De la 25 mai intră în vigoare Regulamentul General de Protecția Datelor impus la nivelul întregii Uniuni Europene, care protejează mult mai strict până acum viața privată și drepturile cetățenilor în raport cu entitățile care au acces la informații despre ei. Atât în România, cât și în alte țări din UE existau deja legi care reglementau protecția datelor cu caracter personal și autorități care controlau și sancționau nerespectarea lor. Ceea ce face ca noul regulament să aibă mai mare greutate este nivelul extrem de ridicat al amenzilor, ce pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri, și o serie de prevederi punctuale, care definesc precis ce se înțelege, de pildă, prin consimțământul utilizatorului, prezumat până acum în multe situații.
„Nu sunt lucruri neapărat noi sau sunt lucruri foarte asemănătoare. Lucrurile devin foarte serioase odată cu acest nivel crescut al amenzilor care va afecta în principal firmele mici și medii. Dacă nu se conformează înseamnă că nu conștientizează riscul la care se expun, genul acesta de amendă le poate închide”, declară, într-un interviu pentru Republica.ro, consultantul Tudor Galoș, a cărui firmă arată companiilor cum se pot conforma noilor prevederi. Introdus în 2016, regulamentul a avut un termen de grație pentru aplicare până la 25 mai 2018, însă, potrivit unui sondaj Reuters, în 17 din 24 de state europene analizate autoritățile nu se simt pregătite, nici din punct de vedere legislativ, nici din punct de vedere instituțional să aplice noile reglementări.
„Dacă ești o firmă americană care colectează date de la o persoană aflată pe teritoriul UE trebuie să respecți GDPR”
Începând de vineri, GDPR devine valabil pentru toate persoanele aflate pe teritoriul UE, indiferent dacă sunt sau nu cetățeni europeni. „Regulamentul îi protejează și pe imigranți, și pe cei care stau fără acte pe teritoriul UE”, explică Galoș. În opinia sa, protejați de GDPR sunt inclusiv cei care călătoresc de pe alte continente în Europa, iar sancționabile sunt inclusiv companiile americane care colectează date de la persoane aflate pe teritoriul Uniunii fără a se conforma regulamentului european. „Dacă ești o firmă din Franța și prelucrezi date personale ale cuiva din Africa de Sud trebuie să respecți GDPR. Dacă ești o firmă americană care colectează date de la o persoană aflată pe teritoriul UE trebuie să respecți GDPR”, spune consultantul. În caz contrar, persoana aflată pe teritoriul UE poate face o reclamație la autoritatea competentă din țara în care se aflăm care este datoare la rândul său să înceapă o investigație. „Legea a fost tocmai dată din cauza unor companii din SUA. E nevoie să oprim nebunia asta cu așa-zișii brokeri de date care colectează cantități enorme de date în scopuri comerciale”, afirmă Tudor Galoș.
Legislația pentru protecția datelor permite oricărei persoane să ceară unei anumite firme toate datele pe care deține și toate datele pe care le-a generat, iar firma este obligată să i le pună la dispoziție.
„Trebuie să dai tot ce deții despre acea persoană, inclusiv dacă l-ai trecut într-o listă de clienți ca rău platnic”
„Un fost angajat are dreptul să ceară organizației toate datele pe care le deține despre el, inclusiv evaluările, inclusiv etichetele negative. Asta e una dintre obligații, trebuie să dai tot ce deții despre acea persoană, inclusiv dacă l-ai trecut într-o listă de clienți ca rău platnic. Toate acestea vor ieși la suprafață. Dacă Ion a fost angajatul tău, trebuie să scoți aceste date și să i le trimiți. Procedura trebuie să elimine din start alte date cu caracter personal, dar faptul că i s-a spus că e prost sau e leneș va ieși la suprafață. Ai fi putut să faci asta și pe legea actuală, este dreptul la acces pe care foarte puțini l-au exercitat”, susține consultantul.
Orice persoană are dreptul la rectificarea datelor, atunci când ele nu mai corespund, dreptul la opoziție față de prelucrarea datelor, precum și dreptul la ștergerea datelor, atunci când el se referă la lucruri precum preferințe personale, obiceiuri de consum, tipologii de achiziții. Însă nu pot fi șterse achizițiile în sine sau datele referitoare la facturi, contracte, raporturi de muncă. Conform GDPR, poți cere în anumite situații suspendarea prelucrăriil datelor, ai dreptul să ceri unei companii să exporte datele tale către o alta pentru a fi scutit de birocrație, ai dreptul de a nu fi supus unei așa-zise „decizii automate”, arată Tudor Galoș. „Este interzisă prelucrarea automată a datelor personale cu ajutorul inteligenței artificiale, fără factorul uman, cu anumite excepții cum ar fi necesitatea de a proteja viața. dar nu ai voie să dai drumul unui algoritm care să își identifice preferințele personale”.
În opinia lui, practica de a cere CNP-ul pentru un card de fidelitate la farmacie sau la supermarket trebuie să dispară complet, fiind foarte puține și clare cazurile în care o persoană trebuie să își dea CNP-ul. Toate prelucrările de date personale trebuie să se facă la vedere, iar scopul lor trebuie explicat, într-un limbaj accesibil, de la bun început.
„Nu pot colecta mai multe date decât am nevoie, nu pot să schimb scopul procesării”
„Această transparență impune companiilor să spună ce fac cu datele personale, cum prelucrează datele cu caracter personal, cu cine le vor mai partaja și cât timp le vor ține. Datele trebuie prelucrate transparent, inteligibil, nu la genul poate avem nevoie. Pentru newsletter tu ai nevoie de nume prenume și adresa de email. Nu ai nevoie de înălțime și greutate. Tu trebuie să fi capabil ca organizație să explici fiecare câmp din fiecare interfață web. Scopul prelucrării trebuie clar și concis explicat. Nu conform articolului și alineatului. Trebuie să conțină exact conținutul într-un limbaj accesibil. Nu pot colecta mai multe date decât am nevoie, nu pot să schimb scopul procesării. Dacă eu cer date pentru Newsletter, nu pot să trimit aceste date către Google și Facebook ca să am o audiență separată. Pot să o fac, dacă i-am informat pe utilizator și am un temei legal să o fac”, crede consultantul.
Există câteva temeiuri legale în care se poate face o prelucrare de date personale, iar pentru ca aceasta să se facă conform Regulamentului este nevoie ca cel puțin unul dintre acesta să fie îndeplinit. Primul temei legal este consimțământul, care trebuie să fie explicit și poate fi retras în orice moment, fără urmări.
Un politician, un funcționar public, o vedetă sunt considerate persoane de interes public
Un altul este interesul legitim care apare atunci când te afli într-o relație de colaborare cu cineva și ai nevoie să comunici, să schimbi date, informații, sau când te afli la începutul unei colaborări. Interesul vital stă la baza prelucrării unor date pentru salvarea vieții cuiva și le permite clinicilor și spitalelor, de pildă, să dețină dosare medicale.
„Mai este interesul public și aici intră presa. Nu ați mai putea scrie despre vilele și mașinile unora care au niște salarii limitate și nu și-a permite, pentru că ați face intruziune în viața privată. Aici există însă interesul public: dacă acel om este politician, funcționar public, vedetă, este considerată persoană de interes public și nu mai poate să invoce necesitatea unui consimțământ pentru a i se face niște fotografii, mai ales dacă se află pe domeniul public sau în exercițiul funcțiunii. Un alt temei legal de prelucrare este interesul legitim al operatorului, atunci când nu încalcă vreun drept sau o libertate a unei persoane vizate, când face o analiză de vânzări, o statistică.”, spune Tudor Galoș.
Urmăriți Republica pe Google News
Urmăriți Republica pe Threads
Urmăriți Republica pe canalul de WhatsApp
Alătură-te comunității noastre. Scrie bine și argumentat și poți fi unul dintre editorialiștii platformei noastre.