Una dintre situaţiile adesea întâlnite în „competiţia economică" este aceea a „vânzării-cumpărării bazelor de date", care conţin şi date cu caracter personal, cumpărare cu scopul de a transmite oferta la potenţiali clienţi. Locul cel mai sigur şi cel mai „profilat" unde întâlnim bazele de date care conţin şi date cu caracter personal îl întâlnim la autorităţile statului. Spre exemplu, la autoritatea locală sau la o autoritate desconcentrată financiară din teritoriu, găsim pe toţi datornicii la bugetul public care au rezidenţa într-un teritoriu determinat. Aşa că, o instituţie care oferă împrumuturi ar fi interesată de o asemenea bază de date „semi-profilată" pentru a trimite datornicilor „ofertele de creditare". Şi povestea ar putea să continue, însă în cele ce urmează ne vom opri asupra unui exemplu anonimizat, dar concret din „viaţa publică" a vânzării bazelor de date şi a lipsei unei protecţii adecvate a datelor cu caracter personal.
Dacă o persoană este interesată să îşi înfiinţeze o firmă sau să desfăşoare o activitate independentă cu scop lucrativ, inevitabil trebuie să formuleze o serie de cereri către autorităţile publice (Oficiul Registrului Comerţului, spre exemplu), către bănci pentru înfiinţarea unui cont bancar distinct. Odată depuse cererile se aşteaptă un răspuns în puţine zile (pentru eliberarea certificatului de înmatriculare a firmei). Nu trece mai mult timp şi pe telefonul celui care a depus cererea de înmatriculare încep să apară mesaje de oferte de servicii de contabilitate, de telefonie şi multe altele… Este evident că în circuitul de înmatriculare a apărut fie o vindere a datelor cu caracter personal, fie un „împrumut" nelegal al acestora, din partea acelor instituţii publice şi private, care au colectat datele cu caracter personal ale asociaţilor şi administratorului firmei ce se doreşte a fi înfiinţată.
Obiceiurile de mai sus trebuie comentate succint în scopul unei bune informări, atât a persoanelor vizate precum şi a operatorilor de date cu caracter personal (instituţiile publice sau private care deţin baze de date organizate):
- Potrivit Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date „orice prelucrare de date cu caracter personal (…) poate fi efectuată numai dacă persoana vizată, şi-a dat consimţământul în mod expres şi neechivoc pentru acea prelucrare" (articolul 5);
- Transmiterea datelor cu caracter personal către alte entităţi private, în absenţa consimţământului dat expres pentru o astfel de transmitere, este o operaţiune de prelucrare de date cu caracter personal nelegală;
- Prelucrarea datelor cu caracter personal de către un operator sau de o persoană împuternicită de acesta, cu încălcarea prevederilor art. 5 constituie contravenţie, dacă nu este săvârşită în astfel de condiţii încât să constituie infracţiune, şi se sancţionează cu amendă de la 10.000.000 lei la 250.000.000 lei.
- Regulamentul General privind Protecţia Datelor (GDPR), înlocuieşte prevederile Legii nr. 677/2001 începând cu 25 mai 2018, menţine regulile amintite mai sus, dar înăspreşte regimul sancţionator şi consolidează mecanismele de control şi monitorizare a respectării dreptului la protecţia datelor cu caracter personal;
- Dacă cineva se regăseşte în exemplul amintit nu este o simplă coincidenţă şi sugerăm să se adreseze cu o petiţie Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, căci, precum afirmam, fie cineva nu protejează bine datele noastre, fie ni le vinde!
