Category: "Viata privata"

Pages: 1 2 3 ...4 ... 6 ...8 ...9 10 11 12 ... 21

21/06/12

  13:15:37, by Bogdan, 382 words  
Categories: Legislatie, Retentia datelor, Viata privata

Stimati infractori...

Stimati infractori,
Dragi profesionisti (avocati, medici, psihologi, jurnalisti etc.) ce trebuie sa pastrati confidentialitatea convorbirilor cu clientii,
Mult-respectati soti/sotii ce aveti amante/amanti (sau invers),
Inexistenti avertizori de integritate (a.k.a whistleblowers),
Onorat public interesat de viata voastra privata din motive ce va privesc numai pe voi,

De astazi intrati cu totii, la gramada, intr-o categorie unica - cea a cetatenilor a caror viata privata nu conteaza. Toate datele de trafic vor fi colectate in mod obligatoriu de catre operatorul vostru de telefonie sau Internet conform legii 82/2012 pentru pastrarea datelor de trafic. Nu conteaza ca ati facut sau nu o infractiune, ci important este ca veti putea face una. Fie ea si distrugere, care prin noua lege a devenit o infractiune grava. Si care poate fi dovedita prin pastrarea datelor de trafic, daca nu v-ati dat seama pina acum.

Evident ca solutia ideala ar fi sa acceptati aceasta noua situatie. La fel ca si dragii nostru politicieni pentru care drepturile constitutionale si o decizie a Curtii Constitutionale sunt niste palavre, dar amenintarea unei amenzi din partea Comisiei Europene este o pedeapsa de neacceptat. Sa facem sluj. Sa nu gandim.

Pentru cei citiva interesati si de alternative, exista solutii pentru ca ne aflam in fata unei legi proaste si, in cea mai mare masura, inutile:

- se poate contesta legea la Curtea Constitutionala, se poate contesta directiva (care oricum este in proces de revizuire). Trebuie nervi, cap si insistenta. Dar se poate. (si este evident cea mai buna solutie)

- putem sa ne intoarcem la mijloacele traditionale de comunicare, care pastreaza confidentialitatea inerenta a comuncarii: de la porumbei voiajori si semne de focuri pe dealuri pina telefoanele publice sau clasica scrisoare anonima

- nu mai folositi solutiile de telefonie ale operatorilor romani, ci treceti pe serviciile VoIP ale Skype sau alti operatori din SUA - legea nu li se aplica si lor. Oricum, iesiti si mai ieftin.

- nu folositi o adresa de email de la RDS, Romtelecom sau UPC (unde exista obligatia de pastrarea a datelor de trafic legate de email). Folositi in schimb Gmail, Yahoo sau Hotmail - oricum merg mai bine si sunt mai sigure. Si nici celor din urma nu li se aplica legea romana. Si mai sunt si in cloud.

- invatati ce inseamna criptare, PGP, Truecrypt, servere si servicii de tip Proxy sau ToR.

Sa fiti sanatosi!

21/05/12

  19:02:32, by Bogdan, 509 words  
Categories: Stiri - Romania, Pareri personale, Legislatie, Drept & Internet, Viata privata, Drept & ITC

Legea romaneasca a cookie-urilor

Are aproape o luna de cind este in vigoare, dar nu am discutat-o discutata sau macar prezentata pe undeva. In schimb vad continuu Re-tweeturi pe diverse articole din afara, in special din Marea Britanie. (vezi un articol recent din Out-law).

Pentru ca am mai vorbit de subiectele noi ce apare prin noua legislatie (reglementare mai dura a cookie-urilor 3rd party, notificarea pentru incalcarea securitatii datelor personale de catre ISP si telecom si o reglementare la fel de proasta a spam-ului ca si pina acum)

OUG 13/24.04.2012 (ca despre ea este vorba) privind prelucrarea datelor cu caracter personal si protectia
vietii private in sectorul comunicatiilor electronice modifica legea 506/2004 (o gasiti aici actualizata).

Cit despre cookie-urile romanesti (whatever that means) proprietarii de site-uri ce accepta reclama din partea tertelor agentii de publicitate pot sa doarma linistiti inca o vreme - legea romana permite ca acordul sa fie dat prin setarile browserului:

Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul ori utilizatorul şi-a exprimat acordul.

Sigur ca textul de mai sus - de fapt copiat din considerentele directivei europene - are un cu totul alt sens in momentul in care citesti si bucata din fata care a fost exclusa:

În cazul în care acest lucru este posibil din punct de vedere tehnic și eficient, în conformitate cu dispoziţiile aplicabile din Directiva 95/46/CE, Acordul…

Dar de ce sa ne incurcam noi in niste cuvinte….?

In fine, ca sa rezum ideile ce cred ca merita retinute la acest punct:

1. Romania nu e ca Marea Britanie. (adica legea e alta, regimul cookie-urilor 3rd party e un fel de opt-in care se poate exprima si prin setarilor browserului)

2. Chiar daca cu acordul o mai dam la intors, obligația de informare a utilizatorilor exista și este detaliata - și 99% din site-urile romanești de publishing cu cookie-uri 3rd party nu o respecta:

abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului, în conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificările şi completările ulterioare, informaţii clare şi complete care:
(i) să fie expuse într-un limbaj uşor de înţeles şi să fie uşor accesibile abonatului sau utilizatorului;
(ii) să includă menţiuni cu privire la scopul procesării informaţiilor stocate de abonat sau utilizator ori informaţiilor la care acesta are acces.
În cazul în care furnizorul permite unor terţi stocarea sau accesul la informaţii stocate în echipamentul terminal al abonatului ori utilizatorului, informarea în concordanţă cu pct. (i) şi (ii) va include scopul general al procesării acestor informaţii de către terţi şi modul în care abonatul sau utilizatorul poate folosi setările aplicaţiei de navigare pe internet ori alte tehnologii similare pentru a şterge informaţiile stocate sau pentru a refuza accesul terţilor la aceste informaţii.

Nerespectarea reprezinta contraventie ce se sancţionează cu amendă de la 5.000 lei la 100.000 lei, iar pentru societăţile comerciale cu o cifră de afaceri de peste 5.000.000 lei cu amendă în cuantum de până la 2% din cifra de afaceri.
Autoritate competenta: dataprotection.ro

Si mai pe scurt: Nu-i chiar asa rau.

05/03/12

  14:04:58, by Bogdan, 842 words  
Categories: Anunturi, Stiri - Romania, Pareri personale, Legislatie, Retentia datelor, Viata privata

Supravegherea cetatenilor - de la necesitate la obsesie

Modul in care tehnologia poate urmari ceea ce fac cetatenii reprezinta o problema serioase nu doar strict juridica (prin raportarea la practica CEDO si a dreptului la viata privata sau la legislatia privind protectia datelor personale), ci si etica.

De multe ori motivatia este legata de actiuni necesare intr-o societate democratica: asigurarea securitatii cetatenilor, aplicarea legii, depistarea actiunilor teroriste. Doar ca toate acestea au efecte asupra noastra. In fond este doar o alegere pe care trebuie sa o explicam clar: cit de departe dorim sa mergem?

  • Trebuie sa inregistram toate masinile de scris pentru a vedea cine scrie impotriva regimului? (asta au facut-o comunistii)
  • Trebuie sa inregistram toate persoanele intr-o baza de date cu ADN-uri pentru ca orice persoana sa poate fi identificata usor daca este autorul unei incalcari a legii? (spre asta se indreptau britanicii, a fost declarat ilegal de CEDO - vezi cazul Marper vs. UK)
  • Trebuie sa supraveghem intreg traficul de Internet pentru a vedea cine incalca drepturile de autor? (asta au cerut organismele de gestiune colectiva si a fost declarata ilegala de CEJ)

facind intrebarea sa sune de obicei in sensul:
“Trebuie sa supraveghem TOT, pentru a-l prinde pe X sau Y?”

Desi, personal, cred ca raspunsul trebuie sa fie un NU hotarit, observ cu dezamagire nu doar ca exista noi initiative legislative propuse care nasc intrebari similare, ci ca problema juridica si etica este ignorata cu desavirsire. Si pe urma ne uimim cind vedem cetateni in strada care striga: “Va rugam sa ne scuzati/Ne simiti supravegheati".

1. Trebuie sa-i inregistram pe toti cetatenii ce se cazeaza la un hotel pentru a-i prinde pe urmaritii general care s-ar putea caza acolo?
De parca daca ai fi urmarit general te-ai duce sa stai la hotel si iti arati si buletinul…

Propunerea de lege a Ministerului Turismului (MDRT) care dorea sa faca acest lucru a disparut de pe site-ul acestuia, dar sistemul informatic deja a fost facut. (asa cum ne confirma un raspuns dat CJI). Nimeni nu a intrebat daca are rost sa fie facut si cum sa fie facut astfel incit sa ceara mai multe date personale si sa nu aiba o baza de date unica.

MDRT zice ca el are acces la date statistice si ca MAI are acces la toate datele. Si ca si inainte avea acces. Diavolul este insa in detalii. Daca inainte de baza de date, fisele se trimiteau catre organele de politie locale (care nu se stie exact ce faceau cu ele), acum ele o sa intre intr-o baza de data unica unde orice poate sa faca nitel “data mining”.

Evident ca softul putea fi conceput ca sa respecte prin design principiile vietii private (de ex. datele sa fie pastrate local, verificarea sa se faca automat pe baza datelor publice ale persoanelor cautate - cu raspuns da sau nu, etc.). In termeni juridico-tehnici se numeste privacy by design si care apare in noile reglementari propuse de Uniunea Europeana.

Nu exista o analiza juridica sau etica cu privire la impactul acestei reglementari asupra vietii private.

2. Trebuie sa facem cumpararea unei cartele pre-pay legata de dezvaluirea datelor de identitate pentru a-i prinde pe descreieratii care suna la 112 pentru farse prostesti?

De parca acestia nu ar putea suna de la telefoanele publice cu plata (de unde e gratuit sa suni la 112) sau sa cumpere un telefon pe numele altuia?

Dupa ce o propunere a fost respinsa de Camera Deputatilor la finalul anului trecut, un al doilea proiect apare in aceiasi perioada cu acelasi scop.

Evident, fara o analiza juridica sau etica cu privire la impactul acestei reglementari asupra vietii private. Argumentatia puternica este ca “alte state europene deja o fac".

Oare nu ar trebui ca sanctiunea sa fie direct adresata celor ce sunt suficienti de batuti in cap pentru a folosi abuziv accesul la 112? Cum ar fi dezactivarea cartelei si pierderea banilor?

3.Trebuie colectate si pastrate toate datele de trafic de comunicatii ale tuturor cetatenilor pentru a le avea in cazul unor cercetarii infractiuni grave?
De parca cei care ar face aceste infractiuni nu ar sti si nu ar putea folosi servicii care nu au obligatia pastrarii datelor (Gmail, Yahoo Mail, etc.) sau servicii de criptare.

Discutia asta legata de pastrarea datelor de trafic este deja veche, iar proiectul actual a fost respins de Senat, dupa ce legea veche a fost declarata neconstitutionala in 2009 tocmai pentru ca incalca dreptul la viata privata.

Daca acum aproape 2 ani presa romana s-a inflamat in mod ciudat si stupid si a scris despre legea asta vreo 2 luni la rind (sustinand in cele mai multe cazuri ca este vorba de interceptarea continutului, nu despre pastrarea datelor de trafic), acum nu mai zice nimic, desi este cel mai propice moment: pentru ca legea se afla in momentul critic - in dezbatere la Camera Deputatilor - camera decizionala pe aceasta lege, in Comisia de ITC si cea Juridica, care nu isi dau seama ce sa faca cu ea.

Evident, nici in acest caz nu avem nicio analiza a intrebarii nici dpdv juridic, nici etic.

Concluziile le trageti voi: Cit este necesitate? Si cit este obsesie? si poate cit este ignoranta…

27/01/12

  16:44:25, by Bogdan, 866 words  
Categories: Viata privata

Protectia datelor personale intra intr-o noua era. Mai buna sau mai rea?

Cum maine este 28 ianuarie - Ziua Protectiei Datelor cu Caracter Personal am zis ca ar fi bine sa scriu la subiect de astazi cu citeva noutati importante din domeniu.

1. Comisia Europeana a anuntat noile propuneri de reglementare europeana in domeniu, care includ un Regulament (deci un instrument juridic european cu aplicare directa, nu mai trebuie transpus in legislatia nationala) si o directiva in domeniul protectiei datelor si zona de combatere a infractiunilor.
Procesul legislativ european este unul de durata (probabil dupa 2-3 ani vor intra in vigoare), dar e bine sa punctam de pe acum citeva noutati interesante, desi principiile de baza raman la fel:

  • Pe scurt, dispare obligativitatea inregistrarii operatorilor de date personale in Registrele nationale, dar se intaresc obligatiile, ar neindeplinirea lor poate duca la sanctionarea cu amenzi de pina la 1 milion de euro sau 2% din cifra de afaceri a unei firme
  • Articolul 3 al noului regulament face clar ca regulile se vor aplica si firmelor din afara UE daca acestea vind servicii sau bunuri in Uniune sau, dar si firmelor care monitorizeaza comportamentul cetatenilor UE
  • Apar noi drepturi ale persoanelor fizice - cum ar fi “dreptul de a fi uitat” sau “dreptul la portabilitatea datelor”
  • Obligatia de notificare pentru pierderea de date cu caracter personal devine o regula pentru toate sectoarele economice (am mai povestit de ea in cazul telecom-urilor)
  • Apar ca principii privacy by design (sau legea prin tehnologie cum i-am zis eu) si privacy by default
  • O noutate interesanta este functia de “data protection officer”, ca persoana responsabila in cadrul unei companii de domeniul asta - acesta va fi obligatorie pentru orice institutie de stat sau companie cu peste 250 de angajati
  • Este prevazuta obligativitatea unui analize de impact asupra vietii private in anumite tipuri de prelucrari.
    Cind am mentionat asta acum 1 an la intalnirea cartilor de identitate s-au uitat la mine ca la un OZN.

Cred ca vom mai discuta pe proiectul asta, pe unele chestiuni punctuale si in viitor. Oricum, va readuc aminte ca este doar un proiect, iar unele dispozitii deja sunt contestate de unele parti din industria de online.

2. Tot maine intra in vigoare si Decizia Dataprotection.ro cu privire la colectarea CNP si alte date asemenea -
Decizia ANSPDCP nr.132/2011 privind conditiile prelucrarii codului numeric personal si a altor date cu caracter personal avand o functie de identificare de aplicabilitate generala
Cred ca putea sa fie si mai dur si mai explicit, dar cel putin defineste consimtamintul mai clar, asa cum este si in directiva actuala.

Art. 3. (1) În domeniul prelucrării datelor cu caracter personal, consimţământul persoanei vizate reprezintă orice manifestare de voinţă expresă, liberă, specifică şi informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.

(2) Consimţământul trebuie dat în mod expres, într-o formă care să permită dovedirea acestuia de către operator.

Decizia se refera si la efectuarea de copii:

Decizia a interzis efectuarea si retinerea de copii de pe cartea de identitate sau de pe documente care contin codul numeric personal, cu exceptia situatiilor in care exista o dispozitie legala expresa sau persoana vizata si-a dat in mod expres acordul, ori a fost obtinut avizul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal

3. Google anunta ca face o singura politica de confidentialitate pentru toate serviciile sale.

Desi asta face sa o citesti mai usor, asta inseamna si ca datele din diversele sale servicii (Cautare, Docs, Gmail, Calendar, Adwords, Adsenses.. etc.) pot sa fie combinate dupa cum doreste Google (ca tu iti dai acordul cind ai deschis contul).

Google oricum sta pe un munte de date despre fiecare dintre noi, deci politicile sale despre cum datele sunt combinate pentru ei, partajate cu tertii (cam vag capitolul) sau cu autoritatile (la ultimul punct sunt destul de transparenti, ce-i drept) ar trebui sa fie esentiale pt mentinerea increderii.

Mai ciudat mi se pare desemnarea punctului de contact al politicii in limba romana in California, si nu in Irlanda (adica parte a UE). Clauza de jurisdictie a noilor termeni este pur si simplu o bomboana. Acra. Pe scurt daca nu vreti sa cititi paragraful minunat de mai jos: daca nu va protejeaza legislatia nationala, sa puneti mina sa luati un bilet de avion in California daca vreti sa dati in judecata Google :-)

În unele ţări, instanţele nu aplică legislaţia din California în anumite tipuri de litigii. Dacă aveţi domiciliul într-una din aceste ţări, în cazurile în care legislaţia din California este exclusă, în litigiile asociate cu prezenţii Termeni şi condiţii se aplică legislaţia ţării dvs. În caz contrar, în cazul litigiilor survenite din sau asociate cu prezenţii Termeni şi condiţii sau cu Serviciile, sunteţi de acord să se aplice legislaţia statului California, S.U.A., cu excepţia reglementărilor statului California cu privire la alegerea legii. În mod similar, dacă instanţele din ţara dvs. nu vă permit să fiţi de acord cu jurisdicţia instanţelor din districtul Santa Clara, California, S.U.A., în cazul litigiilor în legătură cu prezenţii Termeni şi condiţii se aplică jurisdicţia şi legislaţia locală. În caz contrar, toate pretenţiile rezultate din sau în legătură cu prezenţii Termeni şi condiţii sau cu Serviciile vor fi judecate exclusiv de instanţele federale sau statale din districtul Santa Clara, California, S.U.A., iar dvs. şi Google sunteţi de acord cu jurisdicţia personală a respectivelor instanţe.

02/12/11

  15:15:58, by Bogdan, 546 words  
Categories: Evenimente, Viata privata

Se asculta Internetul !? :-)

Cica ni se asculta telefoanele. Multi dintre amicii mei zic asta. Unii cu functii mai mari, altii cu functii mai mici iar unii dintre ei fara niciun fel de functii, dar cu o convingere ferma. Ne asculta dom’le.

Sa fie vremurile apuse de vina pentru o asemenea conceptie generalizata? Sa fie prea desele convorbiri din diverse dosare din instante ce apar in presa? Sau ca telefonul tau bipaie cind suni la un alt numar? (ala cred ca e sunetul distinct de la portabilitate, zic eu).

Mai nou aflu de la diversi ca “se asculta” si Internetu’!? N’ai aflat, toate emailurile sunt stocate undeva la americani! (daca au auzit si de programul Echelon, asta devine deja e o certitudine).

Nu stiu cum sa va spun dar eu, ca unu’ care citeste si scrie despre viata privata de ceva anisori, nu cred in toate bazaconiile astea. Nu ne asculta dom’le nimeni Internetul. Gata, am decretat.

In schimb, cred ca diverse programe, aplicatii, proiecte si unelte pot sa urmareasca (tracking)activitatea noastra online (indeosebi in scopuri de marketing, cu identificare indirecta in multe cazuri) sau chiar sa supravegheze (indeosebi in scopuri politice sau de santaj) comunicatiile electronice. Tocmai de aceea exista dreptul la viata privata ca drept fundamental. Tocmai de aceea se vobeste tot timpul de faptul ca limitarile aduse acestui drept trebuie sa fie justificate si proportionale.

  • Nu poti sa strangi toate datele de trafic ale tuturor cetatenilor, pentru ca s-ar putea sa fie unii teroristi unde sa-ti fie de folos datele astea. (asta a decis Curtea Constitutionala a Romaniei)
  • Nu poti sa colectezi ADN-ul tuturor suspectilor si al martorilor unei infractiuni si apoi sa refuzi sa il stergi. Pentru ca astfel iti doresti o baza de date a tuturor cetatenilor (asta a decis CEDO)
  • Nu poti sa il condamni pe cineva ca fiind vinovat, pina cind nu este declarat de o instanta. (asta au decis … americanii?? :D)

Si totusi evenimentele din ultimele zile si nu numai ne arata ca avem de a face cu cazuri grosolane de incalcare a vietii private in zona digitala:

Si atunci, mai putem crede ca exista viata privata daca decizi sa te conectezi la Internet? Putem sa ne protejam? Trebuie sa facem noi ceva sau lasam guvernele si companiile sa decida ce este mai bine pentru noi?

Personal, eu cred ca mai exista viata privata pe Internet si ca te mai poti proteja cit de cit. Trebuie insa sa fi bine informat (uneori foarte bine informat) si responsabil cu ceea ce faci tu (si unde dai datele tale) si ce servicii folosesti.

Tu poti crede altceva, asa ca poti comenta mai jos sau la o dezbatere publica pe tema asta organizata de ApTI unde te invit sa participi daca te intereseaza subiectul vietii private in era digitala.

24/11/11

  10:31:37, by Bogdan, 654 words  
Categories: Jurisprudenta, Drept de autor, Viata privata, Libertate de exprimare

Decizie Curtea Europeana de Justitie: Un ISP nu poate fi obligat sa filtreze intreg traficul de Internet pentru a depista p2p

Later edit - am modificat titlul din “Un ISP nu are voie sa…” in “Un ISP nu poate fi obligat sa", pentru a fi clar ca vorbim in speta asta doar de o eventual obligatie venita din exterior, nu una voluntara.

Intr-o decizie istorica pronuntata astazi de Curtea Europeana de Justitie in cazul Scarlet vs Sabam, instanta suprema europeana statueaza ca “Dreptul Uniunii Europene se opune unui ordin judecătoresc pronunţat de o instanță națională prin care se impune unui furnizor de acces la internet instituirea unui sistem de filtrare pentru a preveni transferurile ilegale de fișiere

Decizia are un rol esential in protectia libertatii Internetului ca o retea deschisa. O opinie contrara ar fi dus inevitabil la retele de Internet supuse permanent filtrarii si supravegherii. Un FAQ mai detaliat (dar in engleza) despre implicatiile decizie poate fi gasit pe site-ul EDRi.

Comunicatul de presa al Curtii noteaza ca decizia nu doar pune in aplicare principiul din directiva e-commerce conform caruia un ISP nu trebuie sa isi supravegheze in mod activ reteaua pentru a depista continutul ilegal, ci si se refera - in mod cu totul justitificat - la efectul unei asemenea decizii asupra drepturilor omului - libertatea de exprimare si a dreptului la viata privata.

Spicuiesc mai jos din comunicatul oficial:

“În această privință, Curtea constată că ordinul judecătoresc în discuție ar obliga societatea Scarlet (un ISP - n.m.) să efectueze o supraveghere activă a ansamblului datelor tuturor clienților săi pentru a preveni orice încălcare a drepturilor de proprietate intelectuală. Rezultă că ordinul ar impune o supraveghere generală care este incompatibilă cu Directiva privind comerțul electronic. În plus, un astfel de ordin nu ar respecta drepturile fundamentale aplicabile.
(…)

Or, în speță, ordinul judecătoresc de a institui un sistem de filtrare implică supravegherea, în interesul titularilor drepturilor de autor, a integralității comunicațiilor electronice realizate în cadrul rețelei furnizorului de acces la internet în cauză, această supraveghere fiind, în plus, nelimitată în timp. Astfel, un ordin de această natură ar determina o atingere gravă a libertății societății Scarlet de a desfășura o activitate comercială, deoarece ar obliga-o să instituie un sistem informatic complex, costisitor, permanent și pe cheltuiala sa exclusivă.

În plus, efectele ordinului nu s-ar limita la societatea Scarlet, sistemul de filtrare fiind susceptibil în egală măsură să aducă atingere drepturilor fundamentale ale clienților săi, mai precis dreptului lor la protecția datelor cu caracter personal, precum și libertății lor de a primi și de a transmite informații, aceste drepturi fiind protejate de Carta drepturilor fundamentale a Uniunii Europene.

Astfel, este cert, pe de o parte, că acest ordin ar implica o analiză sistematică a tuturor conținuturilor, precum și colectarea și identificarea adreselor IP ale utilizatorilor care se află la originea transmiterii de conținuturi ilicite în cadrul rețelei, aceste adrese fiind date cu caracter personal protejate. Pe de altă parte, ordinul ar risca să aducă atingere libertății de informare, din moment ce ar fi posibil ca acest sistem să nu facă în mod suficient distincția între un conținut ilicit și un conținut licit, astfel că utilizarea lui ar putea avea drept consecință blocarea comunicațiilor cu conținut licit.

În consecință, Curtea constată că, prin adoptarea ordinului judecătoresc de obligare a societății Scarlet să instituie un astfel de sistem de filtrare, instanța națională nu a respectat cerința de a asigura un just echilibru între dreptul de proprietate intelectuală, pe de o parte, și libertatea de a desfășura o activitate comercială, dreptul la protecția datelor cu caracter personal și libertatea de a primi și de a transmite informații, pe de altă parte.

Prin urmare, Curtea răspunde că dreptul Uniunii se opune unui ordin judecătoresc adresat unui furnizor de acces la internet de a institui un sistem de filtrare a tuturor comunicațiilor electronice care circulă prin intermediul serviciilor sale, care se aplică, fără deosebire, întregii sale clientele, cu titlu preventiv, pe cheltuiala sa exclusivă și pentru o perioadă nelimitată.

Decizia integrala a Curtii va fi este disponibila in cursul zilei de astazi pe site-ul ECJ.

01/11/11

  10:34:54, by Bogdan, 1599 words  
Categories: Pareri personale, Legislatie, Viata privata

De ce NU ar fi fost necesar CNP-ul la recensamant ?

<---- Articol publicat pe Contributors.ro —->

Pentru ca dnul Razvan Orasanu a combatut pe platforma Contributors.ro in favoarea necesitatii CNP-ului la recensamint, mi se pare un exercitiu de dialog interesant, dar un motiv in plus sa adaugam ceva argumente la dezbatere (asta ca sa nu zic paie pe foc) sa incercam o opinie contrara cu cea a domniei sale. In plus, pentru ca recensamantul a fost incheiat, poate ca reusim o dezbatere mai asezata si pe argumente, si nu una emotionala.

Sa facem insa doua importante precizari preliminare:

1. Sunt de acord ca dezbaterea a fost prea politizata si exacerbata de o parte si de cealalta fara sa se explice realele argumente care sa stea la baza unor decizii luate de catre administratia publica din Romania. Ceea ce doveste o data in plus lipsa capacitatii administratiei publice de a face un lucru de baza: comunicarea publica. Nu e mai putin adevarat ca si urlatorii de profesie ar fi bine sa caute argumente pe care sa-si sprijine ideile si nu doar abureli scoase din auzite de ci sau de colo.

2. CNP-ul nu este o data secreta. Insa este o data personala cu caracter special. In legea 677/2001 care priveste prelucrarea datelor persoanale este prevazut in mod expres statul sau juridic in articolul 8

Art. 8. - (1) Prelucrarea codului numeric personal sau a altor date cu caracter personal având o funcţie de identificare de aplicabilitate generală poate fi efectuată numai dacă:
a) persoana vizată şi-a dat în mod expres consimţământul; sau
b) prelucrarea este prevăzută în mod expres de o dispoziţie legală.
(2) Autoritatea de supraveghere poate stabili şi alte cazuri în care se poate efectua prelucrarea datelor prevăzute la alin. (1), numai cu condiţia instituirii unor garanţii adecvate pentru respectarea drepturilor persoanelor vizate.

In cazul nostru exista o norma legislativa in care prelucrarea este prevazuta in mod expres (OUG 34/2011), astfel incat dpdv juridic INS-ul este acoperit. (tocmai de aceea si titlul spune de ce nu ar fi fost necesar si nu de ce nu este necesar).

Sa incercam sa explicam insa de ce avem nevoie de o asemenea reglementare cu privire la CNP, si de ce trebuie sa fim atenti cui i-l dam si in ce circumstante. Existenta unui numar de identificare personala unic prezinta probleme din punctul de vedere al vietii private tocmai prin reducerea fiintei umane la un simplu numar de identificare. Acesta ar permite (daca este utilizat mai ales ca si cheie de acces sau termen de cautare) combinarea extrem de usoara a diverselor seturi de date sau informatii din baze de date diferite si pe cale de consecinta conexarea unor informatii personale, ca si crearea unor profile extrem de detaliate pentru cetateni.

Tocmai de aceea unele state destul de dezvoltate au decis (Germania, Curtea Constitutionala, Decizia Census din 1983, BVerfGe 65, 1., vezi ceva explicatii in engleza) ca utilizarea unui astfel de numar de identificare unic este neconstitutional, atingind dreptul unei persoane la viata privata si la “auto-determinare informationala", ca parte a liberei dezvoltari a personalitatii umane. Curios sau nu, sintagma din urma se gaseste si in Constitutia Romaniei in art 1 (3) :

România este stat de drept, democratic si social, în care demnitatea omului, drepturile si libertatile cetatenilor, libera dezvoltare a personalitatii umane, dreptatea si pluralismul politic reprezinta valori supreme, în spiritul traditiilor democratice ale poporului român si idealurilor Revolutiei din decembrie 1989, si sunt garantate.
Alte state au decis ca un astfel de numar poate sa existe, insa colectarea lui trebuie sa fie limitata (atit pt stat, cit si pentru privati) tocmai pentru a nu aduce atingere dreptului mai sus mentionat. (ca si in cazul Romaniei)

Tot decizia Census din Germania (care a declarat neconstitutionala exact legea privind recensamintul din 1983) a considerat ca acea colectare a datelor pentru care scopul nu este specificat reprezinta o violare a drepturlor constitutionale mai sus amintite.

Deci utilizarea numarului unic de identificare intr-un recensamant sau colectarea excesiva de date personale nu este o nicidecum o chestiune triviala. (Nu mai fac referire aici la multiplele studii juridice de specialiatate pe tema deciziei Census a curtii generale, decizie re-confirmata si extinsa recent…)

Sa revenim insa la Romania - de ce nu ar fi fost necesara colectarea CNP?

Primul argument al celor din partea INS ar fi fost necesare evitarea duplicarii intrarilor. Nimic mai eronat. In primul rind ca exista 2 persoane cu acelasi CNP, lucru prezentat de cei de la MAI acum un an de zile pe dezbaterea referitoare la cartile de identitate electronice. Apoi CNP-ul nu este absolut necesar pentru a rezolva aceasta problema. Mult mai simpla (si mai directa) ar fi fost o solutie realizata informatic prin care fiecarui apartament ii revine in mod aleator un un cod de bare unic, pe baza caruia cetateanul poate sa introduca datele statistice (adica anonime, nu?) fie prin posta sau online. In cazul apartamentelor unde nu se primeste raspuns, se poate merge la usa omului. Chiar si daca avem date personale directe introduse (nume +prenume) ele pot sa nu fie stocate in clar, si doar sa fie notate ca si camp completat (vezi mai jos o idee) si anonimizate de la intrarea in baza de date. (au mai fost si in comentariile articolului precedent mai multe comentarii mai bine scrise pe tema asta scrise de Daniel).

Un al doilea argument este legat de insasi notiunea de data statistice necesare recensamintului. Adica pe mine la recensamint nu ma intereseaza ca Popescu Ion CNP 777777777777 sta in str. Aiuristica nr 3 si e casatorit de 5 ani, fara copii. (astea sunt date personale). Ci ma intereseaza ca in locatia (**$&^&^*%*&^ (identficator aleator) sta 1 barbat, casatorit de 5 ani, fara copii. (astea sunt date anonime sau macar cvasi-anonime). Si de fapt nici macar informatia dinainte nu trebuie sa ma intereseze in mod singular (la nivel de unitate), ci doar cele de acest tip adunate la nivel de cartier, oras, judet, etc. Nu ?
Ca atare, daca pe mine, INS, ma intereseaza date statistice, de ce sa cer date personale? (asta se numeste in termeni tehnici principiul prelucrarii unor date adecvate, pertinente şi neexcesive prin raportare la scopul în care sunt colectate şi ulterior prelucrate art 4 lit c. din legea 677/2001).
Si daca le cer, ignorind principiul de mai sus, de ce sa bag intr-o baza de date? Se putea face macar ca prelucrarea datelor personale sa se faca doar pe hartie, apoi sa fie verificat ca datele nu sunt deja introduse in sistemul informatic, sa introduc o cheie unica (un hash) bazata pe nume+CNP (sau alte date) si apoi sa distrug datele personale de pe hartie inutile INS-ului.
O baza de date cu toate datele personale cerute reprezinta doar o vulnerabilitate uriasa din punct de vedere al proiectiei datelor.

In fine un ultim argument (pentru a nu ma lungi prea mult) il facem prin reducerea la absurd. Sa presupunem ca primele 2 argumente sunt refuzate din diverse motive, iar INS chiar avea nevoie de CNP si fara el iesea o mare cacealma.
Okay, atunci mergem binisor la mai sus amintita legea 677/2001 si vedem conditiile in care se poate face prelucrarea ca trebuie sa asiguram (si informam) persoanei fizice o serie de drepturi prevazute de lege, ca cerintele de securitate de prelucrare nu-s de ici de colea (ca nu intrebam daca INS-ul a facut vreun audit de securitate pe ISO 17799, sa picam naspa), ca exista o obligatie (ca parte a cerintelor de securitate) de instruire a persoanelor care colecteaza date cu caracter personal ca sa inteleaga importanta lor si cite si mai cite obligatii pe care daca le-ai vrea sa le indeplineste pe toate (acum ca nu ne aude nimeni pot sa va spun :-)) iti dai seama ca mai bine colectezi doar date anonime si scapi de hartogaraia birocratica a prelucrarii datelor personale.

Parerea mea personala este ca decizia de a se colecta CNP-ul a fost facuta din 2 motive extrem de simpliste, si nu ca urmare vreunui audit de viata privata (sau privacy impact assesment - cum ii zice pe la britanici sau amercani) ori unui audit de securitate informatica, si cu atit mai putin a unei decizii politice, ci doar pentru ca:

A. Se poate (ca trantim o noua lege)
B. Este solutia cea mai simpla.

Acum, ca sa fiu clar inteles, nu-i acuz pe cei de la INS sau pe recenzori - fiecare a facut cit poate si cum poate, doar ca data viitoare (cum de multe ori zic si in alte cazuri) ar fi ideal sa stam sa cugetam un pic mai bine la ce vrem sa facem, inainte sa ne apucam. Poate chiar nu trebe CNPul asta. Ca din ce zic unii recenzori (Dollo are un reportaj genial in 10 episoade) mie mi se pare ca a iesit cam harababura oricum. Si e pacat, ca tot din banii nostrii se face.

Zic si io, nu dau cu paru’.

PS: Da, stiu e o mare harababura si in domeniul datelor cu caracter personal atita vreme cit CNP-ul este colectat in mod excesiv in multiple cazuri. Si de stat, si de privati. Da mai aveam nevoie de inca un exemplu negativ?

PS2: In fond cred ca argumentul ar putea fi redus destul de mult. Dvs spuneti ca solutia ar fi “o baza de date comuna pentru diversele institutii, dublata (…)”. Eu cred ca o baza de data comuna pentru diversele institutii nu este doar o problema majora dpdv a securitatii informatice, ci si un pas util si necesar catre un stat dictatorial.
Baietii cu ochii albastrii (asa s-o zice la ei?) din R. Moldova au un exemplu interesant si practic in functiune. Se stie ca cu x lei dat politistului, afli tot ce vrei despre un tip - de la parinti, rude, ce masini a avut si cind le-a vindut pina la cind a iesit din tara si de ce. Traiasca sistemele informatice din slujba cetateanului ! ;-)

27/10/11

Unde-l dau in judecata pe Financial Times ? (sau care este instanta competenta pe Net in cazuri de raspundere civila delictuala)

Raspunsul la intrbarea din titlu: daca a scris naspa despre mine in pagina de web pot sa-l dau in judecata in Romania, unde e domiciliul meu. &#58;&#68;

Cam asa ma gindesc eu ca ar trebui sa sune un titlu bombastic care sa relateze o hotarire extrem de interesanta de ieri a Curtii Europene de Justitie (CEJ) referitor la instanta competenta in cazuri de raspundere civila delictuala pentru atingere adusă drepturilor referitoare la personalitate prin publicarea de informatii pe Internet.

Explicatia nejuridica: Adica se apuca vreunul sa te faca cu ou si cu otet in blogurile Financial Times pe tine, mare mahar de Simleul Silvaniei. (…sper ca realizati ca este un exemplu tras de par in mod intentionat…) Adinc lovit in orgoliul propriu te decizi sa-i dai in judecata pentru ofensa adusa imaginii tale. Unde? Ei bine, poti sa te duci linistit la judecatoria din Simleu si sa incepi procesul secolului al Judecatoriei locale. Si sa le ceri 1 milion de lire daune. &#58;&#112;

Mai glumim noi, dar decizia este extrem de interesanta din citeva puncte de vedere. Pe de o parte, este clar ca scopul acestei reglementari este protectia suplimentara a drepturilor personalitatii. Altfel, te-ar fi trimis la Londra unde te costa avocatul cit o masina la prima mina.

Pe de alta parte, obligatia poate crea niste procese extrem de dure pentru orice publicatie online care prin 3 procese in 3 colturi ale Europei este scoasa din business in mod rapid.

Poate insemna ca Mihaela Radulescu o sa-l dea in judecata pe Zoso la Monaco sau ca Enrique Iglesias da in judecata Can-Can-ul in Madrid (sau pe unde o sta in Spania).

Citeva precizari utile inainte de a trece la citeva citate din decizie si intreg comunicatul de presa al CEJ:

  • decizia se refera doar la clarificarea conflictului de competenta intre state membre ale UE
  • avem o speta pe drepturile personalitatii si raspundere civila delictuale, deci pe alte cazuri s-ar putea sa fie altfel
  • vorbim de un caz in care nu exista un contract intre parti, dar merita sa mentionam ca daca ar fi (Chiar si pe net cu Google Irlanda, Paypay Luxembourg etc.), atunci ar putea sa fie competenta tot instanta din Simleu, daca eu sunt un consumator - vezi Regulamentul Roma I.

Deci ce zice instanta europeana:


(…)postarea unor informații pe un site internet se distinge de difuzarea teritorială a unui suport de comunicare, precum un imprimat, prin faptul că aceasta vizează, prin esența sa, ubicuitatea informațiilor menționate. Acestea pot fi consultate instantaneu de un număr nedeterminat de utilizatori de internet pretutindeni în lume, independent de orice intenție a editorului acestora privind consultarea lor în afara statului membru în care este stabilit și în afara controlului său.
(…)
Dificultățile punerii în aplicare, în contextul internetului, a criteriului menționat al materializării prejudiciului contrastează cu gravitatea prejudiciului care poate fi suferit de titularul unui drept referitor la personalitate care constată că informații care aduc atingere dreptului menționat sunt disponibile în orice punct al planetei.

(…)victima unei încălcări a drepturilor referitoare la personalitate prin intermediul internetului poate sesiza o instanță pentru tot prejudiciul suferit în funcție de locul materializării prejudiciului cauzat în Uniunea Europeană prin încălcarea menționată. Dat fiind că impactul unei informații postate asupra drepturilor referitoare la personalitate ale unei persoane poate fi apreciat cel mai bine de instanța de la locul unde pretinsa victimă își are centrul intereselor, atribuirea de competență acestei instanțe corespunde obiectivului unei bune administrări a justiției, amintit la punctul 40 din prezenta hotărâre. Locul unde persoana își are centrul intereselor corespunde în general domiciliului său.

(…) Competența instanței de la locul unde pretinsa victimă își are centrul intereselor este conformă obiectivului previzibilității normelor de competență și în ceea ce privește pârâtul, dat fiind că, în momentul postării unei informații prejudiciabile, autorul informației respective este în măsură să cunoască centrele de interese ale persoanelor care fac obiectul acesteia. Prin urmare, trebuie să se considere că criteriul centrului de interese permite atât reclamantului să identifice cu ușurință instanța pe care o poate sesiza, cât și pârâtului să prevadă în mod rezonabil instanța în fața căreia poate fi acționat în justiție

Si mai jos comunicatul de presa al CEJ.

Full story »

1 2 3 ...4 ... 6 ...8 ...9 10 11 12 ... 21

Blog juridic al lui Bogdan Manolea cu informatii referitoare la legislatie, jurisprudenta, articole si stiri legate de domeniul Dreptului Tehnologiei Informatiei din Romania si strainatate.

Subscrie la acest blog pentru a primi actualizarile prin e-mail

Adresa de e-mail


Realizat de FeedBlitz

  XML Feeds

Search

February 2018
Mon Tue Wed Thu Fri Sat Sun
 << <   > >>
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28        

Multumesc

V-a fost util ceva de pe blog sau pe de site ?
De azi va permit sa imi lasati un multumesc
blog tool