Am observat cu toții că, de laintrarea în vigoare a Directive GDPR în mai 2018,destule lucruri s-au schimbat în special în privința marilor companii online, ceea ce a făcut ca multe dintre acestea să ia în considerare ce date au nevoie cu adevărat să stocheze, cel puțin la nivel declarativ/public. Și în rândul lor, și în cele ale publicului, este clar că s-a ajuns la un anumit nivel de conștientizare a importanței securizării și stocării datelor cu caracter personal.
Persoanele fizice înțeleg mai bine importanța protecției datelor personale și a respectării confidențialității acestora față de firme, fapt care a atras după sine și o creștere a numerelor de sesizări către autoritățile abilitate în protecția datelor.
În privința datelor personale, există și o serie de derogări: instituțiile UE și statele membre ale UE trebuie să respecte obligațiile care derivă din Carta Drepturilor Fundamentale a Uniunii Europene, unde articolul 11 prevede obligația respectării dreptului la liberă exprimare, care va trebui luat în considerare inclusiv în cadrul aplicării GDPR. Prin urmare, GDPR a căutat un echilibrul între respectarea articolului 11 și prelucrarea datelor cu caracter personal, prin articolul 85, care prevede că acest echilibru ține de legislația fiecărui stat.
În România este vorba despre legea nr. 190/2018, care pune în clar obligații ce nu erau prevăzute expres în GDPR, cum ar fi condițiile în care angajatorul își poate monitoriza video angajații.
Nerespectarea regulamentului GDPR de către firme poate duce la aplicarea de amenzi de până la 4% din cifra de afaceri.Deocamdată nu au fost foarte multe sancțiuni aplicate, aceasta și fiindcă a fost nevoie de o adaptare la noile prevederi atât a companiilor, cât și a autorităților. Prima amendă dată în România de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a fost către Unicredit Bank, în valoare de 130.000 de euro. La nivel european, totalul amenzilor aplicate până în ianuarie 2020 a fost de 114 milioane de euro, la care România a contribuit cu 329.000 de euro.
Se preconizează că în viitor vom asista la sporirea activității ANSPDCP, firmele fiind investigate mai des și mai profund. Aceasta va veni la pachet cu investiția constantă a companiilor în resurse pentru protecția datelor și cu interesul tot mai crescut al cetățenilor.
Însă nu doar companiile, ci și persoanele fizice intră sub incidența regulamentului GDPR. În esență, ele pot folosi informații cu caracter personal ca parte a unei activități domestice sau personale, cum ar fi ținerea unui jurnal sau comunicarea cu prietenii sau cu familia. Ce depășește aceste limite, precum publicarea în orice formă a acestor informații (cum ar fi un filmuleț pe YouTube sau pe platforme de socializare) iese din cadrul personal și este pasibil de sancționare, conform prevederilor GDPR.
Dacă până acum nu a fost nici o situație de acest fel în România, la nivelul UE au fost mai multe cazuri. Iată câteva exemple: în Germania s-a aplicat o amendă de 2.500 de euro în cazul unei persoane care a trimis mail-uri nesolicitate, iar destinatarii au putut să vadă adresele altora. Tot în Germania, un ofițer de poliție a fost amendat după ce s-a folosit de accesul său la sistemul informatic pentru a prelucra datele personale ale unui șofer. În Austria a fost amendată o persoană care a instalat camere de luat vederi ce spații publice (parcări, parcuri), dar și alte spații private (ale vecinilor). În fine, în Belgia un primar a fost sancționat deoarece a folosit o serie de date personale pe care le obținuse în exercitarea mandatului ulterior, în scop electoral, în timpul campaniei electorale.
Și acestea sunt efectele după numai doi ani de aplicare.