Deși a trecut un și jumătate de punere în aplicare a Regulamentului general privind Protecția Datelor cu Caracter Personal (GDPR), încă există multe semne de întrebare cu privire la rolul responsabilului cu protecția datelor, înțelegerea și implementarea politicilor de protecție a datelor la nivelul instituțiilor publice și agenților economici din România, semnificația sancțiunilor contravenționale și a altor măsuri dispuse de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal  (ANSPDCP), consecințele nerespectării prevederilor GDPR precum și cu privire la aspecte sectoriale precum jurnalism, relații de muncă, dreptul la uitare/ stergere, avocaturii etc.

A treia ediție a Conferinței naționale cu tema ”Comunități virtuale în epoca Regulamentului general privind protecția datelor cu caracter personal (GDPR)”, eveniment organizat de Universitatea ”Danubius” în colaborare cu Institutul de Cercetări Juridice ”Acad. Andrei Rădulescu”al Academiei Române,  Asociația Română de Drept și Afaceri Europene (ARDAE), a oferit ocazia unor dezbateri deosebit de interesante cu privire la problematica repsectării reglementărilor care protejează datele cu caracter personal.

Au fost prezentate chestiuni de actualitate de către specialiști în domeniul juridic și în domeniul protecției datelor cu caracter personal, din perspective multiple, pornind de la principiile enunțate în GDPR,  la aspecte controversate din practica tuturor instituțiilor și  agenților economici care au calitatea de operatori și până la hotărârile recente ale Curții de Justiție a Uniunii Europene și ale Curții Europene a Drepturilor Omului, în această materie.

Reafirmând onoarea și plăcerea de a organiza asemenea evenimente științifice cu adevărat utile comunității, Rectorul Universității ”Danubius”, Conf. univ. dr. Andy Corneliu Pușcă a deschis Conferința prin prezentarea unor rezultate ale propriei cercetări științifice, abordând problematica respectării datelor cu caracter personal în contextul inteligenței artificiale.

Protecția datelor cu caracter personal în cadrul relațiilor de muncă a fost dezbatută  din perspectiva principiilor generale ale GDPR, prof. univ. dr. Daniel Mihail Șandru prezentând auditoriului principalele situații concrete din domeniul relațiilor de muncă cu referire la temeiul prelucrării datelor. Astfel, s-au discutat aspecte practice privind procesul de recrutare (prin surse proprii, prin site-uri specializate, societăți de consultanță, cv-uri nesolicitate), stabilirea documentelor necesare în procesul de recrutare și principiul reducerii la minimum a datelor, programele de monitorizare (geolocalizare, monitorizare video, monitorizarea activității efective la locul de muncă). S-a subliniat faptul că temeiul juridic al prelucrării datelor prin consimțământul angajatului ar trebui evitat. În final, s-a subliniat importanța ședințelor de conștientizare pe care responsabilul cu protecția datelor trebuie să le realizeze cu personalul propriu, ca măsură de evitare a riscurilor.

De asemenea, păstrând registrul  protecției datelor cu caracter personal în domeniul relațiilor de muncă, Lect. univ. dr. Ana Alina Ionescu Dumitrache, Decan al Facultății de Drept a Universității ”Danubius”, a prezentat două studii de caz din practica judiciară recentă a Curții Europene a Drepturilor Omului, cauza Bărbulescu c. Romania și Lopez Ribalda c. Spania, subliniind aspecte controversate din aceste hotărâri ale instanței europene în materia încălcării art. 8 al Convenției Europene a Drepturilor Omului care protejează dreptul la  viața privată și de familie.

Dr. Irina Alexe, cerectător științific asociat la Institutul de Cercetări Juridice al Academiei Române,  abordând tema Experiențe ale amenzilor administrative din România în domeniul GDPR,  a subliniat elemente de interes pentru operatori cu privire la consecințele încălcării dispozițiilor GDPR, astfel:

  • nu au fost aplicate amenzi contravenționale autorităților sau organismelor publice ori asimilaților acestora
  • 7 operatori sancționați prin amenzi contravenționale, toți din sectorul privat: 3 în domeniul serviciilor financiar-bancare ; 2 în domeniul juridic; 1 în domeniul industrial ; 1 în domeniul hotelier.
  • 8 amenzi aplicate în România – GDPR
  • totalizează echivalentul în lei a 329.500 euro
  • valori cuprinse între 1.000 și 150.000 euro
  • 3 amenzi au fost aplicate împreună cu alte măsuri corective
  • importanța respectării și garantării, de către operator, a drepturilor persoanelor vizate dar și a principiilor de protecție a datelor
  • luarea acelor măsuri tehnice și organizatorice adecvate, care să garanteze că riscul de prelucrare a datelor a fost evaluat în mod corect pentru a asigura o protecție adecvată a drepturilor și libertăților fundamentale ale persoanelor fizice
  • capacitatea administrativă a ANSPDCP nu este foarte ridicată pentru a putea efectua investigații la toți operatorii și, în context este foarte important modul de sesizare a acesteia.
  • absența unui registru public, ușor accesibil și facil de înțeles, al tuturor măsurilor corective aplicate în temeiul regulamentului
  • chiar și în lipsa registrului, este important ca informațiile publice furnizate să se refere de fiecare dată la temeiul legal, la descrierea faptelor, la descrierea tuturor măsurilor dispuse pentru fiecare caz în parte, la eventualele contestări ale măsurilor corective aplicate și la modul de soluționare a contestațiilor
  • comunicate publice, un tabel incomplet sau un ghid general cu întrebări și răspunsuri nu sunt suficiente
  • scopul: prevenirea încălcărilor și îndrumarea aplicării unitare a dispozițiilor în materia protecției datelor

Despre Rolul factorului uman în asigurarea protecției datelor personale prelucrate în cadrul comunităților virtuale,  drd. Alexandra Pană – Universitatea Carlos III Madrid, Spania, a concluzionat: ”în tot acest circuit, rolul factorului uman este primordial: de la momentul proiectării platformei digitale, pe tot parcursul creării și gestionării comunității virtuale, dar și în fiecare activitate ce implică membrii comunității, se va reflecta necesitatea de a acționa cu bună credință și în spiritul protejării dreptului la viață privată. Așadar, deși la prima vedere întreaga activitate a unei comunități virtuale pare a fi susținută de platforme digitale și aplicații informatice specifice, în realitate factorul uman joacă cel mai important rol în procesul de prelucrare a datelor personale încredințate de membrii comunității: pornind de la proiectarea instrumentelor digitale, apoi de la decizia de colectare, la decizia de prelucrare și stabilirea scopului prelucrării, până la momentul ștergerii sau transferului acestor date către un alt operator, factorul uman analizează, decide și acționează, afectând sau respectând dreptul fundamental al omului de a fi protejat în toate aspectele ce țin de viața sa privată și, implicit, de securitatea datelor personale. ”

Lect. univ. dr. Raul Felix Hodoș, cadru didactic la Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade”, a prezentat lucrarea Libertatea de exprimare și limitele ei în spațiul Comunităților virtuale, realizând o comparație între două tipuri de mesaje publice postate pe o rețea socială, soluțiile fiind divergente în cele două studii de caz prezentate.

Av. Dr. Andrei Săvescu a prezentat tema Vânzarea datelor personale cu respectarea GDPR, concluzionând: aprecierea cu privire la compatibilitatea scopurilor lasă deschisă posibilitatea transmiterii datelor cu caracter personal, însă preocuparea pentru protejarea nu doar a drepturilor, ci și a susceptibilității persoanelor vizate trebuie să fie constantă. Transmiterea datelor justificată de interesul legitim este posibilă, însă nivelul de exigență trebuie să fie ridicat. Avem convingerea că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum și instanțele judecătorești, vor găsi un just echilibru între, pe de o parte, interesul operatorilor de a funcționa normal și, pe de alte parte, drepturile și susceptibilitățile  persoanelor vizate.

Daniela Cireașă,  consultant în protectia datelor,  a prezentat tema Relații și atitudini între responsabilul cu protecția datelor (DPO) și operator precum și în raporturile dintre operatori – aspecte practice, realizând o radiografie a relației dintre operator și responsabilul cu protecția datelor prezentând cazuri practice în care DPO este angrenat în impunerea respectării GDPR.

Deosebit de interesante au fost si intervențiile:

Silviu – Dorin Şchiopu – Asist. univ. dr. Universitatea Transilvania – Brașov: Spre o reconfigurare a dreptului la uitare digitală după hotărârile Curţii de Justiție a Uniunii Europene în cauzele GC şi alții (C‑136/17) şi Google (C‑507/17)? Towards a Re-Configuration of the Right to be Digitally Forgotten after the Court of Justice of the European Union’s Judgments in Cases GC and Others (C‑136/17) and Google (C‑507/17)?

Bogdan Panait – Avocat Barou Brasov: ”Jurnalismul sub efectele GDPR: libertatea de exprimare și dreptul la protecția datelor”

Drd. Alexandru Georgescu:  Prelucrarea datelor cu caracter personal în contextul monitorizării salariaților

Conf. univ. dr. Nicolae Dragos Ploeșteanu (Universitatea de Medicină, Farmacie, Științe și Tehnologie „George Emil Palade”), Darius Farcaș – expert achiziții publice, Aspecte privind principiul privacy by design și achizițiile publice. Studiu de caz.

Raul Miron, Privire critică asupra ghidului de bune practici privind principalele obligații ale avocaților conform GDPR.