Category: "Retentia datelor"

Pages: 1 3 4 5 ...6 7

06/10/15

  15:30:00, by Bogdan, 720 words  
Categories: Stiri - Romania, Pareri personale, Jurisprudenta, Drept & Internet, Retentia datelor

Ce decide Curtea Europeană de Justiție în domeniul datelor personale?

Ultima săptămână a însemnat trei decizii majore pe care Curtea Europeană de Justiție (CEJ) le-a dat pentru domeniul protecției datelor cu caracter personal. Unii le-ar putea interpreta ca fiind o lovitură dată industriei, SUA sau instituțiilor publice. Noi le-am considera doar o reîntoarcere la normalul considerării dreptului la viață privată ca un drept fundamental și o răsturnare a deciziilor naționare, europene sau internaționale care desconsideră acest aspect.

Deși la noi a fost comentat mai ales cazul Bara vs. CNAS (pentru ca era un român implicat) trebuie să subliniem că toate cazurile au aceiași importanță practică fiind interpretări oficiale ale dreptului european.

1. Cazul Schrems vs Ireland Data Protection Commissioner - C 362/14 este probabil cazul cu cele mai profunde implicații la nivel internațional - pentru că a declarat invalidă Decizia Comisiei Europene prin care se considera că SUA au un regim adecvat de protecție a datelor personale (cunoscută sub numele de Safe Harbour).

Safe Harbour a fost intotdeauna în lumea specialiștilor (dar inlcusiv în rapoartele Comisiei) ca fiind o glumă proastă. Deși în cazul altor țări s-a făcut o analiză atentă a legislației pentru protecția datelor personale și a aspectelor practice pentru a beneficia de acest nivel de “regim adecvat de protecție", in cazul SUA s-a accepta un fel de auto-certificare, neverificată de nimeni. Adică, zice Facebook că respectă principiile protecției datelor personale? Atunci să-l credem pe cuvânt.

CEJ nu a putut decât să constate că un astfel de sistem, care permitea accesul neîngrădit al autorităților din SUA la datele personale stocate de firme americane și unde drepturile europenilor de acces sau rectificare a datelor erau recunoscute ca fiind de fapt iluzorii, “aduce atingere substanței dreptului fundamental la respectarea vieții private".

Decizia aruncă în aer și deci lipsește de bază juridică orice transfer de date personale dinspre UE către SUA. La cald, unii juriști consideră că soluția ar putea fi niște modele de clauze contractuale, în vreme ce alții punctează că doar o modificare a legislației din SUA ar putea să rezolve problema, de vreme ce contractul nu poate sa contravină legilor americane care permit accesul autoritătilor competente în mod direct la datele respective.

În fine trebuie remarcată frumusețea dreptului în care un tânăr jurist, Max Schrems, inarmat cu argumentele corecte și cu princiipile solide despre drepturile omului, dar și cu nervi și bani ca să-și permită procesul, poate sa câștige în fața uneia dintre cele mai mari firme din lume, a unei decizii a Comisie Europene și a unei Autorități publice ce ar trebui să fie competentă, dar e ineptă (e vorba de Autoritatea pt protecția datelor din Irlanda).

2. Cazul Bara vs CNAS - C 201/2014 precizează faptul că legislația privind protecția datelor cu caracter personal nu poate fi încălcată printr-un simplu protocol între 2 autorități publice (este vorba de CNAS și ANAF în cazul supus judecății).

Ne chinuim de câțiva ani să explicăm instituțiilor publice românești (ultima dată în cazul SIET) că datele personale nu pot fi transferate de la una la alta doar pentru că tehnic este posibil - ci trebuie analizat dacă acest schimb de date personale este necesar într-o societate democratică și care sunt garanțiile acordate pentru evitarea arbitrariului. Lucrurile trebuie analizate așezat și văzute de la caz la caz.

Și în cazul ăsta au apărut titluri pompieristice care consideră că orice transfer de date între autorități ar fi ilegal și că astfel infractorii ar fi protejați. De fapt situația este mult mai complexă și noi nu știm ce baze de date ar fi accesat ANAF și in ce condiții. Cert este insă că legea 677/2001 are suficiente excepții și interpetări care permit transferul de date între terți, dacă se respectă principiile protecției datelor cu caracter personal.

3. Cazul Weltimmo s.r.o. vs Nemzeti C 230/14 confirmă faptul că legea națională de protecție a datelor poate fi aplicață operatorilor care au o activitate - fie ea și minimală - legată de teritoriul respectiv, chiar dacă este o firmă străină.

Aceasta reconfirmare a principiului din cazul Google Spania vine să confirme situațiile în care mari firme (cum ar fi Facebook, Google sau Apple) refuză să aplice legislația națională pentru protecția datelor (și vă trimit în Irlanda, cum a fost cazul Schrems de mai sus), dar în schimb desfășoară o activitate comercială reală în țara respectivă - de la vândut reclame și până la recuperat creanțe.

Vom reveni în zilele următoare pe blogul Privacy.apti.ro cu mai multe detalii legate de primele 2 cazuri.

08/05/15

  16:48:00, by Bogdan, 1196 words  
Categories: Stiri - Romania, Pareri personale, Drept & Internet, Retentia datelor, Viata privata

3 bune si 3 proaste în noul proiect de lege privind accesul la datele de trafic

Update 5 octombrie 2015 - procesul legislativ a fost atit de rahat, incat nu a existat nicio oportunitate reala de a discuta pe fondul legii propuse - acum e in promulgare la presedinte, deci avem o ultima incercare de a propune sa se faca dezbaterea corect.

Sumar (TL;DR): Noul proiect de lege de acces la datele de trafic este mai bun decat inițiativele vechi, renunțând la propunerile de supraveghere generală. Totuși, este scris prost și promovat prin metode care contrazic principiile transparenței decizionale.

Printr-o procedură rapidă și care nu a mai fost întâlnită până acum, un nou proiect cu privire la accesul autorităților la datele de trafic informațional a apărut în Senat, susținut de toate partidele politice (presate de Președintele Iohannis).

Vă rog să citiți cu atenție documentele pe care se bazează această analiză de pe fișa proiectului de lege în Senat și anume proiectul de lege (scurt - are doar 2 pagini) și expunerea de motive (5 pagini).

Ne-am propus să încercăm o analiză primară a textului propus, în special în contextul ultimelor 3 legi din zona conexă declarate neconstituționale de Curtea Constituțională în 2014-2015.

Ca un preambul trebuie notat că este un proiect de lege nou, care nu are nimic în comun cu cele 3 legi declarate neconstituționale și care își propune să rezolve în primul rând accesul autorităților competente la datele de trafic deja deținute de către operatorii de telefonie și Internet. Accesul la acestea a fost interzis oricărei autorități de paragraful 79 din decizia CCR 440/2014, în lipsa unui temei legal clar (vezi și propunerile noastre din octombrie 2014).

Trei Chestiuni Bune

A. Noua propunere nu este o lege de supraveghere generalizată (adică un Big Brother).

Ceea ce am criticat la actele normative precedente erau măsurile de supraveghere generalizată impuse de stat. Păstrăm toate datele de trafic alte tuturor cetățenilor, doar pentru a putea prinde niște eventuali teroriști. Cerem toate datele de identificare ale abonaților pre-pay și a celor ce folosesc WiFi doar pentru a-i putea identifica pe unii, dacă avem nevoie.

Această dorință care se circumscrie întrebării „Trebuie să supraveghem TOT pentru a-l prinde pe X sau Y?” nu se include în prezentul text.

Dar, atenție mare! - ideea înregistrării cartelelor pre-pay sau a unei legi extrem de largi de securitate cibernetice nu a plecat din spațiul public. Deci este posibil să vedem din nou aceleași discuții… Doarcă acum nu sunt…

B. Principiul necesității datelor de trafic este clar: aveți voie să păstrați doar ce este necesar pentru facturare, interconectare sau alte chestiuni conexe. Autoritățile au acces doar la aceste date.

Astfel se renunță la principiul păstrării unei serii impresionante de date de trafic pentru toți clienții (care erau în legile de păstrarea a datelor de trafic - 298/2008 și 82/2012).

Și se revine la principiul din art. 5 (1) al legii 506/2004 - datele de trafic trebuie șterse sau anonimizate dacă ele nu mai sunt necesare operatorului (și nu autorității):

(1) Datele de trafic referitoare la abonați și utilizatori, prelucrate și stocate de către furnizorul unei rețele publice de comunicații electronice sau de către furnizorul unui serviciu de comunicații electronice destinat publicului, trebuie să fie șterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, cu excepția situațiilor prevăzute la alin. (2), (3) și (5).

Unde s-a adăugat un termen de 3 ani maximal pentru păstarea acestora (care nici nu ajută, dar nici nu strică).

Ca să luăm un exemplu practic - un furnizor de Internet (ISP) care oferă un abonament fără limită de trafic nu trebuie să colecteze date de trafic care nu îi sunt necesare pentru facturare și intereconectare. Astfel el va trebui să anonimizeze sau să șteargă imediat datele de trafic, pentru că acestea nu sunt necesare nici pentru facturare (pentru că nu contează la factură) și nici pentru interconectare (nefiind cazul la ISP, ele pot fi eventual păstrate în mod anonimizat la nivelul furnzorului).

De fapt el asta trebuia să facă și până în 2008, până când legea 298/2008 a schimbat principiul.

C. Orice acces la datele de trafic trebuie autorizat în prealabil de către un judecător.

Noua propunere din art 12^1 (1) este clară și se aplică pentru toate autoritățile care ar cere acces la datele de trafic - fie că sunt organe de urmărire penale sau organe din domeniul securității statului. Aceasta este - din nou - o îmbunătățire evidentă față de propunerile vechi care făceau distincție între cele două categorii, lasând organismele din domeniul securității statului în afara controlului judecătoresc.

Trei Chestiuni Proaste

A. Modul de promovare a noii legii a “driblat” dezbaterea publică.

Acesta este motivul pentru care am reacționat ieri cu alte organizații într-un protest public. Introducerea legii direct în Senat a fentat legea 52/2003 privind transparența decizională și face extrem de grea orice îmbunătățire a textului actual. De asemenea, procedura asumării textului proiectului de către toate partidele va face orice parlamentar extrem de reticent de a propune, dar mai ales de a vota schimbări la textul propus de șefii lor.

Sperăm ca în ceasul al 12-lea oamenii noștrii politici care au cap să înțeleagă că textul poate fi îmbunătățit - pentru toate părțile - printr-un proces de dezbatere transparență.

B. Textul legii suferă serios la capitolul claritate și interpretare coerentă.

Cu toate că la nivelul principiilor pare ok, textul de doar 2 pagini ridică uneori mai multe semne de întrebare cu privire la logica sa. Câteva din ele sar în ochi:

  • Noul articol 2^1 cu privire la datele de trafic (nu de identificare) ale cartelelor pre-pay este pur și simplu bizar. Prespun că „în scopul stabilirii obligațiilor contractuale” (ce contract? contractul cadru al operatorului, termenii de utilizare?) cred că vrea să se refere la păstrarea duratei convorbirii și numărul apelat (inclusiv din ce rețea este), care sunt necesare în deducerea sumelor de bani de pe cartelă. Dar perioada de 3 ani este însă imensă și inutilă, dpdv al protecției vieții private. Este absolut neclar dacă textul e o derogare de la art. 2 sau e o perioadă maximală. Termenul de „prelucrare” este impropriu în acest context.
  • definiția de la punctul 1 este ilogică - „date de identificare a echipamentului” pare a fi codul IMEI sau IMSI, dar definiția se referă la date de identificare al amplasamentului (GPS). Ori acestea sunt 2 chestiuni diferite. De asemenea dacă operatorii nu colectează aceste date, nu înțeleg de ce trebuie adăugate.
  • Nu înțeleg nici ce rost are art. 12^1 (2).
  • La art. 12^1 (3), ar trebui ca datele să fie obligatoriu date în format electronic și semnate electronic, altfel cele pe hârtie pot fi ușor modificate.
  • Art. 12^1 (6) nu merge în practică - instanța “uită” să se pronunțe pe aspecte de genul acesta, dacă cel interesat nu este una din părți.

C. Textul legii pare incomplet.

Cel puțin 3 chestiuni trebuie considerate serios înainte de adoptarea acestuia:

  • Modificarea este practic inutilă pentru accesul autorităților la date fără modificarea art 152 CPP (am explicat aici).
  • Din 2008 până anul trecut practic accesul la datele de trafic a fost permis doar pentru investigarea infracțiunilor grave (a cărei definiție oricum a fost dezbătută serios la nivel european). Ar trebui să considerăm să păstrăm această limitare pentru a evita abuzurile - am auzit de multe ori - pe vechiul cod penal - că se cereau date de acest tip pentru eventuale procese de calomnie.
  • Avem nevoie de transparență suplimentară și pentru acest sistem - trebuie încurajate instituțiile să publice din proprie inițiativă numărui acestor cereri, iar operatorilor să li se permită includerea acestor statistici în rapoartele lor de transparență.

28/01/15

  12:50:00, by Bogdan, 391 words  
Categories: Stiri - Romania, Evenimente, Drept & Internet, Retentia datelor, Viata privata

Cadoul pentru Ziua protectia datelor din 2015 a fost ieri

Aceast cadou este publicarea motivarii deciziei CCR privind securitatea cibernetica - care este un adevarat ghid cu privire protectia vietii private si a datele personale in contextul securitatii informatice.

Este o bijuterie juridica a carei fundamente ar trebui sa fie baza oricarei legislatii catre protectia vietii private si a datelor personale.

Doua chestiuni merita sa fie mentionate in detaliu aici si acum - pentru ca vorbim de date personale:

  • faptul ca CCR sublinieaza inca o data (si nu e prima data) ca datele cu un profund caracter tehnic - cum ar fi datele de trafic sau altele - poti fi date cu caracter personal si ca atare trebuie acordata o atentie deosebita unei reglementari detaliate in domeniu si nu doar una generala si vaga. (vezi par. 59-61)
  • faptul ca CCR recunoaste in mod explicit adresa IP ca fiind o data cu caracter personal (par 75) si importanta tratarii sale ca atare in contextul datelor de trafic. Desi aceasta opinie este in conformitate cu opiniile Grupul de Lucru art 29, ea este in mod constant contestata de diversi actori din zona tehnologica, pe baza unor interese de obicei pur comerciale.

Multumim CCR pentru acest cadou!

De fapt daca Romania exista cu numele in orice publicatie internationala din zona protectiei datelor personale si a dreptului la viata privata, ea se regaseste prin citarea deciziei CCR 1258/2009 privind neconstitutionalitatea datele de trafic. Sunt convins ca si motivarea deciziei publicata ieri va avea acelasi statut - evident, daca va fi tradusa in engleza.

Dar daca privim la cadrul larg de reglementare actual putem sa citim astazi din The Guardian: Noile masuri antitero - Comisia Europeana vrea sa stie si ce mananca pasagerii avioanelor - EU PNR.

Ne astepta un an greu in care incercarile de masuri de supraveghere generalizata vor continua. Si din partea statului si din partea unor privati. Si la nivel european si la nivelul Romaniei. Poate ar fi bine sa invatam sa discutam aceste aspecte si sa luam in considerare practica CEDO, CEJ si CCR inainte de a ajunge la aceste instante. Si atunci putem spera la o dezbatere pe argumente si nu.

Cam chestiile astea le-am zis la dezbaterea organizata astazi de Autoritatea pentru Protectia Datelor cu ocazia Zilei Protectiei Datelor - 28 Ianuarie 2015. Mi s-a parut extrem de ironic faptul ca “moderatorul simpozionului” a fost principalul sustinator “civil” al legislatiilor Big Brother. Sper ca anul viitor il cheama pe cineva de la NSA.

19/12/14

  15:07:00, by Bogdan, 467 words  
Categories: Legislatie, Retentia datelor, Viata privata

Mos Craciun ne aduce securismul cibernetic votat de Parlament

Articol publicat inițial pe Privacy.apti.ro

Dupa ce 3 luni de zile Senatul a dormit in păpușoi la așa-numita lege a securității cibernetice,s-a activat cu puțin timp inainte de Crăciun. Dupa 9 decembrie, într-o ședința în care au fost invitați doar SRI, MAI și MSI, Comisia de securitate națională a confirmat (cu modificari neesențiale) proiectul de lege al SRI cu privire la securismul cibernetic. (deși am trimis în repetate rânduri criticile textului actual, nici măcar nu le-au publicat pe site, darămite să se la ia în considerare.)

După care astăzi, pe 19 decembrie proiectul a trecut rapid prin Senat și votat cu unanimitate (sunt curios daca oamenii aia stiu pentru ce ridică mâna). Legea este practic adoptată de către Parlament, dar încă nu este în vigoare. Teoretic, parlamentarii Opoziţiei o pot contesta la Curtea Constituţională. Dacă nu va trimisă la CCR, legea va fi trimisă spre promulgare la Cotroceni, acolo unde preşedintele Klaus Johannis are trei variante: o poate promulga, o poate întoarce în Parlament spre reexaminare sau o poate trimite şi el la Curtea Constituţională.

Din punctul nostru de vedere va fi Primul Test adevărat al lui Johannis, care poate decide dacă vrea să creem un stat polițienesc sau unul cetățenesc.

Pe fond, am scris de mai multe ori despre problemele majore ale legii (că de cele minore nu mai are rost să mai zicem ceva):

  1. Art 17 -Toți deținătorii de sisteme cibernetice (adică toate persoanele juridice care au un calculator - vezi art. 2) trebuie sa “permita accesul la date” acestor autoritati (SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM). Accesul se face la simpla “solicitare motivata". În condițiile în care astăzi orice acces la sistemele informatice unde se află date informatice se face doar cu autorizarea unui judecator, textul actual ne aruncă în haos. De fapt și accesul la date de trafic este de fapt imposibil astăzi, dacă este să respectăm decizia CCR privire la directiva privind păstrarea datelor de trafic. Din punctul nostru de vedere art. 17 este vădit neconstituțional.
  2. Art 16 - Toți deținătorii de sisteme cibernetice (adică toate persoanele juridice care au un calculator) vor obligați să aplice politici de securitate cibernetică și să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Asta inseamnă minim 1500 de euro/firma investiți in securitate. Dacă nu - amendă de la 500 la 5000 de RON
  3. Art 10 - In vreme ce UE discută ca aceste instituții care se ocupa de domeniul securității cibernetice să fie “organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”, noi dam SRI-ul ca cea mai democratica, civila si apropriata de cetateni dintre institutii. Competenta tehnica o avea, dar sub control democratic nu este. Si nici nu cunoaste termeni precum dezbatere publica, acces la informatii publice sau transparenta decizionala.

Poate doar 2015 să ne mai lumineze!

29/10/14

  13:22:00, by Bogdan, 992 words  
Categories: Stiri - Romania, Pareri personale, Jurisprudenta, Retentia datelor, Viata privata

Victorie si totusi un esec! Comentarii despre motivarea deciziei Curtii Constitutionale la inregistrarea utilizatorilor Prepay si WiFI

Articol publicat initial pe http://privacy.apti.ro

Acum câteva zile (mai precis pe 24 octombrie) a fost publicată și motivarea Curții Constituționale (CCR) cu privire la neconstituționalitatea proiectului de lege de înregistrare a cartelelor pre-pay și a utilizatorilor de WiFi.

Deși am susținut de multă vreme că este un proiect de lege prost, care nu-și va atinge scopul propus și care aduce atingere dreptului la viață privată – deci ar trebui să mă bucur de decizia CCR. Dar trebuie să recunosc că motivarea este extrem de subțire și – cu privire la unele aspecte tehnice importante - pur și simplu eronată.

1. Eroare: datele de trafic și datele abonaților sunt 2 chestiuni distincte.

Motivația este axată în jurul ideii că legea pentru înregistrarea datelor abonaților este doar o anexă sau un follow-up al legii privind păstrarea datelor de trafic. Ba chiar am impresia că CCR confundă datele de trafic cu datele abonaților. Cred că, din păcate, CCR se află într-o eroare de fond majoră care și-a pus amprenta în mod negativ asupra argumentației.

Chiar dacă nu mi-ar servi la nimic să demontez decizia CCR, trebuie să fim corecți: nu există nicio legătură directă între datele de trafic și datele abonaților. Sunt două concept diferite atât tehnic, cât și juridic. Singura legătură dintre cele două este că ambele pot fi date personale (sau cel puțin date care pot aduce atingere vieții private) în sectorul comunicațiilor electronice.

Să înțelegem corect diferențele:

Datele de trafic sunt date tehnice necesare comunicațiilor electronice. Ele sunt colectate și procesate de către operatorii de telefonie și Internet ca urmare a necesității realizării comunicației. Fără colectarea lor comunicația electronică nu ar fi posibilă. Ele sunt definite în mod precis în art 2 (b) din legea 506/2004.

Datele de trafic pot identifica în mod indirect o persoană șî ca atare, conform definiției de la art 3 a) din legea 677/2001 pot fi date cu caracter personal.

Un aspect suplimentar este că datele de trafic sunt colectate automat, fără ca o persoană fizică să știe în fiecare moment ce date sunt colectate despre el – deci ridică niște probleme suplimentare dpdv al vieții private. De aceea există obligații specifice cf. Legii 506/2004 art 4.

Accesul la datele de trafic ar trebui să se facă exclusiv cu autorizarea unui judecător așa cum este prevăzut și în Codul de Procedură Penală.

Datele abonaților (și ele sunt cele care sunt obiectul reglementării în propunerea pre-pay) sunt date personale care identifică în mod direct o persoană. Ele sunt transmise în mod direct de o persoană ce vrea să se aboneze la serviciile de comunicații electronice și să beneficieze de un abonament (deci plată după efectuarea serviciilor) și sunt necesare pentru derularea contractului de comunicațiile electronice. Sunt date personale trimise voluntar și vizibil.

Cu toate acestea, o comunicație electronică poate să aibă loc fără a avea datele abonaților.

Ca atare procesarea datelor abonaților este identică cu procesarea datelor persoanelor fizice din alte contracte (de ex. energie, credite, apa, gaz) și este reglementată de regulile generale din legea 677/2001. De aceea nici nu există o definiție a datelor abonaților. Singurul aspect specific sectorului comunicațiilor electronice – și care este reglementat prin art 11 legea 506/2004 – este înscrierea în Registrul Abonaților – care este un drept și nu o obligație pentru abonat.

Accesul la datele abonaților în sectorul comunicațiilor electronice ar trebui să se facă exact în aceleași condiții ca și accesul la datele abonaților din orice alt sector comercial.

Deci ceea ce aduce nou legea cu privire la înregistrarea cartelelor pre-pay și WiFi – și un aspect tratat superficial de decizia CCR, IMHO - este dacă operatorii trebuie să colecteze mai multe date personale decât ar fi strict necesar pentru realizarea tehnică a unei comunicații – doar pentru ca ar putea fi necesare organelor de urmărire penală. Aici CCR face un copy-paste din decizia trecuta precizând doar că „nici Constituția și nici jurisprudența Curții Constituționale nu interzic stocarea preventivă, fără o ocazie anume, a datelor de trafic și de localizare” (par 46) , deși în proiectul de lege supus discuției nu este vorba de date de trafic și de localizare, ci de datele abonaților.

Deci , daca Constituția nu ne interzice stocarea preventivă, înseamnă ca se pot da orice legi pentru a stoca orice date personale, doar în ideea ca ar putea fi necesare pentru activitatea de poliție sau combatere a terorismului?

Eu cred că nu și CEDO a fost foarte clar în privința asta – atât în cazul Marper vs. UK, dar și în Klass vs Germania:

CEDO a statuat pericolul pe care o lege care permite supravegherea secretă îl reprezintă la adresa democrației sub pretextul apărării ei, afirmând că “statele contractante nu pot, în numele luptei împotriva terorismului și spionajului, să adopte orice măsuri pe care acestea le consideră necesare”

2. În același timp să apreciem corect fondul analizei textului criticat care puncteaza o serie de aspecte concrete – pe care le-am subliniat și noi în luările de poziție publice anterioare – care duc la considerarea măsurii ca fiind total disproporționate:

Propunerea nu este formulată clar, riguros și exhaustiv pentru a oferi încredere cetățenilor, caracterul strict necesar într-o societate democratică nu este pe deplin justificat, iar proporționalitatea măsurii nu este asigurată prin reglementarea unor garanții corespunzătoare (Par. 44 din Decizie)

cum ar fi:

  • inexistența garanțiilor și măsurilor tehnice și operaționale pentru întreaga activitate

  • lărgirea subiectelor de drept cărora le incumbă obligația de a reține și stoca datele

  • neclaritate cu privire la cine pune la dispoziție formularul tipizat și care, astfel, colectează aceste date

  • neclaritate cu privire la obligațiile celor ce vand cartele pre-pay cu privire la a garanta confidențialitatea, securitatea și utilizarea acestor date

  • neclaritate cu privire la obligațiile de garantare a securității datelor din partea celor care colectează datele cu privire la

  • inexistența modalitații în care datele sunt accesate și utilizate, ceea ce face ca “legea să fie viciată în mod iremediabil”

În concluzie decizia CCR lasă larg ușa deschisă pentru un nou text legislativ pe problema înregistrării cartelelor PrePay și lasă impresia că nu a înțeles aspectele tehnice de bază ale cazului.

Daca aveti comentarii - puteti sa le lasati pe articolul initial de pe http://privacy.apti.ro

18/09/14

  21:38:00, by Bogdan, 268 words  
Categories: Stiri - Romania, Legislatie, Retentia datelor, Viata privata

Romania 2014 - Separatia puterilor in stat? Exemplu practic

Actul 1: Curtea Constitutionala a Romaniei (CCR) decide ca 2 legi sunt neconstitutionale.

Actul 2: SRI si MAI, adica exact cei care au promovat legile, si alti moguli/securistoizi incep sa scrie in presa ca se creeaza un “vacuum juridic” si ca deciziile sunt “de neexplicat".

Culmea este ca Romania are o institutie specializata pe zona de protectia datelor, dar care nu este intrebata niciodata (sau opinia nu este luata in considerare).

Deci puterea executiva si legislativa se unesc sa spuna ca puterea judecatoareasca da decizii obligatorii proaste.

Actul 3: Pentru ca nici jurnalistii si nici onor “specialistii” din ministere nu sunt in stare sa citeasca decizia motivata si sa foloseasca argumentele de acolo , CCR da un comunicat de presa (!?!) in care reia aceleasi argumente juridice.

Curat murdar, coane Fanica!

Dar nu fiti pacaliti de fum - exista un interes direct al MAI si SRI si al celorlalti: motivarea CCR - cea care va conta extrem de mult in a intelege daca o astfel de lege ar fi posibila in viitor si in ce conditii - se va publica intr-o luna, si deci exista un motiv direct pentru a face presiuni pe fata (si probabil si prin spate).:>

Oricum este impresionanta capacitatea celor care se ocupa de aplicarea legii sa fie peste noapte si experti pe zona de drepturile omului. Sunt sigur ca citatul din Klass vs. Germania (CEDO, 1979) sta la loc de cinste in fiecare birou:

“statele nu pot, în numele luptei împotriva terorismului și spionajului, să adopte orice măsuri pe care acestea le consideră necesare”

PS: pe data retention, revin - problema e nitel mai complicata si nu neaparat in bine. Dar rezolvarea e simpla :-)

Tags: ccr, fum, mai, pre-pay, presa, sri

08/04/14

Directiva privind pastrarea datelor de trafic este nevalida - decide Curtea Europeana

Curtea Europeana de Justitie a decis astazi că directiva europeana privind pastrarea datelor de trafic (data retention) este nevalida, incalcand in mod grosolan drepturile omului in general si dreptul la viata privata in special. (vezi decizie integrala - in engleza)

Cazul nu poate decat sa imi dea apa la moara, pentru ca am scris de 10 ani  despre ineptia asta si am argumentat fie la nivel national sau european de ce avem de a face cu o incalcare crasa a drepturilor omului. Evident “expertii romani” au putut sa scrie in lege si ca nu exista un impact la adresa dreptului la viata privata.

Dupa ce inclusiv Curtea Constitutionala romana a decis ca legea nationala este o mare porcarie, iata ca si Curtea Europeana de Justitie - in 2 cazuri conexate initiate de colegi din EDRi (AK vorrat Austria si Digital Rights Ireland) desfiinteaza fara drept de apel si cu argumente irefutabile ceea ce am argumentat in ultimii 10 ani:

Curtea consideră că prin impunerea păstrării acestor date și permițând accesul autorităților naționale competente, directiva reprezintă o imixtiune deosebit de gravă în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal. În plus, faptul că păstrarea și utilizarea ulterioară a datelor sunt efectuate fără ca abonatul sau utilizatorul înregistrat să fie informat poate da persoanelor vizate sentimentul că viața lor privată este obiectul unei supravegheri constante.

si

Curtea consideră că prin adoptarea directivei privind păstrarea datelor, legiuitorul Uniunii a depășit limitele impuse de respectarea principiului proporționalității. (…)  ingerința amplă și deosebit de gravă în drepturile fundamentale în cauză nu este suficient delimitată pentru a garanta că ingerința respectivă se limitează efectiv la strictul necesar.

Sunt bucuros pe de o parte pentru ca argumentele aduse vreme de ani de zile (nu numai in Romania) sunt reluate intr-o decizia a celei mai inalte Curti din Uniunea Europeana. In acelasi timp sunt trist pentru ca toate argumentatiile legate de acest subiect s-au lovit de prea multe urechi si minti inchise, pentru care drepturile omului sunt doar niste litere pe o hartie. Daca nu luam in serios ce ne califica drept oameni, avem toate sansele sa creeam un regim juridic in care suntem doar niste animale.

Marturisesc ca inca nu stiu ce se va intampla cu legile de implementare ale directivei, fiind o chestie procedurala europeana care ma depaseste. Observ doar ca in comuncatul de presa se conteaza ca “Întrucât Curtea nu a limitat efectele în timp ale hotărârii, declararea nevalidității își produce efectele de la data intrării în vigoare a directivei.", ceea ce ar putea sa insemne ca toate legile de implementare incalca drepturile omului, iar toate cazurile care sunt bazate pe aceste legi sunt bazate pe probe obtinute pe o lege neconstitutionala. Ramine de vazut - o sa intreb niste oameni mai destepti decat mine.

Oricum, aceasta decizie este probabil cea mai importanta hotarire a CJE cu privire la drepturile omului. Din cite stiu eu, s-ar putea sa fie si prima care invalideaza o directiva pentru incalcarea drepturilor omului prevazute in Carta Europeana.

12/12/13

  12:05:00, by Bogdan, 141 words  
Categories: Stiri - Drept&IT din intreaga lume, Jurisprudenta, Retentia datelor, Viata privata

Directiva privind pastrarea datelor de trafic incalca viata privata, spune Avocatul General al CEJ

Curtea Europeana de Justitie a Uniunii Europene a publicat astazi opinia Avocatului General Cruz Villalón care confirma ca directiva privind pastrarea datelor de trafic este incompatibila cu Carta Drepturilor Fundamentale, in conexarea a 2 cazuri de care v-am mai povestit pe blog.

In opinia care va fi publicata astazi (deocamdata avem doar comunicatul de presa in engleza) Avocatul General ca directiva, ca un intreg, este incompatibila cu obligatiile impuse de Carta, care spune ca orice limitare a drepturilor fundamentale trebuie stabilita prin lege. Directiva constituie o interferenta serioasa cu dreptul fundamental la viata privata, prin obligarea pastrarii datelor de trafic.

Avocatul propune ca Directiva sa fie suspendata, pina cind legislativul UE va implementa masuri de remediere a acestor invaliditati.

Textul integral al Opiniei va fi publicat aici, iar opinia Avocatului General nu este obligatorie pt decizia finala a Curtii Europene de Justitie.

1 3 4 5 ...6 7

Blog juridic al lui Bogdan Manolea cu informatii referitoare la legislatie, jurisprudenta, articole si stiri legate de domeniul Dreptului Tehnologiei Informatiei din Romania si strainatate.

Subscrie la acest blog pentru a primi actualizarile prin e-mail

Adresa de e-mail


Realizat de FeedBlitz

  XML Feeds

Search

May 2017
Mon Tue Wed Thu Fri Sat Sun
 << <   > >>
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Multumesc

V-a fost util ceva de pe blog sau pe de site ?
De azi va permit sa imi lasati un multumesc
powered by b2evolution