Drept & Internet - noutati si opinii

Cum maine este 28 ianuarie - Ziua Protectiei Datelor cu Caracter Personal am zis ca ar fi bine sa scriu la subiect de astazi cu citeva noutati importante din domeniu.

1. Comisia Europeana a anuntat noile propuneri de reglementare europeana in domeniu, care includ un Regulament (deci un instrument juridic european cu aplicare directa, nu mai trebuie transpus in legislatia nationala) si o directiva in domeniul protectiei datelor si zona de combatere a infractiunilor.
Procesul legislativ european este unul de durata (probabil dupa 2-3 ani vor intra in vigoare), dar e bine sa punctam de pe acum citeva noutati interesante, desi principiile de baza raman la fel:

• Pe scurt, dispare obligativitatea inregistrarii operatorilor de date personale in Registrele nationale, dar se intaresc obligatiile, ar neindeplinirea lor poate duca la sanctionarea cu amenzi de pina la 1 milion de euro sau 2% din cifra de afaceri a unei firme
• Articolul 3 al noului regulament face clar ca regulile se vor aplica si firmelor din afara UE daca acestea vind servicii sau bunuri in Uniune sau, dar si firmelor care monitorizeaza comportamentul cetatenilor UE
• Apar noi drepturi ale persoanelor fizice - cum ar fi “dreptul de a fi uitat” sau “dreptul la portabilitatea datelor”
• Obligatia de notificare pentru pierderea de date cu caracter personal devine o regula pentru toate sectoarele economice (am mai povestit de ea in cazul telecom-urilor)
• Apar ca principii privacy by design (sau legea prin tehnologie cum i-am zis eu) si privacy by default
• O noutate interesanta este functia de “data protection officer”, ca persoana responsabila in cadrul unei companii de domeniul asta - acesta va fi obligatorie pentru orice institutie de stat sau companie cu peste 250 de angajati
• Este prevazuta obligativitatea unui analize de impact asupra vietii private in anumite tipuri de prelucrari.
  Cind am mentionat asta acum 1 an la intalnirea cartilor de identitate s-au uitat la mine ca la un OZN.

Cred ca vom mai discuta pe proiectul asta, pe unele chestiuni punctuale si in viitor. Oricum, va readuc aminte ca este doar un proiect, iar unele dispozitii deja sunt contestate de unele parti din industria de online.

2. Tot maine intra in vigoare si Decizia Dataprotection.ro cu privire la colectarea CNP si alte date asemenea -
Decizia ANSPDCP nr.132/2011 privind conditiile prelucrarii codului numeric personal si a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala
Cred ca putea sa fie si mai dur si mai explicit, dar cel putin defineste consimtamintul mai clar, asa cum este si in directiva actuala.

Art. 3. (1) În domeniul prelucrării datelor cu caracter personal, consimţământul persoanei vizate reprezintă orice manifestare de voinţă expresă, liberă, specifică şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.

(2) Consimţământul trebuie dat în mod expres, într-o formă care să permită dovedirea acestuia de către operator.

Decizia se refera si la efectuarea de copii:

Decizia a interzis efectuarea si retinerea de copii de pe cartea de identitate sau de pe documente care contin codul numeric personal, cu exceptia situatiilor in care exista o dispozitie legala expresa sau persoana vizata si-a dat in mod expres acordul, ori a fost obtinut avizul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal

3. Google anunta ca face o singura politica de confidentialitate pentru toate serviciile sale.

Desi asta face sa o citesti mai usor, asta inseamna si ca datele din diversele sale servicii (Cautare, Docs, Gmail, Calendar, Adwords, Adsenses.. etc.) pot sa fie combinate dupa cum doreste Google (ca tu iti dai acordul cind ai deschis contul).

Google oricum sta pe un munte de date despre fiecare dintre noi, deci politicile sale despre cum datele sunt combinate pentru ei, partajate cu tertii (cam vag capitolul) sau cu autoritatile (la ultimul punct sunt destul de transparenti, ce-i drept) ar trebui sa fie esentiale pt mentinerea increderii.

Mai ciudat mi se pare desemnarea punctului de contact al politicii in limba romana in California, si nu in Irlanda (adica parte a UE). Clauza de jurisdictie a noilor termeni este pur si simplu o bomboana. Acra. Pe scurt daca nu vreti sa cititi paragraful minunat de mai jos: daca nu va protejeaza legislatia nationala, sa puneti mina sa luati un bilet de avion in California daca vreti sa dati in judecata Google :-)

În unele ţări, instanţele nu aplică legislaţia din California în anumite tipuri de litigii. Dacă aveţi domiciliul într-una din aceste ţări, în cazurile în care legislaţia din California este exclusă, în litigiile asociate cu prezenţii Termeni şi condiţii se aplică legislaţia ţării dvs. În caz contrar, în cazul litigiilor survenite din sau asociate cu prezenţii Termeni şi condiţii sau cu Serviciile, sunteţi de acord să se aplice legislaţia statului California, S.U.A., cu excepţia reglementărilor statului California cu privire la alegerea legii. În mod similar, dacă instanţele din ţara dvs. nu vă permit să fiţi de acord cu jurisdicţia instanţelor din districtul Santa Clara, California, S.U.A., în cazul litigiilor în legătură cu prezenţii Termeni şi condiţii se aplică jurisdicţia şi legislaţia locală. În caz contrar, toate pretenţiile rezultate din sau în legătură cu prezenţii Termeni şi condiţii sau cu Serviciile vor fi judecate exclusiv de instanţele federale sau statale din districtul Santa Clara, California, S.U.A., iar dvs. şi Google sunteţi de acord cu jurisdicţia personală a respectivelor instanţe.