Cea mai recentă ediție a interviurilor video PSnews.ro au avut-o ca invitată pe Teodora Ionașcu, avocat în Baroul București, care a explicat cele mai importante prevederi ale noului Regulament General privind Protecția Datelor Personale (General Data Protection Regulation – GDPR).
Concret: jurista a înecput prin a atrage atenția că regulamentul (care produce efecte începând cu data de 25 mai) este în vigoare de doi ani, dar statele membre UE au avut în tot acest timp o perioadă de grație pentru aplicarea lui.
„Impactul o să fie pe termen foarte lung și ne va afecta pe toți: atât persoane fizice, cât și persoane juridice. Nimeni nu scapă de Regulament. Dar nu putem cuantifica la acest moment care va fi cu adevărat impactul, însă el va fi foarte puternic – asta cu certitudine”, a comentat Teodora Ionașcu.
În continuare, avocata a ținut să sublinieze două dintre principalele modificări pe care le introduce GDPR în legislația europeană legată de datele cu caracter personal: responsabilitatea operatorilor și noile drepturi ale persoanelor fizice – în special așa-numitul „drept de a fi uitat”. Totodată, specialista a reliefat două principii pe care se bazează GPDR: responsabilitatea și transparența.
„Sunt multe modificări pe care el (GDPR-ul – n.r.) le aduce, însă o să vorbesc doar despre două dintre ele, care mie mi se par cele mai importante. În capitolul 2, pleacă de la niște principii, pe care operatorii de date cu caracter personal vor trebui să le respecte, ca să evite sancțiunile.
Cel mai important principiu este legat de responsabilitatea operatorilor. Ei vor trebui să prelucreze aceste date cu acordul expres luat din partea persoanelor fizice. Apar și anumite drepturi pe care le au persoanele fizice. Acesta ar fi al doilea aspect cu privire la principalele modificări.
Sunt noi drepturi pe care le au persoanele fizice vizate de Regulament. Regulamentul vine să protejeze doar persoane fizice și interesele acestora.
Pe lângă principiul responsabilității este principiul transparenței. Operatorii de date cu caracter personal și împuterniciții acestora vor trebui să prelucreze datele în mod transparent. Adică persoana fizică ale cărei date sunt colectate și prelucrate trebuie să știe exact ce se întâmplă cu datele ei. De exemplu, un lucru care va supăra foarte multe companii e legat de profilare. Adică nu mai putem să identificăm anumite preferințe ale unei persoane fizice, pentru că a intrat pe un site, a văzut ceva și apoi să facem un profil al lui și să-l bombardăm pe alte site-uri cu respectiva informație sau cu respectivul produs la care el s-a uitat la un anumit moment.
Și pe plan politic o să fie un impact din acest punct de vedere, pentru că e de notorietate faptul că au fost rezultate ale unor campanii care au fost produse ca urmare a acestei profilări, pentru că au fost identificate persoanele fizice din spatele calculatoarelor și li s-au indus anumite lucruri sau li s-au transmis anumite știri, în funcție de un profil pe care l-au identificat și au fost influențate. Poate la început nu aveau nicio poziție, nu știau ce să aleagă și, ca urmare a unor lucruri pe care le-au văzut sau site-uri pe care au intrat, s-a făcut o profilare, s-a văzut cam care ar fi punctele lor sensibile și au fost influențați. Practic, este, până la urmă, aproape o manipulare a persoanelor fizice. Acest lucru e total în contradicție cu Regulamentul.
Asta înseamnă principiul transparenței: persoanele fizice trebuie să știe exact unde se duc datele lor și ce se întâmplă cu ele. Nimănui nu-i place să fie manipulat. Nu vom ști, dar măcar vom fi mai protejați de acest Regulament – ăsta e sensul, până la urmă.
Drepturi aveau persoanele fizice și înainte (nu s-au inventat acum), dar persoanele fizice au noi drepturi. Iar cel mai cunoscut și despre care s-a tot vorbit acum este dreptul de a fi uitat. El înseamnă că tu, ca persoană fizică, soliciți unei persoane juridice sau unei instituții despre care știi sigur că deține datele tale cu caracter personal, soliciți să fii șters de acolo. Iar ulterior, în momentul în care a primit solicitarea ta, operatorul de date este obligat să te șteargă și să-ți și facă dovada că tu nu mai ești în baza lor de date.
Mai mult decât atât: persoana juridică va fi obligată, dacă a folosit datele tale către terți, să te șteargă de pe tot fluxul respectiv – lucru care va fi tehnic destul de complicat”, a detaliat Ionașcu.
În continuare, Teodora Ionașcu a adus în discuție sancțiunile de care vor fi pasibili cei care nu respectă GDPR-ul – în special companiile. Mai mult: avocatul a ținut să precizeze că firmele vor fi mai aspru pedepsite decât instituțiile de stat. Conex, juristul a atras atenția că la început va fi greu ca toată lumea să se conformeze, astfel încât va exista o inerție până la intrarea în normalitate.
„Aproape sigur vei fi sancționat, pentru că suntem oameni și poate avem incertitudini. E dreptul nostru să-i spunem autorității: «Te rog frumos: verifică că mi s-au șters datele de la compania X, unde eu le-am cerut». Probabil ați văzut că acum e o discuție cu privire la datele persoanelor care au luat credite, de exemplu. Ei vor să fie șterși din acea bază de date. Drepturile trebuie respectate, iar autoritatea are atribuțiile necesare să verifice. În momentul în care i se va face o solicitare de către o persoană fizică, ea chiar trebuie să ia măsuri și să facă un control – să vadă că drepturile tale au fost respectate.
(Companiile – n.r.) vor fi afectate foarte puternic, dar nu trebuie să se sperie nimeni. E o chestie de disciplină, până la urmă, în opinia mea. Practic, se va schimba întreaga arhitectură în cadrul companiei. De la portar până la CEO, ei trebuie să cunoască Regulamentul. Degeaba persoanele dintr-o companie știu Regulamentul, dacă tu, în momentul în care te duci în clădirea respectivă, dai buletinul, că ți se cere. Practic, tu ai încălcat Regulamentul, dacă nu ai un scop bine determinat pentru care faci acest lucru.
Ce va fi foarte greu de făcut (dar asta este pe termen lung – aproape nimeni n-o să fie pe 25 mai conform cu Regulamentul) e o disciplină, care se va face ușor-ușor, dar cu toții vom fi avantajați, pentru că vom ști foarte clar politici de securitate a datelor, în care se spune clar fluxul datelor: de când a intrat data cu caracter personal în companie până când a fost ștearsă. Plus că nu trebuie să le mai ținem. Sunt foarte mulți operatori care dețin baze de date fără niciun scop. Automat ele trebuie șterse. În următoarea perioadă, probabil că cel mai mult se va folosi ștergerea”, a explicat Ionașcu.
În ceea ce privește instituțiile, Teodora Ionașcu a precizat că ele vor fi obligate să aibă o persoană special desemnată ca responsabil cu protecția datelor.
„Regulamentul li se aplică și lor. Au obligativitatea de a-și lua un responsabil cu protecția datelor. Fiecare instituție a avut o perioadă de doi ani să se conformeze cu GDPR-ul. Instituțiile publice au anumite avantaje sau sunt un pic scoase din toate obligațiile pe care le au persoanele juridice, pentru că, dacă prelucrează datele într-un scop legitim sau pentru că așa le prevede legea lor. Dacă motivul pentru care o fac este legitim, atunci nu li se aplică Regulamentul.
Instituțiile sunt avantajate, pentru că au sancțiuni mult mai mici decât persoanele juridice. Dar părerea mea este că ar trebui să fie primele și să dea un exemplu către privați că aplică Regulamentul și folosesc datele exact în scopul pentru care ele au fost luate”, a declarat av. Ionașcu pentru PSnews.ro.
Totodată, Teodora Ionașcu a evidențiat nivelul foarte ridicat al amenzilor de care vor fi pasibile companiile care nu vor respecta GDPR-ul.
„Cred că motivul pentru care Regulamentul este atât de cunoscut acum și toată lumea este foarte interesată de el este legat strict de sancțiuni. Probabil, dacă aveam o sancțiune de 100 de euro, nu mai purtam discuția asta acum. Dar sancțiunile sunt foarte mari.
Sunt două tipuri de sancțiuni. Ele pot fi în primă fază sancțiuni în sensul îndrumărilor pe care le primești de la autoritate – deci n-ajungem la bani în primă fază. De exemplu, autoritatea îți poate solicita să ștergi datele sau poate să-ți restricționeze anumite activități, iar ulterior va fi amenda – care este administrativă la acest moment. Ea este pe două paliere: o dată până la 2% din cifra de afaceri la nivel mondial și apoi până la 10 milioane de euro. Sunt companii foarte mari, pentru care poate 10 milioane de euro nu înseamnă foarte mult – tocmai acesta a fost motivul pentru care s-a decis aplicarea unui procent.
Apoi: pentru încălcări ale Regulamentului și ale principiilor de care vă vorbeam, sancțiunile sunt mai mari – respectiv până la 4% din cifra de afaceri sau 20 de milioane de euro. De asta este atât de drastic acest Regulament. Chiar ieri a apărut proiectul de lege cu privire la autoritate și cum va proceda ea. Deci o amendă de până la 300.000 de euro va putea fi dată chiar de inspectorul care face controlul. Amenda de peste 300.000 de euro va fi dată cu aprobarea directorului autorității. Dar până-n 300.000 de euro se poate întâmpla oricui”, a afirmat Teodora Ionașcu.
Pe de altă parte, ea a opinat cu regret că românul încă nu este pregătit pentru noul regulament al UE.
„Nu e pregătit. Iar noi prin natura noastră vrem să știm și ce se întâmplă în curtea vecinului. Nu suntem foarte discreți cu datele personale ale celorlalți și ne place să știm ce fac și ceilalți. Din 25 mai, va trebui chiar să fim mai discreți și să înțelegem că fiecare are dreptul la o viață privată și datele lui chiar sunt datele lui personale. Și practic nu vor mai putea ele să se plimbe peste tot prin companie sau să vindem baze de date. Sper să nu mai ajungem să primim tot felul de oferte nesolicitate sau tot felul de telefoane, să ne vândă cineva ceva fără acordul nostru. Deci o să fie greu la început, dar e o chestie de disciplină și sper ca în câțiva ani să devenim și noi mai discreți și mai atenți cu datele celorlalți”, a încheiat Ionașcu.
Secvența este disponibilă de la început până la momentul 14:25:
