum ar fi stabilirea a noi organisme de control- Agen\u021bii de protec\u021bia datelor \u2013 precum \u0219i pentru companiile mari care vor trebui s\u0103 angajeze personal specializat \u00een legisla\u021bia datelor. GDPR aduce ni\u0219te beneficii clare prin faptul c\u0103 subliniaz\u0103 importan\u021ba p\u0103str\u0103rii unui acces limitat la datele personale, precum \u0219i importan\u021ba datelor personale \u00een p\u0103strarea integrit\u0103\u021bii personale \u0219i a libert\u0103\u021bilor fundamentale. Datele cu caracter personal, de\u0219i au un poten\u021bial economic fabulos, pot fi exploatate prea u\u0219or \u0219i de aceea UE dore\u0219te s\u0103 previn\u0103 eventualele abuzuri prin stabilirea unui cadru legislativ cam restrictiv. Mul\u021bi procesatori de date vor fi nevoi\u021bi s\u0103 \u00ee\u0219i revizuiasc\u0103 politicile de colectare a consim\u021b\u0103m\u00e2ntului \u0219i, astfel, utilizatorii vor avea mai mult control asupra datelor lor personale. \u00cen acela\u0219i timp, GDPR birocratizeaz\u0103 procedurile \u0219i introduce un nivel suplimentar de administra\u021bie ceea ce va duce la dificult\u0103\u021bi pentru utilizatorii de r\u00e2nd \u00een a ob\u021bine accesul la propriile date. \u00cen mai 2018 GDPR va fi implementat de toate statele membre UE. R\u0103m\u00e2ne de v\u0103zut dac\u0103 GDPR va fi un ajutor \u00een protec\u021bia cet\u0103\u021benilor sau o barier\u0103 pentru mediul de afaceri.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Notificarea compromiterii sistemului Dac\u0103 sistemul care con\u021binea datele a fost spart, compania este obligat\u0103 s\u0103 notifice autoritatea de supervizare \u00een termen de 72 de ore de la luarea la cuno\u0219tin\u021b\u0103. De asemenea, \u0219i utilizatorii ale c\u0103ror date au fost compromise trebuie notifica\u021bi, cu excep\u021bia cazului c\u00e2nd datele furate erau criptate \u0219i compania are bune motive&hellip; <a class=\"more-link\" href=\"https:\/\/zi-deschisa.ro\/ofi\/index.php\/2022\/07\/26\/drepturi-privind-protectia-datelor-cu-caracter-personal-2\/\">Continue reading <span class=\"screen-reader-text\"><strong>Drepturi privind protec\u021bia datelor cu caracter personal<\/strong><\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/posts\/236"}],"collection":[{"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/comments?post=236"}],"version-history":[{"count":1,"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/posts\/236\/revisions"}],"predecessor-version":[{"id":237,"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/posts\/236\/revisions\/237"}],"wp:attachment":[{"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/media?parent=236"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/categories?post=236"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zi-deschisa.ro\/ofi\/index.php\/wp-json\/wp\/v2\/tags?post=236"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}