Protecția datelor cu caracter personal în cadrul platformelor de socializare
Rezumat
Acest text reprezintă un fragment din volumul «Cyberlaw Elements», Editura Hamangiu, 2025. Într-o eră în care progresul tehnologic în domeniul procesării informației este năvalnic, lucrarea fixează repere cu privire la domeniile de reglementare. Cartea este o incursiune profundă în provocările juridice emergente generate de revoluția tehnologică. Autorul traduce complexitatea noțiunilor juridice într-un limbaj accesibil, fără a sacrifica rigoarea academică. Analizarea unor subiecte precum activitatea comercială online, contractele speciale, blockchain și cryptocoins, reglementarea motoarelor de căutare, regimul juridic al platformelor de socializare, utilizarea sistemelor informatice de lucrători, protecția datelor cu caracter personal, conferă lucrării caracterul unui instrument de navigație în marea lumii digitale. Cartea oferă răspunsuri la întrebările critice ale momentului și reprezintă un ghid esențial pentru cei care doresc să înțeleagă legile care încearcă să modeleze viitorul digital.
Andrei E. Săvescu, Cyberlaw Elements, Ed. Hamangiu, 2025, p. 215-226.
6.1. Competența
În cauza Facebook Ireland și alții[1], Curtea de Justiție a Uniunii Europene a apreciat că fiecare stat membru al Uniunii are competența de a aduce în fața autorităților judiciare cazurile de încălcare a GDPR și, după caz, să inițieze sau să se implice într-un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispozițiilor GDPR. Cu alte cuvinte, autoritățile naționale sunt competente cu privire la prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul acesteia.
6.2. Echilibru
Joi, 6 ianuarie 2022, Autoritatea pentru Protecția Datelor din Franța (C.N.I.L.) a informat că a sancționat companiile GOOGLE LLC și GOOGLE IRELAND cu un total de 150 de milioane euro (90 de milioane euro pentru GOOGLE LLC și 60 de milioane euro pentru GOOGLE IRELAND), iar compania FACEBOOK IRELAND LIMITED cu 60 de milioane euro. C.N.I.L. a constatat că site-urile facebook.com, google.fr și youtube.com nu permit refuzarea cookie-urilor la fel de ușor cum este acceptarea lor. Google, Facebook și YouTube facilitează consimțământul la cookie-uri printr-un singur buton, în timp ce respingerea solicitării necesită mai multe clicuri. Când accepți cookies o poți face printr-un simplu click. La fel de simplu ar trebui să fie și atunci când le respingi. Aceasta constituie o încălcare a art. 82 din Legea franceză privind protecția datelor. Sancțiunile impuse de C.N.I.L. reflectă angajamentul autorității de a proteja drepturile utilizatorilor în fața practicilor de prelucrare a datelor personale. Prin aceste măsuri, C.N.I.L. subliniază importanța respectării normelor de protecție a datelor și responsabilitatea companiilor de a crea interfețe care să permită utilizatorilor să controleze mai eficient modul în care datele lor sunt colectate și utilizate. În plus, aceste amenzi subliniază riscurile financiare pe care companiile le pot înfrunta în cazul nerespectării reglementărilor. Decizia C.N.I.L. servește ca un avertisment pentru toate platformele online cu privire la importanța transparenței și echității în practicile de colectare a datelor. Utilizatorii trebuie să fie informați corespunzător și să aibă puterea de a controla ceea ce se întâmplă cu datele lor personale.
6.3. Eliminarea informațiilor
Judecătoria Timișoara a hotărât că măsura provizorie a ordonanței președințiale în cazuri grabnice, potrivit art. 997 alin. (1) C. proc. civ.[2], se dispune pentru păstrarea unui drept care s-ar păgubi prin interzicere, pentru prevenirea unei pagube iminente și care nu s-ar putea repara, precum și pentru înlăturarea piedicilor ce s-ar ivi cu prilejul unei executări, stabilind că în favoarea reclamantului există aparență de drept. În speță, instanța, considerând îndeplinite condițiile cumulative de admisibilitate a ordonanței președințiale (urgența, vremelnicia și neprejudecarea fondului), a admis în parte cererea reclamantului, opinând că este întemeiată eliminarea și ștergerea de pe toate site-urile unui faimos cotidian regional, precum și de pe rețelele de socializare (Facebook, Instagram) a mențiunilor privind adresa de domiciliu a petentului, pentru a nu-i fi afectată siguranță sa și a familiei[3].
Hotărârea instanței s-a bazat pe constatarea îndeplinirii celor trei condiții cumulative necesare pentru admiterea ordonanței președințiale: urgența, vremelnicia și neprejudecarea fondului. Aceasta înseamnă că instanța a considerat că existau motive întemeiate de a acționa rapid pentru a proteja siguranța reclamantului și a familiei sale, că măsura dispusă nu afectează definitiv situația juridică a părților, permițând revizuirea acesteia în cadrul procesului principal, și că admiterea măsurii provizorii nu prejudecă fondul litigiului. Hotărârea este relevantă în contextul legislației privind protecția datelor personale și a dreptului la viață privată, având în vedere că instanța a decis eliminarea mențiunilor legate de adresa de domiciliu a reclamantului de pe site-urile de știri și rețelele sociale. Sentința pronunțată de Judecătoria Timișoara subliniază importanța protecției datelor personale și a dreptului la viață privată în contextul tehnologic modern, în care informațiile circulă rapid și pot avea consecințe semnificative asupra vieții individului. Decizia reflectă o abordare echilibrată a instanței, care ia în considerare atât drepturile reclamantului, cât și responsabilitățile mass-media și ale platformelor online. Aceasta servește ca un precedent important în promovarea unei culturi a respectului față de datele personale și a siguranței în mediul digital.
6.4. Fluturașul de salariu
Vineri, 30 iulie 2021, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a informat că a finalizat o investigație la o persoană fizică și a constatat săvârșirea a două contravenții prin încălcarea dispozițiilor art. 5 alin. (1) lit. a) și b) și alin. (2), raportat la art. 6 alin. (1), precum și a dispozițiilor art. 14 alin. (1)-(4) din Regulamentul General privind Protecția Datelor. Persoana fizică, în calitate de operator, a fost sancționată contravențional: cu amendă, în cuantum de 492.75 lei (echivalentul a 100 euro) pentru încălcarea art. 5 alin. (1) lit. a) și b) și alin. (2) din GDPR și a art. 6 alin. (1) din GDPR; cu amendă, în cuantum de 492.75 lei (echivalentul a 100 euro) pentru încălcarea art. 14 alin. (1)-(4) din GDPR. Investigația a fost demarată ca urmare a primirii mai multor plângeri. Astfel, operatorul a fost reclamat cu privire la faptul că, prin distribuirea unor materiale în cadrul gospodăriilor din comună și prin postarea pe contul personal de Facebook, a dezvăluit date cu caracter personal, pe de-o parte, ale unei persoane fizice prin difuzarea unei fotografii a fluturașului de salariu ce aparținea acesteia și, pe de altă parte, a dezvăluit date cu caracter personal ale fiului minor al unei alte persoane vizate, conținute de o fotografie a unei file din Registrul de evidență a copiilor înscriși la Grădinița cu Program Normal din comuna respectivă. Ca urmare a investigației efectuate, Autoritatea Națională de Supraveghere a constatat că operatorul nu a prezentat dovezi din care să rezulte că a prelucrat în mod legal, datele cu caracter personal conținute de fluturașul de salariu al persoanei vizate (nume, prenume, CNP, loc de muncă, funcție, salariu), încălcând astfel principiile de prelucrare a datelor cu caracter personal prevăzute la art. 5 alin. (1) lit. a) și b) și alin. (2) din GDPR și dispozițiile art. 6 alin. (1) din GDPR. În același timp, operatorul nu a prezentat dovezi din care să rezulte că a asigurat informarea persoanelor vizate în legătură cu prelucrarea datelor cu caracter personal conținute în fila fotografiată din Registrul de evidență a copiilor înscriși la Grădinița cu Program Normal (nume și prenume ale fiului minor al persoanei vizate), încălcând astfel dispozițiile art. 14 alin. (1)-(4) din GDPR.
Cazul investigat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal ilustrează provocările cu care se confruntă operatorii de date în era digitală. Într-o lume în care informațiile circulă rapid și sunt adesea partajate fără o considerare adecvată a consecințelor, respectarea regulilor de protecție a datelor este mai importantă ca niciodată. Acest incident ar trebui să servească drept un avertisment pentru toți cei implicați în prelucrarea datelor cu caracter personal să își revizuiască practicile și să se asigure că respectă legislația aplicabilă.
6.5. Disciplină
Joi, 7 aprilie 2022, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat că a finalizat în luna martie 2022 o investigație la Asociația de Proprietari din Str. Soporului 17, municipiul Cluj-Napoca, căreia i-a aplicat o amendă, ca urmare a faptului că acest operator nu a furnizat informațiile solicitate, încălcând astfel prevederile art. 83 alin. (5) lit. e) corelate cu dispozițiile art. 58 alin. (1) lit. a) și e) din Regulamentul General privind Protecția Datelor. Sancțiunea: amendă în cuantum de 2.474,5 lei, (echivalentul sumei de 500 euro). Investigația s-a desfășurat ca urmare a unei plângeri formulate de o persoană vizată prin care se reclama faptul că operatorul a dezvăluit pe grupul de Facebook al blocului în care domiciliază imagini cu persoana sa din sistemul de supraveghere video gestionat de asociație. Întrucât operatorul nu a răspuns solicitărilor instituției, deși a confirmat primirea lor, acesta a fost sancționat cu amendă. De asemenea, s-a dispus să se transmită autorității de supraveghere toate informațiile solicitate, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal. Cazul Asociației de Proprietari din Cluj-Napoca servește ca un exemplu pertinent al modului în care nerespectarea reglementărilor de protecție a datelor poate conduce la sancțiuni. Într-o lume din ce în ce mai digitalizată, unde datele personale sunt expuse riscurilor, este vital ca toți operatorii să ia măsuri prompte pentru a asigura conformitatea cu legislația aplicabilă. Această situație subliniază, de asemenea, rolul fundamental al autorităților de supraveghere în menținerea standardelor de protecție a datelor și în garantarea respectării drepturilor fundamentale ale indivizilor.
6.6. Grupurile de discuții online
Grupul de discuții online presupune utilizarea unei platforme informatice pentru distribuirea de mesaje multi-destinatar de către oricare dintre titularii accesului la grup (denumiți membri). Grupurile de discuții online reprezintă o formă eficientă și modernă de comunicare, utilizând platforme informatice special concepute pentru a facilita distribuirea de mesaje între membrii unui grup. Aceste platforme permit interacțiuni rapide și eficiente, promovând colaborarea și schimbul de idei între participanți, indiferent de distanța fizică care îi separă.
Membrii grupului, adică utilizatorii care au acces la platformă, beneficiază de drepturi de acces care le permit nu doar citirea mesajelor, ci și trimiterea de mesaje către ceilalți membri. Această capacitate de comunicare în mai multe direcții este esențială pentru dinamica grupului, oferind fiecărui membru oportunitatea de a contribui activ la discuții. În plus, fiecare membru are dreptul de a accesa informații despre ceilalți membri, ceea ce poate include detalii despre profiluri, contribuții anterioare sau chiar activitatea lor în cadrul grupului. Aceste informații sunt utile pentru a încuraja interacțiunile și a construi relații între membri.
Pe lângă aceste drepturi, membrii grupului au și responsabilități care derivă din regulile stabilite pentru grupul respectiv. Aceste reguli pot fi create de către inițiatorul sau administratorul grupului și sunt menite să asigure un mediu de comunicare civilizat și productiv. Reguli precum respectul reciproc, interdicția de a face spam, sau restricțiile privind conținutul inadecvat sunt esențiale pentru buna funcționare a grupului și pentru a preveni conflictele sau neînțelegerile.
Comportamentul membrilor este reglementat de o combinație de dispoziții legale, inclusiv norme imperative și supletive, care asigură respectarea drepturilor fundamentale și a legislației în vigoare. Normele legale imperative se referă la legi care nu pot fi ignorate sau modificate, cum ar fi legislația privind protecția datelor personale sau reglementările privind hărțuirea online. De asemenea, regulile supletive pot fi aplicate în lipsa unor reglementări specifice, permițând grupului să își stabilească propriile norme în limitele legii.
Pe lângă cadrul legal, regulile platformei utilizate pentru grupul de discuții joacă un rol crucial. Acestea sunt stabilite de furnizorul platformei și includ termeni și condiții de utilizare, care guvernează interacțiunile dintre membri. Aceste reguli trebuie respectate de toți utilizatorii și pot include dispoziții referitoare la confidențialitate, drepturile de autor, comportamentul acceptabil și sancțiuni în cazul încălcării normelor.
Niciodată normele aplicabile grupului nu sunt formalizate într-un codex de reguli, însă ele pot fi deslușite destul de ușor. Ba chiar regulile grupurilor sunt mai ușor de înțeles decât regulile redactate într-un stil apropiat de cel al legiuitorului.
6.6.1. Aplicabilitatea GDPR în privința grupurilor de discuții
Normele aplicabile grupurilor de discuții online sunt adesea informale și nu sunt prezentate sub forma unui cod de reguli standardizat. Cu toate acestea, aceste reguli pot fi deduse din comportamentele și interacțiunile membrilor grupului, precum și din mesajele inițiale de bun venit sau din instrucțiunile oferite de administrator. Această abordare informală permite o adaptabilitate mai mare și o integrare mai rapidă a noilor membri, care pot învăța și internaliza normele grupului prin observare și participare activă, fără a fi necesară o lectură prealabilă a unor reglementări complexe.
Regulile nescrise ale grupurilor de discuții sunt adesea mai ușor de înțeles și de aplicat decât reglementările oficiale, care pot fi redactate într-un stil juridic complicat, ce poate părea inaccesibil pentru majoritatea utilizatorilor. De exemplu, utilizatorii pot învăța rapid că este inacceptabil să posteze mesaje de spam sau să abordeze teme controversate într-un mod agresiv, prin observație și feedback direct de la ceilalți membri. Această dinamică contribuie la formarea unei culturi de grup, unde normele sunt mai degrabă implicite decât explicite.
În acest context, este important de menționat că reglementările legale, cum ar fi GDPR, au un impact semnificativ asupra modului în care informațiile sunt gestionate în cadrul acestor grupuri. Conform art. 2 alin. (2) din GDPR, regulamentul nu se aplică prelucrărilor de date cu caracter personal realizate de o persoană fizică în cadrul unei activități exclusiv personale sau domestice. Aceasta înseamnă că, dacă un utilizator interacționează într-un grup de discuții online pentru scopuri personale, fără a implica o activitate profesională, atunci prelucrarea datelor sale nu este supusă acestor reglementări stricte.
Cu toate acestea, multe grupuri de discuții online se constituie ca platforme de interacțiune care depășesc sfera strict personală, implicând de cele mai multe ori interacțiuni de natură profesională sau comunitară. Aceasta deschide calea pentru discuții asupra protecției datelor personale și a responsabilităților legale, chiar și în contextul unor activități care pot părea inițial personale. Astfel, membrii grupului trebuie să fie conștienți de faptul că, deși normele grupului pot fi informale, drepturile și responsabilitățile în ceea ce privește protecția datelor cu caracter personal trebuie respectate, mai ales în cadrul interacțiunilor care includ informații sensibile.
În concluzie, reglementările informale care guvernează grupurile de discuții online sunt adesea mai accesibile și mai ușor de înțeles decât normele formale, dar acest lucru nu reduce importanța respectării legislației privind protecția datelor. Membrii grupului trebuie să navigheze cu atenție între normele informale și obligațiile legale.
Dacă grupul este utilizat de persoana fizică în scopuri profesionale, de exemplu pentru marketing, atunci persoana fizică devine operator, alături de constructorul platformei, normele GDPR devin incidente, astfel încât se pune problema legalității prelucrării datelor cu caracter personal.
6.6.2. Problema consimțământului în grupurile de discuții online
În cazul în care GDPR este aplicabil grupului de discuții online, se pune problema dacă prelucrarea datelor cu caracter personal trebuie să se încadreze în ipoteza art. 6 alin. (1) lit. a) din GDPR: „persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice”. Sesizăm următoarele dificultăți în legătură cu acest text:
1. dobândirea accesului la grup nu se poate face fără acceptarea condițiilor generale de utilizare a platformei online care facilitează construirea grupului, însă accesul în grup se face cel mai frecvent fără exprimarea unui consimțământ explicit cu privire la respectarea regulilor grupului respectiv;
2. accesarea grupului de către o persoană are, prin ea însăși, semnificația ca titularul accesului „și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice?”. Este limpede că persoana vizată nu și-a dat consimțământul pentru utilizarea datelor sale cu caracter personal, câtă vreme aceste scopuri specifice nu sunt precizate;
3. datele cu caracter personal sunt accesibile, într-o măsură mai mare sau mai mică, pentru toți membrii grupului. Cum s-ar putea obține consimțământul de la toți membrii grupului cu privire la utilizarea datelor cu caracter personal de către toți membrii grupului, fiecare cu scopurile sale?
Aceste dificultăți subliniază provocările cu care se confruntă atât operatorii de date, cât și utilizatorii în contextul prelucrării datelor cu caracter personal în grupurile de discuții online. Într-o lume digitalizată, unde informația circulă rapid și interacțiunile sunt deseori informale, este esențial să existe un cadru clar și transparent care să reglementeze aceste aspecte, asigurând astfel protecția drepturilor persoanelor vizate în conformitate cu GDPR.
Pe lângă dificultățile menționate, există și alte provocări care pot apărea în contextul prelucrării datelor cu caracter personal în grupurile de discuții online. De exemplu, chiar dacă un utilizator poate accepta termenii și condițiile platformei, aceste documente pot fi redactate într-un limbaj tehnic sau juridic complex, ceea ce face dificilă înțelegerea efectivă a drepturilor și obligațiilor. Această ambiguitate poate conduce la interpretări greșite cu privire la ceea ce constituie consimțământul informat. Pe de altă parte, este foarte dificilă asigurarea securității datelor. Într-un mediu online, unde datele sunt accesibile unui număr mare de persoane, asigurarea securității informațiilor devine o provocare. Mai mult decât atât, în cazul grupurilor de discuții care includ membri cu interese diferite, gestionarea conflictelor de interese poate fi complicată. De exemplu, în grupurile profesionale, unii membri pot dori să utilizeze datele personale în scopuri de marketing, în timp ce alții doresc să își păstreze intimitatea. Mai mult decât atât, anumite grupuri de discuții pot implica schimbul de date sensibile, cum ar fi informații despre sănătate, orientare sexuală sau opinii politice. Prelucrareaacestor date necesită un nivel mai ridicat de protecție și consimțământ explicit, complicând astfel cadrul legal și operațional.
Dar, chiar luând în considerare cu deplină bună-credință exigențele GDPR, care conferă drepturi clare utilizatorilor, cum ar fi dreptul de acces, rectificare și ștergere a datelor, implementarea acestor drepturi în grupurile de discuții poate fi problematică.
6.6.3. Temeiul legal al prelucrării datelor cu caracter personal în grupurile de discuții online
În ce privește temeiul legal al prelucrării datelor cu caracter personal în grupurile de discuții online, trebuie menționat că temeiul corect al funcționării grupurilor de discuții online pentru alte activități decât cele „exclusiv personale sau domestice” este art. 6 alin. (1) lit. b) din GDPR care prevede că „prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”.
Grupurile de discuții se constituie și se mențin prin voința fiecărui titular al drepturilor de acces. Întrucât voința lor produce efecte juridice, se naște un contract multilateral, guvernat de mai multe straturi de reguli, așa cum am menționat mai sus. Diferența între cele două temeiuri este majoră, în ce privește modalitatea de exprimare a consimțământului. În privința art. 6 alin. (1) lit. a) din GDPR, consimțământul trebuie să fie expres, întrucât doar un consimțământ expres poate să conțină precizări cu privire la „unul sau mai multe scopuri specifice”, în vreme ce contractul, guvernat de principiul libertății de voință, poate fi încheiat prin orice formă de exprimare a consimțământului, dar sfera obligațiilor care izvorăsc din el este largă. Această soluție este firească, întrucât nu putem să abdicăm, fără a înfrânge demnitatea umană, de la prezumția că oamenii au reprezentarea consecințelor faptelor lor și, totodată, au responsabilitățile aferente faptelor lor. Această soluție este nu doar firească, ci și necesară, deoarece respectarea demnității umane și a responsabilității individuale este esențială într-o societate democratică. Oamenii trebuie să fie conștienți de consecințele acțiunilor lor și de responsabilitățile care derivă din aceste acțiuni. În contextul grupurilor de discuții, membrii trebuie să recunoască că prelucrarea datelor lor personale nu se face în vid, ci într-un cadru în care fiecare are un rol activ și responsabil. Prin urmare, temeiul legal al prelucrării datelor cu caracter personal în grupurile de discuții online subliniază importanța echilibrului între drepturile individuale și responsabilitățile care decurg din participarea la un astfel de grup.
6.6.4. Decelarea tipului de prelucrare a datelor cu caracter personal în grupurile de discuții
Regulile de utilizare a grupurilor de discuții online stabilite de cei care pun la dispoziție platformele tehnice sunt în general relaxate, în sensul ca permit utilizarea grupurilor atât în scop personal, cât și în scop profesional. Cercetarea modului de utilizare a grupurilor de discuții de către titularii drepturilor de acces evidențiază faptul că unii dintre membri folosesc grupul în scop personal, iar alții în scop profesional. În plus, utilizarea se face uneori în scop personal, iar alteori în scop profesional de către același membru. Din acest motiv, decelarea tipului de activitate este practic dificilă. Însă, această decelare este foarte importantă, pentru că determină aplicarea sau nu a reglementărilor GDPR. De aceea, este importantă exhibarea de către fiecare membru a calității în care este prezent pe grup. De exemplu, dacă semnătura automată a unui membru conține un link spre politica de confidențialitate a unui operator, persoană juridică sau chiar persoană fizică membru, atunci este limpede că membrul acționează în scop profesional. Prezența în cadrul unui grup a unui membru care acționează profesional, adică altfel decât „exclusiv personal sau domestic”, nu înseamnă că datele cu caracter personal ale celorlalți membri ai grupului ar putea fi utilizate în alte scopuri decât cele strict legate de funcționarea grupului. Simpla prezență a unui membru într-un grup de discuții online nu îndreptățește utilizarea datelor lui cu caracter personal în alte scopuri. Cu alte cuvinte, utilizarea datelor cu caracter personal ale membrilor grupului în alte scopuri, specifice organizației din care face parte un membru (de exemplu, în scop de marketing), exterioare grupului, este ilegală, în lipsa unui temei special în acest sens.
În concluzie, grupurile de discuții online au un caracter contractual. Lor li se aplică reglementările legale imperative și supletive, regulile constructorului platformei tehnice care asigură funcționarea grupului și regulile stabilite de creatorul/administratorul grupului. Prelucrarea datelor cu caracter personal ale membrilor grupului trebuie să fie circumscrisă în mod strict de temeiurile prevăzute de art. 6 din GDPR.
Note de subsol
[1] C.J.U.E., cauza C-645/19, Facebook Ireland și alții, Hotărârea din 15 iunie 2021, EU:C:2021:483.
[2] Legea nr. 134/2010 privind Codul de procedură civilă (republicată în M. Of. nr. 247 din 10 aprilie 2015).
[3] Jud. Timișoara, s. a II-a civ., sent. civ. nr. 9528/2019, disponibilă pe rolii.ro.