Despre cum se aplică GDPR în România. Cum au ajuns datele a cinci milioane de utilizatori pe dark web?
Despre cum se aplică GDPR în România. Cum au ajuns datele a cinci milioane de utilizatori pe dark web?
05 Aug, 2024 10:32
05 Aug, 2024 10:32
05 Aug, 2024 10:32
ZIUA de Constanta
627
Marime text
Specialiștii juridici de la legalbadger.org vorbesc într-un material despre GDPR în România, independență și date personale care au ajuns să fie puse la vânzare pe dark web.
Adoptat în 2018, GDPR are ca scop protejarea vieții private și a drepturilor cetățenilor în relație cu entitățile care dețin datele lor. Practic, deși România a adoptat cu seriozitate regulamentul, prin Legea 190/2018, aplicarea sa lasă de dorit.
Se compară aplicabilitatea regulamentului de protecție a datelor personale în vestul Europei – Italia, Spania sau Franța, unde vedem că au fost date amenzi unor companii tech de renume precum Google și Facebook, iar România stă bine la capitolul indulgență. De exemplu, cele mai mari amenzi din Europa au fost aplicate în țări precum Irlanda și Luxemburg, unde companii mari au fost sancționate cu sute de milioane de euro pentru încălcarea GDPR. În contrast, în România, cea mai mare amendă aplicată a fost de aproximativ 100.000 de euro, impusă Băncii Transilvania.
Într-un context și mai alarmant, recent, date personale ale cinci milioane de români au fost puse la vânzare pe dark web. Un utilizator cunoscut sub pseudonimul K8074 a oferit acces la o bază de date masivă pe dark web, cu informații personale ale populației din România, scriu specialiștii Legal Badger. Licitația pentru această bază de date a început de la 15.000 de dolari, iar consecințele potențiale sunt extrem de grave. Această scurgere masivă include informații personale precum CNP-uri, adrese, date de naștere și informații de ordin financiar, punând în pericol securitatea și confidențialitatea a milioane de persoane.
Regulamentul General privind Protecția Datelor (GDPR) stabilește principiile generale pentru colectarea și prelucrarea datelor cu caracter personal în Uniunea Europeană. Datele trebuie prelucrate în mod legal și transparent față de persoanele vizate, iar colectarea acestora trebuie să se facă în scopuri specificate, explicite și legitime, fără a fi prelucrate ulterior într-un mod incompatibil cu aceste scopuri. De altfel, datele personale colectate trebuie să fie relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.
Datele personale trebuie păstrate într-o formă care permite identificarea persoanelor vizate doar pe perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. De asemenea, ele trebuie prelucrate într-un mod care asigură securitatea acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, prin aplicarea unor măsuri tehnice sau organizatorice corespunzătoare. Operatorul este responsabil de respectarea principiilor GDPR și trebuie să fie capabil să asigure protecția datelor colectate.
Colectarea datelor cu caracter personal se poate face numai dacă persoana vizată și-a exprimat consimțământul în mod liber, informat și neechivoc pentru prelucrarea datelor sale cu caracter personal. GDPR acordă persoanelor vizate o serie de drepturi, inclusiv dreptul de acces la datele personale, dreptul de rectificare, dreptul de ștergere (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor și dreptul de a se opune prelucrării. În orice caz, persoana vizată trebuie să fie pe deplin informată cu privire la modul în care datele sale vor fi utilizate și să accepte în mod explicit această prelucrare.
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 prevede și obligații suplimentare, cum ar fi necesitatea efectuării evaluărilor de impact asupra protecției datelor în anumite situații și reglementări specifice pentru monitorizarea electronică a angajaților și prelucrarea datelor genetice, biometrice și de sănătate.
ANSPDCP, în calitate de autoritate publică centrală cu competență generală în domeniul protecției datelor personale, este responsabilă pentru garantarea respectării drepturilor la viața privată și la protecția datelor personale. Mai mult, ANSPDCP exercită activități de control și aplică sancțiuni în cazul încălcării prevederilor legale.
Printre deficiențele comune identificate în cuprinsul plângerilor adresate ANSPDCP se numără încălcarea drepturilor și principiilor stabilite de GDPR, divulgarea neautorizată a datelor personale, procesarea imaginilor prin sisteme de supraveghere video fără respectarea regulilor incidente și trimiterea de mesaje comerciale nesolicitate.
Nerespectarea regulilor prevăzute de GDPR poate atrage sancțiuni însemnate pentru companiile din România. Aceste sancțiuni includ amenzi, restricționarea activităților de prelucrare a datelor și, în cazurile grave, suspendarea activității comerciale. Printre principalele motive pentru aplicarea sancțiunilor se numără:
În schimb, potrivit art. 13 și art. 14 din Legea 190/2018, în cazul autorităților publice devine aplicabilă o schemă distinctă de sancționare a încălcării regulilor cu privire la colectarea datelor cu caracter personal. Prin urmare, măsura de corectare a potențialelor abuzuri implică inițial elaborarea unui plan de remediere de către Autoritatea pentru Protecția Datelor (ANSPDCP). După prezentarea acestui plan, autoritatea publică are la dispoziție zece zile pentru a se conforma și, doar în cazul în care nu respectă măsurile impuse, poate fi amendată.
Citește și
Medicul Gheorghe Burnei, obligat la daune morale de 100.000 de euro, printr-o decizie a Tribunalului București, într-un dosar de malpraxis! Explicații
Adoptat în 2018, GDPR are ca scop protejarea vieții private și a drepturilor cetățenilor în relație cu entitățile care dețin datele lor. Practic, deși România a adoptat cu seriozitate regulamentul, prin Legea 190/2018, aplicarea sa lasă de dorit.
Se compară aplicabilitatea regulamentului de protecție a datelor personale în vestul Europei – Italia, Spania sau Franța, unde vedem că au fost date amenzi unor companii tech de renume precum Google și Facebook, iar România stă bine la capitolul indulgență. De exemplu, cele mai mari amenzi din Europa au fost aplicate în țări precum Irlanda și Luxemburg, unde companii mari au fost sancționate cu sute de milioane de euro pentru încălcarea GDPR. În contrast, în România, cea mai mare amendă aplicată a fost de aproximativ 100.000 de euro, impusă Băncii Transilvania.
Într-un context și mai alarmant, recent, date personale ale cinci milioane de români au fost puse la vânzare pe dark web. Un utilizator cunoscut sub pseudonimul K8074 a oferit acces la o bază de date masivă pe dark web, cu informații personale ale populației din România, scriu specialiștii Legal Badger. Licitația pentru această bază de date a început de la 15.000 de dolari, iar consecințele potențiale sunt extrem de grave. Această scurgere masivă include informații personale precum CNP-uri, adrese, date de naștere și informații de ordin financiar, punând în pericol securitatea și confidențialitatea a milioane de persoane.
Reguli pentru prelucrarea datelor personale în România
Regulamentul General privind Protecția Datelor (GDPR) stabilește principiile generale pentru colectarea și prelucrarea datelor cu caracter personal în Uniunea Europeană. Datele trebuie prelucrate în mod legal și transparent față de persoanele vizate, iar colectarea acestora trebuie să se facă în scopuri specificate, explicite și legitime, fără a fi prelucrate ulterior într-un mod incompatibil cu aceste scopuri. De altfel, datele personale colectate trebuie să fie relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate.
Datele personale trebuie păstrate într-o formă care permite identificarea persoanelor vizate doar pe perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. De asemenea, ele trebuie prelucrate într-un mod care asigură securitatea acestora, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale, prin aplicarea unor măsuri tehnice sau organizatorice corespunzătoare. Operatorul este responsabil de respectarea principiilor GDPR și trebuie să fie capabil să asigure protecția datelor colectate.
Colectarea datelor cu caracter personal se poate face numai dacă persoana vizată și-a exprimat consimțământul în mod liber, informat și neechivoc pentru prelucrarea datelor sale cu caracter personal. GDPR acordă persoanelor vizate o serie de drepturi, inclusiv dreptul de acces la datele personale, dreptul de rectificare, dreptul de ștergere (dreptul de a fi uitat), dreptul la restricționarea prelucrării, dreptul la portabilitatea datelor și dreptul de a se opune prelucrării. În orice caz, persoana vizată trebuie să fie pe deplin informată cu privire la modul în care datele sale vor fi utilizate și să accepte în mod explicit această prelucrare.
Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 prevede și obligații suplimentare, cum ar fi necesitatea efectuării evaluărilor de impact asupra protecției datelor în anumite situații și reglementări specifice pentru monitorizarea electronică a angajaților și prelucrarea datelor genetice, biometrice și de sănătate.
Rolul ANSPDCP și sancțiunile pentru nerespectarea GDPR în România
ANSPDCP, în calitate de autoritate publică centrală cu competență generală în domeniul protecției datelor personale, este responsabilă pentru garantarea respectării drepturilor la viața privată și la protecția datelor personale. Mai mult, ANSPDCP exercită activități de control și aplică sancțiuni în cazul încălcării prevederilor legale.
Printre deficiențele comune identificate în cuprinsul plângerilor adresate ANSPDCP se numără încălcarea drepturilor și principiilor stabilite de GDPR, divulgarea neautorizată a datelor personale, procesarea imaginilor prin sisteme de supraveghere video fără respectarea regulilor incidente și trimiterea de mesaje comerciale nesolicitate.
Nerespectarea regulilor prevăzute de GDPR poate atrage sancțiuni însemnate pentru companiile din România. Aceste sancțiuni includ amenzi, restricționarea activităților de prelucrare a datelor și, în cazurile grave, suspendarea activității comerciale. Printre principalele motive pentru aplicarea sancțiunilor se numără:
- Lipsa măsurilor tehnice și organizatorice adecvate pentru asigurarea securității și protecției datelor.
- Prelucrarea datelor cu caracter personal fără un temei legal.
- Nerespectarea drepturilor persoanelor vizate.
- Nerespectarea principiilor GDPR.
- Nerespectarea măsurilor impuse de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
În schimb, potrivit art. 13 și art. 14 din Legea 190/2018, în cazul autorităților publice devine aplicabilă o schemă distinctă de sancționare a încălcării regulilor cu privire la colectarea datelor cu caracter personal. Prin urmare, măsura de corectare a potențialelor abuzuri implică inițial elaborarea unui plan de remediere de către Autoritatea pentru Protecția Datelor (ANSPDCP). După prezentarea acestui plan, autoritatea publică are la dispoziție zece zile pentru a se conforma și, doar în cazul în care nu respectă măsurile impuse, poate fi amendată.
Citește și
Medicul Gheorghe Burnei, obligat la daune morale de 100.000 de euro, printr-o decizie a Tribunalului București, într-un dosar de malpraxis! Explicații
Urmareste-ne pe Grupul de Whatsapp
Comentarii