Astăzi, când există un număr foarte mare de baze de date care graţie Internet-ului pot fi consultate din orice colţ al lumii, spionajul informatic cunoaşte o şi mai mare amploare şi diversificare. Furtul de informaţii îngrijorează tot mai mult companiile, societăţile şi firmele din cele mai variate domenii de activitate. Informaţiile comerciale, de genul listelor de produse, de preţuri, de clienţi, de furnizori, al metodelor de promovare a produselor sau al studiilor de marketing sunt cele mai „vânate”. Acestora li se adaugă tehnologiile de fabricaţie, metodele de instruire a personalului, know-how-ul, invenţiile în curs de patentare ş.a.
Numele si prenumele, locul si data nasterii, domiciliul si/sau resedinta, codul numeric personal, adresa de e-mail, numarul de telefon – indiferent daca deschidem un cont bancar, daca ne cream un cont pe un site de socializare sau rezervam online un bilet de avion, aceste informatii ne sunt cerute.
Conform legislatiei UE, datele cu caracter personal pot fi preluate numai in conditii stricte, in scopuri legitime. Mai mult, persoanele sau organizatiile care colecteaza si administreaza informatii cu caracter personal au obligatia legala de a proteja aceste informatii impotriva abuzurilor. Drepturile posesorilor acestor date sunt garantate de legislatia UE si de legislatiile nationale ale statelor membre UE.
In contextul globalizarii, al economiilor trans-nationale, participantii la fenomenul economic (ca e vorba de companii, autoritati publice sau simpli cetateni) transfera volume mari de date personale peste granitele tarii de origine. Schimburile comerciale internationale sunt afectate de existenta reglementarii diferite de la tara la tara in ceea ce priveste protectia datelor cu caracter personal. Tocmai de aceea la nivelul Uniuni Europene s-au stabilit o serie de reguli comune in ceea ce priveste protectia datelor cu carcater personal, menite sa ofere un grad cat mai bun de siguranta a acestor date, atat la nivelul UE cat si in afara acesteia.
Data fiind dinamica fenomenului, Comisia Europeana a propus aplicarea de modificari majore in ceea ce priveste cadrul juridic al UE referitor la protectia datelor cu caracter personal. Masurile propuse au ca scop intarirea drepturilor individuale si abordarea provocarilor legate de globalizare si noile tehnologii.
In Romania, autoritatea responsabila cu respectarea drepturile persoanei in ceea ce priveste informatiile cu caracter personal este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), infiintata prin Legea nr. 102/2005. Prelucrarea datelor cu caracter personal si libera circulatie a acestora este guvernata de legea nr. 677/2001 prin care a fost transpus acquis-ul reprezentat de Directiva 95/46/EC, care reglementeaza cadrul juridic general al protectiei datelor personale la nivelul Uniunii Europene.
Conform cerinţelor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, modificată şi completată şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, operatorul ce colecteaza si prelucreaza date cu caracter personal are obligatia de a administra în conditii de siguranta si numai pentru scopurile specificate, datele personale furnizate.
Avand in vedere numarul de fraude informatice (furtul de identitate sau phishing) in crestere, faptul ca doar o parte din numarul total al acestor infractiuni ajunge la cunostiinta legii, precum si insuficientul grad de constientizare al utilizatorilor de internet din Romania (aproximativ 8 milioane) cu privire la riscurile dezvaluirii datelor personale, ar fi oportun ca ANSPDCP sa elaboreze si sa publice un ghid de practici, adresat atat persoanelor fizice cat si operatorilor de date. Acest ghid ar trebui sa sintetizeze prevederile legislatiei in vigoare, sa explice
- principiile ce stau la baza protectiei datelor cu caracter personal, sa exemplifice cum sunt aplicate aceste principii,
- categorii de date cu caracter personal prelucrate,
- scopul prelucrarii,
- persoanele vizate (clienti sau potantiali clienti, consumatori, abonati, etc)
- interdictia de a prelucra anumite date cu caracter personal de catre operatori (spre exemplu date referitoare la originea rasiala sau etnica, de convingerile politice, religioase, filozofice sau de natura similara, de apartenenta sindicala, precum si a datelor cu caracter personal privind starea de sanatate sau viata sexuala, cu exceptia situatiilor in care legea obliga la acest lucru)
- operatiunile efectuate in vederea prelucrarii datelor cu caracter personal (modalitati de inregistrare si stocare)
- durata prelucrarii datelor cu caracter personal
- accesul la datele cu caracter personal stocate (autoritarile publice in conditiile legii, persoana vizata, personalul autorizat al operatorului de date)
- garantiile si drepturile persoanei vizate,
- Conditiile in care aceste date pot fi transmise catre un tert membru aflat sub alta jurisdictie (in interiorul sau in afara granitelor UE),
- Exceptii, interdictii si sanctiuni,
- Legislatie nationala si europeana aplicabila in domeniu
Avand in vedere tendintele europene de intarire a sectorului datelor cu caracter personal, Romania trebuie sa faca eforturi in aceasta directie, in sensul actualizarii (date fiind noile tehnologii in domeniul IT&C si fenomenul globalizarii) si unificarii legislatiei existente in domeniu, intarirea protectiei oferite si simplificarea procedurilor prevazute de lege atat pentru operatori cat si pentru cetateni. Protectia datelor este la masa discutiilor la Bruxelles; trebuie sa fie in consecinta, din ce in ce mai mult, si la Bucuresti.
Bogdan,
Bravo pentru articol.
O nuantare: exista deja ghidul de practici elaborat de ANSPDCP la care te referi. Oricine poate consulta materialele „Brosuri (Aspecte generale)”, „Pliante (Aspecte generale)” si „Stii ce drepturi ai?” in acest link http://dataprotection.ro/?page=Materiale_informative&lang=ro.
De asemenea, cred ca ar fi fost util sa dai link-ul unde este supus consultarii publice (in Romania) noul pachet legislativ http://www.dataprotection.ro/?page=Noi_proiecte_de_reglementari_la_nivel_UE_privind_protectia_datelor_personale&lang=ro.
Noul regulament european (cand va fi adoptat – probabil pe la inceputul lui 2014) se va aplica direct si in Romania (adica nu va mai fi necesara o lege de transpunere in legislatia romana).
Buna Claudia.
Multumesc pentru aprecieri.
Cat despre brosurile ANSPDCP, personal, le consider usor depasite (2006, 2008) si scrise ca un copil neindemanatic (sau doar asa ca sa fie). Ceva de de genul http://www.ico.gov.uk/for_organisations/data_protection/the_guide.aspx parca arata mai bine. De asemenea cred ca ar trebui si ceva mai bine mediatizate. Poate o sa ramanai surprinsa dar foarte multa lume (cu un nivel destul de ridicat de instruire intr-un domeniu sau altul) habar n-are ce inseamna protectia datelor. iar cand consulta site-ul ANSPDCP acesta de obicei nu merge.
Multumesc pentru link-ul pachetului legislativ supus dezbaterii.
Bineinteles, brosurile pot fi imbunatatite si, cu siguranta, ar trebui mediatizate mai mult. Dar asta nu inseamna ca informatia nu exista pentru cine vrea sa caute. Mai mult, la o prima vedere, ele par sa reflecte cadrul legal actual. Repet, dupa ce legislatia se va modifica la nivel UE, banuiesc (sper) ca ANSPDCP vor completa/schimba si materialele de pe site.
Ai dreptate: din pacate, multi romani nu cunosc bine semnificatia datelor personale; totusi, cred ca incep sa devina constienti de importanta lor (din practica mea de peste cinci ani in domeniu, foarte multe companii fac eforturi pentru a respecta prevederile specifice).
Exista o reglementare ce impune ca in sistemele informatice ale institutiilor pubilce, CNP-ul sa fie principalul identificator. Se intimpla acest lucru?
O simpla cautare cu ajutorul google, dupa fisiere xls care sa contina „CNP” dovedeste ca protectia datelor cu caracter personal este doar o poveste.
Mai putem adauga „smart grid” pentru care nu prea sunt pregatiti….
Domnule Bogdan Patru
imi permiteti sa ve adresez o simpla intrebare:
– actualmente am un contract de furnizare servicii tv si it, cu o societate comerciala pe baza caruia se factureaza contravaloarea serviciului. Respectivul contract nu a fost completat la rubrica CNP de catre angajatul societatii, considerand ca nu este absolut necesar
– acum cativa ani, am solictat un echipament/modem pentru a putea viziona emisiunile in conditii de calitate adecvata si mi-a fost dat in folosinta contra unei taxe de inchiriere, fara fi nevoie de schimbarea contractului, ci doar un PV de predare-preluare
– actualmente, am solicitat un echipament de retea pentru standrd tv-HD de inchiriat in aceleasi conditii ca si precedentul. Numai ca societatea m-a conditionat sa
1. inchei un alt contract (de ce este necesar din moment ce se deruleaza un contract legal valabil? ce anume a intervenit fata de situatia precedenta ca sa schimbe regulile?)
2. sa completez in mod obligatoriu CNP (m-am opus, considerand data personala, care nu este necsar a fi mentionata, ca si la cel in vigoare, adica doar adresa si seria/nr CI sunt sufiiciente)
Cum apare aceasta situatie (conditionarea incheierii unui simplu ontract comercial de completarea CNP-ului) in lumina prevederilor L677?
Cu stima, DI