Zilnic, românii găsesc în căsuța de e-mail numeroase mesaje nesolicitate (spam) sau newslettere de la companii la care nu s-au abonat niciodată. Alții, primesc telefoane de la diverse firme de sondare a opiniei publice.
Tranzacțiile cu date personale sunt o afacere pe cât de profitabilă, pe atât de periculoasă în România. Există companii autorizate să prelucreze date personale și care își desfășoară activitatea cu acordul clienților, dar și o piață neagră a datelor personale. Printre spam-urile pe care le primim, mai ales pe adresele de serviciu, sunt și oferte de baze de date cu e-mail-uri sau numere de telefon. De aplicarea legislației privind prelucrarea datelor personale în România și investigarea cazurilor de încălcare a acesteia se ocupă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
În acest an, până la 31 august 2013, au fost primite la ANSPDCP 489 de plângeri și 102 sesizări referitoare la încălcarea legislației privind prelucrarea datelor cu caracter personal. Autoritatea a aplicat 31 de amenzi, în valoare totală de 79.400 lei, potrivit datelor furnizate ziarului gândul de Mihaela Ududec, șeful Biroului Juridic și de Comunicare. Cea mai mare amendă aplicată în 2013 a fost de 20.000 de lei. Autoritatea nu a specificat cine este entitatea sau persoana amendată. Pentru transmiterea de mesaje nesolicitate au fost aplicate în 2013 patru amenzi, în valoare de 20.000 de lei.
Cele mai populare probleme pentru care au fost depuse plângeri și sesizări la ANSPDCP, în 2013
1. Raportarea datelor personale către sisteme de evidență de tipul birourilor de credit, de către bănci sau alte instituții financiare, în mod eronat sau fără informarea prealabilă a persoanelor vizate, conform Legii nr. 677/2001 și Deciziei ANSPDCP nr. 105/2007.
2. Colectarea excesivă a copiilor actelor de identitate, fără să existe un temei legal expres ori fără consimțământul liber exprimat al persoanelor fizice sau în lipsa avizului ANSPDCP.
3. Instalarea mijloacelor de supraveghere video în imobile sau în birouri, în situații în care prelucrarea imaginilor s-a dovedit a fi excesivă față de scopul indicat de operatorii controlați ori fără a se asigura o informare adecvată a persoanelor vizate.
4. Utilizarea unor sisteme de pontare a angajaților pe baza datelor biometrice rezultate din preluarea amprentelor digitale, în condițiile în care folosirea acestor mijloace intruzive în viața privată nu era necesară pentru atingerea scopului propus.
5. Transmiterea de comunicări comerciale nesolicitate prin mijloace de comunicații electronice (SMS, e-mail) de către diverse entități, fără consimțământul expres prealabil al destinatarilor mesajelor.
6. Dezvăluirea excesivă pe internet a unor date personale ce permit identificarea persoanelor fizice.
Ce pot face românii când datele lor nu sunt folosite conform legii
„În conformitate cu art. 15 alin. (1) din Legea nr. 677/2001, persoana vizată are dreptul de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepția cazurilor încare există dispoziții legale contrare. În vederea exercitării dreptului garantat de lege, menționat anterior, persoana fizică respectivă are posibilitatea de a înainta operatorului în cauză (din sectorul public sau privat) o cerere întocmită în forma scrisă, datată și semnată, la care acesta este obligat să răspundă în termen de 15 zile de la data primirii cererii”, a explicat, pentru gândul, Mihaela Ududec.
În cazul în care, după împlinirea termenului de 15 zile nu s-a primit un răspuns sau cererea nu a fost soluționată, persoana vizată poate înainta o plângere Autorității de Supraveghere. Plângerea trebuie să fie însoțită de dovada faptului că persoana în cauză s-aadresat operatorului. În acest sens, pe site-ul instituției noastre, www.dataprotection.ro, la secțiunea Proceduri/Primire/Soluționare cereri, este disponibil formularul de plângere.
Programele de monitorizare a angajaților. Modalitatea legală în care pot fi utilizate
Există două tipuri de programe de monitorizare a angajaților: non-invazive și invazive. Programele non-invazive înregistrează ce site-uri și aplicații folosesc angajații la locul de muncă și prezintă informațiile sub forma unui desfășurător precum cel furnizat de operatorii de telefonie mobilă. Aceste programe nu au acces la conținutul din programele (ex. e-mail) sau site-urile accesate de angajați (ex. Facebook), astfel că nu intră sub incidența legilor privind prelucrarea datelor cu caracter personal. Un astfel de soft, popular în România, este Cyclope. El este folosit în peste 500 de instituții și companii din țara noastră, potrivit dezvoltatorului său. „În cazul în care folosește un astfel de program, angajatorul nu trebuie să se înregistreze ca prelucrator de date cu caracter personal la ANSPDCP, și nici angajatul să fie notificat, deși este recomandat acest lucru, că este supravegheat”, a declarat, pentru gândul, Ionel Orza, director de vânzări la Cyclope. Compania susține că soluția sa este singura „100% legală din România”.
Programele invazive de monitorizare a angajaților, folosite și ele în România, au acces și la conținutul accesat de angajat în aplicații sau din browserul de internet. Acestea pot face capturi de ecran automat sau înregistra ce tastează utilizatorul computerului monitorizat. În cazul acestor probleme situația este delicată. Angajatorul trebuie, potrivit legii, să fie înregistrat la ANSPDCP ca prelucrator de date cu caracter personal și să garanteze securitatea acestor date. Mai mult, angajatul trebuie să știe că este monitorizat, pentru ca monitorizarea să fie legală. Acest lucru se poate face printr-o anexă la contractul de muncă sau poate fi precizat în regulamentul de ordine interioară.Totodată, angajatorul trebuie să îi ofere angajatului acces, la cerere, la datele înregistrate despre el. Dacă toți acești pași nu sunt urmați de angajator, informațiile nu pot fi folosite legal împotriva angajatului, iar angajatorul poate fi sancționat conform legii.
Reforma europeană a transferului de date
De mai bine de un an de zile, există, la nivelul Uniunii Europene, o dezbatere aprinsă privind reforma cadrului juridic european referitor la prelucrarea datelor cu caracter personal. În ianuarie 2012, Comisia Europeană a propus un amplu pachet legislativ cu scopul de a proteja transferul de date în interiorul și din spațiul comunitar prin stabilirea unor reguli comune în acest domeniu. Pe scurt, pachetul de reformă, care este necesar dat fiind că actualul cadru juridic a fost adoptat în 1995, conține două propuneri legislative referitoare la transferul de date. El se află încă în dezbatere, existând o opoziție puternică din partea lobby-știlor.