Daniel-Mihail Șandru, Protectia datelor în România. Conformare și sancțiuni GDPR,  Ed. Universitară, 2024

Daniel-Mihail Șandru, Protectia datelor în România. Conformare și sancțiuni GDPR,  Ed. Universitară, 2024, ISBN: 978-606-28-0947-8, DOI: 10.5682/9786062809478

EDITURA UNIVERSITARA

Cuvânt înainte

Nicolae-Dragoș Ploeșteanu

Linia sau firul roșu al acestei lucrări se menține de la început către final, reprezentând un „instrument de conformare” care se va afla, odată ce volumul va afla lumina tiparului, la dispoziția tuturor operatorilor și persoanelor interesate în cunoașterea și aplicarea Regulamentului General privind Protecția Datelor. Altfel spus, autorul Mihai Șandru, își exprimă în primul capitol intitulat „De ce protecția datelor”, într-un mod original, întreaga experiență dobândită în acest domeniu, cu grija celui care dorește să instruiască. Ca urmare, în primul capitol ni se deschide lumea practică a protecției datelor, arătându-se unde pot apărea principalele provocări în respectarea Regulamentului General al Protecției Datelor, unde trebuie făcute distincțiile esențiale pentru a ști cum să aplicăm corect sau cel puțin a înțelege corect exigențele și sensul normelor principale ale acestui regulament și a legislației cu care interferează la nivelul operatorilor din România sau în legătură cu persoanele vizate din România.

Autorul, cercetătorul Mihai Șandru, evidențiază încă din debutul volumului „Protecția datelor în România” de ce acest domeniu a strălucit în ultimii ani în viața practică, arătând că aparența de birocrație este umbrită de faptul că protecția datelor are valoare prin înțelegerea structurată, bazată pe principii.

Capitolul II atrage atenția asupra dinamicii legislației și actelor din domeniul protecției datelor: toate acestea, spune autorul, reprezintă un ecosistem care se dezvoltă an de an. Specificul protecției datelor în România este evidențiat în special în legătură cu aplicarea legislației la nivelul instanțelor judecătorești din România și al autorităților. Din perspectiva legislației cred că ceea ce este de noutate constă în modul propus de a vedea actele emise de către Comitetul european pentru protecția datelor, mai exact acte care deși nu au forță juridică recunoscută, fiind vorba de orientări, recomandări, instrucțiuni, totuși nu pot fi văzute ca fiind „lipsite de orice efect juridic”. În orice caz, în cadrul acestui capitol se urmărește descrierea generală a ecosistemului juridic al protecției datelor, urmărindu-se în cadrul protecției normative și instituționale europene, cadrul general material și teritorial al RGPD și legăturile acestui regulament cu celelalte acte normative în domeniul protecției datelor.

În capitolul IV sunt arătate unele caracteristici privind starea de fapt a aplicării RGPD în România, utilizându-se în special două puncte de reper: trimiterile preliminare formulate în fața și de către instanțele din România la Curtea de Justiție a Uniunii Europene și activitatea autorității naționale de supraveghere. Concluziile esențiale nu sunt critice, dar pe alocuri se formulează unele critici legate de inconsecvența unor instanțe în ceea ce privește soluțiile pronunțate, absența înțelegerii domeniului de aplicare fie a RGPD fie a Legii nr. 363/2018 privind prelucrarea datelor personale de către autoritățile de aplicare a legii, ori chiar dificultatea de a recepționa practica instanțelor în ansamblu ei, întrucât căutarea în sursele de informare, cum ar fi site-ul rejust.ro este dificilă. Poate în centrul întregii practici se situează cauza Bara și alții, invocată atât în practica CJUE dar și în aceea a unor instanțe din România.

În cadrul capitolului IV, care tratează principiile protecției datelor, acestea sunt descrise atât narativ cât și arătându-se mecanismul de interdependență în aplicarea la situații concrete.  Cu siguranță, acesta este capitolul cel mai important, dacă privim în ansamblul său. Spre deosebire însă de limitarea strictă la principiile enunțate la articolul 5 din RGPD, autorul mai adaugă un principiu, anume principiul proporționalității. Majoritatea autorilor consideră că acest principiu este inclus în principiul legalității prelucrării datelor, însă autorul arată că acest principiu este un standard mult mai larg decât a se reduce la principiul legalității prelucrării datelor cu caracter personal, influențând inclusiv chestiunea dimensiunii unei sancțiuni aplicate de o autoritate de supraveghere. Capitolul V, intitulat temeiurile prelucrării, vine în completarea capitolului anterior privind principiile prelucrării.  Din nou, exemplele din jurisprudența CJUE și a instanțelor, reprezintă „mirodeniile” care fac textul plăcut, ușor de înțeles, dar mai ales util, deoarece fiecare idee este însoțită de un astfel de exemplu. Există și aici, unele poziționări care provoacă la dezbatere, aspect chiar pus în discuție de autor; astfel de poziționări, precum ideea că nu consimțământul este principalul temei juridic utilizat pentru prelucrări privite în ansamblul lor sau că în prezența unui temei juridic, altele nu trebuie concomitent alăturate, conferă un caracter practic lucrării. Toate aceste idei de cele mai multe ori sunt însoțite de recomandări din ghidurile și orientările Comitetului european pentru protecția datelor. Un loc central din cadrul acestui capitol îl reprezintă consimțământul ca temei legal al prelucrării datelor. De altfel, consimțământul este și centrul intereselor RGPD, motiv pentru care toate valențele și reflexele acestuia pentru a fi dat în mod valabil sunt dezbătute analizate și exemplificate. În referire la temeiurile juridice ale prelucrării datelor personale, autorul concluzionează că acestea reprezintă elementul juridic dur, dincolo de diferitele proceduri necesare respectării RGPD. În același timp, modul de prezentare a noțiunilor este însoțit de „atenționări” adresate cititorului sau, altfel spus, autorul îi cere acestuia să ia aminte la „lecțiile învățate”.

Capitolul VI se orientează către puterile oferite persoanei ale cărei date sunt prelucrate, puteri care se manifestă în virtutea unui „scut” solid de drepturi pe care RGPD l-a consacrat strategic. Drepturile persoanei vizate sunt enunțate de către autor și se fac precizări constatate privind specificul lor și cum trebuie exercitate în practică pentru a avea eficiență. În cadrul capitolului se pune în evidență, implicit, una dintre ideile de la începutul lucrării: specificul protecției datelor cu caracter personal este că prin intermediul legislației corespunzătoare se manifestă în cadrul unor raporturi de drept public. Din acest motiv, autorul prezintă suita de entități care, alături de operator chiar dacă uneori în contra acestuia, au obligații corespondente realizării drepturilor persoanelor vizate: autoritatea de supraveghere, Comisia europeană, CEPD, responsabilul cu protecția datelor. Această prezentare este făcută în cadrul unei tipologii a drepturilor persoanelor vizate prin raportare la obligații corelative specifice fiecărei entități.

În capitolul VII este prezentat principalul „beneficiar” al obligațiilor prevăzute de RGPD: operatorul de date. Prezentarea este una descriptivă făcându-se trimiteri la principalele sale obligații, la principalele instrumente prin care poate să-și asigure conformarea, cum este cazul responsabilului cu protecția datelor sau încheierea acordurilor de protecție a datelor în relațiile sale contractuale. Tot aici sunt prezentate posibilitățile de consultare a autorității de supraveghere, dar și instrumentul de verificare a nivelului de intruziune asupra drepturilor fundamentale, anume evaluarea de impact (DPIA).

În capitolul final, intitulat „Căi de atac, răspundere și sancțiuni”, se enunță „garanțiile” respectării RGPD de către operatorii de date, împuterniciții acestora, fie aceștia entități publice sau private. Demersul este însoțit de exemplificări, mai ales atunci când se dorește evidențierea unui aspect mai aparte, mai interesant, cum ar fi sancțiunile aplicate pentru utilizarea necorespunzătoare a cookies. 

Am parcurs cu interes volumul și cred că acesta reprezintă o radiografie coerentă a stadiului legislației specifice în domeniu și, totodată, a aspectelor particulare legate de protecția datelor cu caracter personal în România. Stilul de expunere a ideilor și informațiilor nu este unul teoretizat, ci mai degrabă unul expeditiv, informativ, adesea telegrafic. Avantajul constă în cursivitatea scrierii și ideilor, în bogăția de jurisprudență relevantă și în faptul că autorul reușește să cuprindă în puține cuvinte, enorm de multe informații, datorită experienței practice și teoretice pe care a dobândit-o în acest domeniu. Lucrarea ar trebui să se adreseze în special practicienilor de zi cu zi din domeniul protecției datelor, în special datorită informațiilor condensate în cadrul ideilor, ușurinței în citirea și înțelegerea acestora și faptului că în spatele fiecărei idei se află „proba” oferită de jurisprudență și practica autorității de supraveghere.

decembrie 2024

Abrevieri

Cuvânt înainte

Capitolul I. De ce protecția datelor?

Secțiunea 1. Există un specific românesc?

Secțiunea 2. Protecția datelor și viață privată

Secțiunea 3. Operatori și persoane vizate

Secțiunea 4. Conformare și sancțiuni

Secțiunea 5. Importanța datelor fără caracter personal

Capitolul II. Desțelenirea legăturilor legislației

Secțiunea 1. Legislație și jurisprudență în Europa

Secțiunea 2. Avizele și orientările Comitetului European de Protecția Datelor

Capitolul III. Starea de fapt privind protecția datelor în România

Secțiunea 1. Rolul instituțiilor române

Secțiunea 2. Experiențe ale instanțelor române

Capitolul IV. Principiile protecției datelor

Secțiunea 1. Rolul principiilor în aplicarea protecției datelor

Secțiunea 2. Legalitatea prelucrării

Secțiunea 3. Principiul echității

Secțiunea 4. Principiul transparenței

Secțiunea 5. Principiul limitării legate de scop

Secțiunea 6. Principiul minimizării

Secțiunea 7. Principiul exactității

Secțiunea 8. Principiul limitării legate de stocare

Secțiunea 9. Principiile integrității și confidențialității

Secțiunea 10. Principiul proporționalității

Secțiunea 11. Principiul responsabilității

Secțiunea 12. Principii și drepturi

Capitolul V. Temeiurile prelucrării datelor

Secțiunea 1. Determinarea temeiului de prelucrare

Secțiunea 2. Consimțământul

Secțiunea 3. Contractul

Secțiunea 4. Obligația legală

Secțiunea 5. Interese vitale

Secțiunea 6. Interesul public

Secțiunea 7. Interesul legitim

Capitolul VI. Drepturile persoanelor vizate

Secțiunea 1. Noțiunea de persoană vizată

Secțiunea 2. Tipologii de drepturi ale persoanei vizate

Secțiunea 3. Dreptul la informare

Secțiunea 4. Dreptul de acces la date

Secțiunea 5. Dreptul la rectificare

Secțiunea 6. Dreptul la ștergerea datelor

Secțiunea 7. Dreptul la restricționarea prelucrării

Secțiunea 8. Dreptul la portabilitatea datelor

Secțiunea 9. Dreptul la opoziție

Secțiunea 10. Procesul decizional individual automatizat, inclusiv crearea de profiluri

Secțiunea 11. Restricții privind drepturile persoanelor vizate

Secțiunea 12. Dreptul de a depune o plângere la o autoritate de supraveghere

Secțiunea 13. Sancțiuni pentru nerespectarea drepturilor persoanei vizate

Capitolul VII. Operatori de date – relații contractuale și drepturi fundamentale

Secțiunea 1. Noțiunea de operator

Secțiunea 2. Drepturile și obligațiile operatorului

Secțiunea 3. Drepturile și obligațiile împuternicitului

Secțiunea 4. Relația operator – împuternicit

Secțiunea 5. Responsabilul cu protecția datelor

Secțiunea 6. Măsuri tehnice și organizatorice

Capitolul VIII. Căi de atac, răspundere și sancțiuni

Secțiunea 1. Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere

Secțiunea 2. Sancțiunile autorității de supraveghere a prelucrării datelor

Secțiunea 3. Tipologia sancțiunilor în aplicarea Legii nr. 506/2006

Secțiunea 4. Dreptul la despăgubiri

Mulțumiri

Bibliografie

Index