Aici descoperim
dreptul tehnologiei

friends-video-calling-concept_23-2148497738.jpg

Rezumat: Această lucrare își propune să răspundă la întrebarea „În contextul cursurilor online, este legal ca orele cadrelor didactice din învățământul universitar să fie înregistrate în scopul dovedirii activității?”. În secțiunea 1. am explicat aplicabilitatea RGPD în cadrul instituțiilor de învățământ superior, am definit și explicat anumiți termeni juridici. În secțiunea 2. am explicat de ce înregistrarea cursurilor online contravine principiilor RGPD, iar în secțiunea 3. am explicat de ce această activitate este nelegală în conformitate cu prevederile RGPD. Concluziile prezentei lucrări au reiterat importanța și dimensiunea socială vieții private în actualul context al digitalizării activității didactice și au reamintit că sancțiunile care pot să intervină pentru încălcarea principiilor RGPD sunt, pentru operatorii din domeniul privat, avertismentul sau amenda de până la 20.000.000 EURO, iar pentru instituțiile și organismele publice avertismentul sau amenda de la 10.000 la 200.000 lei. Totodată, prin intermediul concluziilor, am precizat faptul că răspunderea contravențională nu exclude răspunderea penală (de exemplu, abuzul în serviciu) sau răspunderea civilă delictuală, mecanism prin intermediul căruia studenții sau profesorii prejudiciați se pot adresa instanței de judecată pentru a solicita plata de daune materiale și/sau morale.

1.Noțiuni introductive

Acest material (denumit în continuare „materialul”, „articolul) își propune să răspundă la întrebarea „În contextul cursurilor online, este legal ca orele cadrelor didactice din învățământul universitar să fie înregistrate în scopul dovedirii activității?”.

Pentru  a evita orice dubiu, acest material va răspunde la întrebarea indicată anterior doar din perspectiva legislației naționale și europene privind protecția datelor, respectiv Regulamentul (UE) nr. 679/2016 (RGPD) și Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 679/2016.

Cu titlu preliminar, pentru a parcurge cu ușurință documentul, vom explica în ce măsură se aplică RGPD instituțiilor de învățământ superior și vom defini anumite noțiuni juridice.

Cu privire la domeniul de aplicare material, facem precizarea că RGPD se aplică „prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor” (art. 2 alin.  (1) RGPD). Prin urmare, având în vedere că înregistrarea cursurilor online în cadrul instituțiilor din învățământul universitar se realizează total sau parțial prin mijloace automatizate, rezultă că RGPD se aplică, în această situație, instituțiilor de învățământ preuniversitar. Aceasta este și opinia Curții de Justiție a Uniunii Europene care, în cauza C-345/17, a hotărât faptul că, în cadrul unui sistem de supraveghere video, o înregistrare video a unor persoane, stocată pe un echipament de înregistrare în mod continuu, și anume pe hard disk‑ul acestui sistem, constituie, în conformitate cu articolul 2 litera (b) și cu articolul 3 alineatul (1) din Directiva 95/46, o prelucrare de date cu caracter personal automată (a se vedea în acest CJUE, Cauza C‑345/17. Sergejs Buivids c. Autoritatea Națională pentru Protecția Datelor, Letonia, pct. (33) – (37)).

Aplecându-ne asupra definiției „prelucrării”, respectiv „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea” (art. 4 pct.  (2) RGPD), rezultă în mod clar faptul că activitatea de înregistrare a orelor cadrelor didactice în contextul cursurilor online reprezintă o activitate de prelucrare în sensul dispozițiilor RGPD.

Analizând definiția operatorului, respectiv persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; (…)” (art. 4 pct.  (7) RGPD), observăm faptul că instituțiile de învățământ superior au calitatea de operator în sensul RGPD.

O persoană vizată este „orice persoană fizică identificată sau identificabilă” (art. 4 pct. (1) RGPD), prin urmare participanții la cursurile online (profesorii și studenții) au calitatea de persoană vizată în sensul RGPD.

Având în vedere că date cu caracter personal înseamnă „orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”)” (art. 4 pct. (1) RGPD), observăm faptul că datele cu caracter personal ale profesorilor și studenților care participă la cursuri online (imagine, voce, prezență etc) reprezintă date cu caracter personal.

 

***

În concluzie, având în vedere cele indicate anterior, instituția de învățământ superior, în calitatea sa de operator în temeiul RGPD, are obligația de a respecta prevederile RGPD și de a proteja datele cu caracter personal ale elevilor și studenților. Printre obligațiile pe care trebuie să le respecte instituția de învățământ superior se numără respectarea principiilor RGPD (art. 5 RGPD) și legalitatea prelucrării (art. 6 RGPD).

Pentru nerespectarea prevederilor RGPD, instituțiile din învățământul superior pot fi sancționate (cu avertisment sau amendă – art. 83 RGPD) sau pot fi supuse unor măsuri corective. De asemenea, persoanele fizice (studenți, profesori) afectate de o prelucrare neconformă a datelor personale, au, printre altele, dreptul de a depune o plângere la ANSPDPC (art. 77) și dreptul de a se adresa justiției, pe tărâmul răspunderii civile delictuale[1], pentru a solicita și obține, în condițiile legii, daune materiale și/sau morale (art. 82).

În continuare, vom analiza dacă activitatea de înregistrare a orelor cadrelor didactice în contextul cursurilor online este în conformitate cu RGPD având în vedere legislația în vigoare până la data de 16.09.2020.

2.Nerespectarea principiilor RGPD

Activitatea de înregistrare a orelor cadrelor didactice în contextul cursurilor online trebuie, ca orice altă activitate de prelucrare, să respecte, în mod cumulativ, toate cele șapte principii ale RGPD (art. 5 RGPD). Cele șapte principii sunt legalitatea, echitatea și transparența, principiul limitării scopului, principiul reducerii la minimum a datelor, exactitate, principiul limitării stocării, integritate și confidențialitate și responsabilitate.

Suntem de părere că activitatea de înregistrare a orelor cadrelor didactice în contextul cursurilor online încalcă cel puțin următoarele principii RGPD:

  • Legalitatea, echitatea și transparența (art. 5 alin. (1) lit. a));

Principiul legalității este încălcat deoarece, așa cum vom arăta la punctul 3 din prezentul document, nu există un temei legal pentru înregistrarea prin mijloace audio-video a orelor cadrelor didactice în contextul cursurilor online.

Principiul echității înseamnă că datele ar trebui prelucrate într-un mod în care persoanele vizate (studenți, profesori) s-ar aștepta în mod rezonabil, iar aceste moduri nu ar trebui să aibă efecte negative nejustificate asupra acestora[2]. Este puțin probabil ca stocarea înregistrărilor audio-video pe o anumită perioadă să respecte principiul legalității deoarece, printre altele, studenții se așteaptă la un grad ridicat de confidențialitate cu privire la imaginile audio-video mai ales în contextul în care își desfășoară activitatea de la domiciliu. În acest sens este relevant și art. 74 din Codul Civil care prevede că activitatea de a capta sau a utiliza imaginea sau vocea unei persoane afla într-un spațiu privat, fără acordul acesteia, este o ingerință în viața privată. Chiar dacă se obține acordul studenților, acesta va fi, în viziunea noastră, nevalabil conform RGPD pentru motivele pe care le vom indica în secțiunea 3 din prezentul material. Totodată, așa cum afirmat și CEDO în cauza Antović și Mirković c. Muntenegru (2017), profesorii ar trebui să se bucure de respectarea vieții private și în cadrul amfiteatrelor din universități[3]. Având în vedere gradul ridicat de ingerință în viața privată a studenților și a profesorilor, considerăm că principiul echității este încălcat în contextul înregistrării prin mijloace audio-video a cursurilor online.

  • Principiul reducerii la minimum a datelor (art. 5 alin. (1) lit. c));

Principiul reducerii la minimum a datelor înseamnă, în esență, că trebuie prelucrată doar cantitatea minimă de date necesară atingerii scopului. Pornind de la prezumția că scopul înregistrării prin mijloace audio-video a cursurilor online este „dovedirea activității”, facem precizarea că acest scop se poate atinge și prin mijloace mai puțin intruzive, precum înregistrarea datelor din cartelele de acces sau semnarea condicii de prezență. În concluzie, în viziunea noastră, în contextul înregistrării prin mijloace audio-video a cursurilor online, este încălcat principiul reducerii la minimum a datelor.

***

Având în vedere faptul că principiile trebuie respectate în mod cumulativ, precum și faptul că, așa cum am arătat anterior, se încalcă cel puțin două principii RGPD, considerăm că instituțiile de învățământ superior care înregistrează prin mijloace audio-video cursurile online, pot fi sancționate pentru încălcarea prevederilor RGPD cu avertisment sau amendă sau pot fi supuse unor măsuri corective. De asemenea, studenții sau elevii prejudiciați prin această activitate  se pot adresa instanțelor de judecată pentru a solicita și obține, în condițiile legii, daune materiale și/sau morale (art. 82 RGPD).

 3.Absența unui temei legal

Art. 6 RGPD prevede că prelucrarea este legală doar dacă respectă cel puțin una dintre condiții, cunoscute drept temeiuri legale. Aceste temeiuri legale sunt consimţământul (art. 6 alin. (1) lit. a) RGPD), contractul (art. 6 alin. (1) lit. b) RGPD), obligaţia legală (art. 6 alin. (1) lit. c) RGPD), interesul vital (art. 6 alin. (1) lit. d) RGPD), interesul public (art. 6 alin. (1) lit. e) RGPD) şi interesul legitim (art. 6 alin. (1) lit. f) RGPD).

Instituțiile universitare nu își pot întemeia prelucrarea („înregistrarea cursurilor”) pe temeiul contractului (deoarece prelucrarea nu este necesară prin încheierea sau executarea unui contract), pe temeiul obligației legale (nu există nicio dispoziție legală care să oblige la înregistrarea cursurilor), pe temeiurile interesului vital sau interesului public[4].

Prin urmare singurele temeiuri disponibile sunt consimțământul sau interesul legitim.

Cu privire la temeiul consimțământului facem precizarea că, potrivit RGPD, consimțământul, pentru a fi valabil, trebuie să îndeplinească, în mod cumulativ, o serie de standarde ridicate. Consimțământul, pentru a fi valabil, trebuie să fie o „manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizat” (art. 4 pct. 11 RGPD).

Grupul de Lucru Art. 29[5] subliniază faptul că, în situația în care intervine un dezechilibru de putere, consimțământul nu mai este liber. În absența caracterului liber, consimțământul devine nevalabil. Grupul de Lucru Art. 29 dă exemplul autorităților publice spunând că este puțin probabil ca acestea să se poată baza pe consimțământ deoarece ne aflăm în prezența unui dezechilibru de putere, persoana vizată neavând o alternativă reale de a alege[6], iar un consimțământ forțat își va pierde caracterul liber. Aceasta este și în situația înregistrării cursurilor online deoarece atâta timp cât studenților și profesorilor nu li se oferă o opțiune reală de a putea refuza să fie înregistrați, consimțământul nu va fi valabil, iar instituțiile universitare, cu excepția situației în care vor da posibilitatea studenților sau profesorilor de a refuza înregistrarea, nu se pot baza pe consimțământ.

Cu privire la temeiul interesului legitim facem precizarea că acesta poate fi utilizat doar în situațiile în care este necesar și nu prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate (art. 6 alin. 1 lit. f)). Prin urmare, pentru a fi valabil, interesul legitim trebuie să fie necesar.  A analiza condiția necesității înseamnă, așa cum a subliniat Grupul de Lucru Art. 29 „că ar trebui să se analizeze dacă sunt disponibile alte mijloace mai puțin invazive pentru a servi aceluiași scop”[7]. În situațiile în care există mijloace mai puțin intruzive pentru atingerea scopului, interesul legitim nu poate fi utilizat drept temei legal. Așa cum am precizat anterior, atingerea scopului („dovedirea activității cursurilor online”) poate fi realizată și prin mijloace mai puțin intruzive, precum înregistrarea datelor din cartelele de acces sau semnarea condicii de prezență. În concluzie, având în vedere că instituțiile universitare au mijloace mai puțin intruzive la îndemână, iar aceste mijloacele nu s-au dovedit anterior ineficiente, considerăm că nu se poate utiliza temeiul juridic al interesului legitim.

***

În concluzie, în această secțiune am arătat faptul că instituțiile universitare nu își pot întemeia activitatea de prelucrare (înregistrarea cursurilor prin mijloace audio-video) pe niciun temei juridic prevăzut la art. 6 RGPD. Desigur că analiza se face de la caz la caz, însă, în absența altor factori relevanți[8], considerăm că înregistrarea cursurilor prin mijloace audio-video este nelegală. În consecință, instituțiile de învățământ superior care înregistrează prin mijloace audio-video cursurile online, pot fi sancționate pentru încălcarea prevederilor RGPD cu avertisment sau amendă sau pot fi supuse unor măsuri corective. De asemenea, studenții sau elevii prejudiciați prin această activitate  se pot adresa instanțelor de judecată pentru a solicita și obține, în condițiile legii, daune materiale și/sau morale (art. 82 RGPD).

 

***

 

Concluzii

 

Idealul învățământului, inclusiv al învățământului online constă în „dezvoltarea liberă, integrală și armonioasă a individualității umane”[9]. Însă, ca orice nouă tehnologie, și învățământul online prin intermediul platformelor digitale implică nu doar beneficii, ci și riscuri. Ne putem imagina o serie de prejudicii la adresa studenților și profesorilor printr-o prelucrare neconformă a datelor lor, care le poate afecta nu doar viața privată, ci și celelalte drepturi și libertăți fundamentale.

Dacă „libera dezvoltare a personalității umane și demnitatea omului, valori proclamate prin chiar art. 1 din Constituția României, nu pot fi concepute fără respectarea și ocrotirea vieții intime, familiale și private”[10], în jurisprudența CEDO, „dreptul la viață privată reprezintă o dimensiune intimă, personală, dar și o dimensiune socială.”[11]. Tot CEDO a statuat că există viață privată și în amfiteatrele din Universități, afirmând că„ „viața privată” este un termen extins care nu poate fi supus unei definiții exhaustive și că ar fi prea restrictiv a limita noțiunea de „viață privată” la un cerc interior în care individul își poate trăi propria viață personală așa cum dorește (…) Astfel articolul 8 garantează dreptul la viață privată în sens larg, inclusiv „dreptul de a duce o viață socială privată” și anume posibilitatea persoanei de a-și dezvolta propria identitate socială. În această privință, dreptul la viață privată consacră posibilitatea persoanei de a se apropia de ceilalți și de a dezvolta relații cu aceștia. (…)”[12]

Importanța vieții private capătă azi noi valențe, mai ales din perspectiva noilor tehnologii utilizate în contextul învățământului online. Ne putem imagina o serie de riscuri la adresa drepturilor și libertăților studenților și profesorilor printre care pierderea controlului asupra informațiilor confidențiale, furt de identitate, fraudă electronică[13]. Probabil aceasta a fost și rațiunea legiuitorului atunci când, reglementând activitatea didactică online în cadrul învățământului preuniversitar a interzis înregistrarea activităților desfășurate online[14]. Prin urmare, din rațiuni ce țin de egalitate de tratament între studenți și elevi și între profesorii din mediul preuniversitar și profesorii din mediul universitar, considerăm că, și în cadrul învățământului online preuniversitar, de lege ferenda, înregistrarea cursurilor online ar trebui interzisă.

Însă, indiferent de intervenția legiuitorului în acest domeniu al predării digitalizate, principiile RGPD sunt clare. Așa cum am arătat la punctele 2) și 3) de mai sus, prin înregistrarea cursurilor, se încalcă principiile RGPD, iar sancțiunile care pot să intervină pentru încălcarea principiilor RGPD sunt, pentru operatorii din domeniul privat, avertismentul sau amenda de până la 20.000.000 EURO, iar pentru instituțiile și organismele publice avertismentul sau amenda de la 10.000 la 200.000 lei. Această răspundere contravențională nu exclude răspunderea penală (de exemplu, abuzul în serviciu) sau răspunderea civilă delictuală, mecanism prin intermediul căruia studenții sau profesorii prejudiciați se pot adresa instanței de judecată pentru a solicita plata de daune materiale și/sau morale.

 

Note de subsol

[1] Răspunderea civilă delictuală trebuie să îndeplinească patru condiții: prejudiciul, fapta ilicită, culpa, legătura de cauzalitate între faptă și prejudiciu. A se vedea Fl. A. Baias, E. Chelaru, R. Constantinovici, I. Macovei (coord.), Noul Cod Civil. Comentariu pe articole, Ed. C.H. Beck, 2012, p. 1407. Cu privire la culpă, având în vedere prevederile art. 82 alin. (3) din RGPD, în opinia noastră, ne aflăm în prezența unei prezumții legale de culpă, operatorului putând răsturna prezumția prin dovedirea faptului că că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul (art. 82 alin. (3) din RGPD).

[2] Ghidul ICO p. 17, link accesat la 16.09.2020.

[3] CEDO, în cauza Antović și Mirković c. Muntenegru, prin Hotărârea din 28.11.2017, a statuat că:  „Amfiteatrele universitare erau spații de lucru ale profesorilor. Nu erau doar spații în care doar le predau studenților, ci spații în care interacționau cu ei, dezvoltând relații reciproce și construindu-și identitatea socială. Curtea a reținut deja că supravegherea video ascunsă a angajaților la locul lor de muncă trebuie analizată, ca atare, ca o intruziune considerabilă în viața lor privată, care presupune documentarea înregistrată și reproductibilă a conduitei lor la locul de muncă pe care angajații, obligați contractual să lucreze acolo, nu o puteau evita. Nu a existat niciun motiv pentru Curte să se îndepărteze de la această constatare până și în cazurile de supraveghere video deschisă a angajaților la locul lor de muncă. Mai mult, Curtea a reținut că indiferent de faptul că existau reglementări restrictive ale angajatorului cu privire la viața socială privată a angajaților la serviciu, acestea nu o puteau reduce la zero. Respectarea vieții private continua să existe, chiar dacă putea fi limitată într-o măsură necesară. Informațiile colectate prin supravegherea video contestată se refereau la „viața privată” a reclamanților, iar articolul 8 era, așadar, aplicabil. (…)

 

În particular, Curtea reiterează că „viața privată” este un termen extins care nu poate fi supus unei definiții exhaustive și că ar fi prea restrictiv a limita noțiunea de „viață privată” la un cerc interior în care individul își poate trăi propria viață personală așa cum dorește (…) Astfel articolul 8 garantează dreptul la viață privată în sens larg, inclusiv „dreptul de a duce o viață socială privată” și anume posibilitatea persoanei de a-și dezvolta propria identitate socială. În această privință, dreptul la viață privată consacră posibilitatea persoanei de a se apropia de ceilalți și de a dezvolta relații cu aceștia. (…)

Curtea a statuat deja că noțiunea de „viață privată” poate include activități profesionale sau activități care au loc într-un context public (…). La urma -urmei, în cursul vieții lor profesionale, majoritatea oamenilor au oportunitatea de a dezvolta relații cu lumea exterioară și nu este întotdeauna posibil să se distingă care activități fac parte din viața profesională sau comercială și care nu. Prin urmare, există o zonă de interacțiune a unei persoane cu ceilalți, chiar într-un context public, zonă care poate intra în domeniul de aplicare al vieții private”.

[4] Fără a intra în detalii, vom spune că aceste temeiuri nu sunt, în viziunea noastră, justificate în sensul RGPD.

[5] Grupul de lucru Art. 29 pentru protecția datelor, Orientări asupra consimțământului în temeiul Regulamentului 679/2018, adoptat la 28 noiembrie 2017, Bruxelles, p. 4-7.

[6] Idem, p. 4.

[7] Grupul de lucru Art. 29  pentru protecția datelor, Avizul 06/2014 privind noțiunea de interese legitime ale operatorului de date prevăzută la articolului 7 din Directiva 95/46/CE, Adoptat la 9 aprilie 2014, Bruxelles, p. 31.

[8] Ca de exemplu, apariția unei legi care să prevadă obligativitatea, obținerea consimțământului valabil al tuturor persoanelor vizate, ineficacitatea măsurilor mai puțin intruzive pentru justificarea interesului legitim.

[9] Art. 2 alin. (3) din Legea Educației Naționale nr. 1/2011.

[10] Ioan Muraru, Elena – Simina Tănăsescu, Constituția României. Comentariu pe articole, Ed. 2, Ed. C.H. Beck, 2019, p. 26 din versiunea digitală lege5.ro, link accesat 06.09.2020.

[11] Idem, p. 27.

[12] CEDO, Cauza Antović și Mirković c. Muntenegru (2017), Hotătârea din 28.11.2017, pct. 41-42.

[13] Daniel J. Solove, The Digital Person Technology and Privacy in the Information Age, New York University, 2004, p. 17 Apud Wellcome Trust, ‘Summary Report of Qualitative Research into Public Attitudes to Personal Data and Linking Personal Data’; Rainie, ‘Privacy and Information Sharing’).

[14] Art. 4 alin. (5) din Metodologia-cadru privind desfășurarea activităților didactice prin intermediul tehnologiei și al internetului, precum și pentru prelucrarea datelor cu caracter personal, anexă la Ordinul Ordinul nr. 5545/2020[14] prevede „Ca măsură de protecție a datelor cu caracter personal, prelucrate cu ocazia utilizării aplicațiilor/platformelor educaționale informatice, se interzice înregistrarea activităților desfășurate online.”.


web-security-protection-interface-used-by-robot-3d-rendering_117023-954.jpg

Motto: „Scufița începu să introducă datele.

– Lupule, de ce îmi ceri atât de multe date?

– Ca să te profilez mai bine!”

 

Abstract: Această lucrare trece în revistă câteva idei despre obligațiile instituțiilor de învățământ în calitatea lor de operatori de date în temeiul RGPD în legătură cu prelucrarea datelor personale ale participanților (elevi, profesori) la cursurile online desfășurate prin platformele digitale. În secțiunea I (Introducere) am deschis o discuție despre viața privată și relația ei cu celelalte drepturi fundamentale. În secțiunea II am abordat o parte din obligațiile instituțiilor de învățământ, prin prezentarea a patru elemente-cheie. În secțiunea II.A am prezentat pe scurt particularități ale respectării principiilor RGPD în contextul școlii online. În secțiunea II.B am abordat problematica riscurilor și câteva soluții pentru reducerea la minimum a acestor riscuri. Mai departe, în secțiunea II.C am discutat despre drepturile persoanelor vizate (elevi, profesori) în contextul cursurilor online, iar în secțiunea II.D am analizat o parte din consecințele juridice ale utilizării unor platforme digitale terțe. Problematica prelucrării datelor în contextul școlii online este amplă și lucrarea se recomandă a fi parcursă și ca o fereastră spre generarea de noi idei și soluții concrete la intersecția dintre drept și tehnologie.

Cuvinte-cheie: digitalizare, drepturi și libertăți fundamentale, viața privată, protecția datelor cu caracter personal, RGPD, principii RGPD, legalitate, echitate și transparență, integritate și confidențialitate, platforme digitale, prelucrarea datelor copiilor, operatori asociați, competența autorităților de supraveghere, amenzi, Privacy by Design, Privacy by Default, drepturi RGPD, spațiu virtual, Facebook, Microsoft, Zoom.

I. Introducere

Ordinul nr. 5545/2020[1] pentru aprobarea Metodologiei-cadru privind desfăşurarea activităţilor didactice prin intermediul tehnologiei şi al internetului, precum şi pentru prelucrarea datelor cu caracter personal[2] este în vigoare începând cu data de 11 septembrie 2020[3].

Cu titlu preliminar, observăm că Metodologia reamintește principiile guvernării procesului didactic ale Legii Educației Naționale nr. 1/2011, printre care echitatea, nediscriminarea, calitatea, descentralizarea, egalitatea de șanse, responsabilitatea părinților.

Desfășurarea activității de învățământ la distanță prin intermediul unor mijloace digitale și de comunicare[4] implică, în mod inevitabil, prelucrarea de date cu caracter personal[5] ale preșcolarilor, elevilor, profesorilor și ale părinților, în anumite cazuri. În contextul școlii online, dacă datele personale depășesc sfera de siguranță, sunt prelucrate sau transferate către entități neautorizate în mod nelegal[6] sau sunt prelucrate fără a respecta principiile-cheie[7] ale Regulamentului, nu doar datele personale sunt afectate – ci este afectată direct persoana fizică și drepturile și libertățile sale fundamentale[8].

Idealul școlii, inclusiv al școlii online, constă în „dezvoltarea liberă, integrală și armonioasă a individualității umane”[9]. Însă, ca orice nouă tehnologie, și învățământul online prin intermediul platformelor digitale implică nu doar beneficii, ci și riscuri. Ne putem imagina o serie de prejudicii la adresa elevilor printr-o prelucrare neconformă a datelor lor, care le poate afecta nu doar viața privată, ci și celelalte drepturi și libertăți fundamentale. Dacă „libera dezvoltare a personalității umane și demnitatea omului, valori proclamate prin chiar art. 1 din Constituția României, nu pot fi concepute fără respectarea și ocrotirea vieții intime, familiale și private”[10], în jurisprudența CEDO, „dreptul la viață privată reprezintă o dimensiune intimă, personală, dar și o dimensiune socială.”[11]. Tot CEDO a statuat că există viață privată și în amfiteatrele din Universități, afirmând că„ „viața privată” este un termen extins care nu poate fi supus unei definiții exhaustive și că ar fi prea restrictiv a limita noțiunea de „viață privată” la un cerc interior în care individul își poate trăi propria viață personală așa cum dorește (…) Astfel articolul 8 garantează dreptul la viață privată în sens larg, inclusiv „dreptul de a duce o viață socială privată” și anume posibilitatea persoanei de a-și dezvolta propria identitate socială. În această privință, dreptul la viață privată consacră posibilitatea persoanei de a se apropia de ceilalți și de a dezvolta relații cu aceștia. (…)”[12]

Cu privire la școala online, „transpunerea personalităţii într-un mediu ne-natural are consecinţe în plan juridic, inclusiv cu privire la drepturile și obligaţiile”[13]. În concret, în raport cu cele menționate anterior și cu principiile guvernării procesului didactic, suntem de părere că, pentru dezvoltarea lor armonioasă în context educațional și social, elevii ar trebui să se bucure de viață privată atât la școală, cât și în mediul virtual.

Prelucrarea incorectă a datelor poate afecta viața privată a elevilor, dar și încrederea în activitatea de învățământ online. Lipsa încrederii poate conduce, în viziunea noastră, și la scăderea randamentului la activitățile școlare deoarece îngrijorarea elevilor cu privire la securitatea și confidențialitatea datelor personale ar putea să îi distragă de la activitățile didactice. Asigurarea încrederii ar trebui să fie o condiție prealabilă[14] pentru introducerea oricărei noi tehnologii. În viziunea noastră, încrederea se poate construi printr-o prelucrare legală a datelor[15] cu respectarea principiilor-cheie introduse de RGPD (art. 5 RGPD), cu transparența vis-a-vis de noile tehnologii și de riscurile aferente (art. 13- 14 RGPD), cu prelucrarea atentă a categoriilor speciale de date (art. 9 RGPD)[16], cu introducerea unor mecanisme adecvate pentru a facilita cu ușurință exercitarea drepturilor în temeiul RGPD (art. 12-22 RGPD), cu responsabilitatea instituțiilor școlare, în calitatea lor de operator[17], cu respectarea principiilor Privacy by design și Privacy by default[18] în contextul noilor platforme digitale. Cu privire la responsabilitatea, instituția școlară ar trebui să identifice toții actorii care au acces la datele elevilor, profesorilor sau părinților pentru a verifica dacă aceștia prezintă garanții suficiente de protecție a datelor și să reglementeze, prin acorduri scrise, responsabilitatea fiecăruia și alte mecanisme pentru protecția datelor[19]. Instituțiile școlare ar trebui, de asemenea, să țină o evidență internă a activităților de prelucrare (art. 30 RGPD), să asigure securitatea prelucrării (art. 32 RGPD), să notifice ANSDPCP și persoanele vizate atunci când intervine o breșă de securitate, în condițiile legii (art. 33 -34 RGPD). Cu privire la activitățile de prelucrare care prezintă riscuri ridicate pentru drepturile și libertățile persoanelor vizate (pre-școlari, elevi, profesori, părinți etc), ar trebui efectuată, înaintea prelucrării, o evaluare a impactului (art. 35 RGPD), iar dacă rezultatul evaluării indică riscuri ridicate, ar trebui să se realizeze consultarea ANSPDCP (art. 36). Cu privire la transferul de date către statele din afara Uniunii, ar trebui respectate cerințele art. 44- 49 RGPD. De asemenea, responsabilul cu protecția datelor din cadrul instituțiilor școlare ar trebui să se bucure de independență și de resursele financiare, operaționale și umane necesare pentru monitorizarea aplicării RGPD[20].

În continuare, vom trece în revistă principalele obligații ale instituțiilor școlare în contextul învățământului online, dar nu înainte de a reaminti că, pentru nerespectarea prevederilor RGPD, instituțiile școlare pot fi sancționate[21] (cu avertisment sau amendă) sau pot fi supuse unor măsuri corective. De asemenea, persoanele fizice afectate de o prelucrare neconformă a datelor personale, au, printre altele, dreptul de a depune o plângere la ANSPDPC (art. 77) și dreptul de a se adresa justiției, pe tărâmul răspunderii civile delictuale[22], pentru a solicita și obține, în condițiile legii, daune materiale și/sau morale (art. 82).

Așa cum spunea și Comisia, „ființa umană este și ar trebui să rămână în centrul tuturor preocupărilor noastre”[23], mai ales în contextul spațiului virtual unde „orice date postate pe internet pot rămâne accesibile pe o perioadă nedeterminată”[24]. Așa cum s-a afirmat în doctrină, „nicio instituție a Uniunii Europene, Agenția Drepturilor Fundamentale, Comitetul european pentru protecția datelor, Autoritatea europeană pentru protecția datelor sau vreo autoritate națională nu au comunicat suspendarea sau restrângerea dreptului la protecția datelor pe perioada pandemiei”[25].

Reamintim că RGPD reprezintă un set complex de norme, echipat să facă fața evoluţiilor preconizate în tehnologie[26], iar implementarea normelor RGPD în cadrul instituțiilor școlare trebuie să se realizeze în mod complet, cu respectarea tuturor cerințelor RGPD. Ordinul nr. 5545/2020[27] este bine-venit în actualul contextul al digitalizării învățământului, dar abordarea simplistă și incompletă poate deschide, în viziunea noastră, o fereastră către o implementare incompletă a RGPD în cadrul instituțiilor școlare, fapt ce poate avea drept urmare o încălcare a vieții private a elevilor și a celorlalte drepturi și libertăți fundamentale. O abordare simplistă ar putea afecta, în cazuri extreme, inclusiv randamentul la școală și libera dezvoltare a elevilor.

În continuare, vom aborda câteva elemente-cheie de care ar trebui să se țină cont în procesul de digitalizare al învățământului, elemente-cheie care ar putea fi dezvoltate în lucrări viitoare sau în coduri de conduită[28].

II. Elemente-cheie ale digitalizării învățământului cu respectarea vieții private

A.  Să pornim de la principii…

Așa cum spune chiar RGPD în considerentul (4) din Preambul „prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor”, prelucrare care trebuie să respecte, în mod cumulativ, toate cele șapte principii ale RGPD[29]. Cele șapte principii sunt legalitatea, echitatea și transparența, principiul limitării scopului, principiul reducerii la minimum a datelor, exactitate, principiul limitării stocării, integritate și confidențialitate și responsabilitate[30].

Cu privire la principiul limitării scopului, art. 7 alin. (1)  din Metodologie precizează limpede faptul că datele trebuie prelucrate exclusiv în scopul derulării activității didactice. La o primă citire remarcăm faptul că Ordinul încearcă o derogare de la prevederile RGPD care permite utilizarea datelor și în scopuri compatibile cu scopurile inițiale (art. 5 alin. (1) lit. b). Apare o întrebare deschisă și retorică: în ce măsură ar putea deroga un Ordin de la prevederile RGPD? Ar fi lipsit de sens să răspundem la întrebări retorice, însă, de lege ferenda, am considera necesar a se permite prelucrarea și în scopuri ulterioare, compatibile deoarece ne putem imagina cu ușurință situații în care prelucrarea în alte scopuri poate fi în interesul superior al elevilor.

Cu privire la principiul transparenței, RGPD subliniază că trebuie să fie clar pentru persoana vizată ce categorii de date personale sunt prelucrate (art. 13 și art. 14). Art. 4 alin (4) din Metodologie enumeră categoriile de date care trebuie prelucrate în contextul învățământului online. Cu toate acestea putem observa cu ușurință faptul că lista ar fi trebuit să fie prezentată în mod neexhaustiv deoarece, în mod sigur, activitatea de predare online prelucrează și alte categorii de date care nu sunt indicate în Metodologie, mai ales în situațiile în care se utilizează aplicații terțe (Zoom, Google Scholar, Microsoft etc). În aceste situații, prin utilizarea modulelor de tip cookies, se pot colecta o serie de informații despre modalitatea în care elevul interacționează cu site-ul[31], de exemplu adresa IP, tipul de browser utilizat, „locurile” din platformă unde elevul folosește funcția click, adresa de e-mail folosită la logare, iar în situația unor aplicații, nivelul de atenție al elevului și gradul de interacțiune. De asemenea există riscul ca aplicațiile terțe utilizate să transmită aceste informații către alte organizații fără ca elevul sau profesorul să cunoască existența acestui transfer. Considerăm că, pentru a da eficacitate principiului transparenței, este necesar a se identifica toate categoriile de date care sunt prelucrate de către instituția școlară și de către aplicațiile utilizate de aceasta. Totodată, după ce au fost identificate aceste informații ele trebuie prezentate persoanelor vizate, prin intermediul unei note de informare redactate în mod complet (cu toate informațiile necesare de la art. 13 și 14 RGPD) și într-un limbaj simplu și ușor de înțeles, pentru a înțelege pe deplin contextul prelucrării datelor și pentru a oferi persoanelor vizate posibilitatea reală a rămâne în control asupra propriilor date. De lege ferenda, am considera util a se introduce în textul Ordinului și alte categorii de date care pot fi prelucrate în contextul învățământului online însă, indiferent de existența unei modificări viitoare a Ordinului, cerințele RGPD sunt clare: persoana vizată, în anumite cazuri[32], trebuie informată cu privire la categoriile de date prelucrate (art. 14 alin. (1) lit d) RGPD). Totodată, deși art. 5 alin. (2) din Metodologie care enumeră elementele obligatorii pe care trebuie să le cuprindă informarea nu include și categoriile de date prelucrate, considerăm că și această informație ar trebui prezentată astfel încât elevii, profesorii și celelalte persoane vizate trebuie să aibă o viziune clară asupra contextului prelucrării și riscurile asociate.

Cu privire la principiul responsabilității și principiul integrității și confidențialității, Ordinul reamintește, prin art. 5, obligația unității de învățământ de a institui o serie de măsuri tehnice și organizatorice pentru protecția datelor, printre care securitatea în mediul online, asigurarea confidențialității datelor, interzicerea accesului neautorizat, împiedicarea modificării datelor, preîntâmpinarea riscului pierderilor. Deși Ordinul nu precizează, în situațiile în care se folosesc aplicații sau platforme dezvoltate de entități terțe, acestea din urmă vor avea, în unele cazuri, calitatea de persoană împuternicită[33], iar în alte cazuri, calitatea de operator asociat, prin urmare unitatea de învățământ va avea obligația de a verifica dacă aceste entități terțe și soluțiile lor tehnice prezintă garanții adecvate pentru securitatea datelor[34] și va avea obligația încheie cu aceștia un contract scris care să reglementeze, printre altele, rolurile responsabilitățile fiecărei părți în misiunea protecției datelor[35]. Conform doctrinei, operatorii pot delega prelucrarea datelor către terți, dar nu pot delega și răspunderea lor în temeiul GDPR.[36]

B. O privire către riscuri

Agenția pentru Drepturi Fundamentale a UE (FRA) a publicat într-un raport[37] răspunsurile unor persoane care au fost victime ale încălcării securității și confidențialității datelor cu caracter personal. Potrivit FRA[38], atunci când au fost întrebate despre prejudiciile care le-au adus încălcarea normelor privind protecția datelor, persoanele au descris prejudiciile în termeni psihologici sau sociali. Acestea au descris prejudiciul drept emoțional sau social (opinia altor persoane sau impactul asupra relațiilor cu ceilalți), menționând diferite grade de suferință, panică și insecuritate (inclusiv sentimentul de a fi urmărit sau aflat sub supraveghere), neputință, deteriorarea reputației sau neputință cu privire la un abuz de putere[39].

Ne putem imagina o serie de riscuri la adresa drepturilor și libertăților elevilor, profesorilor și ale altor participanți la orele online, printre care pierderea controlului asupra informațiilor confidențiale, furt de identitate, fraudă electronică[40], profilarea ascunsă a persoanelor[41] care ar putea conduce, în viitor, pe măsură ce se dezvoltă inteligența artificială, către decizii automate[42], de exemplu, decizii cu privire la evaluări educaționale (în cazul elevilor) sau profesionale (în cazul profesorilor).

Putem identifica și alte riscuri și la adresa drepturilor și libertăților fundamentale. Asociația Privacy International este de părere că fără viață privată, celelalte drepturi și libertăți sunt în pericol[43]. Într-un articol, această asociație explică cum dreptul la viață privată înseamnă ca persoana să aibă o opțiune (o opțiune de a decide cui se dezvăluie informații personale, o opțiune să se stabilească limite, o opțiune de a limita accesul la datele privind sănătatea, la locurile vizitate, la cercul de prieteni), înseamnă ca persoana să aibă o posibilitate de a fi în control asupra cine este cu adevărat și asupra modalității în care interacționează cu mediul înconjurător, înseamnă ca persoana să  fie în siguranță împotriva abuzului nejustificat de putere, ca persoana să aibă libertatea de gândi liber, fără a fi discriminat, de a fi autonomă și de a trăi în demnitate[44].

În eventualitatea nefericită a unei breșe de securitate, trebuie realizată o analiză concretă a riscurilor asupra drepturilor și libertăților persoanelor vizate și, în urma analizei, să se afle dacă este necesară notificarea ANSPDCP (art. 33 RGPD) și/sau notificarea persoanelor vizate (art. 34 RGPD).

ICO, Autoritatea de supraveghere din UK, a elaborat un cod de conduită cu privire la prelucrarea datelor copiilor în mediul online, cod care a intrat în vigoare la 2 septembrie 2020 și care introduce 15 principii-cheie pentru prelucrarea legală, echitabilă și transparentă a datelor copiilor[45]. Deși, până în prezent, ANSPDCP nu a elaborat un cod sau un ghid cu privire la prelucrarea datelor copiilor, considerăm că instituțiile școlare ar putea găsi informații valoroase pentru protecția datelor în ghidul ICO.

Suntem de părere că, pentru a reduce la minimum riscurile prelucrării datelor în contextul școlii online, trebuie realizată o evaluare a impactului, în conformitate cu prevederile art. 35 din RGPD, iar dacă rezultatul evaluării indică riscuri ridicate pentru persoanele fizice, ar trebui consultată ANSPDCP în conformitate cu art. 36.

În lumina acestor idei, reamintim că Autoritatea de Supraveghere din Suedia a amendat un liceu cu 20.000 EURO pentru introducerea unei tehnologii de recunoaștere facială (care înregistra automat prezența la cursuri) deorece, printre altele, liceul nu a efectuat o evaluare de impact suficientă[46]. Întrebați despre opinia lor cu privire la înregistrarea automată a prezențelor utilizând un sistem de recunoaștere facială, elevii au răspuns că noua tehnologie este „înfricoșătoare și invazivă”[47].

Indiferent de metodologia aplicată la efectuarea evaluării de impact, aceasta trebuie să fie o evaluare reală a riscurilor, permițând operatorilor (unităților educaționale) adoptarea de măsuri în vederea atenuării acestora[48]. În acest context al școlii online, considerăm că ar trebui să se țină cont și de punctul de vedere al elevilor și profesorilor.

C. Drepturi într-un spațiu virtual?

Dacă ne-am putem imagina o societate a viitorului unde profesorii și elevii sunt evaluați automat de către mașină, ce mecanisme de apărare ar avea omul în fața unei decizii greșite a mașinii?

Deși această imagine pare desprinsă dintr-un scenariu SF, în China, de exemplu, camerele de recunoaștere facială sunt deja folosite pentru a detecta starea de spirit și nivelul de focalizare al elevilor bazate pe analiza expresiilor faciale. Totuși, inclusiv în China, guvernul crede că lucrurile au mers prea departe – și acum caută să reducă utilizarea lor în școli[49].

Potrivit Comisiei, în 2016, s-au investit în inteligență artificială aproximativ 3,2 miliarde EURO în Europa, 12,1 miliarde EURO în America de Nord și 6,5 miliarde EURO în Asia[50]. Mai departe, Comisia precizează faptul că „IA poate aduce beneficii importante, inclusiv prin sporirea siguranței produselor și a proceselor, însă poate cauza și prejudicii. Aceste prejudicii ar putea fi atât materiale (siguranța și sănătatea persoanelor, inclusiv pierderea de vieți omenești, daunele materiale), cât și morale (nerespectarea vieții private, limitarea dreptului la libertatea de exprimare, nerespectarea demnității umane, discriminarea, de exemplu, la ocuparea unui loc de muncă) și pot fi legate de o serie de riscuri foarte diverse.”[51]

Este lesne de observat că dezvoltarea inteligenței artificiale este un topic important pe agenda tuturor țărilor din lume. Prin urmare, noi ne-am întrebat într-un alt articol: dacă inteligența artificială este inevitabilă, nu cumva RGPD e chiar scutul care protejează omul în fața mașinii?[52]

Legislația privind protecția datelor prevede mecanisme puternice ale persoanei vizate care înglobează o serie de drepturi, dintre care enumerăm dreptul la informare (art. 12-13 RGPD), dreptul de acces (art. 15), dreptul la rectificare (art. 16), dreptul la ștergerea datelor (art. 17), dreptul la restricționarea prelucrării (art. 18), dreptul la portabilitate (art. 20), dreptul la opoziție (art. 21), dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri (art. 22). Și RGPD, asemenea legislației privind protecția consumatorului, urmărește să protejeze partea mai slabă[53] – persoană vizată în raport cu partea mai puternică, cea care deține controlul asupra prelucrării, operatorul, dar și în raport cu persoana împuternicită.

În acest context al școlii online, putem vorbi despre o protecție a persoanelor vizate (elevi, profesori) în raport cu cei care dețin controlul asupra prelucrării, fie că vorbim de instituțiile publice sau de giganții IT ale căror soluții se utilizează pentru funcționarea cursurilor online (de exemplu, Zoom, Google Scholar, Microsoft etc).

Ordinul indica drepturile, dar nu precizează si acțiunile necesare pe care trebuie să le parcurgă unitățile educaționale pentru a facilita exercitarea drepturilor de mai sus de către persoanele vizate. În concluzie, considerăm că unitățile școlare ar trebui să implementeze strategii concrete pentru a comunica în mod transparent cu persoanele vizate și a le permite să își exercite cu ușurință drepturile, în condițiile legii[54], în termenul legal[55].

 D. Despre asocierile în spațiul virtual

Astfel cum preciza Comisia, Europa se află în prezent într-o situație mai defavorabilă în privința aplicațiilor pentru consumatori și a platformelor online în comparație cu Asia și SUA[56]. Prin urmare, în absența platformelor dezvoltate intern în România, unele școli ar putea recurge la furnizori externi aflați în afara Uniunii, de exemplu Microsoft, Google, Zoom.

În situația în care se utilizează soluții terțe, identificăm două probleme. Prima problemă este aceea că ne aflăm în prezența unui transfer de date internațional care trebuie să respecte prevederile RGPD. A doua problemă este aceea că relația (asocierea) dintre cele două entități (școala și furnizorul platformei) ar trebui reglementată.

Cu privire la transferul internațional de date, reamintim faptul că utilizarea unor soluții tehnice din afara Uniunii se poate realiza doar cu respectarea strictă a condițiilor și principiilor de la art. 44-49 RGPD. Tema-cheie a majorității discuțiilor din sfera Privacy din anul 2020 o reprezintă Hotărârea CJUE din 16 iulie 2020 în Cauza C-311/18[57] care a avut drept consecință invalidarea Deciziei privind Scutul de Confidențialitate UE-SUA („Privacy Shield”)[58]. Unul dintre motivele reținute de Curte a fost acela că Decizia nu prevedea, pentru cetățenii europeni, garanții adecvate, drepturi opozabile și de căi de atac eficiente împotriva autorităților și serviciilor secrete americane.[59] Desigur că transferurile de date personale între UE – SUA se pot realiza în continuare în baza altor mecanisme legale, cum ar fi cele prevăzute la art. 44-49 RGPD. În situația în care se utilizează consimțământul explicit al utilizatorilor, acesta trebuie să respecte toate cerințele de la art. 7 RGPD, iar dacă se utilizează mecanismul clauzelor contractuale standard, unitățile școlare ar trebui să negocieze atent clauzele contractuale.

Desigur că ne putem întreba astăzi ce posibilități reale ar avea o unitate școlară să negocieze cu un gigant IT al cărui contract standard funcționează pe mecanismul „take it or leave it”. Totuși, în acest context, opinia AEPD ar trebui luată în calcul. Într-o investigație independentă asupra produselor și serviciile Microsoft, AEPD a observat că anumite clauze contractuale standard care permit lui Microsoft să transfere date din UE către SUA nu sunt suficient de clare, specifice și nu respectă toate standardele în materie de protecție a datelor.[60] Potrivit AEPD, concluziile anchetei sunt de interes atât pentru instituțiile UE, cât și pentru restul autorităților publice din statele membre UE[61]. Noi suntem de părere că aceste concluzii pot fi de interes și pentru unitățile școlare în contextul digitalizării sistemului educațional.

Cu privire la „asocierile în spațul virtual”, facem inițial precizarea că utilizarea unor aplicații și platforme furnizate de terți implică, în mod clar, transferul datelor personale de la unitatea școlară către furnizorul respectivei soluții. Prin urmare, ne punem, în mod rezonabil, întrebarea: ce calitate are furnizorul respectivei aplicații – persoană împuternicită, operator independent sau operator asociat? Deși calificarea drept persoană împuternicită ar fi, în viziunea noastră, în beneficiul persoanelor fizice deoarece datele nu ar putea fi prelucrate de către furnizorul soluției decât în scopurile indicate de operator (unitatea școlară)[62], în realitate giganții IT utilizează datele și în scopuri proprii.

În cauza C-210/16[63], Wirtschaftsakademie c .Facebook Ireland Ltd, CJUE a stabilit că o școală privată care administrează o pagină de Facebook, este în raport cu acea activitate de prelucrare este operator împreună cu Facebook și au o responsabilitate comună cu privire la protecția datelor persoanelor vizate[64]. Un an mai târziu, în cauza C-40/17[65], CJUE a stabilit că prin acțiunea de a integra butonul de Like pe un site, administratorul unui site este operator împreună cu Facebook și are, în consecință, o responsabilitate comună de protecție a datelor[66].

Observând viziunea comună a CJUE în cele două cauze prezentate anterior, ajungem la concluzia că dacă se vor utiliza soluții digitale ale terților (de exemplu, Google Scholar, Zoom, Microsoft) care vor prelucra datele și în scopuri proprii, unitatea școlară și furnizorul soluției vor avea, în sensul prevederilor RGPD, calitatea de operatori asociați. Aceasta este și opinia altor autori care afirmă că nu doar administratorii de pagini de Facebook, ci toate entitățile care utilizează terțe platforme (puternice) vor avea calitatea de operatori asociați în raport cu acele platforme[67].

În lumina raționamentului de mai sus, în opinia noastră, instituția de învățământ și furnizorul serviciului (dacă acesta prelucrează datele și în scopuri proprii), vor avea calitatea de operatori asociați, iar acordul dintre ei va trebui să prevadă „într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor.”[68] În practică va fi interesant de urmărit cum se va realiza efectiv informarea elevilor și profesorilor cu privire la prelucrarea datelor în contextul acestei asocieri și ce modalități concrete vor avea aceștia de a-și exercita drepturile prevăzute de RGPD. În prezent, instituțiile de învățământ din România se află într-un stadiu incipient al conștientizării și înțelegerii fenomenului de prelucrare al datelor în context digital, dar, cu toate acestea, chiar și în acest stadiu incipient, persoanele vizate ar trebui să aibă acces ușor la o listă a tuturor organizațiilor terțe și la link-uri către notele de informare ale acestora.

Din calificarea relației de operatori asociați, rezultă o altă consecință, așa cum s-a afirmat deja în doctrină. În situația a doi operatori asociați, de exemplu primul în România – instituția de învățământ, iar celălalt într-un alt stat membru, ambele autorități de supraveghere (cea din România și cea din celălalt stat membru) vor avea competența, fără vreo prioritate, de a-și exercita atribuțiile în raport cu oricare operator asociat[69]. Am putea vorbi, în această situație, despre o competența alternativă.

Desigur, această interpretare, așa cum afirmă chiar autorii la finalul articolului, rămâne deschisă[70]. În consecință, dacă vom adera la opinia de mai sus, am putea considera că ANSPDCP, în contextul prelucrării datelor personale ale elevilor și profesorilor în contextul școlii online, ar putea să aplice sancțiuni ambilor operatori asociați, inclusiv celor situați în afara României sau în afara Uniunii. Deși discuția rămâne în continuare deschisă, suntem de părere că această abordare este în armonie cu unul dintre obiectivele fundamentale ale RGPD, acela de asigura o protecție eficientă și completă a drepturilor și a libertăților fundamentale ale persoanei. Astfel, persoana fizică ar avea posibilitatea de a depune o plângere împotriva unui operator din alt stat membru sau din afara UE în țara unde își are domiciliul/reședința, fără a se pune în discuție disjungerea dosarului către autoritatea de supraveghere de la sediul principal al operatorului.

Concluzii

* * *

Vom vedea dacă și în ce măsură va supraviețui viața privată contextului accelerat al digitalizării. Când miza este chiar supraviețuirea drepturilor și libertăților fundamentale în contextul noului spațiu virtual, de ce am integra simplist și formal principiile RGPD? Termeni vagi și un buton de accept, fără prea multe întrebări. Scufița a adresat lupului întrebarea esențială, iar despre prelucrarea datelor în contextul școlii online se va scrie mult pentru că basmele viitorului vor fi despre impactul noilor tehnologii.

Ne-am conectat suficient și aspirăm, măcar ocazional, la o deconectare reală. Este de nevoie de implicarea tuturor pentru crearea unui internet sigur unde copiii își pot dezvolta personalitatea în mod liber, integral și armonios. Sperăm și la o opțiune de fi în mediul online – o nouă libertate.

Cine știe ce va aduce următorul click? Cu fiecare click, noi știm. Și copiii ar trebui să afle că le-a mai rămas o opțiune.

 

Note de subsol


crown-is-listening-speaker-giving-talk-business-meeting_38810-5015.jpg

 În Cauza Antović și Mirković c. Muntenegru (2017)[1], CEDO a inclus sălile de clasă și amfiteatrele universitare în categoria locurilor unde poate exista viață privată[2] și a arătat că „nerespectarea prevederilor legislației interne privind supravegherea video prin camere instalate în amfiteatre universitare a constituit o violare a art. 8”[3] din Convenție.

CEDO a statuat că:

 „Amfiteatrele universitare erau spații de lucru ale profesorilor. Nu erau doar spații în care doar le predau studenților, ci spații în care interacționau cu ei, dezvoltând relații reciproce și construindu-și identitatea socială. Curtea a reținut deja că supravegherea video ascunsă a angajaților la locul lor de muncă trebuie analizată, ca atare, ca o intruziune considerabilă în viața lor privată, care presupune documentarea înregistrată și reproductibilă a conduitei lor la locul de muncă pe care angajații, obligați contractual să lucreze acolo, nu o puteau evita. Nu a existat niciun motiv pentru Curte să se îndepărteze de la această constatare până și în cazurile de supraveghere video deschisă a angajaților la locul lor de muncă. Mai mult, Curtea a reținut că indiferent de faptul că existau reglementări restrictive ale angajatorului cu privire la viața socială privată a angajaților la serviciu, acestea nu o puteau reduce la zero. Respectarea vieții private continua să existe, chiar dacă putea fi limitată într-o măsură necesară.Informațiile colectate prin supravegherea video contestată se refereau la „viața privată” a reclamanților, iar articolul 8 era, așadar, aplicabil.”[4]

„În particular, Curtea reiterează că „viața privată” este un termen extins care nu poate fi supus unei definiții exhaustive și că ar fi prea restrictiv a limita noțiunea de „viață privată” la un cerc interior în care individul își poate trăi propria viață personală așa cum dorește (…) Astfel articolul 8 garantează dreptul la viață privată în sens larg, inclusiv „dreptul de a duce o viață socială privată” și anume posibilitatea persoanei de a-și dezvolta propria identitate socială. În această privință, dreptul la viață privată consacră posibilitatea persoanei de a se apropia de ceilalți și de a dezvolta relații cu aceștia. (…)

Curtea a statuat deja că noțiunea de „viață privată” poate include activități profesionale sau activități care au loc într-un context public (…). La urma -urmei, în cursul vieții lor profesionale, majoritatea oamenilor au oportunitatea de a dezvolta relații cu lumea exterioară și nu este întotdeauna posibil să se distingă care activități fac parte din viața profesională sau comercială și care nu. Prin urmare, există o zonă de interacțiune a unei persoane cu ceilalți, chiar într-un context public, zonă care poate intra în domeniul de aplicare al vieții private”[5]

***

 

 

[1] Rezumat disponibil în limba română la adresa aici , link accesat 06.09.2020.

[2] Bianca Selejan – Guțan, Protecția europeană a drepturilor omului. Ediția a V-a, revăzută și adăugită, Ed. Hamangiu, 2018, disponibilă la aici, p. 26 din versiunea digitală lege5.ro, link accesat 06.09.2020.

[3] Bianca Selejan – Guțan, Protecția europeană a drepturilor omului. Ediția a V-a, revăzută și adăugită, Ed. Hamangiu, 2018, disponibilă aici, p. 26 din versiunea digitală lege5.ro, link accesat 06.09.2020.

[4] CEDO, Cauza Antović și Mirković c. Muntenegru (2017), Hotătârea din 28.11.2017.

[5] CEDO, Cauza Antović și Mirković c. Muntenegru (2017), Hotătârea din 28.11.2017, pct. 41-42.

KIT GDPR Premium

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



top-view-chalk-drawing-parents-with-their-children_23-2148485752.jpg

Convenția Europeană a Drepturilor Omului (CoEDO) reglementează în cadrul art. 8 dreptul la respectarea vieții private și de familie. Structura acestuia este următoarea:

  1. Orice persoană are dreptul la respectarea vieţii sale private şi de familie, a domiciliului său şi a corespondenţei sale.
  2. Nu este admis amestecul unei autorităţi publice în exercitarea acestui drept decât în măsura în care acesta este prevăzut de lege şi constituie, într-o societate democratică, o măsură necesară pentru securitatea naţională, siguranţa publică, bunăstarea economică a ţării, apărarea ordinii şi prevenirea faptelor penale, protecţia sănătăţii, a moralei, a drepturilor şi a libertăţilor altora.

Respectarea dreptului la viață privată este primordială. Încălcarea dreptului la viață privată este reliefată la nivel internațional prin jurisprudența Curții Europene a Drepturilor Omului, Cauza Gaskin împotriva Regatului Unit.

Situația faptică:

Reclamantul este cetăţean britanic şi s-a născut la 2 decembrie 1959. După decesul mamei sale, la 1 septembrie 1960, el a fost luat în grija comunităţii din Liverpool, în temeiul articolului 1 din legea din 1984 cu privire la copii (Children Act, „legea din 1948”). Cu excepţia a cinci perioade, care variază de la o săptămână la cinci luni pe parcursul cărora el a fost încredinţat în grija tatălui său, reclamantul a rămas instituţionalizat, cu acordul acestuia, până în 18 iunie 1974. Reclamantul a încetat să se mai afle în grija comuninăţii la 2 decembrie 1977, ziua în care Dl Gaskin a atins vârsta majoratului (optsprezece ani). În toată această perioadă, cel interesat sade la diverşi părinţi adoptivi. El pretinde că a fost maltratat şi încearcă să afle unde, la cine şi în ce condiţii a trăit, pentru a-şi putea depăşi problemele şi a-şi cunoaşte trecutul. La atingerea vârstei majoratului reclamantul, care fusese luat în îngrijire când era minor, dorea să afle informații despre trecutul său, pentru a-și depăși problemele personale. I-a fost refuzat accesul la dosar pe motiv că acesta conținea informații confidențiale.

 

Te-ar putea interesa și:

 

Decizia Curții Europene a Drepturilor Omului:

Curtea a hotărât că, în speță, a fost încălcat art. 8 din Convenție, constatând că procedurile urmate nu au asigurat respectarea vieții private și de familie a reclamantului, astfel cum prevede respectivul articol. A notat, în special, că persoanele aflate în situația reclamantului aveau un interes vital, protejat de Convenție, de a primi informațiile necesare pentru a-și cunoaște și înțelege copilăria și dezvoltarea timpurie.

Pe de altă parte, trebuie avut în vedere că păstrarea confidențialității registrelor publice este importantă pentru a primi informații obiective și fiabile, și că această confidențialitate poate fi, de asemenea, necesară pentru protecția persoanelor terțe.

KIT GDPR Premium

 

Conform jurisprudenţei constante a Curţii, pentru a şti dacă a existat o asemenea obligaţie se va lua în consideraţie „echilibrul just ce trebuie stabilit între interesul general şi cel al individului”; „căutând acest echilibru, obiectivele enumerate în paragraful 2 din articolul 8 (art. 8-2) pot juca un anumit rol, cu atât mai mult că această dispoziţie vorbeşte doar de „ingerinţele” în exercitarea dreptului protejat de primul paragraf şi vizează în consecinţă obligaţiile negative care decurg” (hotărârea Rees din 17 octombrie 1986, Seria A nr. 106, p. 15, paragraful 37). În opinia Curţii, persoanele aflate în situaţia reclamantului au un interes primordial protejat de Convenţie, de a primi informaţiile care le sunt necesare pentru a cunoaşte şi înţelege copilăria şi anii lor de formare. Cu toate acestea, trebuie, să se ia în consideraţie de asemenea, faptul că caracterul confidenţial al dosarelor oficiale are o importanţă deosebită în cazul în care se doreşte colectarea informaţiilor obiective şi sigure; în afară de aceasta, poate fi necesar de a proteja terţii. În ce priveşte acest ultim aspect, un sistem precum cel britanic, care permite accesul la dosare în dependenţă de consimţământul informatorilor, poate fi considerat în principiu compatibil cu articolul 8 (art. 8 ), ţinându-se cont de marja de apreciere a Statului. Cu toate acestea, Curtea consideră că în acest sistem interesele individului care caută acces la dosarele cu privire la viaţa sa privată şi de familie trebuie să fie asigurate atunci când un informator nu răspunde sau nu-şi dă consimţământul. Nu a fost la fel şi în speţă. Astfel procedurile urmărite nu au asigurat vieţii private şi de familie a Dlui Gaskin respectarea prevăzută de articolul 8 (art. 8), care a fost deci încălcat.

Cum trebuie înțeles dreptul la respectarea vieții private și de familie potrivit jurisprudenței CEDO?

  • Persoanele aflate în situații speciale (aflate în grija comunității, ca urmare a decesului unuia dintre părinți) au un interes vital în primirea informațiilor necesare în scopul cunoașterii și înțelegerii copilăriei lor;
  • La solicitarea și furnizarea de informații trebuie să se țină cont și de caracterul confidențial al acestora;
  • Condiționarea accesului la informație de consimțământul persoanei care trebuie să realizeze informarea nu este, de principiu, în sistemul britanic, incompatibilă cu prevederile art. 8 din Convenția Europeană a Drepturilor Omului;
  • Condiționarea accesului la informație de consimțământul persoanei care trebuie să realizeze informarea trebuie să asigure și alte mijloace de acces la informație, atunci când această persoană nu răspunde sau nu consimte la furnizarea informațiilor privind viața privată sau de familie.

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



crop-hands-holding-heart-with-cross_23-2147796552.jpg

În noiembrie 2019, Google a anunțat că urmează să cumpere Fitbit, o companie care vinde dispozitive de monitorizare a sănătății – brățări, ceasuri. Datele colectate de către Fitbit și care vor ajunge la Google sunt, printre altele, în funcție de opțiunile fiecărui utilizatori: numărul de pași, ritmul cardiac, caloriile consumate, intensitatea exercițiilor și data efectuării acestora, calitatea somnului și orele de somn, kilogramele pierdute, date privind ciclul menstrual, date privind alimentele consumate zilnic.

Potrivit Privacyinternational.org, efectele nedorite ale acestei tranzacții sunt, printre altele, următoarele:

1.Probleme cu privire concurența loială în contextul în care această concentrare economică care rezultă din cumpărarea Fitbit de către Google va afecta ceilalți furnizori de produse similare din UE, dar va prejudicia în cele din urmă consumatorul final ale cărui date provenite de la Fitbit ar putea fi corelate cu datele deținute deja de Google. Acest lucru ar putea conduce către o profilare excesivă pe date sensibile (medicale), cu efecte nedorite asupra vieții private. Comitetul European pentru Protecția Datelor, a afirmat deja, în contextul investigației asupra achiziției Shazam de către Apple, faptul că „concentrările economice în piețele digitale pot fi o amenințare la adresa datelor personale și la adresa libertății utilizatorilor”. 

2.Probleme cu privire la viața privată. În urma achiziției, există riscul ca Google să folosească datele ca să afișeze utilizatorilor de internet reclame la produse și servicii legate de situația particulară medicală a fiecăruia. Potrivit privacyinternational.org, există riscul ca Google să afișeze reclame și în funcție de starea emoțională, obiceiurile sau ciclul menstrual al utilizatorilor/utilizatoarelor.

Asta nu înseamnă neapărat că Google va afișa femeilor aflate în perioada fertilă reclame la anti-concepționale sau femeilor însărcinate reclame la întreruperi de sarcină, dar există riscul să se întâmple și asta. Există riscul ca utilizatorii să primească și reclame la steroizi celor care efectuează des exerciții de forță sau reclame la diverse produse nesănătoase precum pastile de slăbit.

Sau, de ce nu, reclame la programări la cardiolog pentru cei care au un ritm cardiac anormal. Aici problema e legată și de exactitatea acestor date pentru că, în calitate de utilizator Fitbit de peste 3 ani, pot spune că ceasurile dau des erori la afișarea ritmului cardiac. Și cred că nimănui nu i-ar plăcea să îi apară reclame cu sugestii de programare la un medic pentru o problemă care nu există.

Decizia de a afișa reclame nu aparține unui om, ci unui AI programat de Google în acest sens, iar integrarea eticii în AI reprezintă un lux pentru majoritatea companiilor.

Interesant de urmărit este costul total al tranzacției care împărțit la numărul utilizatorilor Fitbit ne poate ajuta să aflăm cât valorează datele noastre și mă întreb dacă nu cumva Google ne va oferi dispozitivele gratuit pentru că oricum va face o avere cu aceste date.

Comisia Europeană a deschis o investigație cu privire la această potențială tranzacție și urmează să o aprobe sau să o dezaprobe.

Margrethe Vestager, vice-președinte executiv al Comisiei, a spus că „Se așteaptă ca folosirea dispozitivelor de tip wearable de către consumatorii europeni să crească masiv în anii ce urmează. Acest lucru merge mână în mână cu creșterea exponențială a datelor generate de aceste dispozitive. Aceste date furnizează informații-cheie despre viața privată și starea de sănătate a utilizatorilor. Investigația noastră are drept obiectiv să se asigure că nu se vor încălca regulile privind concurența prin controlul Google asupra datelor colectate prin intermediul acestor dispozitive”. 



figure-justice-holding-scales-sword_124595-823.jpg

Domnul Lloyd a introdus o acțiune colectivă în numele a 4,4 milioane de persoane  la Curtea Supremă din Regatul Unit împotriva Google, pretinzând faptul că persoanele au pierdut controlul asupra datelor personale atunci când Google a exploatat istoricul de navigare utilizând module cookies ascunse și fără a fi obținut în prealabil consimțământul persoanelor.

Instanța din apel a hotărât că o persoană trebuie să fie despăgubită pentru „pierderea controlului” asupra datelor cu caracter personal, chiar în lipsa unui prejudiciu material sau moral[1]. Argumentația instanței a fost următoarea: Dacă Google folosește datele cu caracter personal pentru profit, atunci acele date au valoare pentru persoana de la care provin acestea. Astfel, în viziunea instanței, având în vedere că datele sunt monetizate, ar trebui tratate din punct de vedere juridic ca bunuri, iar lipsa controlului asupra datelor private ca bunuri vor da automat persoanei dreptul la despăgubire.[2]

[1] England and Wales Court of Appeal (Civil Division), Richard Lloyd împotriva Google LLC, par. 70, disponibilă aici, link accesat 03.08.2020

 

„ (…) For the reasons, I have given, I would conclude that damages are in principle capable of being awarded for loss of control of data under article 23 and section 13, even if there is no pecuniary loss and no distress. The words in section 13 “[an] individual who suffers damage by reason of [a breach] is entitled to compensation” justify such an interpretation, when read in the context of the Directive and of article 8 of the Convention and article 8 of the Charter, and having regard to the decision in Gulati. Only by construing the legislation in this way can individuals be provided with an effective remedy for the infringement of such rights. (…)”

 

[2] England and Wales Court of Appeal (Civil Division), Richard Lloyd împotriva Google LLC, par. 46-47, disponibilă aici, link accesat 03.08.2020

 „(…) The first question that arises is whether control over data is an asset that has value. That question again should, in this context, be answered as a matter of EU law. In Your Response Limited v. Datateam Business Media Limited [2014] EWCA Civ 281, this court held that, as a matter of English law, an electronic database was not a form of property capable of possession and that, therefore, it could not be subject to a possessory lien. That question may in due course need to be revisited, but it does not, in my judgment affect the answer to the relevant question for current purposes. Even if data is not technically regarded as property in English law, its protection under EU law is clear. It is also clear that a person’s BGI has economic value: for example, it can be sold. It is commonplace for EU citizens to obtain free wi-fi at an airport in exchange for providing their personal data. If they decline to do so, they have to pay for their wi-fi usage. The underlying reality of this case is that Google was able to sell BGI collected from numerous individuals to advertisers who wished to target them with their advertising. That confirms that such data, and consent to its use, has an economic value. (…)

(…) Accordingly, in my judgment, a person’s control over data or over their BGI does have a value, so that the loss of that control must also have a value.”

 

 

Te-ar putea interesa și:

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



cctv-camera-city-with-copy-space_46250-2227.jpg

Curtea Federală Administrativă – Germania

Hotărârea 6C2/18

 

Camere video într-o clinică stomatologică. Absența interesului legitim

 

Situația de fapt

Reclamantul este un dentist care a instalat o camera video în interiorul clinicii medicale deoarece nu avea personal auxiliar la recepție. În 2012, reclamantul a fost obligat de Autoritatea de supraveghere a prelucrării datelor din Germania să repoziționeze camerele astfel încât să nu se mai supravegheze decât zona din fața recepției, nu și ușa de la intrare, sala de așteptare și coridoarele. Reclamantul a contestat în instanță decizia Autorității de supraveghere, dar nu a avut câștig de cauză.

Instanța a considerat că dentistul nu se poate baza pe interes legitim pentru supravegherea CCTV a incintei clinicii stomatologice deoarece nu a putut demonstra că există indicii concrete care să justifice teama că anumite persoane ar putea intra în clinică pentru a comite infracțiuni. În plus, supravegherea video nu a fost considerată necesară pentru acordarea de îngrijiri de urgență pacienților care, din motive medicale, rămân în sala de așteptare pentru o perioadă de timp după tratament.

Desigur, în România, situația ar putea fi diferită mai ales în zonele (cartiere/orașe) cu rata mai mare a criminalității sau în clinicile care s-au confruntat deja cu anumite infracțiuni. Însă, înainte de montarea acestor camere, ar trebui efectuată o analiză a interesului legitim și o evaluare de impact. 

KIT GDPR Premium

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



big-data-protection-cyber-security-concept-with-shield-icon-cyber-space_34629-736.jpg

Criptarea este una dintre măsurile pe care trebuie să le pună în aplicare orice organizație care prelucrează date cu caracter personal, iar acest articol îți va explica ce este criptarea, tipurile de criptare și cum trebuie implementată criptarea.

Când spun că relația dintre criptare și GDPR este una deschisă, am în vedere faptul că deși introducerea criptării este necesară, ea nu este suficientă pentru a asigura conformitatea la GDPR, deoarece organizația trebuie să pună în practică și alte măsuri tehnice și organizatorice adecvate.  De exemplu, organizația ar trebui să introducă și pseudonimizarea datelor. Când spun că relația dintre criptare și GDPR este una complicată am în vedere faptul că introducerea criptării trebuie realizată în urma unei evaluări de risc adecvate pentru a descoperi care categori de date cu caracter personal necesită o criptare mai puternică și care este cea mai bună soluție de criptare pe care și-o poate permite o organizație la momentul T. Totodată, între criptare și GDPR este o relație pe termen lung, așadar măsurile implementate ar trebui reevaluate și îmbunătățite constant.

Prin urmare, ce vreau să spun, pe scurt, este că dacă ai criptat datele nu înseamnă că respecți automat GDPR, dar dacă nu ai criptat deloc datele există un risc mare să încalci GDPR.

În concluzie, trebuie să criptăm. 

 

Și totuși… ce este criptarea? 

  • Criptarea este o funcție matematică care codifică datele astfel încât numai utilizatorii autorizați să le poată accesa.
  • Este o modalitate de a proteja datele cu caracter personal împotriva prelucrării neautorizate sau ilegale ale acestora, precum și o modalitate prin care puteți demonstra conformitatea cu principiul securității.
  • Criptarea protejează informațiile stocate pe dispozitivele mobile și statice și în transmisie și există o serie de opțiuni diferite de criptare disponibile.
  • Ar trebui să luați în considerare criptarea împreună cu alte măsuri tehnice și organizatorice, ținând seama de beneficiile și riscurile pe care le poate oferi.
  • Ar trebui să aveți o politică care să guverneze utilizarea criptării, inclusiv formarea corespunzătoare a personalului.
  • De asemenea, trebuie să fiți la curent cu orice orientări specifice sectorului care vi se aplică, deoarece acestea pot prevedea obligativitatea utilizării criptării.

 

KIT GDPR Premium

 

 

Criptarea și stocarea datelor

  • Criptarea datelor în timpul stocării asigură o protecție eficientă împotriva prelucrării neautorizate sau ilegale.
  • Cele mai moderne sisteme de operare au încorporată o criptare completă a discului. De asemenea, puteți cripta fișiere individuale sau crea containere criptate.
  • Unele aplicații și baze de date pot fi configurate pentru a stoca date în formă criptată.
  • Stocarea datelor criptate prezintă în continuare riscuri reziduale. Va trebui să le abordați în funcție de context, de exemplu prin intermediul unei politici de securitate. 

 

Criptarea și transferul de date

  • Criptarea datelor cu caracter personal în timpul transferului asigură o protecție eficientă împotriva interceptării de către un terț.
  • Trebuie să utilizați canale de comunicații criptate atunci când se transmit date cu caracter personal printr-o rețea nesigură.
  • Puteți cripta datele înainte de a le transmite pe un canal nesigur și asigurați-vă că acestea sunt în continuare protejate. Cu toate acestea, un canal securizat oferă garanția că conținutul nu poate fi înțeles dacă este interceptat. Fără metode de criptare suplimentare, cum ar fi criptarea datelor în sine înainte de transmitere, datele vor fi criptate numai în timpul tranzitului.
  • Transferul de date criptate încă prezintă riscuri reziduale. Va trebui să le abordați în funcție de context, cum ar fi prin intermediul unor politici organizatorice. 

 

Te-ar putea interesa și:

 

Câte tipuri de criptare există?

  • Cele două tipuri de criptare utilizate în prezent la scară largă sunt criptarea simetrică și asimetrică.
  • În cazul criptării simetrice, aceeași cheie este folosită pentru criptare și decriptare. În schimb, în cazul criptării asimetrice, sunt utilizate chei diferite pentru criptare și decriptare.
  • Când se utilizează criptarea simetrică, este esențial să vă asigurați că cheia este transferată în siguranță, de exemplu prin intermediul unui canal de comunicare diferit. 
  • Tehnica hashing-ului criptografic este uneori asimilată cu criptarea, dar este important să se înțeleagă că criptarea și hashing-ul nu sunt concepte identice și sunt utilizate în scopuri diferite.

 

Cum ar trebui să implementăm criptarea?

  • Când implementați criptarea, este important să luați în considerare patru lucruri: alegerea algoritmului corect, alegerea dimensiunii corecte a cheii, alegerea software-ului corect și păstrarea cheii în siguranță.
  • În timp, se pot descoperi vulnerabilități în algoritmii de criptare care îi pot face în cele din urmă nesiguri. Ar trebui să evaluați periodic dacă metoda dumneavoastră de criptare rămâne adecvată.
  • Este important să se asigure că dimensiunea cheii este suficient de mare pentru a proteja împotriva unui atac de-a lungul duratei de viață a datelor. Prin urmare, ar trebui să evaluați dacă dimensiunile cheii dumneavoastră rămân adecvate.
  • Software-ul de criptare pe care îl utilizați este, de asemenea, esențial. Trebuie să vă asigurați că orice soluție pe care o implementați respectă standardele actuale, cum ar fi FIPS 140-2 și FIPS 197.
  • De asemenea, trebuie să vă asigurați că păstrați cheile în siguranță și că aveți procese în funcțiune pentru a genera chei noi atunci când este necesar.

 

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



permanently-deleting-documents-from-laptop-trash-data-burning-flat-illustration_124715-431.jpg

Dreptul la ștergerea datelor este unul dintre drepturile garantate de GDPR persoanelor fizice vizate, iar orice persoană fizică poate transmite o cerere de ștergere. Atunci când primesc o cerere de ștergere, companiile trebuie să o analizeze și să descopere dacă cererea este întemeiată. Dacă cererea este întemeiată, datele se vor șterge. Însă, indiferent de temeinicia cererii, persoanei vizate trebuie să i se răspundă în scris, în maxim o lună de la primirea cererii, cu privire la măsurile întreprinse. Dacă s-au șters datele, i se va comunica acest aspect persoanelor vizate. Dacă nu s-au șters datele, persoanei i se vor comunica motivele pentru care nu s-au șters datele și i se va comunica posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.

Mai multe despre dreptul la ștergere poți afla aici. 

Pentru lipsa răspunsului în termenul legal, companiile pot fi amendate.

Aceasta este și situația companiei Viva Credit IFN SA care a fost amendată pentru că nu a răspuns la o cerere de ștergere.

KIT GDPR Premium

 

Redăm mai jos comunicatul de presă de pe site-ul ANSPDCP:

„Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția Datelor, prin raportare la art. 17 din același Regulament.

Operatorul S.C. Viva Credit IFN S.A. a fost sancționat contravențional cu amendă în cuantum de 9680 lei, echivalentul sumei de 2000 EURO.

Investigația s-a desfășurat ca urmare a unei plângeri prin care se reclama faptul că operatorul nu a soluționat cererea petentului prin care își exercita dreptul de ștergerea datelor, potrivit art. 17 din Regulamentul General privind Protecția Datelor.

De asemenea, operatorul nu a furnizat petentului informații cu privire la acțiunile întreprinse în urma cererii acestuia în termen de cel mult o lună (sau maximum 3 luni, prezentând și motivele întârzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibilă în evidențele sale.

Astfel, operatorul S.C. Viva Credit IFN S.A. a încălcat prevederile art. 12 alin. (3) și (4), raportat la art. 17 din Regulamentul General privind Protecția Datelor.

Operatorul are obligaţia, potrivit art. 12 alin. (3), de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună de la primirea cererii, iar conform alin. (4) al aceluiași articol ”dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.”

În același timp, operatorului S.C. Viva Credit IFN S.A. i s-a aplicat și o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor, acesta fiind obligat să transmită un răspuns petentului la cererea depusă, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.”

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



stop-road-sign-attached-brick-wall_126745-213.jpg

Agenția pentru Drepturi Fundamentale a UE (FRA) a publicat într-un raport[1] răspunsurile unor persoane care au fost victime ale încălcării securității și confidențialității datelor cu caracter personal. Potrivit FRA[2], atunci când au fost întrebate despre prejudiciile care le-au adus încălcarea normelor privind protecția datelor, persoanele au descris prejudiciile în termeni psihologici sau sociali. Acestea au descris prejudiciul ca emoțional sau social (opinia altor persoane sau impactul asupra relațiilor cu ceilalți).

Ele au menționat diferite grade de suferință, panică și insecuritate (inclusiv sentimentul de a fi urmărit sau sub supraveghere), neputință, deteriorarea reputației sau neputință cu privire la un abuz de putere.

Redăm mai jos câteva mărturii ale persoanelor afectate oferite de FRA.[3]

„Am părăsit locul de muncă în condiții foarte dureroase. […] Și nu m-am putut apăra deoarece nu am știut dacă aceste acuzații au existat sau nu.” (Grecia)

„Consecințele [încălcării secretului medical] au fost cumplite. Toți oamenii în care am avut încredere au dispărut. În joc a fost pierderea auto-determinării. Întreaga mea lume s-a prăbușit și am rămas singură, fără bani și fără sprijin.” (Germania)

„Viața mea s-a schimbat la 180 de grade. Nu reușesc să îmi continui viața. Nu reușesc să fac ce mi-am propus. Am proiecte de realizat în viața, am planuri, idei […]. Dar nu pot să fac nimic. Nu pot deoarece sunt o persona non grata la bănci și alte instituții. Sau, mai degrabă, numele meu nu contează.” (Portugalia)

 

Te-ar putea interesa și:

 

Persoanele intervievate din Republica Cehă, Italia, Țările de Jos, Portugalia și România au declarat că încălcările în domeniul ocupării forței de muncă au cauzat prejudicii, ar fi procedurile disciplinare, suspendarea și/sau încetarea contractului de muncă sau riscul de concediere. Alte prejudicii au fost imposibilitatea de a obține un împrumut, lipsa oportunităților de angajare, pierderi financiare, costuri ridicate de reprezentare juridică.

Întrebați de ce s-au hotărât să depună o plângere sau să depună acțiune în instanță, persoanele au răspuns[4]:

„Era un control general. Știau totul: când mergeai la toaletă, când părăseai locul de muncă. Toate acestea au condus către un mediu de lucru neprielnic.” (Reclamant, Portugalia).

„Parolele de la Yahoo, Gmail și Facebook mi-au fost sparte și această persoană și-a asumat identitatea mea pentru aproximativ un an. El a trimis e-mail-uri în numele meu și a postat conținut obscene pe Facebook. Am vrut să se oprească.” (Portugalia)

FRA a concluzionat că persoanele vizate întâmpină probleme în a obține despăgubiri pentru prejudiciile cauzate deoarece, printre altele[5]:

  • Reprezentarea juridică înseamnă costuri;
  • Majoritatea judecătorilor și avocaților sunt nespecializați în domeniul protecției datelor, fiind un domeniu nou de drept;
  • Procedurile judiciare se întind pe o perioadă lungă de timp.
  • Dificultatea probării prejudiciului.

[1] FRA, Access to data protection remedies in EU Member States.

[2] Idem, p. 28.

[3] Ibidem.

[4] Idem, p.29.

[5] Ibidem, p. 37-45.

[6] Conform portalului legeaz.net, Tribunalul de Primă Instanţă este un organ comunitar înfiinţat pe lângă Curtea Europeană de Justiţie, care judecă în primă instanţă litigiile în care reclamanţi sunt persoanele fizice şi funcţionarii comunitari.

[7] Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, par. 411.

KIT GDPR Premium

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]