Justnews:

Protecția datelor personale versus viața și integritatea oamenilor. Am scris recent despre cazul mașinilor Toyota cu airbaguri defecte și unde Direcția Regim Permise a invocat GDPR pentru a refuza furnizarea informațiilor actualizate ale proprietarilor către Toyota.

AVOCAT DR. RAUL FELIX HODOȘ:

În general, toate instituțiile publice invocă GDPR atunci când nu vor să răspundă. Ar trebui să avem un echilibru între interesul public și cel privat. Și, într-adevăr, când avem un interes public, trebuie să punem în balanță să vedem dacă există acolo un echilibru sau nu există. Există o lege, 190/2018, care vine să completeze și să pună în aplicare anumite dispoziții ale Regulamentului General de Protecția Datelor. Această lege nu prea e cunoscută, deși este lege și ar trebui să se aplice la fel ca orice altă lege. Articolul 6 stabilește anumite garanții atunci când datele sunt prelucrate în interes public, iar aceste garanții ne spună nouă, cetățeni ai UE, că datele noastre se folosesc doar pentru ceea ce este necesar și atunci când este necesar. Și nu mai mult. A fost de pildă o cauză la CJUE, cauza Bara și alții contra CNAS și ANAF, în care ei au câștigat pe ideea că da, este normal ca statul să comunice datele fiscale către CNAS, dar că ar fi trebuit să fie notificați. Iar motivarea era dată tocmai pe această nevoie de echilibru: da, e ok, este un interes public acolo, dar ar trebui să le spunem oamenilor că facem acest lucru, adică să-i notificăm să știe de la bun început că datele lor respective vor fi prelucrate și în felul acela. Acest caz este unul școală care, ulterior, ar fi putut fi aplicat în orice altă situație similară. De ce? Pentru că, practic, el ne arată că, atunci când sunt de bună credință, instituțiile publice acționează tot pentru cetățean prelucrându-i datele, chiar și atunci când o fac în interesul statului. În concluzie, trebuie să punem întotdeauna în echilibru interesul public și interesul privat.

Justnews:

Bun, dar în cazul Toyota, era vorba de operator privat de date cu caracter personal.

AVOCAT DR. RAUL FELIX HODOȘ:

Orice mare entitate sau operator de date cu caracter personal, fie că vorbim de privați, fie că vorbim de cei din zona publică, va încerca să-și reducă la minim efortul pentru a proteja datele persoanelor vizate. Pentru că fiecare astfel de efort presupune stabilirea anumitor proceduri, presupune să angajezi oameni pe care să-i înveți cum să pună în aplicare acele proceduri. Încerc să înțeleg reticența autorităților. Pe de altă parte, rechemarea în service a sute de mii, milioane de autoturisme cu scopul de a evita tragedii ulterioare este un argument ce își găsește un temei juridic în GDPR. Poți solicita ca operatorul privat să îți prezinte garanții, poți face verificări, aici intervine știința de carte a responsabilului cu protecția datelor a entității publice și puterea lui de a-și asuma responsabilitatea din funcția în care a fost numit. E adevărat, cea mai simplă e soluția cu nu se poate.

Justnews:

Nu există oameni specializați pe GDPR în instituțiile publice, de pildă?

AVOCAT DR. RAUL FELIX HODOȘ:

Un studiu făcut de colegul nostru Marius Dumitrescu cu privire la instituții publice arăta că, practic, conformarea cu GDPR în cazul instituțiilor publice ere situată la un procent foarte mic. Și vă explic cauza: în momentul în care eu sunt primar și mă gândesc pe cine mai angajez în primărie și pe ce post, evident că acest post va fi dat unei persoane cât de cât apropiate. Pe asta se bazează și primarii și conducătorii de instituții în general, pe ideea că da, se poate angaja ușor, iar în plus și sancțiunile în cazul instituțiilor publice, în caz de nerespectare a legislației privind protecția datelor, sunt foarte, foarte mici, spre deosebire de operatorii privați. Adică discutăm de amenzi până la 200.000 lei în cazul operatorilor organisme publice, dar până la 20.000.000 euro sau 4% din cifra de afaceri globală, pe grup, pentru cele private.

Justnews:

Cum stau lucrurile în cazul operatorilor de date privați?

AVOCAT DR. RAUL FELIX HODOȘ:

Regulamentul nu stabilește câți bani trebuie să investești ca să respecți protecția datelor. Regulamentul spune că această protecție trebuie să fie efectivă și atunci nu depinde decât de tine ca manager, ca administrator al întreprinderii respective, să stabilești care sunt modalitățile de protecție. Regulamentul prevede ca responsabilii cu protecția datelor să fie persoane care au cunoștințe temeinice de teoria și practica protecției datelor și nu stabilește niciun fel de condiții pre-existente. Nu trebuie să fii neapărat jurist, psiholog sau informatician, dar în România, standardul COR prevede că responsabilul cu protecția datelor poate fi oricine care a absolvit o facultate, are minim un an de experiență pe o funcție ce necesită studii superioare și a finalizat un curs de specialitate cu 60 de ore de teorie și 120 ore de practică.

Justnews:

Și sunt acele persoane cu adevărat competente?

AVOCAT DR. RAUL FELIX HODOȘ:

Nu putem să spunem că diploma respectivă dă competența sau nu. Se presupune că dacă ai acea diplomă, ești și competent. Revenind la instituțiile publice, acolo sunt tot felul de persoane care au fost numite ca responsabil pentru protecția datelor, au și diplomă, dar le lipsește competența în acest domeniu, începând de la un asistent manager până la secretarul primăriei.

Justnews:

Există o piață a serviciilor de protecție a datelor personale?

AVOCAT DR. RAUL FELIX HODOȘ:

Avem o piață a consultanților în protecția datelor. Din păcate, însă, actorii care funcționează în această piață sunt ghidați mai mult de câștigurile financiare imediate și nu neapărat de a pune în ordine protecția datelor, așa cum cum se gândea legiuitorul european atunci când a impus GDPR. E adevărat, avem o Autoritate Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) care are un aparat de control. Din păcate, acesta este subdimensionat raportat la problemele care sunt în această zonă a protecției datelor și evident că și răspunsurile pe care le dă Autoritatea sunt în timp destul de îndepărtate, tocmai datorită faptului că sunt puțini oameni, chiar dacă buni, dar fiind puțini sunt supraîncărcați cu sarcini.

Justnews:

Dar ANSPDCP, atunci când un cetățean i se adresează, poate face mai mult decât a indica un paragraf de lege sau de regulament?

AVOCAT DR. RAUL FELIX HODOȘ:

Aici e vorba de capacitatea pe care o are aparatul funcționăresc: ăsta e textul de lege și înțelegeți ce vreți dumneavoastră din el, exact așa procedează ANAF -ul de pildă, ori cele mai multe autorități românești. Este o problemă românească de asumare de către funcționarul public a unei opinii.

Justnews:

Dă Autoritatea amenzi consistente?

AVOCAT DR. RAUL FELIX HODOȘ:

Dacă mai țineți minte lista rușinii făcută de ANAF, altfel plină de greșeli, cel puțin jumătate din persoanele expuse ori se judecau cu ANAF-ul, ori aveau alte sume și nu cele care erau menționate în listă. Practic, a fost o decizie unilaterală, stabilită de ANAF, nu de către o instanță de judecată, cum ar fi trebuit. De altfel, ANAF a fost amendat atunci de către Autoritate, dar cu o sumă relativ modică, în timp ce, în Bulgaria, ANAF-ul de acolo, în momentul în care a pierdut o bază de date cu contribuabilii săi, a luat o amendă de 5,1 milioane de leva, adică circa 2,6 milioane de euro. Asta arată faptul că dacă suntem în Europa, Autoritatea noastră, cea din Bulgaria sau autoritatea din Olanda ori Germania ar trebui să se coordoneze la nivel european. Și practic ar trebui să avem și la noi ce se întâmplă în alte state cu amenzile. Într-adevăr, România este pe locul 3 la numărul de amenzi, dar la noi nu se dau cele mai mari. De pildă, în Franța, în Irlanda, amenzile sunt chiar foarte, foarte mari. Și, de asemenea, la noi entitățile publice nu prea au fost amendate.

Justnews:

“Dreptul de a fi uitat”. Cum și când se aplică?

AVOCAT DR. RAUL FELIX HODOȘ:

A fost un caz celebru Google Spain/Google Ireland versus Mario Costeja Gonzales și Autoritatea Spaniolă de Protecție a datelor, care practic a stat la baza acestui “drept de a fi uitat”. Pe scurt, averea lui imobiliară se afla în executare silită de către Fisc, a fost preluată informația respectivă pe site-urile agențiilor de imobiliare. Omul și-a plătit însă ce avea de plătit și a solicitat apoi Fiscului ștergerea anunțului. Fiscul i-a retras anunțul, dar informația cu vânzarea practic era preluată și dată mai departe, se viralizase și pe alte site-uri imobiliare. Și atunci omul a cerut Google să elimine informațiile din motorul de căutare. Google a spus nu putem, nu avem cum și așa mai departe. A urmat un proces la CJUE, care a decis ca Google să fie obligat să-și modifice motorul de căutare, astfel încât domnul respectiv să nu mai poată fi identificat. Practic, de aici a venit această idee, dreptul de a fi uitat, pentru că în mod clasic, când ștergi datele din Google, ele dispar din motorul de căutare. Ele nu mai există pe Google, dar pe internet mai pot fi regăsite uneori, dacă știi unde să cauți în noianul de informații. Cel mai mult contează scopul pentru care au fost acele date postate și modul în care cei care le utilizează au sau nu au îndreptățirea să le utilizeze.

Justnews:

Situația condamnărilor penale definitive. Am întâlnit cazuri în care avocați, de pildă, condamnați penal definitiv au invocat GDPR în cazul soluțiilor definitive date de instanța de judecată.

AVOCAT DR. RAUL FELIX HODOȘ:

În momentul în care ești condamnat penal, îți asumi faptul că ai un cazier, cazierul se face tocmai pentru a ști și ceilalți de situația în care ai ajuns. Nu pot să angajez un paznic dacă nu îi solicit un cazier să văd că este curat sau cel puțin că nu are condamnări legate de infracțiuni contra proprietății. Nu ar trebui să fie niciun fel de problemă ca faptele respective să fie făcute publice atunci când există un interes justificat. Inclusiv numele persoanei. Evident, n-o să-i dăm și adresa de acasă sau numele și adresa firmei la care este angajat sau al soției sau al copiilor, pentru că nu mai îndeplinește criteriul interesului public. Interesul public aici este legat de faptul că ceilalți oameni, societatea în ansamblu, are dreptul să cunoască cine a încălcat regulile imperative ale ei. Prin urmare, în cazurile penale avem judecătorii care spun lucrul ăsta, iar pedepsele stabilite de ei, atunci când hotărârile sunt definitive sunt înscrise în cazierul judiciar.

Justnews:

A mai apărut un fenomen interesant:  unele instanțe judecătorești au început să anonimizeze numele justițiabililor în procesele civile, invocând GDPR. În ce condiții se poate solicita instanței anonimizarea numelor părților din dosar?

AVOCAT DR. RAUL FELIX HODOȘ:

Aici e o întreagă dezbatere. Avem articolul 6 din legea 190/2018. Când vorbești de interes public, vorbești și de avocatul care este apărător al unei părți într-un dosar, mai ales acolo unde vorbim de interesele minorilor, de pildă. Avocatul are obligația de confidențialitate conform legii și statutului propriu. Dar ce se întâmplă cu datele pe care le află avocatul din dosar? Le poate utiliza în alte dosare? De exemplu, ale părții adverse. Am acces, când studiez dosarul, la datele părții adverse. Pot eu să le folosesc într-un alt dosar? Și aici răspunsul ar trebui să fie: de regulă, nu. De ce? Pentru că în momentul în care eu folosesc datele respective înseamnă că le prelucrez într-un alt scop decât cel pentru care mi-a fost permis. Accesul la dosar a fost permis pentru a soluționa sau a pregăti apărarea în acel dosar și nu într-un alt dosar. Și încă o dată, repet, nu vorbesc de datele clientului meu. Vorbesc de datele celor din dosar, de exemplu, datele unui martor pe care îl știu că a fost și într-un alt dosar. Mai poate apărea o situație legată de ce discutam înainte despre domnul Gonzales și dreptul de a fi uitat. Practic, se face o prevenție în a limita publicitatea strict la ceea ce spune Codul de procedură civilă: ședința este publică, dar este publică pentru cei care se află la tribunal, nu trebuie să fie publică pentru tot internetul.

Justnews:

Viață privată, demnitar, interes public. Un demnitar, într-un proces civil, poate obține din partea judecătorului anonimizarea numelui lui, fiindcă este persoană publică?

AVOCAT DR. RAUL FELIX HODOȘ:

În momentul în care accept să fiu demnitar îmi asum și faptul că viața mea privată practic se restrânge.

Justnews:

De acord cu dumneavoastră până la un punct. Am avut cazuri în care sunt publicate notele unui copil doar pentru că părinții sunt persoane publice.

AVOCAT DR. RAUL FELIX HODOȘ:

Pot fi prelucrate orice fel de date cu caracter personal ale unui demnitar, dar trebuie să se dovedească un interes public. Or, ce face copilul acestuia nu este de interes public, cu atât mai mult cu cât prelucrarea se extinde aici la o altă persoană care nu și-a asumat un astfel de rol. Mai mult, de multe ori vorbim de date sensibile, ale minorilor, legate de sănătate, etc., trecând linii roșii, cu consecințe ulterioare iremediabile.

Justnews:

Cât timp se pot prelucra datele unei persoane?

AVOCAT DR. RAUL FELIX HODOȘ:

Datele personale nu ar trebui să fie prelucrate la infinit, fără să ni se spună când se pot șterge. Și aici fac o paralelă cu o altă chestiune care nu este tocmai constituțională. Ați auzit de registrul agresorilor sexuali. Acest registru nu se referă doar la cei care săvârșesc infracțiuni la un anumit moment și de atunci încolo vor rămâne înscriși în registru. Ceea ce ar fi corect. Ci se referă și la cei care au săvârșit de a lungul vieții acele infracțiuni, adică acum 60 de ani, de pildă. Dacă individul are acum 80 de ani și infracțiunea sexuală s-a întâmplat la 20 de ani, el rămâne înscris, chiar dacă este reabilitat. Or, doar legea penală și cea contravențională mai favorabilă retroactivează, nu și celelalte tipuri de legi. Aici însă, avem o înrăutățire a situației acestor persoane prin crearea unor obligații suplimentare pe care nu le aveau la momentul condamnării.
Apoi, declarațiile de avere. În momentul în care eu semnez acea declarație de avere, eu mă gândesc că o fac raportat la un anumit scop, adică să se vadă averea agonisită de mine pe parcursul ocupării funcției publice. Aceste aspecte pot și trebuie să fie verificate de A.N.I. Nu e necesar să fie verificate de întreaga populație ce are acces la internet, având în vedere că, așa cum spuneam anterior, trebuie să existe un echilibru între interesul public și cel privat. Trebuie să lăsăm judecătorilor ce este al judecătorilor, chiar dacă vorbim aici de funcționarii unor instituții specializate. Da, ne place să știm tot despre toată lumea, dar uneori trebuie să avem încredere și în autoritățile statului, poate tocmai cu scopul de a ne salva viața privată.

Justnews:

GDPR se aplică din mai 2018, da?

AVOCAT DR. RAUL FELIX HODOȘ:

Da, din 25 mai 2018. Iar de la acel moment, toate instituțiile publice ar fi trebuit să vadă care date cu caracter personal mai trebuie păstrate, iar pentru cele pentru care nu aveau un temei legale se impunea ștergerea. Din păcate, acest lucru nu s-a întâmplat. De ce? Pentru că exact așa cum noi, de-a lungul vieții, mai lăsăm câte ceva în pod, că poate ne va mai trebui cândva, la fel au făcut și instituțiile publice cu datele noastre cu caracter personal. Poate le vor trebui cândva. De aceea spuneam că datele acestea, de multe ori, intră pe mâinile cui nu trebuie și sunt folosite fără drept. De asta avem nevoie de reabilitare. Și dacă avem nevoie de reabilitare în zona penală, atunci această reabilitare, vorbesc în sensul de uitare, cu atât mai mult ar trebui să o avem și în cazul datelor personale.