Daniel-Mihail Șandru, Protectia datelor în România. Conformare și sancțiuni GDPR, Ed. Universitară, 2024, ISBN: 978-606-28-0947-8, DOI: 10.5682/9786062809478
Cuvânt înainte
Nicolae-Dragoș Ploeșteanu
Linia sau firul roșu al acestei lucrări se menține de la început către final, reprezentând un „instrument de conformare” care se va afla, odată ce volumul va afla lumina tiparului, la dispoziția tuturor operatorilor și persoanelor interesate în cunoașterea și aplicarea Regulamentului General privind Protecția Datelor. Altfel spus, autorul Mihai Șandru, își exprimă în primul capitol intitulat „De ce protecția datelor”, într-un mod original, întreaga experiență dobândită în acest domeniu, cu grija celui care dorește să instruiască. Ca urmare, în primul capitol ni se deschide lumea practică a protecției datelor, arătându-se unde pot apărea principalele provocări în respectarea Regulamentului General al Protecției Datelor, unde trebuie făcute distincțiile esențiale pentru a ști cum să aplicăm corect sau cel puțin a înțelege corect exigențele și sensul normelor principale ale acestui regulament și a legislației cu care interferează la nivelul operatorilor din România sau în legătură cu persoanele vizate din România.
Autorul, cercetătorul Mihai Șandru, evidențiază încă din debutul volumului „Protecția datelor în România” de ce acest domeniu a strălucit în ultimii ani în viața practică, arătând că aparența de birocrație este umbrită de faptul că protecția datelor are valoare prin înțelegerea structurată, bazată pe principii.
Capitolul II atrage atenția asupra dinamicii legislației și actelor din domeniul protecției datelor: toate acestea, spune autorul, reprezintă un ecosistem care se dezvoltă an de an. Specificul protecției datelor în România este evidențiat în special în legătură cu aplicarea legislației la nivelul instanțelor judecătorești din România și al autorităților. Din perspectiva legislației cred că ceea ce este de noutate constă în modul propus de a vedea actele emise de către Comitetul european pentru protecția datelor, mai exact acte care deși nu au forță juridică recunoscută, fiind vorba de orientări, recomandări, instrucțiuni, totuși nu pot fi văzute ca fiind „lipsite de orice efect juridic”. În orice caz, în cadrul acestui capitol se urmărește descrierea generală a ecosistemului juridic al protecției datelor, urmărindu-se în cadrul protecției normative și instituționale europene, cadrul general material și teritorial al RGPD și legăturile acestui regulament cu celelalte acte normative în domeniul protecției datelor.
În capitolul IV sunt arătate unele caracteristici privind starea de fapt a aplicării RGPD în România, utilizându-se în special două puncte de reper: trimiterile preliminare formulate în fața și de către instanțele din România la Curtea de Justiție a Uniunii Europene și activitatea autorității naționale de supraveghere. Concluziile esențiale nu sunt critice, dar pe alocuri se formulează unele critici legate de inconsecvența unor instanțe în ceea ce privește soluțiile pronunțate, absența înțelegerii domeniului de aplicare fie a RGPD fie a Legii nr. 363/2018 privind prelucrarea datelor personale de către autoritățile de aplicare a legii, ori chiar dificultatea de a recepționa practica instanțelor în ansamblu ei, întrucât căutarea în sursele de informare, cum ar fi site-ul rejust.ro este dificilă. Poate în centrul întregii practici se situează cauza Bara și alții, invocată atât în practica CJUE dar și în aceea a unor instanțe din România.
În cadrul capitolului IV, care tratează principiile protecției datelor, acestea sunt descrise atât narativ cât și arătându-se mecanismul de interdependență în aplicarea la situații concrete. Cu siguranță, acesta este capitolul cel mai important, dacă privim în ansamblul său. Spre deosebire însă de limitarea strictă la principiile enunțate la articolul 5 din RGPD, autorul mai adaugă un principiu, anume principiul proporționalității. Majoritatea autorilor consideră că acest principiu este inclus în principiul legalității prelucrării datelor, însă autorul arată că acest principiu este un standard mult mai larg decât a se reduce la principiul legalității prelucrării datelor cu caracter personal, influențând inclusiv chestiunea dimensiunii unei sancțiuni aplicate de o autoritate de supraveghere. Capitolul V, intitulat temeiurile prelucrării, vine în completarea capitolului anterior privind principiile prelucrării. Din nou, exemplele din jurisprudența CJUE și a instanțelor, reprezintă „mirodeniile” care fac textul plăcut, ușor de înțeles, dar mai ales util, deoarece fiecare idee este însoțită de un astfel de exemplu. Există și aici, unele poziționări care provoacă la dezbatere, aspect chiar pus în discuție de autor; astfel de poziționări, precum ideea că nu consimțământul este principalul temei juridic utilizat pentru prelucrări privite în ansamblul lor sau că în prezența unui temei juridic, altele nu trebuie concomitent alăturate, conferă un caracter practic lucrării. Toate aceste idei de cele mai multe ori sunt însoțite de recomandări din ghidurile și orientările Comitetului european pentru protecția datelor. Un loc central din cadrul acestui capitol îl reprezintă consimțământul ca temei legal al prelucrării datelor. De altfel, consimțământul este și centrul intereselor RGPD, motiv pentru care toate valențele și reflexele acestuia pentru a fi dat în mod valabil sunt dezbătute analizate și exemplificate. În referire la temeiurile juridice ale prelucrării datelor personale, autorul concluzionează că acestea reprezintă elementul juridic dur, dincolo de diferitele proceduri necesare respectării RGPD. În același timp, modul de prezentare a noțiunilor este însoțit de „atenționări” adresate cititorului sau, altfel spus, autorul îi cere acestuia să ia aminte la „lecțiile învățate”.
Capitolul VI se orientează către puterile oferite persoanei ale cărei date sunt prelucrate, puteri care se manifestă în virtutea unui „scut” solid de drepturi pe care RGPD l-a consacrat strategic. Drepturile persoanei vizate sunt enunțate de către autor și se fac precizări constatate privind specificul lor și cum trebuie exercitate în practică pentru a avea eficiență. În cadrul capitolului se pune în evidență, implicit, una dintre ideile de la începutul lucrării: specificul protecției datelor cu caracter personal este că prin intermediul legislației corespunzătoare se manifestă în cadrul unor raporturi de drept public. Din acest motiv, autorul prezintă suita de entități care, alături de operator chiar dacă uneori în contra acestuia, au obligații corespondente realizării drepturilor persoanelor vizate: autoritatea de supraveghere, Comisia europeană, CEPD, responsabilul cu protecția datelor. Această prezentare este făcută în cadrul unei tipologii a drepturilor persoanelor vizate prin raportare la obligații corelative specifice fiecărei entități.
În capitolul VII este prezentat principalul „beneficiar” al obligațiilor prevăzute de RGPD: operatorul de date. Prezentarea este una descriptivă făcându-se trimiteri la principalele sale obligații, la principalele instrumente prin care poate să-și asigure conformarea, cum este cazul responsabilului cu protecția datelor sau încheierea acordurilor de protecție a datelor în relațiile sale contractuale. Tot aici sunt prezentate posibilitățile de consultare a autorității de supraveghere, dar și instrumentul de verificare a nivelului de intruziune asupra drepturilor fundamentale, anume evaluarea de impact (DPIA).
În capitolul final, intitulat „Căi de atac, răspundere și sancțiuni”, se enunță „garanțiile” respectării RGPD de către operatorii de date, împuterniciții acestora, fie aceștia entități publice sau private. Demersul este însoțit de exemplificări, mai ales atunci când se dorește evidențierea unui aspect mai aparte, mai interesant, cum ar fi sancțiunile aplicate pentru utilizarea necorespunzătoare a cookies.
Am parcurs cu interes volumul și cred că acesta reprezintă o radiografie coerentă a stadiului legislației specifice în domeniu și, totodată, a aspectelor particulare legate de protecția datelor cu caracter personal în România. Stilul de expunere a ideilor și informațiilor nu este unul teoretizat, ci mai degrabă unul expeditiv, informativ, adesea telegrafic. Avantajul constă în cursivitatea scrierii și ideilor, în bogăția de jurisprudență relevantă și în faptul că autorul reușește să cuprindă în puține cuvinte, enorm de multe informații, datorită experienței practice și teoretice pe care a dobândit-o în acest domeniu. Lucrarea ar trebui să se adreseze în special practicienilor de zi cu zi din domeniul protecției datelor, în special datorită informațiilor condensate în cadrul ideilor, ușurinței în citirea și înțelegerea acestora și faptului că în spatele fiecărei idei se află „proba” oferită de jurisprudență și practica autorității de supraveghere.
decembrie 2024
Abrevieri
Cuvânt înainte
Capitolul I. De ce protecția datelor?
Secțiunea 1. Există un specific românesc?
Secțiunea 2. Protecția datelor și viață privată
Secțiunea 3. Operatori și persoane vizate
Secțiunea 4. Conformare și sancțiuni
Secțiunea 5. Importanța datelor fără caracter personal
Capitolul II. Desțelenirea legăturilor legislației
Secțiunea 1. Legislație și jurisprudență în Europa
Secțiunea 2. Avizele și orientările Comitetului European de Protecția Datelor
Capitolul III. Starea de fapt privind protecția datelor în România
Secțiunea 1. Rolul instituțiilor române
Secțiunea 2. Experiențe ale instanțelor române
Capitolul IV. Principiile protecției datelor
Secțiunea 1. Rolul principiilor în aplicarea protecției datelor
Secțiunea 2. Legalitatea prelucrării
Secțiunea 3. Principiul echității
Secțiunea 4. Principiul transparenței
Secțiunea 5. Principiul limitării legate de scop
Secțiunea 6. Principiul minimizării
Secțiunea 7. Principiul exactității
Secțiunea 8. Principiul limitării legate de stocare
Secțiunea 9. Principiile integrității și confidențialității
Secțiunea 10. Principiul proporționalității
Secțiunea 11. Principiul responsabilității
Secțiunea 12. Principii și drepturi
Capitolul V. Temeiurile prelucrării datelor
Secțiunea 1. Determinarea temeiului de prelucrare
Secțiunea 2. Consimțământul
Secțiunea 3. Contractul
Secțiunea 4. Obligația legală
Secțiunea 5. Interese vitale
Secțiunea 6. Interesul public
Secțiunea 7. Interesul legitim
Capitolul VI. Drepturile persoanelor vizate
Secțiunea 1. Noțiunea de persoană vizată
Secțiunea 2. Tipologii de drepturi ale persoanei vizate
Secțiunea 3. Dreptul la informare
Secțiunea 4. Dreptul de acces la date
Secțiunea 5. Dreptul la rectificare
Secțiunea 6. Dreptul la ștergerea datelor
Secțiunea 7. Dreptul la restricționarea prelucrării
Secțiunea 8. Dreptul la portabilitatea datelor
Secțiunea 9. Dreptul la opoziție
Secțiunea 10. Procesul decizional individual automatizat, inclusiv crearea de profiluri
Secțiunea 11. Restricții privind drepturile persoanelor vizate
Secțiunea 12. Dreptul de a depune o plângere la o autoritate de supraveghere
Secțiunea 13. Sancțiuni pentru nerespectarea drepturilor persoanei vizate
Capitolul VII. Operatori de date – relații contractuale și drepturi fundamentale
Secțiunea 1. Noțiunea de operator
Secțiunea 2. Drepturile și obligațiile operatorului
Secțiunea 3. Drepturile și obligațiile împuternicitului
Secțiunea 4. Relația operator – împuternicit
Secțiunea 5. Responsabilul cu protecția datelor
Secțiunea 6. Măsuri tehnice și organizatorice
Capitolul VIII. Căi de atac, răspundere și sancțiuni
Secțiunea 1. Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere
Secțiunea 2. Sancțiunile autorității de supraveghere a prelucrării datelor
Secțiunea 3. Tipologia sancțiunilor în aplicarea Legii nr. 506/2006
Secțiunea 4. Dreptul la despăgubiri
Mulțumiri
Bibliografie
Index